Die Gesetzeslage ist eindeutig: Firmen wie Apple und Facebook/Meta sind dazu verpflichtet, auf behördlichen Antrag Nutzerdaten herauszugeben. In den meisten Ländern benötigt es dafür eine richterliche Anweisung, es gibt aber auch Ausnahmen. So sehen etwa US-Gesetze eine solche für Notsituationen vor – also wenn Leben auf dem Spiel stehen.

Prüfung, fehlgeschlagen

Emergency Data Request (EDR) nennt sich dieses System, bei dem es besonders wichtig ist, dass die Unternehmen eine rasche, aber zuverlässige Prüfung des Antrags vornehmen. Genau an dieser Stelle dürften nun zwei Branchengrößen gepatzt haben, mit für die Nutzer äußerst unerfreulichen Konsequenzen.

Sowohl Apple als auch Meta sollen Mitte 2021 im Rahmen einer solchen Anfragen private Daten von Nutzern direkt an Hacker herausgegeben haben, berichtet Bloomberg. Diese hatten sich zuvor in den internen Systemen einzelner Polizeibehörden eingenistet und von dort aus einen gefälschten Notfallantrag gestellt. Das scheint den beiden Firmen nicht aufgefallen zu sein, also wurden sensible Informationen zu einzelnen Konten wie Adresse, Telefonnummer und IP-Adresse herausgegeben.

Grundlegendes Problem

Es scheint sich dabei auch um kein isoliertes Problem zu handeln. So hatte der Sicherheitsforscher Brian Krebs vor einigen Tagen von einer raschen Zunahme an gefälschten EDR-Anträgen berichtet. Dabei werden zwei Faktoren genutzt: der Zeitdruck, der mit solch einer Anfrage verbunden ist und eine vernünftige Überprüfung schwer macht, sowie dass dieses System eben ohne richterliche Anordnung läuft. Dazu kommt, dass es für die Hacker oft ein Leichtes ist, sich in die Mailsysteme kleinerer Polizeistellen einzuschleusen.

Krebs spannt dabei den Bogen zu einer derzeit vieldiskutierten Hackergruppe. So sollen sich auch die Hacker von LAPSUS$, die mit erfolgreichen Angriffen gegen Microsoft, Okta und Nvidia unlängst für Aufregung sorgten, dieser Methode bedient haben, um Informationen über Zielpersonen zu sammeln. Vor wenigen Tagen wurden sieben mutmaßliche Mitglieder der Gruppe verhaftet, bei allen handelt es sich um Jugendliche.

Reaktionen

Bei Apple versichert man, alle Anfragen genau zu prüfen. So werde immer eine Nachfrage bei einer Kontaktperson der Behörde getätigt, ob die Anfrage auch echt sei, bevor Daten herausgegeben werden. Meta wiederum versichert, dass man sich solcher Angriffe bewusst sei, gefälschte Anfragen routinemäßig ablehne und dabei auch direkt mit den Behörden zusammenarbeite.

Im konkreten Fall scheinen die Sicherheitssystem der beiden Unternehmen nicht gegriffen zu haben. Unklar ist, ob noch eine dritte Firma betroffen ist. So ist dokumentiert, dass die Hacker auch eine Anfrage an Snap gestellt haben; ob diese auch beantwortet wurde, wollte das Unternehmen zunächst nicht beantworten. (apo, 31.3.2022)