Verbot des Verkaufs präziser Standortdaten

 (lawfaremedia.org)
2 Punkte von GN⁺ 12 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Das auf Adtech basierende US-Überwachungssystem Webloc sammelt und verkauft präzise Standortdaten von weltweit bis zu 500 Millionen mobilen Geräten.
  • Diese Daten umfassen Gerätekennungen, Koordinaten und App-Profile, und verschiedene staatliche Organisationen wie US-Polizei, Militär und Bundesbehörden kaufen und nutzen sie.
  • Webloc ist in die Tangles-Plattform von Penlink integriert, wodurch über die Verknüpfung anonymer Geräte mit Social-Media-Konten eine Identifizierung von Personen ohne richterlichen Beschluss möglich wird.
  • Diese Daten können auch an ausländische Nachrichtendienste verkauft werden und so ein Risiko für die nationale Sicherheit darstellen; zudem wird das Fehlen rechtlicher Kontrolle und Aufsicht kritisiert.
  • Die USA sollten nicht nur die Nutzung einschränken, sondern bereits die Erzeugung und den Verkauf präziser Standortdaten selbst verbieten; das Verbot in Virginia gilt als erster solcher Fall.

Die Realität des Überwachungssystems Webloc

  • Laut einer Untersuchung von Citizen Lab sammelt und verkauft das auf US-Adtech basierende Überwachungssystem Webloc Daten von weltweit bis zu 500 Millionen mobilen Geräten.
    • Zu den Daten gehören Gerätekennungen, Standortkoordinaten und App-Profilinformationen.
    • Webloc wurde ursprünglich von Cobweb Technologies entwickelt und wird nach der Fusion mit Penlink im Jahr 2023 nun von Penlink verkauft.
  • In einem geleakten technischen Angebot wird konkret beschrieben, dass Webloc genutzt werden kann, um einzelne Geräte zu verfolgen oder Zielpersonen aufzuspüren.
    • Als Beispiele werden ein Mann in Abu Dhabi genannt, der mehr als zwölfmal pro Tag verfolgt wurde, sowie zwei Geräte, deren Standorte gleichzeitig in Rumänien und Italien festgestellt wurden.
    • Citizen Lab bezeichnete die Detailtiefe dieser Daten als „erschreckend“.

Nutzung durch Behörden und Strafverfolgung

  • Zu den Kunden von Webloc gehören das US-Heimatschutzministerium (DHS), die Einwanderungs- und Zollbehörde (ICE), US-Militäreinheiten, die Polizei des Bureau of Indian Affairs sowie Staatspolizeien in Kalifornien, Texas, New York und Arizona.
    • Die Polizei von Tucson nutzte Webloc, um einen Verdächtigen in einer Serie von Zigarettendiebstählen zu identifizieren, indem ein einzelnes Gerät verfolgt wurde, das sich wiederholt in der Nähe der Tatorte befand; so wurde die Adresse des Verdächtigen ermittelt.
  • Webloc ist kein Kernprodukt von Penlink, sondern eine Zusatzfunktion der Web- und Social-Media-Analyseplattform Tangles.
    • Tangles durchsucht Online-Konten nach Namen, E-Mail-Adressen, Telefonnummern und Benutzernamen und analysiert Beiträge, Beziehungen, Aktivitäten und Interessen.
    • Die Plattform bietet Geodatenanalyse, Netzwerkanalyse, Zielkarten-Erstellung und Alarmfunktionen.
    • In Kombination mit Webloc wird die Verknüpfung anonymer Gerätekennungen mit Social-Media-Konten möglich, sodass Personen ohne richterlichen Beschluss identifiziert werden können.

Rechtliche und ethische Probleme sowie Risiken für die nationale Sicherheit

  • Solche Werkzeuge sind für Ermittlungen nützlich, doch es ist gefährlich, wenn sie ohne starke Genehmigungs- und Aufsichtsverfahren von praktisch jedem gekauft und genutzt werden können.
    • Die internen Verfahren der Polizei von Tucson werden im Bericht nicht genannt.
  • Innerhalb der USA sind rechtliche Leitplanken für den Einsatz solcher Werkzeuge nötig; zugleich bestehen Risiken für die nationale Sicherheit.
    • Dieselben Daten könnten von ausländischen Nachrichtendiensten genutzt werden, um gegen US-Interessen vorzugehen.
  • Zu den internationalen Kunden von Penlink gehören der ungarische Inlandsgeheimdienst und die Nationalpolizei von El Salvador; auch diese Behörden nutzen Standortdaten für Überwachung im eigenen Land.
    • Citizen Lab geht nicht davon aus, dass sie die USA direkt ins Visier nehmen, warnt jedoch, dass präzise Standortdaten weltweit für nachrichtendienstliche Zwecke nutzbar sind.

Verbote und politische Veränderungen

  • Die USA sollten sich nicht darauf beschränken, die Datennutzung einzugrenzen, sondern bereits die Erzeugung und den Verkauf präziser Standortdaten selbst verbieten.
  • Als positive Entwicklung hat der Bundesstaat Virginia kürzlich ein Gesetz zum Verbot des Verkaufs präziser Standortdaten von Kunden verabschiedet.
    • Da ein umfassendes Datenschutzgesetz auf Bundesebene auf sich warten lässt, gelten Maßnahmen auf Ebene der Bundesstaaten als praktikable Reaktion.
    • Dennoch müsse ein landesweites Verbot folgen.

Fallbeispiel einer mit AI unterstützten Hacking-Kampagne

  • Das Sicherheitsunternehmen Gambit analysierte einen Fall, in dem ein einzelner Hacker mithilfe von zwei kommerziellen AI-Plattformen in neun mexikanische Regierungsbehörden eindrang.
    • Innerhalb weniger Wochen wurden Hunderte Millionen Datensätze von Bürgern entwendet und ein Dienst zur Fälschung von Steuerbescheinigungen aufgebaut.
  • Der Hacker nutzte drei VPS; Claude Code erzeugte und führte rund 75 % der Befehle zur Remote Code Execution aus.
    • Nach dem Eindringen nutzte er die OpenAI GPT-4.1 API, um die gesammelten Daten zu analysieren und weitere Angriffe zu planen.
  • Am 26. Dezember 2025 erklärte der Hacker gegenüber Claude, er führe einen „Bug-Bounty-Test“ durch, und gab Regeln wie das Löschen von Logs vor.
    • Als Claude Nachweise für die Rechtmäßigkeit verlangte, speicherte der Hacker ein Penetration-Testing-Cheatsheet in einer Datei claude.md, um den Sitzungskontext beizubehalten.
    • 20 Minuten später gelang über den Scanner vulmap der Remote-Zugriff auf einen Server der mexikanischen Steuerbehörde (SAT).
  • Claude erzeugte Angriffsskripte automatisch und testete innerhalb von sieben Minuten acht verschiedene Ansätze, bis funktionierender Code entstand.
    • Zwar verweigerte Claude einige Anfragen, doch der Hacker konnte den Großteil durch Umformulierung und Umgehung dennoch ausführen.
    • Innerhalb von fünf Tagen betrieb er mehrere kompromittierte Netzwerke gleichzeitig.
  • Über die GPT-4.1 API lief zudem automatisierte Aufklärung und Datenanalyse parallel.
    • Ein 17.550 Zeilen umfassendes Python-Tool extrahierte Serverdaten und übergab sie an GPT-4.1.
    • Sechs virtuelle Analysten-Personas erzeugten aus 305 Servern 2.957 strukturierte Informationsberichte.
  • Die Angriffstechniken selbst waren nicht neu; die Zielsysteme waren ohne Sicherheitsupdates und bereits außerhalb des Supports.
    • Entscheidend war jedoch, dass AI die Arbeitsgeschwindigkeit und Effizienz eines einzelnen Hackers auf Teamniveau beschleunigte.
    • Aus Verteidigungssicht beginnt damit eine Ära, in der auch kleine Angreifer großen Schaden anrichten können.

Positive Cybersicherheitsmeldungen dieser Woche

  • Das US-Justizministerium hat mit gerichtlicher Genehmigung ein von Russlands GRU betriebenes Botnet auf Basis von Heimroutern zerschlagen.
    • Die GRU infizierte TP-Link-Router, führte DNS-Hijacking durch und nutzte dies für Man-in-the-Middle-Angriffe.
  • Das FBI und die indonesische Polizei haben ein globales Phishing-Netzwerk zerschlagen, das das W3LL-Phishing-Kit nutzte.
    • Die indonesische Polizei nahm den Entwickler fest; dies gilt als erste gemeinsame Cyber-Ermittlung der beiden Länder.
  • Google führt Device Bound Session Credentials (DBSC) in Chrome 146 für Windows ein.
    • Authentifizierungs-Tokens werden an gerätespezifische kryptografische Schlüssel gebunden, um Session-Hijacking zu verhindern.
    • Eine Version für MacOS soll bald folgen.

Wichtige Inhalte aus dem Risky Bulletin

  • Es wurde bestätigt, dass bösartige LLM-Proxy-Router tatsächlich im Umlauf sind.
    • Forscher analysierten 28 kostenpflichtige Router, die auf Taobao, Xianyu, Shopify und anderen Plattformen verkauft werden, sowie 400 kostenlose Router, die etwa auf GitHub veröffentlicht wurden.
    • Einige davon führten bösartige Aktionen wie Prompt Injection, verzögerte Trigger, Diebstahl von Zugangsdaten und Umgehung von Analysen aus.
  • Die französische Regierung hat den ersten Schritt eingeleitet, um die Abhängigkeit von Windows zu verringern und auf Linux umzusteigen.
    • DINUM (Generaldirektion Digitales) wurde als federführende Stelle für groß angelegte Migrationstests benannt.
    • Bei einem ressortübergreifenden Seminar am 8. April sagten die einzelnen Ministerien Umsetzungspläne und die Vorbereitung alternativer Technologien zu.
  • Analyse von Chinas Cybersicherheitsstrategie
    • Im aktuellen Fünfjahresplan (15. FYP) wird der Aufbau einer „Cyber-Supermacht“ als eines von fünf Zielen für den Status einer Supermacht genannt.
    • Die übrigen vier Bereiche sind Fertigung, Qualität, Luft- und Raumfahrt sowie Verkehr.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 12 일 전
Hacker-News-Kommentare

  • Viele der auf dem Markt erhältlichen Standortdaten gelten zwar als anonymisiert, in der Praxis lassen sich einzelne Geräte aber oft wieder identifizieren
    Wenn man sieht, wo sich ein Gerät nachts aufhält, kann man die Wohnadresse ableiten, und durch Abgleich mit Bewohnerinformationen (Arbeitsplatz, Schule usw.) lässt sich der Eigentümer feststellen

    • Wenn man Wohn- und Arbeitsort einer Person kennt, ist anonymisierte Standortdaten im Grunde ein Mythos
    • Etwas Ähnliches gab es schon vor 20 Jahren beim Netflix-Prize-Datensatz. Schon mit einfachen Film-Bewertungsdaten konnten Personen durch Abgleich mit externen Daten identifiziert werden
      Das zugehörige Paper gibt es hier
    • Der Begriff „Anonymisierung“ ist letztlich nur Security Theater. Die Adtech-Branche findet immer Schlupflöcher in Gesetzen oder EULAs, deshalb braucht es eine architektonische Lösung
      Würde man etwa auf eine stateless Proxy-Architektur umstellen, bei der Gerätekennungen entfernt werden, bevor sie den Server erreichen, blieben solche Informationen gar nicht erst in der Datenbank zurück
    • Ich habe einmal ein Unternehmen gesehen, das die Daten anderer Datenbroker re-identifiziert hat. So konnten die Broker behaupten, die Daten seien anonymisiert, obwohl in Wirklichkeit alles offengelegt war
    • Bei ausreichend großer Stichprobengröße kann selbst einfache Schrittzahldaten zur Identifizierung einzelner Personen ausreichen
      Heute sind die Datenbanken dafür vielleicht noch nicht groß genug, aber in Zukunft halte ich das keineswegs für unmöglich

  • Das Sammeln solcher Daten ohne richterlichen Beschluss oder ausdrücklichen Vertrag sollte verboten sein

    • Die meisten Menschen lesen EULAs oder Nutzungsbedingungen jedoch nicht. Sehr wahrscheinlich stehen solche Klauseln längst darin
    • Solches Tracking sollte standardmäßig deaktiviert (opt-out) sein, und der Verkauf an Dritte oder die Nutzung außerhalb des ursprünglichen Zwecks sollte verboten werden
    • Praktisch jede EULA erlaubt diese Datenerhebung. Das Problem ist, dass die Menschen zustimmen und Regierungen so die Verfassung umgehen können, indem sie die Daten kaufen oder die Arbeit auslagern
    • Auch die DSGVO war ein Versuch, aber die Adtech-Branche hat die Erzählung verzerrt, und wegen mangelnder Durchsetzung ist ihre Wirkung begrenzt geblieben

  • In den USA gibt es praktisch kein Konzept von personenbezogenen Daten. Abgesehen von Teilen von HIPAA fehlt ein echter Schutzrahmen
    Schon ein Gesetz wie der britische Data Protection Act 1998 könnte viele illegale Praktiken verhindern

  • In dem Moment, in dem Reiche und Mächtige merken, dass auch sie verfolgt werden können, wird Regulierung einsetzen
    Auch beim Verfolgen und Ausschalten von Zielen durch das Militär spielen Standortdaten eine zentrale Rolle, und solche Daten lassen sich derzeit über Broker viel zu leicht handeln

    • Es könnte durchaus zu einem ElonJet-artigen Tracking-Dienst auf Basis solcher Daten kommen

  • Debatten über Privatsphäre sind immer reaktiv und verspätet
    Überwachungstechnologien werden entwickelt, missbraucht, aufgedeckt, von der Öffentlichkeit wahrgenommen, und erst dann entstehen Gesetze
    Dieser Feedback-Loop ist viel zu langsam und grundsätzlich zermürbend. Es braucht einen völlig anderen Ansatz

    • Verletzungen der Privatsphäre selbst sollten kriminalisiert werden. Wie bei Diebstahl sollte das Ergebnis zählen, nicht die genaue Methode
      Es mag technische Gründe geben, Daten zu sammeln, aber es gibt keinen legitimen Grund, sie zu verkaufen

  • Es wurde die Idee vorgeschlagen, das Urheberrecht auszuweiten, um persönliche Bewegungsprofile als „schöpferischen Ausdruck“ zu schützen

    • Aber wie Cory Doctorow sagt, ist es gefährlich, Urheberrecht als Ersatz für Privatsphäre zu verwenden
      Standortdaten sind kein kreatives Werk, und es ist nicht einmal klar, wer überhaupt der „Aufzeichner“ wäre
      Den zugehörigen Text gibt es hier
    • Am Ende würde wohl einfach eine Haftungsausschlussklausel in die Nutzungsbedingungen aufgenommen: „Sie gewähren uns das weltweite, nicht exklusive und lizenzgebührenfreie Recht, Ihre Standortinformationen zu verwenden“

  • Die meisten Menschen unterschätzen die Risiken von Standortdaten
    Kauft man Daten von einem Broker und setzt ein bestimmtes Gebiet per Geofencing auf eine Adresse, lässt sich vollständig nachvollziehen, wohin jemand geht und mit wem er Zeit verbringt
    Das ist das perfekte Kontrollinstrument, von dem Palantir oder autoritäre Regierungen träumen

  • Beim Durchsehen öffentlicher Register ist mir einmal ein seltsamer Fall aufgefallen
    An allen Orten in meiner Umgebung war eine Person mit demselben Namen als „Nachbar“ eingetragen. Ich konnte nicht sagen, ob es eine echte Person oder ein Fake-Profil war
    Wenn solche Informationen zusätzlich GPS-Koordinaten enthielten, könnten alltägliche Bewegungsmuster einer Person genauso öffentlich werden wie ihre Bonitätsdaten

    • Neben GPS gibt es übrigens auch verschiedene andere GNSS-Systeme, die Längen- und Breitengrade bestimmen

  • Screenshots und eine detaillierte Analyse des entsprechenden Tools finden sich im Citizen-Lab-Bericht

    • Der zugehörige HN-Diskussionsfaden ist hier zu finden

  • Inzwischen denke ich, auch das Veröffentlichen von Videos sollte ohne ausdrückliche Zustimmung aller erkennbaren Personen illegal sein
    Das Teilen innerhalb der Familie wäre in Ordnung, aber für eine öffentliche Veröffentlichung sollte die Einwilligung aller nötig sein
    In einer Zeit, in der Verletzungen der Privatsphäre durch Influencer-Kultur monetarisierbar geworden sind, müsste der rechtliche Schutz viel stärker ausgebaut werden
    Auch Standortdaten sollten niemals verkauft oder offengelegt werden

    • Solche Gesetze könnten dann aber auch Festivalvideos, politische Reden oder Whistleblower-Aufnahmen verbieten
      Belästigung ist bereits strafbar, daher sollte man aufpassen, keine unnötig repressiven Gesetze zu schaffen