In Internetforen mehren sich Diskussionen über fehlerhafte Midea-PortaSplit-Klimaanlagen. Die Fernbedienung mit der App des Anbieters steuert bei Betroffenen offenbar nicht die eigenen, sondern fremde Klimaanlagen. Insbesondere jetzt, wo die Meteorologen für die Woche Temperaturspitzen von teils mehr als 39 °C im Schatten an mehreren Stellen Deutschlands vorhersagen, eher ungünstig.

Möglicherweise ist das jedoch auch ein Datenschutzproblem. In einer Diskussion auf Reddit sucht ein Betroffener etwa einen Midea-Besitzer, der ein WLAN-Netzwerk mit dem Namen „Guybrush“ betreibt. Der User vermutet gar den gegenseitigen Austausch von Bluetooth-Kennwörtern zur Steuerung und merkt an, dass er dem Gesuchten offenbar die Temperatur heruntergeregelt hat. Dort äußern weitere Diskussionsteilnehmer Ängste, die Midea-Geräte ins Netz zu stellen. Andere geben den Hinweis, dass das kein Problem sei, sofern im Router die Internetfreigabe für die Klimaanlage deaktiviert wird – sie läuft dann nur im lokalen Netz.

Mehrfach vergebene Geräte-IDs?

In einem weiteren Reddit-Thread berichten weitere Nutzer, dass ihre Anlage nach längerer Offline-Zeit sich nach neuer Inbetriebnahme verselbstständigen, sofern sie mittels App ins WLAN angebunden wird. Die Vermutungen gehen dort in die Richtung, dass Geräte-IDs mehrfach vergeben wurden. Im speziellen Fall der deaktivierten Anlage zeigte der Verbrauchsverlauf zudem eine konstante Nutzung seit dem Juni 2024 – obwohl das Gerät im August 2024 gekauft wurde und mehrere Monate stromlos im Keller stand.

Schließlich findet sich ein Thread mit einer Problemzusammenfassung, ebenfalls auf Reddit. Demnach hat Midea im September 2024 bereits Kunden bestätigt, dass es bei einigen Geräten zu den genannten Problemen kommt. Dort ließ sich offenbar noch nicht eingrenzen, welche Geräte betroffen sind. Midea riet den Kunden, die nächste Kühlperiode abzuwarten und bei weiterhin bestehendem Problem ab März oder April 2025 einen Austausch des Geräts zu veranlassen. Die User haben die Kontaktadresse service.portasplit@midea.com für Support-Mailanfragen als Anlaufstelle ausgemacht.

Wir konnten das Problem mit einer Midea-PortaSplit-Klimaanlage nicht nachstellen. Das Gerät hat der Hersteller jedoch im Laufe des Tests einmal ausgetauscht. Dies könnte solche Probleme vermeiden, so wurde auch auf Reddit von einigen Nutzern angegeben, dass sie auf Nachfrage ein Austauschgerät erhalten haben. Eine Server- oder App-seitige Korrektur scheint nicht möglich.

Auf Anfrage von heise online hat Midea bislang nicht reagiert. Sofern wir Rückmeldung erhalten, aktualisieren wir die Meldung entsprechend. Betroffene sollten sich über den Kundensupport, etwa mittels der oben genannten Mail-Adresse, an den Hersteller wenden, um die Geräte austauschen zu lassen. Gegebenenfalls hilft übergangsweise das Abdrehen des Internetzugangs für die Klimaanlage, jedoch lassen sich dann auch Statistikfunktionen, Energiemonitor oder intelligentes Schlafen, Selbstreinigen und Ähnliches nicht nutzen. Eine Steuerung ist dann immer noch lokal mittels Fernbedienung oder Bluetooth möglich.

(dmk)

Bis heute hat Deutschland das sogenannte E-Evidence-Paket der Europäischen Union nicht umgesetzt. Zuletzt hatte das verfrühte Ende der Ampel-Koalition das geplante Gesetz vereitelt. Nun unternimmt die schwarz-rote Regierung einen neuen Versuch, den grenzüberschreitenden Austausch elektronischer Beweismittel innerhalb der EU zu vereinfachen.

Im Kern geht es um zwei neue Instrumente für europäische Polizeien: Mit der Europäischen Sicherungsanordnung lassen sich Daten bei einem EU-Online-Dienst einfrieren und später wieder auftauen, wenn sie für Ermittlungen gebraucht werden. Das heißt: Der Diensteanbieter darf sie erst einmal nicht löschen. Alternativ können Ermittlungsbehörden mit der Europäischen Herausgabeanordnung digitale Beweismittel direkt bei Anbietern in anderen EU-Ländern anfordern. Dabei kann es um Informationen gehen, welchem Kunden etwa eine bestimmte IP-Adresse zugeordnet war, angefragt werden können aber auch Inhaltsdaten wie E-Mails.

Beschlossen hatte die EU das Paket – eine unmittelbar geltende Verordnung sowie eine ergänzende Richtlinie – im Jahr 2023. EU-Ländern bleibt bis zum Sommer 2026, es vollständig umzusetzen. Über einen Referentenentwurf war Ex-Justizminister Marco Buschmann nicht hinausgekommen. Auf dessen Entwurf von Oktober setzt nun der Vorschlag auf, den seine Amtsnachfolgerin, die SPD-Politikerin Stefanie Hubig, Mitte Juni vorgestellt hat.

Schnelle Sicherung digitaler Beweise

Insgesamt soll es EU-Polizeien deutlich schneller gelingen, an digitale Beweismittel zu kommen. Dazu lösen die neuen Instrumente den bislang üblichen Prozess über Rechtshilfeabkommen in der EU ab: In der Vergangenheit mussten Ermittlungsbehörden zunächst bei den Justizbehörden des Landes vorstellig werden, wo der betreffende Online-Dienst sitzt. Dies soll nun weitgehend entfallen: Herausgabeanordnungen sollen in der Regel innerhalb von zehn Tagen befolgt werden, in Notfällen gilt eine Frist von nur acht Stunden.

Dabei unterscheidet das Gesetz zwischen Teilnehmer-, Verkehrs- und Inhaltsdaten. Für die erste der Datenkategorien, die etwa Namen und Anschrift von Verdächtigen umfassen kann, gelten die niedrigsten Hürden. Der aktuelle Entwurf des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) stellt nun klarer, wer Herausgabeanordnungen auf dieser Basis erlassen kann: Neben dem Bundeskriminalamt zählt etwa auch das Zollkriminalamt dazu. Solche Anordnungen muss zudem die Staatsanwaltschaft validieren.

Höhere Anforderungen gelten bei sensiblen Verkehrs- und Inhaltsdaten, deren Sicherung ein Gericht bewilligen muss. Es muss sich hierbei um Taten handeln, die mit einer Mindesthöchststrafe von drei Jahren belegt sind, oder die in bestimmte Kategorien von Straftaten wie sexueller Missbrauch von Kindern oder Terrorismus fallen. Neben dem Diensteanbieter muss zudem die zuständige Behörde im Vollstreckungsstaat benachrichtigt werden. Diese hat zehn Tage Zeit, um die Anordnung zu prüfen und kann sie gegebenenfalls ablehnen. Weitere Sicherungen sollen für Berufsgeheimnisträger:innen wie Rechtsanwält:innen oder Journalist:innen gelten.

Ein Puzzlestück unter vielen

Die neuen Regeln fallen in eine Zeit, in der die EU die Zügel im digitalen Raum merklich strafft. Das E-Evidence-Paket macht dabei nur den Auftakt und ist ein Puzzlestück unter vielen: Seit Jahren arbeitet sich die EU an diversen Baustellen ab, die aus ihrer Sicht digitale Ermittlungen erschwerten. Ihre Überlegungen hat die seit vergangenem Winter amtierende EU-Kommission unter Ursula von der Leyen in einer „ProtectEU“ genannten Strategie zur inneren Sicherheit zusammengefasst.

Eine Zahl betont die EU-Kommission dabei immer wieder. So würden rund 85 Prozent der strafrechtlichen Ermittlungen auf elektronischen Beweismitteln beruhen. Zu oft seien diese Daten jedoch nicht mehr verfügbar, wenn sie gesichert werden sollen. Ohne eine EU-weite Umsetzung des E-Evidence-Pakets abzuwarten, hatte die Kommission erst jüngst eine Konsultation über einen gemeinsamen EU-Rechtsrahmen für eine Vorratsdatenspeicherung durchgeführt. Noch in diesem Jahr will sie eine Folgenabschätzung dieser anlasslosen Massenüberwachung präsentieren, ein konkretes Gesetz womöglich im kommenden Jahr. Parallel dazu hat Bundesinnenminister Alexander Dobrindt (CSU) einen nationalen Alleingang bei der Vorratsdatenspeicherung angekündigt.

In einem letzte Woche veröffentlichten Fahrplan macht die Kommission zudem verschlüsselte Daten als Problemfeld aus. Sie stützt sich dabei auf die Empfehlungen einer Arbeitsgruppe, die zuletzt das sogenannte „Going Dark“-Phänomen untersucht und vage Vorschläge zum Zugang zu verschlüsselten Inhalten in den Raum gestellt hatte. Wie und ob sich ein Ansatz findet lassen kann, der nicht die gesamte IT-Sicherheit untergräbt, soll im Jahr 2026 feststehen.

Der gemeinnützige Verein Deutsche Welthungerhilfe e.V. ist Opfer eines Cyberangriffs geworden. Das bestätigte die Hilfsorganisation heute gegenüber heise online. Die Täter wollen 20 Bitcoins erpressen. Bei dem Kurs zum Meldungszeitpunkt von etwa 91.825 Euro entspricht das rund 1,8 Millionen Euro Lösegeldforderung.

Die kriminellen Täter bauen Druck auf, dass die Welthungerhilfe noch etwas mehr als fünf Tage Zeit hat, bevor die Daten veröffentlicht werden. Den Erpressern ist dabei gleich, von wem das Geld kommt: „Nutzt die Möglichkeit, auf exklusive, einzigartige und beeindruckende Daten zu bieten. Öffnet eure Brieftaschen und seid bereit, exklusive Daten zu kaufen. Wir verkaufen nur an einen, keine Weiterverkäufe, du bist der einzige Besitzer!“, versprechen sie im Darknet.

Angriff bestätigt, Lage noch unklar

Auf Nachfrage von heise online erklärte eine Sprecherin der Organisation, dass sie den Einbruch in die IT-Systeme bestätigen kann. „Der genaue Kreis der betroffenen Personen, deren Daten nach außen gelangt sind, lässt sich leider nicht ermitteln“, führte sie weiter aus, die zuständige Datenschutzbehörde habe man informiert, die Polizei sei bereits involviert; der Austausch mit den Behörden sei eng.

„Folgende Daten zu Personen könnten möglicherweise betroffen sein, wenn wir diese in der Vergangenheit von unseren Unterstützer*innen erhalten haben: Name, Adresse, Geburtsdatum, E-Mail-Adresse, Telefonnummer; Kontodaten: IBAN und BIC sowie Spendenbeträge“, erklärt die Welthungerhilfe.

Immerhin: Einfluss auf die Tätigkeit oder Hilfsprojekte habe der IT-Vorfall nicht. „Alle Hilfsprojekte werden weitergeführt“, erörterte die Sprecherin. Die Lösegeldforderung in Höhe von 20 Bitcoins habe die Welthungerhilfe erhalten. Die Organisation plant nicht, auf diese Erpressung einzugehen.

Angriffe auf staatliche Einrichtungen oder das Gesundheitswesen sind inzwischen an der Tagesordnung. Erpressung von Hilfsorganisationen ist jedoch selten und zeugt von besonderer Skrupellosigkeit. Anfang 2023 fiel die Cybergang AlphV ebenfalls mit skrupellosen Aktionen auf. Die ist damals in ein Gesundheitsnetzwerk eingebrochen und hat in der Folge besonders empfindliche Materialien im Darknet-Auftritt veröffentlicht. Darunter waren etwa Bilder entblößter Brustkrebs-Patientinnen.

(dmk)