Eine Zero-Day-Lücke in Windows verschafft Angreifern erweiterte Rechte im System. Der Entdecker hat ihr den Spitznamen „BlueHammer“ verpasst. Der anonyme mutmaßliche Entdecker hat auf einem eigens dafür eingerichteten Blog einen Link zu einem GitHub-Repository mit dem Handle-Namen „Nightmare Eclipse“ veröffentlicht, das als Proof-of-Concept den Quellcode zum „BlueHammer“-Exploit enthält. Der Entwickler will nicht erklären, wie der Exploit funktioniert: „Ihr Genies könnt das selbst herausfinden.“

Der renommierte IT-Sicherheitsforscher Will Dormann bestätigt auf Mastodon, dass der Exploit funktioniert. Er sei zwar nicht zu hundert Prozent verlässlich, aber gut genug. Dormann vermutet Frust mit dem Microsoft Security Response Center (MSRC) hinter den Umständen der Veröffentlichung. Früher sei mit dem MSRC eine exzellente Zusammenarbeit möglich gewesen. „Um Geld zu sparen, hat Microsoft die begabten Leute gefeuert, was nur noch Paragrafenreiter übrig ließ“. Er wäre nicht überrascht, wenn Microsoft den Fall des Berichterstatters geschlossen hat, weil der kein Video des Exploits übermittelt hat, was inzwischen offenbar eine Anforderung des MSRC sei.

Schwachstelle wohl durch Windows-Defender-Updates

Der Exploit scheint beim Update-Prozess des Windows Defender anzusetzen. Im weiteren Programmfluss setzt der Code dann ein neues Passwort und offenbar Rechte für den Benutzer mittels Zugriff auf die Security Account Manager (SAM)-Datenbank. Im Screenshot, den Will Dormann zum Beleg der Funktionsfähigkeit des Exploits mitliefert, ist auch ein Fenster „Windows Security“ mit einem Scan des Windows Defender zu sehen, was ebenfalls auf den Windows Defender als Einfallstor deutet. Dormann bestätigt das gegenüber BleepingComputer und erklärt, dass der Exploit eine „Time-of-Check Time-of-Use“-Schwachstelle (TOCTOU) und Dateipfad-Wirrungen missbrauche.

Der Exploit verschafft unter Windows 11 Systemrechte. Auf Windows Server haben andere Kommentatoren weniger Erfolg, Dormann zeigt aber auch da, dass Angreifer dadurch immer noch Administratorrechte erlangen können. Der Autor des PoCs räumt auf GitHub auch ein, dass der Code einige Bugs habe, wodurch er nicht funktionieren könne, die er möglicherweise später korrigieren würde.

Microsoft hat derzeit noch kein Update in petto, mit dem sich die Schwachstelle ausbessern ließe. Ein CVE-Schwachstelleneintrag liegt bislang ebenfalls noch nicht vor. Gegenüber BleepingComputer sagte ein Microsoft-Sprecher am Dienstag dieser Woche, dass das Unternehmen sich verpflichtet fühle, Schwachstellenberichten nachzugehen und betroffene Geräte zu aktualisieren, um Kunden so schnell wie möglich zu schützen. Zudem unterstütze Microsoft die koordinierte Schwachstellenveröffentlichung, die am Ende Kunden und IT-Sicherheitsforschern helfe.

Am März-Patchday hatte Microsoft bereits zwei Sicherheitslücken der Kategorie „Zero Day“ geschlossen. Unklar ist, ob die Entwickler sich bis zur kommenden Woche zum nächsten Patchday um die Sicherheitslücke kümmern.

(dmk)

Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen hat ein Bußgeldverfahren gegen Wetter Online eingeleitet. Wann es zu einem Abschluss kommt, sei derzeit jedoch noch nicht absehbar, erklärt Pressesprecher Jan Keuchel auf Anfrage von netzpolitik.org.

Mehr als 100 Millionen Mal wurde die App allein aus dem Google Play Store heruntergeladen; nach eigenen Angaben hat das Angebot mehr als 22 Millionen Nutzer:innen. Was vielen dieser Menschen wohl nicht klar war: Wetter Online hatte offenbar genaue Standortdaten erfasst, obwohl das für eine Wettervorhersage nicht notwendig wäre, und diese Daten sind darüber hinaus offenbar bei Dritten gelandet.

Zu diesem Schluss ist die Landesbeauftragte für Datenschutz, Bettina Gayk, gekommen. Nach intensiven Ermittlungen wirft ihre Behörde dem Unternehmen vor, „über Jahre Standortdaten seiner Nutzer*innen ohne Rechtsgrundlage, konkret ohne deren wirksame Einwilligung erhoben und für Werbezwecke (weiter-)verarbeitet zu haben“, so der Behördensprecher. Laut Jahresbericht der Datenschutzbehörde hatte man die Praxis zügig stoppen können; Wetter Online hat demnach nachgebessert.

Anstoß für das Verfahren der Datenschutzbehörde gegen Wetter Online waren die Databroker-Files-Recherchen von netzpolitik.org und BR. Auf Grundlage dieser Recherchen beleuchtet nun auch eine neue Dokumentation der ARD den außer Kontrolle geratenen Handel mit personenbezogenen Daten und geht auch auf den Fall Wetter Online ein.

Der Film „Gefährliche Apps –  Im Netz der Datenhändler“ erzählt anschaulich, wie Standortdaten aus der Online-Werbeindustrie über Handy-Apps abfließen und letztlich zur Handelsware von Databrokern werden.

Achtung, Datenhandel! Lebensgefahr!

Überraschungsbesuch von der Datenschutzbehörde

Um sich selbst ein Bild von der Lage bei Wetter Online zu machen, hatten Mitarbeiter:innen der Datenschutzbehörde im vergangenen Jahr bei Wetter Online einen überraschenden Kontrollbesuch gemacht. Davon berichtet die Datenschutzbeauftragte Bettina Gayk in der Doku: „Man hat uns mitgeteilt, dass Standortdaten nur für eigene Zwecke, nämlich das Ausspielen dieses Wetterdienstes genutzt werden“. Tatsächlich aber habe man feststellen können, dass die Daten auch für andere Zwecke verarbeitet werden. Außerdem habe es Schnittstellen zum Teilen der Daten mit Dritten gegeben.

Das Unternehmen selbst hat auf eine aktuelle Presseanfrage von netzpolitik.org nicht reagiert. Im vergangenen Jahr erklärte Wetter Online jedoch, dass niemals GPS-Daten „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, so ein Sprecher des Unternehmens im Juni 2025.

Wie genau Handy-Standortdaten von Wetter-Online-Nutzer:innen letztlich in dem uns vorliegenden Datensatz gelandet sein könnten, erklärte der Sprecher damals nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

Unklar bleibt deshalb auch, an welche Drittparteien Standortdaten abgeflossen sein könnten. Zeitweise listete Wetter Online in der Datenschutzerklärung mehr als 800 Werbepartner auf.

Zehntausende Handys an nur an einem Tag geortet

Hinter dem globalen Datenhandel stecken mindestens Zehntausende Apps. Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten von verschiedenen Datenhändlern vor, allesamt erhalten als kostenlose Vorschau-Pakete. Woher die Daten stammen, erfahren Käufer:innen oft nicht. Im Januar 2025 konnten wir jedoch gemeinsam mit internationalen Partnermedien erstmals über einen Datensatz berichten, in dem auch konkrete Apps genannt werden. Insgesamt enthält dieses Datenset 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Verweisen auf rund 40.000 Apps für Android und iOS.

In dem Datensatz fanden wir auch zahlreiche Apps aus Deutschland, dazu teils genaue Handy-Standortdaten. Unter den Apps mit den meisten in Deutschland georteten Handys war Wetter Online. An nur einem Tag wurden zehntausende Wetter-Online-Nutzer:innen in Deutschland wohl teils auf den Meter genau geortet.

Die Landesdatenschutzbeauftragte Bettina Gayk reagierte damals umgehend und forderte Wetter Online schon kurz nach unserer Berichterstattung auf, die Verarbeitung präziser Standortdaten „so schnell wie möglich“ zu beenden. Das Unternehmen hinter der App, die „WetterOnline – Meteorologische Dienstleistungen GmbH“ hat ihren Sitz in Nordrhein-Westfalen, weshalb der Fall in die Zuständigkeit von Gayks Behörde fällt.

So gefährlich ist der Datenhandel

Die TV-Doku macht nun anhand konkreter Fälle anschaulich, wie gefährlich solche vermeintlich harmlosen Werbedaten in den falschen Händen werden können: Sie können etwa für Stalking genutzt werden, für Spionage durch ausländische Geheimdienste oder sogar Frontstellungen in der Ukraine verraten.

Die Standortdaten von Handys landen oft auf verschlungenen Pfaden bei den Databrokern. In der Regel enthalten die dort gehandelten Datensätze zwar keine Namen oder Telefonnummern der betroffenen Menschen. Aufspüren lassen sie sich dank der Mobile Advertising ID oftmals trotzdem.

Eine solche pseudonyme Identifikationsnummer ordnen Apple und Google Smartphones mit iOS oder Android zu. Mit ihr sollen Werbetreibende einzelne Personen wiedererkennen. Zugleich bewirkt die Nummer, dass sich vereinzelte Standortdaten zu aussagekräftigen Bewegungsprofilen zusammensetzen lassen.

In zahlreichen Recherchen haben wir aufgezeigt, wie leicht man anhand dieser Daten Personen ins Visier nehmen, identifizieren und ausspionieren kann. Mühelos lässt sich oftmals ablesen, wo Menschen wohnen und arbeiten, wo sie einkaufen und spazieren gehen – oder welche Ärzte, Bordelle oder religiösen Gebäude sie aufsuchen. So entdeckten wir in den Datensätzen auch genaue Standortdaten von hochrangigen Beamt:innen der EU-Kommission oder von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdiensten in Deutschland.

Datenschutzbehörde: Wirksame Einwilligung fehlte

Dass Tracking-Daten alles andere als harmlos sind, betont auch die Datenschutzbehörde. „In Kombination mit anderen Daten können solche Standortdaten zur Erstellung von Bewegungsprofilen genutzt werden und potenziell tiefe Einblicke in das Leben der Betroffenen ermöglichen“, erklärt Sprecher Jan Keuchel. „Die Gefahr eines Missbrauchs ist deshalb groß.“

Es müsse sichergestellt werden, dass Standortdaten und ähnliche Daten nur auf Basis einer wirksamen Rechtsgrundlage verarbeitet werden. „Dies gilt umso mehr, sofern die Daten zu Werbezwecken an Dritte weitergeleitet werden.“ Dafür komme aus datenschutzrechtlicher Sicht nur die informierte und freiwillige Einwilligung der Betroffenen infrage, so Keuchel.

Damit diese Einwilligung auch wirksam ist, müssten Nutzer:innen verstehen können, wozu sie genau ihr Einverständnis geben, zu welchen Zwecken ihre Daten verarbeitet werden und welche Dritten sie für welchen Zweck erhalten. An solch einer wirksamen Einwilligung habe es im Fall von Wetter Online gefehlt, so Keuchel weiter.

Potenzielle Gefährdung „hoch“

Auf Wetter Online könnte nun eine Geldbuße zukommen: „Da die potenzielle Gefährdung der Rechte der betroffenen Nutzer*innen hoch war“, so Behördensprecher Keuchel, könne man es nicht bei einer „Anordnung zur datenschutzgerechten Anpassung des Verfahrens“ belassen.

Dass der Fall nach mehr als einem Jahr noch nicht abgeschlossen ist, erklärt Keuchel mit dessen Umfang und der Komplexität. Die Untersuchungen hätten „eine Anhörung, einen Vor-Ort-Termin sowie verschiedene schriftliche Auskunftsersuchen gegenüber dem Unternehmen“ umfasst. „Das Geldbußeverfahren verlangt noch einmal eigene Arbeitsschritte.“ Grundsätzlich spiele es bei derlei Verfahren auch eine Rolle, ob der Sachverhalt „von dem betroffenen Unternehmen eingeräumt oder bestritten wird und ob es zu einer rechtlichen Auseinandersetzung kommt“.

Datenschutz-Nachhilfe von der Aufsichtsbehörde brauchte Wetter Online unterdessen auch in einem weiteren Fall: Ein Datenauskunftsersuchen unserer Redaktion im Rahmen der Databroker-Recherchen versuchte das Unternehmen zunächst mit Hinweis auf zu hohen Aufwand abzuwimmeln. Erst als wir – unterstützt von der Datenschutzorganisation noyb – Beschwerde bei der Behörde einlegten, rückte Wetter Online zumindest ein paar Daten heraus.

Angreifer können Android-Smartphones ins Visier nehmen und Geräte unter anderem abstürzen lassen. Zusätzlich sind unbefugte Zugriffe auf eigentlich abgeschottete kryptografische Schlüssel möglich. Sicherheitspatches für ausgewählte Geräte lösen die Sicherheitsprobleme.

Wie aus einem Beitrag von Google hervorgeht, haben die Entwickler an diesem Patchday zwei Sicherheitslücken geschlossen. Seit Juli 2025 kümmert sich der Smartphonehersteller monatlich nur noch um seiner Einschätzung nach besonders gefährliche Schwachstellen. Weitere Sicherheitspatches folgen quartalsweise.

DoS und Schlüssel-Leak

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Wer ein im Support befindliches Pixel-Smartphone besitzt, sollte sicherstellen, dass das Patch Level 2026-04-01 oder 2026-04-05 installiert ist. Neben Google stellen auch unter anderem Huawei und Samsung monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit (siehe Kasten).

Diesen Monat gilt eine „kritische“ DoS-Lücke (CVE-2026-0049) in Android 14, 15, 16 und 16-qpr2 am gefährlichsten. Daran sollen Angreifer ohne zusätzliche Ausführungsrechte ansetzen können. Wie Attacken im Detail ablaufen und welcher Dienst/Prozess nach einer erfolgreichen Attacke konkret abstürzt, ist bislang unklar.

Eine Schwachstelle in Androids Schlüsselspeichersystem StrongBox (CVE-2025-48651 „hoch“) betrifft verschiedene Komponenten von etwa NXP und Thales. Was Angreifer nach erfolgreichen Attacken konkret anstellen können, geht aus der Beschreibung der Lücke nicht hervor. Da Android in dem Hardware Security Module (HSM) kryptografische Schlüssel speichert, liegen unbefugte Zugriffe nahe.

(des)