Zahlreiche Kunden, die ihren Urlaub bei Centerparks gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien „einige Ihrer personenbezogenen Daten offengelegt“ worden, wie Centerparks ausführen. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Centerparks-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. „Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen“, schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Centerparks vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Centerparks: Vom Datenleck betroffene Informationen

Das Datenleck betreffe „möglicherweise“ Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Centerparks zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. „Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern“, erklärt Centerparks weiter.

Betroffene sollen wachsam bleiben. Bislang wurde noch kein Missbrauch festgestellt. Dennoch könnten Kriminelle betrügerische E-Mails mit Zahlungsaufforderungen schicken, etwa mit dem Vorwand, dass eine Buchung unvollständig oder eine vorherige Zahlung fehlgeschlagen sei. Auch könnte es zu betrügerischen Anrufen oder SMS-Nachrichten kommen, in denen die Absender persönliche Informationen abfragen. Centerparks ist wichtig zu betonen, dass das Unternehmen Kunden niemals in einer E-Mail mit einem Link zur Zahlung auffordert. Für offene Buchungen sollen Kunden sich auf der offiziellen Centerparks-Webseite oder in der MyCP-App auf dem Smartphone anmelden.

E-Mails mit solchen Zahlungsaufforderungen etwa mit einer Bankverbindung sollen Empfänger nicht nachkommen, sondern im MyCP-Konto nachschauen, ob gegebenenfalls noch ein Saldo vorliegt.

Datenlecks sind leider inzwischen alltägliche Vorkommnisse. Vergangene Woche hat etwa ein Mitglied des CCC beim Übernachtungsdienstleister Numa nächtigen wollen. Dabei stieß es jedoch auf eine vollständige Kundendatensammlung.

(dmk)

In Österreich regiert ein Dreierbündnis aus der konservativen ÖVP, der sozialdemokratischen SPÖ und den liberalen NEOS. In ihrem Regierungsprogramm haben die drei Parteien im Februar klargemacht, dass allerhand neue Überwachungsbefugnisse auf das Land zukommen. Nun, rund eine Woche nach einem Amoklauf an einer Schule in Graz, geht es schnell: Die österreichische Regierung hat eine Gesetzesvorlage für Staatstrojaner vorgelegt und zudem Alterskontrollen in sozialen Medien mit Registrierungspflicht der Nutzer:innen in den Raum gestellt.

Auf Staatstrojaner zur Messengerüberwachung durch die Direktion Staatsschutz und Nachrichtendienst (DSN), einigte sich am Mittwoch der österreichische Ministerrat. Die DSN ist gleichzeitig polizeiliche Staatsschutzbehörde als auch Inlandsgeheimdienst. Zuvor lagen die Regierungspartner im Clinch, vor allem die NEOS zweifelten die Verfassungsmäßigkeit der heimlichen, invasiven Überwachung an. Inzwischen ist dies der fünfte Anlauf, um die umstrittene Ermittlungsmethode gesetzlich zu verankern. Rechtlich sind ihr nach einem Grundsatzurteil des Verfassungsgerichtshofs aus dem Jahr 2019 enge Grenzen gesetzt.

Staatstrojaner gegen „verfassungsgefährdende Angriffe“

Nun soll Schadsoftware auf Geräten von Verdächtigen installiert werden dürfen, wenn „verfassungsgefährdende Angriffe“ vermutet werden, die mit mindestens zehn Jahren Freiheitsstrafe bedroht werden und andere Ermittlungsmaßnahmen aussichtslos scheinen. Ziel der Überwachung sollen dabei vor allem verschlüsselte und unverschlüsselte Nachrichten sein sowie „Informationen, die über internetbasierte Apps wie WhatsApp, Telegram etc. übermittelt werden, als auch über einen Cloud-Diensteanbieter an einen Cloud-Server übermittelte Datenpakete“.

Lokal gespeicherte Dateien sollen laut der Gesetzesvorlage nicht betroffen sein. Fachleute etwa vom Chaos Computer Club weisen jedoch seit Jahren darauf hin, dass diese Abgrenzung technisch eine eher kosmetische Bedeutung hat und durch Nachladen neuer Module des Staatstrojaners schnell aufgehoben werden kann.

Zur rechtlichen Absicherung soll jeder Staatstrojanereinsatz zuvor durch das österreichische Bundesverwaltungsgericht genehmigt und vom Rechtsschutzbeauftragten im Innenministerium begleitet werden müssen. Betroffene sollen im Nachhinein informiert werden. Eine solche Informationspflicht für Überwachungsmaßnahmen besteht regelmäßig auch in Deutschland, in der Praxis unterbleibt sie jedoch aufgrund zahlreicher Ausnahmen.

Kritik von Bürgerrechtler:innen

Kritik an der geplanten Messenger-Überwachung kommt von IT-Sicherheitsfachleuten und Bürgerrechtsorganisationen. Die Österreichische Liga für Menschenrechte schrieb in einer Stellungnahme zum Gesetzentwurf, dass die geplante Maßnahme „mit den in Österreich geltenden Grund-, Freiheits- und Menschenrechten nicht vereinbar ist“. Die Vereinigung der österreichischen Rechtsanwältinnen und Rechtsanwälte weist darauf hin, dass für Staatstrojaner IT-Sicherheitslücken offengehalten und so gleichsam „die österreichische Gesellschaft und Wirtschaft verletzlich“ würden.

Besonders aktiv im Kampf gegen diesen und vormalige Versuche zur Einführung von Staatstrojanern in Österreich ist seit mehreren Jahren die NGO epicenter.works mit ihrer Kampagne bundestrojaner.at. In einer Stellungnahme weist epicenter.works auf die durch Staatstrojaner entstehende Gefahr für liberale Demokratien hin, die aus den Staatstrojaner-Skandalen rund um Pegasus, Predator und andere deutlich geworden seien: „Die gezielte Überwachung politischer Opposition, die systematische Einschüchterung unabhängiger Medien und die Manipulation öffentlicher Diskurse mittels verdeckter staatlicher Überwachung unterminieren zentrale Elemente liberaler Demokratien – darunter politische Pluralität, Meinungsfreiheit, faire Wahlen und rechtsstaatliche Gewaltenteilung.“

Widerstand gegen die Messenger-Überwachung könnte im weiteren Prozess auch von Regierungsparteien selbst kommen. Die müssen im parlamentarischen Verfahren weitere Details klären, damit das Gesetz wie geplant Anfang 2027 in Kraft treten kann. Laut Medienberichten sollen trotz der Einigung die NEOS weiterhin nicht glücklich mit dem Vorstoß sein. „Ich bin tief davon überzeugt, dass NEOS als liberale Partei solche staatliche Überwachungssoftware nicht unterstützen kann“, zitiert Der Standard deren Vizeklubchef Nikolaus Scherak. Die österreichischen Grünen warfen der liberalen Partei indes vor, umgefallen zu sein und die Überwachungsfantasien der ÖVP zu erfüllen.

Alterskontrollen und Registrierungspflicht

Weniger konkret als die Staatstrojaner-Pläne der Regierung sind Ankündigungen zu Registrierungspflicht und Alterskontrollen im Netz, die ÖVP-Staatssekretär Alexander Pröll machte. Er brachte ins Spiel, dass sich Nutzer:innen sozialer Medien vorher registrieren müssen. Erfolgen könnte dies etwa mit der digitalen Identität „ID Austria“, mit der sich Bürger:innen bislang Behörden gegenüber ausweisen. Im Raum steht eine Altersgrenze von 14 Jahren, was zum einen Kinder und Jugendliche von einer Nutzung ausschließen würde. Zum anderen könnten Behörden dann potenziell bei den Dienste-Anbietern die bürgerliche Identität hinter gewählten pseudonymen Account-Namen abfragen.

Mit einem solchen Vorstoß würde Österreich die Anonymität im Netz torpedieren. Gleichzeitig ist ein solches Vorhaben europarechtlich fragwürdig. Ein nationaler Alleingang hätte wahrscheinlich keinen Bestand vor dem Europäischen Gerichtshof, wie Thomas Lohninger von epicenter.works gegenüber Der Standard sagte. Die EU arbeitet mittlerweile selbst an Leitlinien für mögliche Alterskontrollen im Netz.

Eine Alterskontrolle gepaart mit einer Registrierungspflicht würde außer europarechtlichen noch viele weitere Probleme schaffen und stellt durch Abschreckung eine Gefahr für die freie Meinungsäußerung und persönliche Entwicklung dar, sei es für queere Jugendliche, Whistleblower:innen oder Demokratie-Aktivist:innen.

Sowohl die Diskussion um Registrierungspflicht als auch Messengerüberwachung steht in Österreich derzeit unter dem Eindruck des Grazer Amoklaufs. Dabei haben beide eines gemeinsam: Geändert hätten die Maßnahmen an der Tat des volljährigen und zuvor unbescholtenen, mutmaßlichen Einzeltäters wohl nichts.

Das Prinzip „Löschen statt Sperren“ bei Missbrauchsdarstellungen und sogenannter Kinderpornografie (CSAM) funktioniert weiterhin gut. Das geht aus dem Jahresbericht des Bundesjustizministeriums (PDF) hervor, der am Mittwoch veröffentlicht wurde. Der Bericht erhebt eine Statistik, wie schnell CSAM-Inhalte nach einer Meldung bei den Host-Povidern im In- und Ausland gelöscht werden.

Laut dem Bericht wurden im vergangenen Jahr 55,98 Prozent (10 802 URLs) aller Inhalte im Inland spätestens zwei Tage nach der Meldung gelöscht. Eine Woche nach Hinweiseingang ist die Verfügbarkeit der Inhalte nochmals deutlich reduziert – mit 99,11 Prozent sind nahezu alle Inhalte gelöscht. Von den insgesamt 19.296 gemeldeten URLs waren nur noch 171 weiterhin verfügbar. Gegenüber den Vorjahren ist die Löschrate nach zwei Tagen etwas abgefallen, die Löschrate nach sieben Tage allerdings gleich hoch geblieben.

Bei Löschungen im Ausland geht es traditionell etwas langsamer, weil hier mehr Behördenstellen im Spiel sind und das Verfahren komplexer ist. Hier waren 38,7 Prozent (4 733 URLs) aller Inhalte nach einer Woche gelöscht; nach vier Wochen waren es bereits 84,17 Prozent (10.303 URLs) der Inhalte (2023: 88,2 Prozent bzw. 9 772 URLs). Auch im Ausland war die Erfolgsquote bei der kurzfristigen Löschung geringer als in den Vorjahren, nach vier Wochen lag sie aber etwa genauso hoch wie in den Vorjahren.

Der Bericht zeigt, dass Löschen statt Sperren ein erfolgreiches Prinzip ist, wenn Behörden denn Meldungen machen.

BKA forcierte Löschung nicht

Doch lange nicht alle kriminellen Inhalte werden von der Polizei auch gemeldet und gelöscht. Und das hat Prinzip. In einer ersten Recherche im Jahr 2021 fanden Journalisten heraus, dass das BKA die Löschung von Bildern nicht forcierte. Einige Monate später kam durch eine kleine Anfrage heraus, dass das BKA weiterhin keine Priorität auf das Löschen setzte und sich außerdem nicht für Löschmeldungen zuständig erklärte. Im Februar dieses Jahres deckte dann eine gemeinsame Recherche des ARD-Magazins Panorama und von STRG_F auf, dass es einen geheimen Beschluss der Innenministerkonferenz aus dem Jahr 2023 gibt, der diese Praxis absegnet.

Dass die Löschung gar nicht so personalintensiv ist, konnten die Journalist:innen in der Recherche beweisen. So reichten schon zwei Personen aus, um über Monate hinweg in den großen pädokriminellen Darknet-Foren die dort verlinkten Fotos und Videos zu erfassen und zu melden: „Insgesamt deaktivierten die Speicherdienste Links zu über 300.000 Aufnahmen mit einer Datenmenge von 21.600 Gigabyte und löschten die Daten von ihren Servern“, so die Journalist:innen damals.

Hauptsache überwachen

In der Pressemitteilung zum Jahresbericht verknüpfen sowohl Innenminister Alexander Dobrindt (CSU) als auch Justizministerin Stefanie Hubig (SPD) das Thema Löschen statt Sperren mit der Vorratsdatenspeicherung, obwohl die beiden Themen technisch wenig bis nichts miteinander zu tun haben. Die Minister:innen fordern die schnelle Einführung der anlasslosen Massenüberwachung, Hubig preist diese gar als „oft einzigen Ermittlungsansatz“ an.

Elina Eickstädt, Sprecherin des Chaos Computer Clubs, sagt gegenüber netzpolitik.org: „Der Bericht zeigt, dass Löschen wirkt und weiter verfolgt werden muss. Maßnahmen wie die Vorratsdatenspeicherung oder die vorgeschlagene Chatkontrolle führen lediglich zu grundrechtsgefährdender Überwachungsinfrastruktur, statt sich auf den Ausbau effektiver Maßnahmen zu konzentrieren.“

Das Prinzip Löschen statt Sperren wie auch der aktuelle Jahresbericht sind eine Errungenschaft der Protestbewegung gegen Netzsperren. Im Jahr 2009 plante die damalige Bundesfamilienministerin Ursula von der Leyen, Netzsperren gegen CSAM-Inhalte einzuführen. Sie löste damit eine breite Protestwelle aus und erhielt den Spitznamen „Zensursula“. Das sogenannte Zugangserschwerungsgesetz wurde zwar von der Regierung verabschiedet, aber nie umgesetzt und schon 2012 außer Kraft gesetzt. Eine der Kernforderungen der erfolgreichen Protestbewegung lautete „Löschen statt Sperren“.