Beim heimlichen Tracking ertapptMeta und Yandex spionierten Nutzer aus
Von
CTO und CISO Anna Kobylinska
und
Filipe Pereira Martins
10 min Lesedauer
Auf frischer Tat erwischt, im großen Stil entblößt? Meta, der Mutterkonzern von Facebook, WhatsApp und Instagram, und das russische Tech-Unternehmen Yandex stehen unter Verdacht, die Nutzer im großen Stil zu de-anonymisieren und im Netz auf Schritt und Tritt zu verfolgen — selbst im Inkognito-Modus, ohne Anmeldung im Browser und nach dem Löschen von Cookies & Co. Das war jetzt nicht die Idee...
Laut Sicherheitsforschern nutzen Meta (Facebook) und Yandex eine Lücke in Androids Sicherheitsarchitektur aus, um Web- und App-Identitäten heimlich zusammenzuführen und so detaillierte Surf-Profile zu erstellen.
Die beiden Konzerne sollen anonyme Webkennungen von mobilen Browsern auf Android mit realen Nutzeridentitäten ihrer jeweiligen Apps verknüpft haben. Durch ihren Missbrauch legitimer Internetprotokolle auf Android (und potenziell iOS) und eindeutige Identifikatoren in Apps seien sie in der Lage, mobile Besucher unbemerkt zu enttarnen.
Die Erkenntnisse entstammen der Forschungsarbeit einer internationalen Gruppe von Sicherheitsspezialisten der Internet Analytics Group von IMDEA Networks unter der Leitung von Dr. Narseo Vallina-Rodriguez, Prof. Gunes Acar (Radboud University, Niederlande) und Tim Vlummens (KU Leuven, Belgien).
Eine Untersuchung der 100.000 beliebtesten Websites des Internets offenbarte das enorme Ausmaß dieses Trackings. Auf 17.223 Websites in den Vereinigten Staaten und 15.677 Websites in der Europäischen Union versuchte Meta Pixel, mit localhost zu kommunizieren — in mindestens drei Viertel der Fälle (75 bis 78 Prozent) ohne hierfür die Benutzerzustimmung einzuholen.
Dr. Narseo Vallina-Rodríguez, Research Associate Professor (Ramon y Cajal Fellow), IMDEA Networks Institute.
(Bild: IMDEA Networks Institute)
„Bis zu unserer Offenlegung waren Android-Nutzer, die von Yandex und Metas Pixel verfolgt wurden, dieser Tracking-Methode vollständig schutzlos ausgeliefert,“ offenbart Sicherheits-forscher Dr. Narseo Vallina-Rodríguez, Research Associate Professor bei IMDEA Networks Institute und Leiter der Forschungsgruppe hinter der Entdeckung.
Im Zentrum dieses digitalen Skandals stehen zwei Tracking-Werkzeuge: der Meta Pixel und Yandex Metrica. Es handelt sich in beiden Fällen um Schnipsel von JavaScript-Code, die millionenfach in Webseiten unterschiedlicher Drittbetreiber eingebettet sind. Überall dort, wo sie vorkommen, kann Meta bzw. Yandex aus dem Datenstrom der Nutzerinteraktionen verwertbare Erkenntnisse ausschnüffeln.
Die offizielle Daseinsberechtigung für Meta Pixel ist die Bereitstellung von datengetriebenem Marketing durch Facebook und Instagram mit Features wie Conversion-Tracking und Retargeting.
Yandex Metrica legitimiert seine Präsenz durch diverse SEO-Funktionalitäten. Yandex erstellt anhand der Daten von Metrica Visualisierungen wie Heatmaps und liefert Session-Replays. Website-Betreiber verschaffen sich mit dem Skript Zugriff auf detaillierte Analysen zur Nutzung ihrer Online-Präsenz — nicht viel anders als im Falle von Google Analytics.
Beide Anbieter haben es jedoch nicht dabei belassen. Ihre raffinierten Tracking-Methoden, die darauf aufbauen, sind mit der Absicht entstanden, zentrale Datenschutzmechanismen von Android und modernen Browsern auszuhebeln.
JavaScript-Code, das auf den ersten Blick wie eine technisch unvermeidbare Notwendigkeit wirkt, offenbart sich im breiteren Kontext sonstiger Aktivitäten der Plattformanbieter als ein systematischer Versuch, in die digitale Privatsphäre von Milliarden mobiler Nutzer weltweit einzugreifen.
Meta Pixel findet sich laut Analysen auf über 5,8 Millionen Webseiten weltweit, Yandex Metrica immerhin auf rund 3 Millionen. Durch diese allgegenwärtige Präsenz konnten die Unternehmen über besuchte Webseiten hinweg Aktivitätsprofile der betroffenen „Internauten“ erstellen. Sobald sie diese Profile mit Social-Media- oder App-Konten der Betroffenen verknüpfen, eröffnen sie insgeheim die Jagdsaison auf digitale Anonymität.
Meta ist das Unternehmen hinter Facebook, Instagram, WhatsApp und weiteren Plattformen. Yandex hat sich nach Google und Bing als die drittbeliebteste Suchmaschine der Welt etabliert. Die Relevanz der Plattform mag jedoch im Westen gering sein; sie hat einen globalen Marktanteil von mageren 2,8% (und eine erdrückende Marktdominanz in Russland). Meta konnte im ersten Quartal 2025 über alle Apps hinweg auf 3,43 Milliarden täglich aktiver Nutzer verweisen.
Datenschutz im freien Fall
In Androids Sandbox kann eine App nicht einfach mal eben in den Speicher einer anderen hineingreifen; dafür sorgt Isolation mittels Linux-Namensräume, SELinux-Labels und eigener UID. Jede App wird in einem eigenen Prozessraum hinter einer verriegelten „Brandschutztür“ ausgeführt. Öffnet eine App einen Socket auf 127.0.0.1, baut sie damit selbst eine neue Tür ins gemeinsame Treppenhaus: die Loopback-Schnittstelle.
Architektur der „Lauschmaschine“: Austausch von Identifikatoren zwischen den Web-Trackern im Browser-Kontext und nativen Android-Apps, die persistente IDs über Localhost-Sockets steuern und generieren.
(Bild: IMDEA Networks Institute)
Direkte Datenwege zu anderen Apps sind nicht erlaubt; Datenpakete müssen erst ins Treppenhaus und von dort gezielt zur Port-Nummer der betreffenden Türe der Empfangsadresse. Ein UDP- oder TCP-Paket landet im Normalfall nur bei dem Prozess, der den entsprechenden Port bereits exklusiv gebunden hat (mit UDP ließe sich diese Beschränkung allerdings mittels SO_REUSEPORT umgehen). Ist TCP-Port 12580 von der Facebook-App belegt, kann keine zweite App denselben Port parallel öffnen und die Pakete abfangen – das wird der Kernel verhindern. Darum nutzen Facebook, Instagram und WhatsApp separate Portnummern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Loopback-Schnittstelle bildet den Dreh- und Angelpunkt der Schnüffelmethode. Jeder Browser darf nämlich JavaScript gestatten, die eigene „Brandschutztür“ zu passieren und Daten an die Loopback-Adresse zu senden. Jede App mit der Berechtigung INTERNET darf auf dem Weg zur Außentür in das „Treppenhaus“ hineinschauen, um eigene Pakete abzufangen, wenn sie an ihrer Türe (Portnummer) klingeln. (Um fremde Pakete passiv mitzulesen, bräuchte eine App vom Prinzip her Roh-Socket- oder Paket-Capture-Fähigkeiten — BPF, pcap, VPN-Service — oder root-Zugriff. Da mobile Apps von Meta die Pakete von Meta Pixel aus dem Browser empfangen, kommen sie problemlos ohne solche gehobenen Rechte aus.)
Genau diese „Backdoor-by-Design“-Vorrichtung scheint das Skript im Browser zu missbrauchen.
Genau hier setzt der Abhörtrick an. Ein Browser-Skript – etwa Meta Pixel oder Yandex Metrica – sendet Datenpakete an die Loopback-Adresse und Portnummer, auf der die zugehörige App der betreffenden Plattform lauscht. Die zugehörige App öffnet ihre Tür (die Portnummer) und nimmt das Datenpaket (etwa das _fbp-Cookie) in Empfang. Bingo! So wird ein flüchtiges Web-Cookie mit einer dauerhaften Geräte-ID verknüpft.
So konnte Meta die Identität des scheinbar anonymen Nutzers aus dem Browser ausschnüffeln — sogar im Inkognito-Modus.
(Bild: IMDEA Networks Institute)
„Das Grundproblem ist die fehlende Kontrolle [des Betriebssystems] über lokale Portkommunikation“, warnt Sicherheitsforscher Narseo Vallina-Rodríguez, Research Associate Professor bei IMDEA Networks und Forschungsleiter. Solange jeder Prozess mit der Berechtigung INTERNET einen lokalen Server starten dürfe, bleibe das Versprechen der Isolation blanke Theorie.
In der Proof-of-Concept-Phase im September 2024 schickte Meta eine HTTP-GET-Anfrage an den Port 12387 der Loopback-Adresse. Klar lesbare URL-Parameter verrieten den _fbp-Cookie (Lebensdauer: 3 Monate). Mixed-Content-Warnungen und bald verpflichtende Private Network Access-Preflights (ab Chrome 94) drohten, solche Loopback-Requests zu blockieren, also beschloss Meta, über ein WebSocket (ws://127.0.0.1:12387) eine persistente Datenleitung zu öffnen. Die Umstellung wurde zwischen Oktober 2024 und Januar 2025 abgeschlossen.
Die Web-Sockets-Implementierung hatte den Stealth-Faktor. Der Cookie, umgewandelt in Binärframes, fiel nicht mehr auf. Der Ansatz hat es Meta außerdem erlaubt, Hürden der Browser-Richtlinie Same-Origin-Policy zu umgehen. Denn ein Skript von einer beliebigen Domain darf eine lokale Verbindung herstellen, solange die App das Origin-Header ignoriert — über Letzteres hatte Meta ja die volle Kontrolle. Ein einziger Handshake und schon ging es los.
Diese Technik funktioniert auch im Inkognito-Modus und sogar nach dem Löschen von Cookies.
Ein zusätzlicher Bonus war der PNA-Bypass (also das Umgehen der Sicherheitsmechanismen von Private Network Access). Chrome blockiert seit Version 94 unverschlüsselte HTTP-Zugriffe auf private Netze, doch die WebSocket-Implementierung (insbesondere ws:) konnte durch die frühen PNA-Filter hindurch. Und Meta spielte das Katz-und-Maus-Spiel weiter.
Die Umstellung auf WebSockets ebnete Meta den Weg zur Tarnung der Machenschaften via WebRTC. Ab etwa November 2024 begann Meta, den _fbp-Cookie im ICE-Ufrag-Feld von STUN-Paketen zu verstecken.
WebRTC nutzt die sogenannten STUN-Pakete, um zwei Endpunkte einander bekannt zu machen. In STUN-Paketen steckt ein kleiner Auth-Datenschnipsel namens ICE-Ufrag (kurz für „username fragment“). Normalerweise ist es ein zufälliger, wertloser String, der lediglich die aktuelle Sitzung kennzeichnet.
Bevor der Browser den Verbindungsaufbau startet, legt er eine SDP-Beschreibung (Session Description Protocol) an. Meta manipuliert diese SDP mit einem JavaScript, der das _fbp-Cookie in das Feld a=ice-ufrag: hineinkopierkopiert. Damit wandert das Cookie völlig unsichtbar in jedem STUN-Paket, das der Browser anschließend versendet. Diese Praxis – das manuelle Umbauen der SDP (im Fachjargon: SDP-Munging) — gilt seit Jahren als unsauber. Es hebelt nämlich die Sicherheitsgarantien des Browsers unsichtbar auf.
Der Pixel-Code initiiert nun eine „Peer-Connection“ zu der Loopback-Adresse 127.0.0.1 und wählt dabei die UDP-Ports 12580-12585, auf denen die Facebook- und/oder Instagram-App eben im Hintergrund lauscht. Die STUN-Bindungsanfrage fliegt als UDP-Datagramm an diese Ports – inklusive des präparierten ICE-Ufrag-Felds.
Die App zieht den Cookie-Wert aus dem ICE-Ufrag-Schnipsel, kombiniert ihn mit der internen Nutzer-ID (die sie sei der Anmeldung des Benutzers in der mobilen App ja gut kennt) und schickt das Paket an Metas Back-End-Server. Damit ist die Brücke zwischen einem scheinbar anonymen Web-Besuch und einem spezifischen Facebook- oder Instagram-Konto geschlagen – völlig ohne klassische Cookie-Synchronisation und sogar dann, wenn der Browser im Inkognito-Modus läuft. (Wofür gibt es denn den Inkognito-Modus?)
Die Facebook- und Instagram-Apps lauschen im Hintergrund. Wann immer der Nutzer eine Website mit dem Meta Pixel besucht, stellt der Code dieser Tracking-Skripte WebRTC-Verbindungen her, um das "_fbp"-Cookie – einen First-Party-Identifier – direkt an die nativen Apps zu übermitteln. So hebelt Meta die Trennung zwischen Web- und App-Daten auf Android-Geräten aus. Volltreffer!
Yandex-Apps wie Maps, Browser oder Navigator horchen schon seit Februar 2017 auf TCP-Ports :29009/30102 und HTTPS-Ports :29010/30103 — ein siebenjähriges Schattennetz. Das Metrica-Skript sendet HTTP-Aufrufe an diese Ports oder an yandexmetrica.com, das sich lustigerweise zu 127.0.0.1 auflöst. Die App antwortet mit einem Base64-Block; darin steckt u.a. die Android-Advertising-ID. Danach wandert der Datensatz zurück ins Web-Skript und von dort zu Yandex – komplett unbemerkt vom Betriebssystem. Wie trickreich.
Der Vorfall wirft schwerwiegende datenschutzrechtliche Fragen auf, sowohl in Bezug auf ungewollte Überwachung als auch auf die kommerzielle Verwertung von Nutzerdaten, die sich die betreffenden Anbieter anscheinend ohne die informierte Einwilligung der Betroffenen und im Widerspruch zu den vom Betriebssystem auferlegten Einschränkungen erschlichen haben konnten.
Das Schweigen der Schnüffler
Es gebe derzeit keine Hinweise darauf, dass Meta oder Yandex diese Tracking-Funktionen den Websites, die die Tracker hosten, oder den Endbenutzern, die diese Websites besuchen, offengelegt haben. Informationen aus Entwicklerforen deuten darauf hin, dass Meta und Yandex dieses Verhalten den Website-Entwicklern nicht mitgeteilt haben.
Tatsächlich waren viele Website-Betreiber, die Meta Pixel nutzen, überrascht, als das Skript begann, sich mit lokalen Ports zu verbinden, wie mehrere Forenbeiträge nahelegen. Nicht nur habe es Meta unterlassen, die Website-Betreiber über diese Tracking-Methode in Kenntnis zu setzen, sondern habe auch ihre Beschwerden und Fragen ignoriert, kommentierte Güneş Acar, Assistenzprofessor an der Radboud University, der die Untersuchung mitleitete und die erste Entdeckung machte. Diese Art des plattformübergreifenden Trackings sei aus seiner Sicht „beispiellos“ – und „besonders überraschend, da sie von zwei Unternehmen kommt, die Milliarden von Nutzern weltweit bedienen“.
Güneş Acar, Assistant Professor, Radboud University.
(Bild: Radboud University)
Meta zeigte sich zunächst trotzig – man stehe „in Gesprächen mit Google, um ein mögliches Missverständnis über die Anwendung ihrer Richtlinien auszuräumen“, hieß es. Nach einer gewissen Denkpause lenkte Meta plötzlich ein und habe die „Funktion“ zum 3. Juni 2025 „pausiert“, während man gemeinsam mit Google an einer „Lösung“ arbeite. Jemand hat sich offenbar erschrocken.
Yandex wies alle Vorwürfe mit den Worten zurück: „Yandex hält sich strikt an Datenschutzstandards und de-anonymisiert keine Nutzerdaten“; die betreffende Funktion würde „keine sensiblen Informationen“ sammeln. Forschende fanden indes klare Hinweise, die dieser Darstellung widersprechen.
Browser-Hersteller zeigen sich ihrerseits bestrebt, sich jeglichen Schuldzuweisungen zu entziehen. Chrome ab Version 137 (vom 26. Mai 2025) blockiert die missbrauchten UDP-Ports und unterbindet SDP-Munging. Brave war zu keinem Zeitpunkt betroffen, da man strenge Regeln für Localhost-Zugriffe bereits in 2022 implementiert habe. DuckDuckGo hat nach der Offenlegung der Spionage Yandex-Domains geblockt.
Firefox arbeitet seit mehreren Jahren an der Eindämmung von Metas Appetit auf Nutzerdaten mit Features wie Enhanced Tracking Protection (ETP) und Query Parameter Stripping. Firefox hat in der Version 139 die eigenen Tracking-Schutzmaßnahmen verbessert, aber es gibt keine eindeutige Bestätigung, dass ein spezifischer Fix für Facebook Pixel Tracking oder das _fbp-Cookie vollständig implementiert wurde.
Wie dem auch sei: Solange Googles Android jede App ohne Rückfrage einen lokalen Server starten ließe, würde das Risiko von Schnüffeleien weiterhin bestehen bleiben, glauben die Sicherheitsforscher.
Das grundlegende Problem, das diesen Angriff ermögliche, bestünde demnach in der fehlenden Kontrolle über die lokale Host-Kommunikation auf den meisten modernen mobilen Plattformen, glaubt Professor Vallina-Rodríguez.
Um diesen Missbrauch zu verhindern, müssten mobile Plattformen und Browser den Zugriff auf lokale Ports von Grund auf überarbeiten. Bis dahin bestehe die einzige Möglichkeit, diesen Missbrauch zu verhindern, darin, Apps wie Facebook, Instagram und jene von Yandex nicht herunterzuladen.
Möglicherweise hätten die meisten Browserhersteller und Plattformbetreiber diesen Missbrauch in ihren Bedrohungsmodellen gar nicht auf dem Radar gehabt, spekuliert Professor Vallina-Rodríguez.
Technische Abwehrmaßnahmen sollten jedoch die legitime Nutzung von Localhost-Sockets, wie Betrugsschutz- oder Authentifizierungsmethoden, nicht beeinträchtigen, glaubt Professor Vallina-Rodríguez. Daher sei es aus seiner Sicht notwendig, jede technische Lösung wie neue Sandboxing-Prinzipien und mehr Testmodelle durch strengere Plattformrichtlinien und Store-Überprüfungsprozesse zu ergänzen, um „Missbrauch einzuschränken und so andere Tracking-Dienste davon abzuhalten, in Zukunft ähnliche Methoden zu verwenden.“
Tim Vlummens, Doktorand an der KU Leuven in Belgien und Mitglied der Forschungsgruppe Computer Security and Industrial Cryptography (COSIC).
(Bild: Tim Vlummens)
Obwohl diese Tracking-Methode technisch auch unter iOS möglich wäre – Entwickler können dort ebenfalls Localhost-Verbindungen aufbauen und Apps könnten „mithören“ –, fanden die Forschenden keinerlei Hinweise darauf, dass Meta oder Yandex sie auf iOS-Geräten eingesetzt hätten. Dies dürfte daran liegen, dass Apples strikte Beschränkung von Hintergrundprozessen persistentes Belauschen der Kommunikation verhindern würde. Apple hat in der Vergangenheit Meta unter anderem daran gehindert, über eine eigene VPN-App systemweit Daten zu sammeln. Im Gegenzug hat Meta selbst in seinen eigenen iOS-Apps bestimmte Apple-Intelligence-Technologien deaktiviert.
In der EU versucht Meta aktuell, über den Digital Markets Act (DMA) weitreichende Interoperabilitätsrechte zu erzwingen, die Meta-Apps mehr Zugriffsrechte auf Systemdaten unter iOS verschaffen würden.
Der Digital Markets Act (DMA) sollte Marktmacht der sogenannten „Gatekeeper des Internets“ zügeln. Stattdessen versucht Meta, das Gesetz als Türöffner zu missbrauchen. Laut Reuters hat Meta bereits 15 Interoperabilitätsanträge gestellt – mehr als jede andere Firma. Apple warnt, die geforderten Schnittstellen könnten Meta theoretisch Einblick in Nachrichten, E-Mails, Telefonate, Fotos, Kalendereinträge, Passwörter und mehr verschaffen. Da Apple laut DMA bei „berechtigten“ Anträgen mit Bußgeldern rechnen muss, spricht Cupertino von „Overreach“, während Meta auf dem Standpunkt steht, man würde ja lediglich Gleichbehandlung einfordern. Na sowas!
Fazit
Laut Sicherheitsforschern nutzen Meta (Facebook) und Yandex eine Lücke in Androids Sicherheitsarchitektur aus, um Web- und App-Identitäten heimlich zusammenzuführen. So entstanden detaillierte Surf-Profile, die an Facebook- oder Yandex-Konten gekoppelt sind. Selbst im Inkognito-Modus bleiben die Nutzer vor den Schnüffeleien nicht verschont.
Über die Autoren: Das Autorenduo Anna Kobylinska und Filipe Pereira Martins arbeitet für McKinley Denali, Inc., USA.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/22/73/22730c04c682010e01df5368d9843149/0116535744.jpeg "Immer noch eines der beliebtesten Passwörter: 123456. Sicherheitstechnisch natürlich ein No-Go! (Bild: Angela Rohde - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/21/3a21c848e6e81af5f55488380ecd91e4/0124895477v2.jpeg "Zu den jüngst im Darknet aufgetauchten Facebook-Daten gehören Namen, E-Mail-Adressen und Standorte der Nutzer. Meta behauptet jedoch, dass die Informationen aus einem Sicherheitsvorfall stammen würden, der bereits Jahre zurückliege. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7f/8f/7f8f2926af9681cc05b938b4bac78e5d/0116315977.jpeg "Sicherheitsforscher haben die größte Datenleck-Sammlung aller Zeiten, mit 26 Milliarden Datensätzen identifiziert. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/f2/daf23771f43305bf5846f5a37d0081df/0113119209.jpeg "Angesichts der immensen Datenmengen, die Online gesammelt werden und der Komplexität moderner digitaler Systeme, brauchen Nutzer dringend neue Lösungen, die persönliche Daten schützen. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/6a/db6a99e7f03fe54757feac3b1ac5be03/0121060579v1.jpeg "Obwohl Mozialla als datenschutzfreundliche Alternative zu anderen Browsern gilt, hat Noyb nun Beschwerde bei der österreichischen Datenschutzbehörde eingereicht (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/bb/70bb0264d83af9050bdc50e6c7ba6e5d/0116939054.jpeg "Tracking und Datenschutz bleibt ein Bereich, der mehr Klarheit und Klärung bedarf. Richtlinien und Initiativen auf EU-Ebene entwickeln sich, doch auch die Technik, die für Tracking genutzt werden kann, macht nicht halt. (Bild: Rutmer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/07/5e07595f117a00375bafbf01f867f172/0121304649v2.jpeg "Das Ziel des DMA sind faire Wettbewerbsbedingungen im digitalen Markt und die Regulierung der Marktmacht großer Technologieunternehmen, sogenannter „Gatekeeper\". (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/d2/cbd273b3eca4edc573db6bcc0a64b161/0128417837v2.jpeg "Betroffen von einer weiteren Sammelklage könnten alle Facebook- und Instagram-Nutzenden sein, deren Daten über Meta-Business-Tools ohne Zustimmung gesammelt wurden. Sie können sich kostenlos über das Verbandsklageregister der Sammelklage anschließen, um möglichen Schadenersatz geltend zu machen.
( © Gina Sanders - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/35/08/350864e39733d3d1e224d71a2f24ec05/0127561731v2.jpeg "Müssen deutsche iPhone-User bald auf die Anti-Tracking-Abfrage verzichten? (Bild: Dall-E / KI-generiert)")