Hacker nutzen in den USA sogenannte „Emergency Data Requests“ (EDR) bei Internetanbietern, Telefonunternehmen und Sozialen Netzwerken, um illegal an sensible persönliche Informationen heranzukommen. Normalerweise sind Abfragen solcher Daten in den USA nur mit einem richterlichen Beschluss möglich. Die Notfallanfragen hingegen sind bei „Gefahr im Verzug“, meistens bei einer Gefahr für Leib und Leben, in den USA auch ohne Gerichtsbeschluss zulässig.
Das IT-Sicherheits-Fachblog „Krebs on Security“ berichtet über zahlreiche Fälle, in denen Hacker vortäuschen, dass sie Polizisten seien und so an die Daten gelangen. Während bei normalen Abfragen die Dokumente und die Rechtmäßigkeit überprüft werden, drängt bei den Notfallanfragen die Zeit. So würden die angefragten Unternehmen oftmals nur prüfen, ob die E-Mail-Adresse von einer Behörde oder Polizei stammt, die zu einer Auskunftsanfrage berechtigt ist. Alleine in den USA gibt es fast 18.000 unterschiedliche Polizeibehörden, die zu einem Zugriff berechtigt wären – und Hacker müssen nur Zugriff auf ein einziges Mailkonto haben, um die sensiblen Daten abzufragen.
Mailadressen, die EDR-Abfragen ermöglichen, werden auf einschlägigen Marktplätzen angeboten. Zudem gibt es kostenpflichtige Services, um solche EDR-Abfragen durchführen zu lassen. Betroffen von den falschen Abfragen sind unter anderem die Firmen Apple, Meta und Snap, wie Bloomberg berichtet. Hinter der Attacke werden Minderjährige aus Großbritannien und den USA vermutet, die als Lapsus$-Gruppe auftreten und auch Microsoft, Samsung und Nvidia gehackt haben.
Probleme auch in Deutschland
In Deutschland braucht es für die Abfrage von Bestandsdaten in der Regel keinen richterlichen Beschluss. Auch so genannte Notfallanfragen gibt es in Deutschland nicht, weil die Bestandsdatenabfrage sowieso „unverzüglich“ beantwortet werden muss. Zwar gibt es auch eine Regelung für „Gefahr im Verzug“, nur wird diese offenbar nicht häufig genutzt. Eine stichprobenartige Nachfrage beim Maildienstleister Posteo ergab, dass dort „Gefahr im Verzug“ noch nie eingesetzt wurde.
Der Maildienstleister verknüpft selbst keine personenbezogenen Daten mit den Mailfächern, berichtet aber seit Jahren über Sicherheitsprobleme bei den Bestandsdatenanfragen in seinem Transparenzbericht. So werden Anfragen oftmals unverschlüsselt gestellt oder enthalten Anfragen nach Daten, die von dem entsprechenden Paragrafen gar nicht gedeckt werden. Auch kämen Anfragen vor, die von privaten Mailaccounts von Polizist:innen gestellt oder an diese beantwortet werden sollen.
Der Angriffsvektor, mit gehackten E-Mail-Accounts Bestandsdatenabfragen zu stellen, besteht in Deutschland auch. Ein Zugriff wäre auch möglich, wenn Dienstleister die Rechtmäßigkeit der Anfragen nicht genau prüfen und zum Beispiel auf Anfragen von (vermeintlich) privaten Polizist:innen antworten. Ob solche Angriffe schon vorgekommen sind, ist nicht bekannt.
Ein Pressesprecher von Posteo regt an, dass der Gesetzgeber konkrete Verifizierungsregeln für Bestandsdatenabfragen festlegen könnte, um Missbrauch zu erschweren. Selbst betroffen ist der Dienstleister davon nicht: Er erhebt keine Bestandsdaten und kann deswegen auch keine herausgeben.
Offenlegung: Posteo spendet regelmäßig an netzpolitik.org ohne dafür eine Gegenleistung zu erwarten.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires