Die Zeit drängt, die ersten Secure-Boot-Zertifikate von Microsoft laufen ab Juni 2026 ab. Die Verteilung der aktualisierten Zertifikate erfolgt schrittweise für Desktop-Systeme, bei Servern und in Unternehmensumgebungen müssen Admins dazu aktiv werden. Ab dieser Woche will Microsoft Updates für die Windows-Sicherheit-App verteilen, die danach den Status des Secure-Boot-Zertifikatsupdates auf Maschinen anzeigt.

Microsoft hat das kommende App-Update im Message-Center der Windows-Release-Health-Notizen angekündigt. Eine grüne, gelbe oder rote Markierung soll dann am Symbol von „Sicherer Start“ anzeigen, ob Maßnahmen nötig sind. Weitere Details liefert ein Support-Beitrag von Microsoft dazu. Auf verwalteten Maschinen deaktiviert Microsoft die Erweiterungen für Secure-Boot-Zertifikate standardmäßig. Auf Servern startet der Windows-Sicherheitsbenachrichtigungsdienst nicht automatisch. Wenn Admins hier Infos angezeigt bekommen möchten, müssen sie das erst aktivieren. Das gelingt durch das Anlegen des Registry-Schlüssels „HideSecureBootStates“ unter dem Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security“. Bei „0“ zeigt die App den Secure-Boot-Zertifikat-Status, „1“ deaktiviert die Anzeige. Ist der Eintrag nicht vorhanden, wählt Windows demnach die Standardvorgabe.

Mehrphasige Warnstufen

Die erste Phase zeigt den Status lediglich unter der Gerätesicherheitsseite an, zudem lediglich als grün oder gelb, was für „Achtung“ stehen soll und sich von Nutzern durch Wegklicken in den grünen Status versetzen lässt. Das kommt für Windows 11 ab 23H2 und Windows Server 2025 ab dem 8. April 2026 als App-Update, für Windows 10 ab 22H2 und Windows Server 2019 und 2022 ab dem 14. April als kumulatives Update, offensichtlich zum Microsoft-Patchday.

Die Phase 2 bringt App-Benachrichtigungen für den Fall, dass Aktionen seitens der Nutzer oder Admins nötig werden oder wenn der Secure-Boot-Status nicht funktionsfähig ist. Der gelbe Status erlaubt weiterhin das Verwerfen als Option. Hinzu kommt für den kritischen Status „rot“ die Auswahl „Ich akzeptiere die Risiken, erinnere mich nicht erneut“. Das App-Update für die zweite Phase für Windows 11 und Server 2025 plant Microsoft am 16. Mai 2026, für Windows 10 und Server 2019 und 2022 visiert das Unternehmen das kumulative Patchday-Update am 13. Mai 2026 an.

Die Windows-Sicherheit-App lässt sich durch Eingabe des Namens im Startmenü oder über die Windows-Einstellungen, dort unter „Datenschutz und Sicherheit“ – „Windows-Sicherheit“ mit einem Klick auf die Schaltfläche „Windows-Sicherheit öffnen“ starten. Sie liefert einen umfassenden Überblick über den Status diverser Sicherheitskomponenten und -subsysteme von Windows. Unter „Gerätesicherheit“ ist der Bereich „Sicherer Start“ zu finden, wo die Markierung künftig zu finden ist.

Lange Vorbereitung

Microsoft hat Ende Juni 2025 angefangen, IT-Verantwortliche ebenso wie Windows-Nutzer und -Nutzerinnen auf den notwendigen Zertifikatsaustausch für Secure-Boot vorzubereiten. „Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor“, warnte Microsoft da. Die aktualisierten Secure-Boot-Zertifikate landen inzwischen mit eigenen Windows-Updates sowie seit den Windows-Update-Vorschauen aus dem Februar als Bestandteil von Windows-Updates zum regulären Microsoft-Patchday auf Windows-Rechnern.

(dmk)

Angreifer können Android-Smartphones ins Visier nehmen und Geräte unter anderem abstürzen lassen. Zusätzlich sind unbefugte Zugriffe auf eigentlich abgeschottete kryptografische Schlüssel möglich. Sicherheitspatches für ausgewählte Geräte lösen die Sicherheitsprobleme.

Wie aus einem Beitrag von Google hervorgeht, haben die Entwickler an diesem Patchday zwei Sicherheitslücken geschlossen. Seit Juli 2025 kümmert sich der Smartphonehersteller monatlich nur noch um seiner Einschätzung nach besonders gefährliche Schwachstellen. Weitere Sicherheitspatches folgen quartalsweise.

DoS und Schlüssel-Leak

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Wer ein im Support befindliches Pixel-Smartphone besitzt, sollte sicherstellen, dass das Patch Level 2026-04-01 oder 2026-04-05 installiert ist. Neben Google stellen auch unter anderem Huawei und Samsung monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit (siehe Kasten).

Diesen Monat gilt eine „kritische“ DoS-Lücke (CVE-2026-0049) in Android 14, 15, 16 und 16-qpr2 am gefährlichsten. Daran sollen Angreifer ohne zusätzliche Ausführungsrechte ansetzen können. Wie Attacken im Detail ablaufen und welcher Dienst/Prozess nach einer erfolgreichen Attacke konkret abstürzt, ist bislang unklar.

Eine Schwachstelle in Androids Schlüsselspeichersystem StrongBox (CVE-2025-48651 „hoch“) betrifft verschiedene Komponenten von etwa NXP und Thales. Was Angreifer nach erfolgreichen Attacken konkret anstellen können, geht aus der Beschreibung der Lücke nicht hervor. Da Android in dem Hardware Security Module (HSM) kryptografische Schlüssel speichert, liegen unbefugte Zugriffe nahe.

(des)

Es geht um Milliarden Standortdaten von ahnungslosen Handy-Nutzer*innen, oftmals metergenau. Angeblich nur zu Werbezwecken erhoben, fließen die Daten über populäre Handy-Apps auf teils verschlungenen Wegen in die Hände von Databrokern. Potenziell betroffen sind alle Menschen, die ein Smartphone nutzen.

Die Recherchen von netzpolitik.org und Bayerischem Rundfunk begannen im Februar 2024 mit einem Gratis-Datensatz, den ein Databroker als Vorschau für ein kostenpflichtiges Abo verschenkt hat. Anhand dieser Daten konnte das Team nicht nur einen flächendeckenden Angriff auf die Privatsphäre von Handy-Nutzer*innen enthüllen, sondern auch eine Gefahr für die nationale Sicherheit. Die EU-Kommission sagte: „Wir sind besorgt“.

Jetzt erzählt eine Fernsehdoku die wichtigsten Erkenntnisse aus den Databroker Files. Sie macht anschaulich, wie der Handel mit personenbezogenen Daten außer Kontrolle geraten ist – und vor welchem Hintergrund Fachleute aus Politik und Verbraucherschutz ein Verbot von Tracking und Profilbildung zu Werbezwecken fordern.

Erstmals berichtet die Doku darüber, wie Handy-Standortdaten der Werbe-Industrie auch ukrainische Soldaten an der Front gefährden können – oder Journalist*innen im Exil. Neu ist auch die Geschichte einer bayerischen Schülerin, die niemals erwartet hätte, dass Databroker ihr genaues Bewegungsprofil offen im Netz handeln.

„Gefährliche Apps – Im Netz der Datenhändler“, produziert vom Bayerischen Rundfunk für ARD, Arte und die Deutsche Welle, ist nun in der ARD Mediathek zu sehen. Was der Datenhandel konkret für Menschen bedeuten kann, fassen wir hier anhand von vier Köpfen aus der Doku zusammen.

1. Databroker verkaufen Handy-Standortdaten von der Front

Heute lebt Dmytro auf einem Hof in der Nähe von Odessa. Unter raschelnden Baumkronen grast eine Kuh, in den Ästen läutet ein Windspiel. Als das Kamerateam Dmytro besucht, führt er die Pferde aus, reitet über einen Feldweg. Zuvor hat er als Soldat für die Ukraine an der Front gekämpft. Für ihn und seine Kameraden hatten Smartphones eine besondere Bedeutung.

„Das Handy ist sehr wichtig, weil es moralisch unterstützt“, erklärt er im Interview. „Man kann seine Lieben zuhause spüren, seinen Ehepartner. Es ist eine Erinnerung daran, wofür man an der Front kämpft.“

Zugleich können Smartphones im Krieg eine Gefahr darstellen, und zwar durch die potenzielle Ortung von Soldat*innen und deren Stellungen. Inzwischen liegen dem Recherche-Team Datensätze von mehreren Databrokern vor; in einem davon finden sich auch Handy-Ortungen aus umkämpften Gebieten in der Ukraine. Die Daten geben auch Preis, dass Geräte per Starlink im Netz waren, jenes Satelliteninternet, das ukrainische Truppen verwenden.

Das Recherche-Team zeigt Dymtro auf Satellitenbildern eine Auswahl von Handy-Ortungen im Kampfgebiet. Er beugt sich über den Bildschrim und bestätigt: „Genau hier an diesem roten Punkt, da war unser Hauptquartier.“

Es ist möglich, dass die russische Armee nicht auf Standortdaten der Werbe-Industrie angewiesen ist, um potenzielle Ziele zu identifizieren – es lässt sich aber auch nicht ausschließen, dass russische Behörden genau das tun. Deutsche Rüstungsunternehmen befürchten zudem, dass auch ihre neuen Produktionsstätten in der Ukraine ins Visier geraten können, wie tagesschau.de berichtet. Deren Standorte sind weitestgehend geheim, um sie vor russischen Angriffen zu schützen.

2. Exil-Journalistin in Berlin berichtet von Verfolgung

In Ägypten hatte die Journalistin Basma Mostafa unter anderem kritisch über Polizeigewalt berichtet. Sie erzählt dem Fernsehteam von mehreren Festnahmen, sogar von Folter. Schließlich gelang ihr die Flucht; der Weg führte sie nach Berlin. Ihr Leben in Ägypten, sagt sie heute, habe sie zurückgelassen. Aber auch in Berlin werde sie von ägyptischen Agenten verfolgt und bedroht. Sie fotografiert die Männer, die ihr auffallen, und zeigt dem Recherche-Team die Fotos auf ihrem Smartphone. Die Polizei habe ihr empfohlen, den Wohnort zu wechseln.

„Ich frage mich wirklich: Woher wissen die immer genau, wo ich bin?“, sagt Mostafa im Interview. Gemeinsam mit dem Recherche-Team betrachtet auch sie einen Ausschnitt der Standortdaten, die Databroker von Millionen Handys auf der Welt verkaufen. Der Ausschnitt zeigt die Bewegungsmuster einer Person, die offenbar in Mostafas Wohnhaus lebt. Von diesem Haus führen Handy-Ortungen zu anderen Adressen, die Mostafa wiedererkennt: etwa den Spielplatz, wo sie mit ihren Kindern hingehe, oder ein Krankenhaus. Es fühle sich an, sagt sie, als wäre sie gehackt worden.

Ähnlich wie im Fall der ukrainischen Soldaten gilt: Es kann sein, dass ägyptische Behörden nicht auf Standortdaten aus der Werbe-Industrie angewiesen wären, falls sie Dissident*innen im Ausland ins Visier nehmen wollten. Sicherheitsexperte Franz-Stefan Gady legt zumindest nahe, dass ein solches Szenario denkbar ist. Anders als große Geheimdienste wie aus den USA, Russland oder China hätten „zweitrangige“ Dienste inzwischen immer mehr Zugang zu Daten, „die sie wahrscheinlich vor einigen Jahren noch nicht gehabt hätten“, erklärt Gady.

3. Die Spur der Daten führt zu 18-Jähriger aus Bayern

Wie aufdringlich Handy-Standordaten sein können, zeigt der Fall der 18-Jährigen Emma aus Bayern. Mühelos fand das Recherche-Team ihre Privatadresse in den Daten: Ein freistehendes Haus in einer bayerischen Gemeinde, wo sich auffällig viele Ortungen eines Geräts häuften. Ebenso häuften sich die Ortungen bei einer nahegelegenen Schule, während eine Perlenschnur aus Standortddaten die Strecke beschrieb, die Emma oft mit dem Schulbus genommen hat.

Das Beispiel zeigt: Bereits zwei Orte, Wohnort plus Arbeits- oder Ausbildungsplatz, können genügen, um eine Person in einem Bewegungsprofil eindeutig wiederzuerkennen.

„Das ist krass“, sagt Emma heute, als das Kamera-Team der 18-Jährigen ihre Standortdaten auf einem Tablet zeigt. Die Daten zeigen auch Emmas Abstecher in den Supermarkt und zu McDonald’s. Oder die genaue Route über einen Feldweg, den sie nimmt, wenn sie mit ihrem Hund spazieren geht.

„Wenn irgendein Mann diese Daten hätte“, sagt Emma, „so Stalking-mäßig“, dann wäre das „sehr unvorteilhaft“. Zur Erinnerung: Das Recherche-Team hat die Daten kostenlos von einem Databroker im Netz erhalten. Prinzipiell zugänglich sind solche Daten für alle, die Datenhändler danach fragen. Für einen vierstelligen Betrag im Monat können Interessierte ein Abonnement abschließen.

4. Standortdaten können Besuch in Abtreibungsklinik verraten

In Dallas, Texas, lebt Lauren Miller mit ihrem zweijährigen Sohn Henry. Abtreibungen sind ihrem US-Bundesstaat kriminalisiert. Doch vor gut zwei Jahren war eine Abtreibung genau das, was Miller und ihr damals ungeborener Sohn aus medizinischen Gründen benötigten. Denn Henry hatte einen nicht überlebensfähigen Zwillingsbruder. Nur eine Teilabtreibung hätte das gesunde Baby retten können, wie Miller berichtet.

Deshalb machten sich Miller und ihr Mann auf die Reise nach Colorado. Dieser Bundesstaat verletzt nicht die reproduktiven Rechte von Menschen; dort sind Abtreibungen weiterhin legal. „Ich weiß noch, wie ich mit gesenktem Kopf durch die Sicherheitskontrolle am Flughafen gegangen bin“, erzählt Miller. „Wir haben sogar überlegt, die Handys zu Hause zu lassen.“

Am Ende hatten Miller und ihr Sohn Henry Glück. Weder US-Sicherheitsbehörden noch radikale Abtreibungsgegner*innen hatten sie an der Reise in die Abtreibungsklinik gehindert. Eines ist jedoch wahrscheinlich: Handy-Standortdaten hätten die Familie verraten können.

In den Standortdaten, die Databroker verkaufen, lassen sich sensible Orte wie Abtreibungskliniken mühelos ins Visier nehmen. Systematisch lässt sich untersuchen, weche Geräte dort ein und ausgehen – und vor allem, welche Geräte aus einem US-Bundesstaat einreisen, der Abtreibungen verbietet.

Erste Warnungen vor verräterischen Datenspuren gab es bereits 2022, kurz nachdem der Oberste Gerichtshof in den USA den Weg zur Kriminalisierung von Abtreibungen in US-Bundesstaaten frei gemacht hatte. In der Folge hatte etwa Google angekündigt, Standortdaten zu löschen, von denen sich Klinikbesuche ableiten lassen. Dass US-Sicherheitsbehörden Handy-Standortdaten tatsächlich bei Databrokern einkaufen, ist spätestens seit 2020 bekannt; jüngst gab auch FBI-Direktor Kash Patel diese Praxis offen zu.

Im Interview sagt Miller: „Es ist schwer greifbar, wenn man sagt: ‚Die haben meine Daten.‘ Was heißt das? Ist doch egal. Aber wenn man versteht, wie bedrohlich solche Daten sein können, dann macht man sich schon Sorgen.“

Mehr als 30 Artikel veröffentlicht

Zu den Databroker Files hat netzpolitik.org inzwischen mehr als 30 Artikel verfasst. Hier sind Lesetipps für Interessierte, die tiefer eintauchen möchten:

Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Anna Biselli. Team Bayerischer Rundfunk: Katharina Brunner, Rebecca Ciesielski, Florian Heinhold, Maximilian Zierer.