Der Verkauf gebrauchter Fahrzeuge über Online-Plattformen wie Kleinanzeigen und Mobile ist nichts für schwache Nerven: Neben nächtlichen Nachrichten oder Anrufen der Gattung „was ist dein letzter Preis?“ gibt es reichlich Gauner, die Unbedarften allerlei Fallen stellen. Eine dieser Maschen taucht unter wechselnden Namen immer wieder auf: angebliche „Kfz-Berichte“. Was es damit auf sich hat, haben wir untersucht.

Der Ablauf eines Gebrauchtwagenverkaufs über das Internet ist meist etwa so: Der Verkäufer macht einige Fotos, sammelt notwendige Informationen des Autos zusammen und stellt Verkaufsanzeigen auf Plattformen wie Kleinanzeigen online. Interessenten melden sich, stellen Rückfragen, machen Preisangebote und bitten zur einfacheren Abwicklung um die Telefonnummer. Die herauszugeben, ist mehrheitlich keine gute Idee, scheint einem schnellen Verkauf aber oft zuträglich.

In einem uns vorliegenden Fall (gefunden auf Reddit) bat der potenzielle Käufer per WhatsApp in tadellosem Deutsch um mehr Informationen zum Auto und einen Besichtigungstermin. Nachdem der Verkäufer ihm Vorschläge für die persönliche Begutachtung unterbreitet hatte, schwenkte der angebliche Interessent um: Er müsse lange fahren und zöge daher einen kompletten Fahrzeugbericht vor. Den könne der Verkäufer mittels Eingabe von Kennzeichen oder Fahrgestellnummer auf der Webseite „kfzabfrage.de“ herunterladen.

Fantasievolle Fahrzeugabfrage

So weit, so gut – doch was ist das für eine Webseite? Beim Aufruf von „kfzabfrage.de“ erwartet den Kaufinteressenten zunächst eine nichtssagende Webseite aus dem Baukasten, womöglich KI-generiert. Die Abfrage ist per Autokennzeichen oder Fahrzeugidentifikationsnummer (VIN) möglich, doch warum im entsprechenden Eingabefeld neben einem LKW und PKW auch ein Fahrradfahrer-Piktogramm erscheint, wissen wohl nur die unbekannten Autoren.

Immerhin: Über 500.000 Nutzer weltweit sowie die bekannten Marken „Auto Bild“ und „TopGear“ vertrauen angeblich der Kfz-Abfrage (die laut Logo unter dem Markennamen „VinCheck“ auftritt). Auch ein Beispielbericht lässt sich abrufen: Er enthält einige Fotos des Autos sowie den Kilometerstand, Leistung (verräterisch: die Verwendung der englischen Abkürzung „hp“ für Pferdestärken) und eine „Überprüfung auf gestohlenes Fahrzeug“. Und der Laie fragt sich: Wie soll ein Webportal an all diese Informationen kommen? Fotos von Unfallschäden tauchen in keiner öffentlichen Datenbank auf, genauso wenig wie Positionsdaten oder Tachostände.

Gibt man ein Autokennzeichen wie „CT-DE 1234“ oder eine zufällig ausgewürfelte, aber syntaktisch korrekte VIN in das Eingabefeld ein, leuchtet die frohe Botschaft auf: „Erfolg! Wir haben das Fahrzeug und seine bisherigen Daten gefunden.“ Spätestens jetzt ist klar: Es kann sich nur um Betrug handeln, denn das Ortskennzeichen „CT“ existiert in Deutschland schlicht nicht. Dennoch wollen wir wissen, was die halbseidene Fahrzeugdatenbank über unser Auto weiß.

Doch das mag sie uns ohne Gegenleistung nicht verraten – und die besteht natürlich in der Angabe unserer Kreditkartendaten für den 19,99 € teuren Report. Nun denn, ermutigt durch die vielen Kreditkarten- und das Paypal-Logo begeben wir uns zur Kasse. Dort empfängt uns eine weitere Überraschung: Von Paypal-Zahlung ist plötzlich keine Rede mehr. Stattdessen nimmt der Seitenbetreiber Google Pay an, das haben wir jedoch nicht „auf Tasch“ – also muss es die Kreditkartenzahlung sein.

Also generieren wir uns schnell beim Zahlungsdienstleister unserer Wahl eine Einmal-Kreditkarte – und laufen vor die Wand. Denn die wird von „kfzabfrage“ schnurstracks abgelehnt. Womöglich möchten die unbekannten Betreiber sich die Option auf (unerlaubte) Folgezahlungen offenhalten. Mit einer anderen virtuellen Kreditkarte der Online-Bank Revolut klappt die Zahlung. Zumindest beinahe, denn die Revolut-App schlägt innerhalb von Sekunden Alarm.

Die Zahlung über 19,99 € an einen Händler namens „Autostoria24“ führte die Bank nicht aus, sondern sperrte direkt die Karte. Offenbar haben automatische Systeme zur Betrugserkennung bei Revolut zugeschlagen. Derlei vehemente Warnungen schlagen wir nicht in den Wind und brechen den Kauf ab. Stattdessen schauen wir, was wir über die Hintergründe der Masche erfahren können.

Wer steckt dahinter?

Die Recherche beginnt bei der Domain und ihren Inhabern. „kfzabfrage.de“ wurde am 29. Mai 2026, also eine Woche vor Erscheinen dieses Artikels registriert. Laut DENIC-Inhaberinformationen auf ein Unternehmen namens AUTO INFORM in der Ballifeary Road im britischen Bamburgh. Das malerische Küstendörfchen im Nordosten Englands ist berühmt für seine mittelalterliche Burg. Die diente unter ihrem altenglischen Namen Bebbanburg dem Romanhelden Uthred aus Bernard Cromwells gleichnamiger Romanreihe als Sehnsuchts- und Herkunftsort, ist eine beliebte Filmkulisse und Touristenattraktion. Doch Bamburgh hat keine Ballifeary Road, die gibt es lediglich im fünf Autostunden entfernten Inverness.

Bei der Suche nach dieser Straße fiel uns auf, dass unter derselben fiktiven Adresse wie das Kfz-Abfrageportal gleich zwei verschiedene Logistikdienstleister mit nichtssagenden Namen und verdächtiger Webseite residieren. Viel Gewerbe für ein Dorf mit 400 Einwohnern – der Verdacht liegt nahe, dass die Webseiten ebenfalls zu betrügerischen Zwecken aufgebaut wurden und die northumbrische Fantasieadresse regelmäßig recycled wird.

Auch die angeblichen E-Mail-Adressen des Domaininhabers führen ins Leere: Die Domain „autexa24.com“ existiert zwar und ist beim US-Anbieter Cloudflare gehostet, doch ist die Webseite nicht erreichbar und auch in der Wayback Machine nicht zu finden. Immerhin die zweite E-Mail-Adresse existiert, sie gehört zu einem Domain-Treuhanddienst des saarländischen Unternehmens Key Systems. Und die Kontakt-Telefonnummer? Die gehört zu einem Dienst für den kostenlosen SMS-Empfang und ist somit eine Wegwerfnummer.

Weitere Indizien für die Hintermänner sind spärlich gesät: Die AGB verweisen auf ein britisches Unternehmen namens „Datachecker Limited“, das jedoch bereits im Juli 2025 von Amts wegen liquidiert wurde. Das Hosting stellt GoDaddy in Straßburg bereit, die Domain ist über Key Systems registriert. Das stärkste Indiz könnte die Händlerkennung „autostoria24“ bei der Kreditkartenzahlung sein – dieser Name führt zu einem übel beleumundeten Händler für Fahrzeugteile, der offenbar auch seit 2025 nicht mehr im Geschäft ist.

Augen auf beim Fahrzeugverkauf

Ermittler warnen immer wieder vor der Betrugsmasche. Die Betrüger greifen nicht nur knapp 20 Euro von ihren Opfern ab, sondern auch deren persönliche Daten und die VIN oder das Autokennzeichen. Diese können sie später nutzen, um weiteren Betrügereien Glaubwürdigkeit zu verleihen, etwa indem sie selbst als Verkäufer auftreten und Interessenten die ergatterte VIN als Legitimation mitteilen.

Einen „Fahrzeugbericht“, wie ihn der betrügerische Interessent vom Verkäufer anfordert, gibt es zudem in dieser Form nicht. Werden Sie als Verkäufer also danach gefragt, sollten Sie den Kontakt sofort abbrechen – es handelt sich um Bauernfängerei. Wenn Sie bereits gezahlt haben, reklamieren Sie die Zahlung bei Ihrem Kreditkartenunternehmen und lassen sie zurückbuchen. Da nicht auszuschließen ist, dass die Betrüger weitere Abbuchungsversuche unternehmen, behalten Sie die nächsten Kreditkartenabrechnungen genau im Auge oder lassen die Karte gar sperren.

Die Betrüger wechseln die Domains im Wochen- oder Monatstakt und treten sicherlich mit einer Vielzahl von Designvorlagen aus. Allen gemein ist jedoch: Sie sind Teil einer Betrugsmasche.

(cku)

Die Web-Version des Editors VS Code auf GitHub.dev hatte eine Sicherheitslücke, die es Angreifern erlaubt hat, sämtliche Repos eines Opfers zu übernehmen – auch private. Sie hätten hier Lieferkettenangriffe mit weiterem Schadcode initiieren oder einen Maintainer gezielt attackieren können.

Jeder GitHub-Anwender hätte über einen bösartigen Link schnell Opfer werden können. Durch eine Kombination aus eingebetteten Vorschaufenstern mit von JavaScript erzeugten Tastenschlägen hätten Angreifer unbemerkt eine Extension installieren können, die das Zugangs-Token für sämtliche Repos klaut, auf die das Opfer Zugriff hat. Auch die Desktop-Version war prinzipiell betroffen, jedoch mit höheren Hürden. Microsoft hat inzwischen Gegenmaßnahmen ergriffen und verhindert nun, dass Angreifer die Warnung vor einer nicht vertrauenswürdigen Umgebung ausschalten können.

Iframe-Sandbox aufgebrochen

Der Sicherheitsforscher Ammar Askar hat den Angriff in seinem Blog im Detail beschrieben: GitHub bietet eine Version von VS Code im Web unter github.dev. (Genauer genommen ist VS Code ursprünglich eine Webanwendung, die via Electron im Desktop läuft.) Jeder GitHub-Anwender kann seine Repos mit github.dev/user/repo statt github.com/user/repo unmittelbar in einer VS-Code-Umgebung im Browser öffnen, bearbeiten und verwalten.

Dadurch, dass die Web-App „fast die gesamte Ladung der Millionen Zeilen der TypeScript-Codebasis ausführt, eignet sie sich hervorragend als Ziel für jeden, der Bugs in VS Code sucht“, hebt Askar hervor. Im Prinzip schützt der Editor die Anwenderinnen und Anwender durch verschiedene Sandbox-Mechanismen jedoch vor der Übermacht der JavaScript-Funktionen.

Der Angriff nutzt die Funktion Webview, die externe Inhalte in einer Sandbox in einem Iframe ausführt, zum Beispiel um Markdown zu rendern oder Jupyter-Notebooks zu bearbeiten. Intern haben Webviews eine andere Code-Quelle: vscode-webview://... statt vscode-file://... und damit keinen Zugriff auf die Node.js-APIs, auf denen VS Code basiert. Aber es gibt einen Informationsaustausch über Messages mit der übergeordneten Hauptseite. So nimmt Webview Tasten-Events (keydown) für das Hauptfenster entgegen, beispielsweise Strg-Shift-P, um die Befehlspalette von VS Code zu öffnen. Über diese wiederum lassen sich Extensions installieren. Um dann die Installation der Extension zu bestätigen, dient Strg-Shift-A, was immer den Default-Button einer Meldung wählt, hier „Install“ für Erweiterungen.

Ein Angreifer kann nun Tastatureingaben einfach mit JavaScript-Code emulieren, um die Installation einer Extension anzustoßen. Askar zeigt, wie sich weitere Sicherheitsmechanismen einfach aushebeln ließen, darunter die Warnung an das Opfer, dass ein neuer Extension-Herausgeber etwas installieren will. Diese Überprüfung konnte Askar über das Vorspielen einer vertrauenswürdigen Local Workspace Extension umgehen – eine Schwachstelle, die Microsoft laut Askar inzwischen bereinigt hat.

Der Forscher demonstriert den Angriff mit einem Jupyter-Notebook, das über einen github.dev-Link wie oder über eine Umleitung darauf lädt. Die bösartige Extension tritt dann unbemerkt in Aktion und klaut das Token, mit dem sie Zugriff auf alle Repos bekommt, auf die auch das Opfer Zugriff hat – GitHub vergibt nur ein Token für alle Verzeichnisse.

Nur Anwender, die github.dev noch nicht oder länger nicht mehr benutzt haben, bekommen einmal die Warnung „The extension ‚GitHub Repository‘ wants to sign in using GitHub“. Im Blog von Askar findet sich ein Demo-Link, den die heise-developer-Redaktion jedoch nicht auf Sicherheit überprüft hat.

(who)

Das Problem verfolgt die Debatte um digitale Souveränität wie ein Schatten: Der Begriff ist nicht definiert. Wer genau sich von wem unabhängiger machen soll, bleibt unklar. Nun will die EU den Ausbau von Rechenzentren als Schritt zu mehr Souveränität verkaufen. Dabei entstehen allerdings neue Abhängigkeiten, und zwar von Energieversorgern.

Am Mittwoch hat Kommissions-Vizepräsidentin Henna Virkkunen das lang erwartete Technological Sovereignty Package präsentiert. Von der Hardware bis zur Software will die Kommission Europa technologisch autonomer und resilienter machen. „Wir können es uns nicht leisten, bei den Technologien, die den Betrieb unserer Krankenhäuser, die Stabilität unserer Energienetze und die Sicherheit unserer Dienste gewährleisten, von anderen abhängig zu sein“, lässt sich Ursula von der Leyen (CDU) zitieren.

Eine Definition für digitale Souveränität habe die Kommission allerdings versäumt, kritisiert Marielle-Sophie Düh. Sie ist Doktorandin am Centre for Digital Governance der Hertie School und Mitglied der Forschungsgruppe „Politics of Digitalization“ vom Wissenschaftszentrum Berlin für Sozialforschung. Die Kommission reduziere „Souveränität weitgehend auf ein industriepolitisches Projekt“.

Energiebedarf: verfünffachen

Daraus macht die Kommission keinen Hehl. Ganz offiziell will sie mit dem Paket „die Wettbewerbsfähigkeit und die geoökonomische Position Europas stärken“, heißt es in einer Zusammenfassung. Hierfür will sie den Weg für mehr Rechenzentren ebnen.

Offenbar waren die Lobby-Bestrebungen von Wirtschaftsverbänden erfolgreich. Im Vorfeld hatte etwa der Verband der Internetwirtschaft eco gewarnt: Europa dürfe „den Ausbau von Rechenzentren nicht durch neue Regulierung selbst ausbremsen“. Dabei ist Deutschland heute schon nach den USA das Land mit den weltweit meisten Rechenzentren.

Nun will die EU-Kommission Genehmigungsverfahren für Rechenzentren unter bestimmten Bedingungen beschleunigen. Wie ein hochrangiger EU-Beamter erklärte, visiert die Kommission mit ihrem Paket an, dass sich der Energiebedarf europäischer Rechenzentren in etwa verfünffachen wird – von zurzeit 12 Gigawatt auf 60 Gigawatt im Jahr 2035.

Damit verschlingen Rechenzentren zunehmend große Teile des Strombedarfs ganzer EU-Länder. Rechenzentren in Irland beanspruchen bereits heute 22 Prozent des dortigen Bedarfs, mehr als ein Fünftel. In Deutschland sind es noch vier Prozent.

Umweltvorschriften: verwässern

Um „den Weg für diese stromfressenden Rechenzentren frei zu machen“, sei die Kommission dazu bereit, „Umweltvorschriften zu verwässern“, kritisiert Bram Vranken. Er ist Forscher und Aktivist beim Corporate Europe Observatory und untersucht die Lobby-Taktiken von Unternehmen wie Meta, Amazon und Google. Dafür werfe die Kommission ihre Klimaziele über den Haufen. So habe Big Tech mithilfe aggressiver Lobbyarbeit den „Plan der Kommission, Mindeststandards für die Nachhaltigkeit von Rechenzentren einzuführen, zum Scheitern gebracht“, so Vranken.

Er warnt: Mit ihrer Wirtschaftspolitik wird die EU „unser aller Stromrechnungen in die Höhe treiben“. In Irland ist das seit mindestens einem Jahr bittere Realität.

KI-Wettlauf: mithalten

Mit den Rechenzentren und ihrem Energiehunger will die EU im weltweiten KI-Wettlauf mithalten. Dafür hat die Kommission schon vor gut einem Jahr den Aktionsplan „Kontinent KI“ aufgestellt, wonach sogenannte Künstliche Intelligenz die Wettbewerbsfähigkeit Europas entscheidend bestimme.

Auch wenn Tech-Konzerne gerne ein anderes Bild vermitteln, verbraucht vor allem generative KI viel Energie und treibt den Bedarf weiter in die Höhe: So erwartet die Internationale Energieagentur, dass der Stromverbrauch aller Rechenzentren weltweit bis 2030 auf rund 945 Terrawattstunden ansteigt. Das wäre doppelt so viel wie im Jahr 2024.

Die Kommission will zwar an der Energieeffizienz schrauben, um den Bedarf an teurer Energie aus fossilen Brennstoffen zu begrenzen und stärker auf erneuerbare Energien zu setzen. Aber in welchem Ausmaß wird das gelingen? In Deutschland geht Wirtschaftsministerin Katherina Reiche (CDU) einen ganz anderen Weg. Die Ex-CEO des Strom- und Gasnetzbetreibers Westenergie bastelt an der Ausschreibung für mehr Kapazität bei Gastkraftwerken: 20 Gigawatt bis 2030.

Für die„AI First“-Mentalität der EU-Kommission ist „digitale Souveränität“ bloß ein Label. Im Zentrum steht der globale Industrie-Wettbewerb – nicht Folgen für Umwelt oder Gesellschaft. Jüngst hat die EU-Kommission den Siemens-Vorstandsvorsitzenden Jim Hagemann Snabe als Berater für industrielle KI eingesetzt. In Brüssel gab es dafür viel Kritik, immerhin hatte sich Snabe dafür eingesetzt, KI-Vorschriften in der EU zu schleifen. Die Folgen der KI-Politik dürften jedoch alle treffen, spätestens bei der Stromrechnung.