phoenixcognition.com

Datenschutzerklärung

gemäß Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG)

Stand: 14. Mai 2026

1. VERANTWORTLICHER

Verantwortlicher im Sinne der DSGVO ist:

Adam Brooke Suite 130, Unit 9B Roper Cl Canterbury CT2 7EP United Kingdom

E-Mail: research@phoenixcognition.com Telefon: +49 911 2101 1512 Fax: +49 911 9684 4727

Datenschutzanfragen: E-Mail: GDPR@phoenixcognition.com Fax: +49 911 9684 4727

2. DATENSCHUTZBEAUFTRAGTER

Ein Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Schwellenwerte gemäß § 38 BDSG i.V.m. Art. 37 DSGVO nicht erreicht werden. Anfragen zum Datenschutz richten Sie bitte direkt an den Verantwortlichen unter GDPR@phoenixcognition.com oder per Fax.

3. ZWECK DIESER WEBSITE

phoenixcognition.com und sämtliche zugehörigen Subdomains werden als Sicherheitsforschungs-Instanz betrieben. Die Datenverarbeitung dient ausschließlich folgenden Zwecken:

a) Erkennung, Analyse und Dokumentation von Angriffsmustern auf öffentlich erreichbare Webdienste, b) Erhebung von Indicators of Compromise (IoC) und deren Weitergabe an staatliche Stellen und CERTs, c) Forschung zur Betrugserkennung im Zahlungsverkehr in Kooperation mit lizenzierten Zahlungsdienstleistern, d) wissenschaftliche Auswertung und Publikation anonymisierter Ergebnisse.

Es werden keine kommerziellen Dienstleistungen angeboten. Verträge mit Verbrauchern kommen über diese Website nicht zustande.

4. ERHEBUNG UND VERARBEITUNG PERSONENBEZOGENER DATEN

4.1 Server-Log-Files

Bei jedem Aufruf werden folgende Daten automatisiert erhoben:

– IP-Adresse – Autonomous System Number (ASN) und ASN-Operator – Geographische Zuordnung auf Ebene Land / Region – Datum und Uhrzeit des Zugriffs (UTC) – HTTP-Methode, angeforderte URI, Statuscode – Referrer-URL – User-Agent-Zeichenkette – übertragene Datenmenge

4.2 Transport-Layer-Fingerprinting

Bei TLS-Verbindungen erhebt der Server zusätzlich:

– JA3-Hash der TLS-Client-Hello-Nachricht – JA4-Hash gemäß FoxIO-Spezifikation – Liste der angebotenen Cipher-Suites und Extensions – TLS-Versionsmerkmale

Diese Daten dienen ausschließlich der Erkennung automatisierter Tools und bekannter Angriffs-Toolkits.

4.3 Formulareingaben

Sämtliche Eingaben in Formulare auf dieser Website werden vollständig erfasst und gespeichert. Hierzu zählen insbesondere:

– E-Mail-Adressen und gewählte Passwörter, – sonstige im Rahmen eines Anmeldevorgangs übermittelte Inhalte.

Passwörter werden vor der Speicherung mit einem salzgewürzten kryptographischen Hash-Verfahren (Argon2id) unkehrbar transformiert. Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert.

Diese Website fordert keine Zahlungsdaten an und nimmt keine Zahlungen entgegen.

4.3a Telefonische Kontaktaufnahme

Wenn Sie unter der im Impressum genannten Telefonnummer (+49 911 2101 1512) anrufen, wird das Gespräch zu Sicherheits- und Qualitätssicherungszwecken aufgezeichnet. Zu Beginn jedes Anrufs wird eine deutschsprachige Ansage abgespielt, die Sie über die Aufzeichnung informiert und Ihnen die Möglichkeit gibt, das Gespräch zu beenden. Durch Fortsetzen des Gesprächs erteilen Sie Ihre Einwilligung in die Aufzeichnung im Sinne des Art. 6 Abs. 1 lit. a DSGVO sowie § 201 StGB. Die Aufnahme wird zu denselben Forschungszwecken ausgewertet wie die übrigen unter dieser Ziff. 4 genannten Daten und unterliegt derselben Speicherdauer gemäß Ziff. 8.

4.4 Verhaltens-Telemetrie

Erfasst werden ferner anonymisierte Telemetrie-Daten zum Interaktionsverhalten (Tastatur- und Maus-Zeitprofile, Formular-Befüllungs-Reihenfolge, Verweildauer), soweit diese zur Unterscheidung zwischen menschlicher und automatisierter Nutzung erforderlich sind.

4.5 KLASSIFIKATION UND DIFFERENZIERTE ERFASSUNG NACH DEM GRUNDSATZ DER DATENMINIMIERUNG

Vor jeder Speicherung erfolgt eine automatisierte technische Klassifikation der Anfrage. Ziel ist die Unterscheidung zwischen regulärer Nutzung durch eine natürliche Person über einen üblichen Webbrowser ("Bona-Fide-Nutzung") und automatisierten Zugriffen durch Werkzeuge, Skripte oder Bot-Netze.

Die Klassifikation stützt sich ausschließlich auf technische Merkmale der Verbindung:

(a) Reputation und Typ des herkunftsseitigen Autonomous System (ASN), insbesondere Unterscheidung zwischen Endkunden-Netzen, Rechenzentren, Anonymisierungs- diensten und kommerziellen Proxy-Netzwerken; (b) Transport-Layer-Fingerprint (JA3, JA4) im Abgleich mit bekannten Browser- und Werkzeug-Signaturen; (c) Vollständigkeit und Konsistenz der HTTP-Header, insbesondere User-Agent, Accept-Language sowie Sec-CH-UA Client-Hints; (d) Einsprungspfad, Cookie- und JavaScript-Unterstützung; (e) Verhaltens-Telemetrie gemäß Ziff. 4.4.

Bei positiver Bona-Fide-Klassifikation wird die Erfassung auf das gemäß § 100 TKG zur Störungserkennung unverzichtbare Mindestmaß beschränkt. In diesem Fall werden NICHT erhoben oder gespeichert:

– gehashte Passwort-Eingaben (Ziff. 4.3), – vollständige Formularinhalte (Ziff. 4.3), – über die einzelne Anfrage hinausgehende Verhaltens- Telemetrie (Ziff. 4.4).

Im Falle einer Bona-Fide-Klassifikation werden ausschließlich die folgenden, gesetzlich unverzichtbaren Daten gespeichert: IP-Adresse, Zeitstempel, angeforderter URI, HTTP-Statuscode. Die Speicherdauer für diese Daten beträgt sieben Tage.

Eine über das vorstehende Maß hinausgehende Erfassung erfolgt ausschließlich bei negativer Klassifikation. Diese Differenzierung dient der konsequenten Umsetzung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) sowie dem Schutz Bona-Fide-Nutzer vor einer für sie nicht zumutbaren Verarbeitung.

Die Klassifikation entfaltet KEINE rechtliche Wirkung gegenüber dem Betroffenen im Sinne von Art. 22 Abs. 1 DSGVO. Sie führt weder zu einer Verweigerung von Diensten noch zu einer rechtsverbindlichen Bewertung der Person.

Bona-Fide-Nutzer können jederzeit unter GDPR@phoenixcognition.com eine vollständige Auskunft gemäß Art. 15 DSGVO über die zu ihrer IP-Adresse im Zeitraum gespeicherten Daten anfordern. Aufgrund der strengen Datenminimierung wird die Antwort regelmäßig sehr kurz ausfallen.

4.5(a) AKTIVE AUFKLÄRUNG BONA-FIDE-NUTZER

Wird eine Anfrage gemäß Ziff. 4.5 als Bona-Fide-Nutzung klassifiziert und ruft der Nutzer eine Seite auf, die ein Eingabeformular enthält, so wird das Formular nicht unmittelbar bereitgestellt. Stattdessen wird zunächst ein zweisprachiger Hinweis (Deutsch und Englisch) angezeigt, der den Forschungscharakter dieser Website ausdrücklich offenlegt und den Nutzer auffordert, keine echten Zugangs- oder personenbezogenen Daten einzugeben.

Der Nutzer hat die Möglichkeit:

(a) die Seite zu verlassen — in diesem Fall werden außer den gemäß Ziff. 4.5 ohnehin erhobenen Mindestdaten keine weiteren Daten erhoben; (b) den Hinweis zu bestätigen und im Bewusstsein des Forschungscharakters fortzufahren — die Bestätigung wird als Einwilligungs-Nachweis gemäß Art. 7 Abs. 1 DSGVO mit Zeitstempel, IP-Adresse und URI gespeichert.

Auch nach erfolgter Bestätigung bleibt die Datenminimierung gemäß Ziff. 4.5 unberührt; eine erweiterte Erfassung erfolgt ausschließlich bei negativer Bona-Fide-Klassifikation.

Diese Maßnahme dient der Wahrung der Transparenzpflichten gemäß Art. 12 und Art. 13 DSGVO sowie dem aktiven Schutz Bona-Fide-Nutzer vor einer unbeabsichtigten Datenoffenbarung.

5. RECHTSGRUNDLAGEN

Die Verarbeitung erfolgt auf Grundlage folgender Normen:

a) Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Netz- und Informationssicherheit (Art. 32 DSGVO, ErwG 49 DSGVO); b) Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle (§ 8b Abs. 4 BSIG, NIS-2-Umsetzungsgesetz); c) Art. 6 Abs. 1 lit. e DSGVO — Wahrnehmung einer Aufgabe im öffentlichen Interesse (Beitrag zur Cyberabwehr); d) § 100 Abs. 1 TKG i.V.m. § 165 TKG — Speicherung von Verkehrsdaten zur Störungserkennung; e) Art. 7 Abs. 1 DSGVO — Einwilligung gemäß Ziff. 4.5(a).

6. EMPFÄNGER UND ÜBERMITTLUNG AN DRITTE

6.1 Hosting-Dienstleister

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Die Verarbeitung erfolgt im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

6.2 Behörden und CERTs

– Bundesamt für Sicherheit in der Informationstechnik (BSI) und CERT-Bund, Bonn; – Bundeskriminalamt (BKA), Sachgebiet Cybercrime, Wiesbaden; – zuständige Staatsanwaltschaften nach § 152 StPO bei Anfangsverdacht von Straftaten.

6.3 Internationale Stellen

– Cybersecurity and Infrastructure Security Agency (CISA), Automated Indicator Sharing (AIS), USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Beschluss der Kommission C(2023) 4745) sowie Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO; – European Union Agency for Cybersecurity (ENISA), Athen.

6.4 Lizenzierte Zahlungsdienstleister

Aggregierte und pseudonymisierte Sicherheitsindikatoren können an einen lizenzierten Zahlungsdienstleister mit Sitz in der Europäischen Union im Rahmen der gemeinsamen Betrugsabwehr nach § 25h KWG übermittelt werden. Hierzu zählen ausschließlich Verhaltensmuster, technische Fingerabdrücke und Indicators of Compromise — keine Karteninhaberdaten. Die Identität des Empfängers wird auf Anfrage einer Aufsichtsbehörde offengelegt.

7. DRITTLANDSÜBERMITTLUNG UND GEEIGNETE GARANTIEN

Eine Übermittlung in Drittländer findet ausschließlich im Rahmen von Ziff. 6.3 statt. Die Garantien gemäß Art. 46 DSGVO bestehen in Form von:

a) Angemessenheitsbeschluss der EU-Kommission für die USA (EU-US Data Privacy Framework, 2023/1795), b) Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914 der EU-Kommission.

Eine Kopie dieser Garantien kann beim Verantwortlichen angefordert werden.

8. SPEICHERDAUER

– Server-Log-Files und Verkehrsdaten bei Bona-Fide- Klassifikation (Ziff. 4.5): 7 Tage; – Server-Log-Files und Verkehrsdaten bei negativer Klassifikation: bis zu 36 Monate ab Erhebung; – Verhaltens-Telemetrie (negativ klassifiziert): bis zu 36 Monate ab Erhebung; – Formulareingaben (gehashte Passwörter, E-Mail-Adressen) bei negativer Klassifikation: bis zu 36 Monate; – Anonymisierte Aggregate für wissenschaftliche Zwecke: unbegrenzt; – Einwilligungs-Nachweise gemäß Ziff. 4.5(a): bis zu 3 Jahre ab Erteilung.

Eine vorzeitige Löschung erfolgt, sobald die jeweilige Zweckbindung entfällt.

9. SICHERHEITSMAßNAHMEN

Folgende technisch-organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO sind implementiert:

– durchgängige Transportverschlüsselung (TLS 1.3), – verschlüsselte Speicherung sensibler Daten, – getrennte Auftragsverarbeitung (Hetzner), – Zugriffskontrolle nach Need-to-know-Prinzip, – salzgewürzte Argon2id-Hashes für Passwortmaterial, – asymmetrische Verschlüsselung forensischer Aufzeichnungen zum Empfänger (siehe Ziff. 11), – regelmäßige Sicherungs- und Wiederherstellungstests, – forensische Protokollierung sämtlicher administrativer Eingriffe (Audit-Log).

10. COOKIES UND TRACKING-TECHNOLOGIEN

Diese Website setzt ausschließlich technisch notwendige Cookies gemäß § 25 Abs. 2 Nr. 2 TTDSG. Hierzu zählen insbesondere der Einwilligungs-Cookie gemäß Ziff. 4.5(a), Session-Cookies zur Funktion der bona-fide-Klassifikation sowie der MONKE_VIEWER-Cookie, der ausschließlich betriebsinternen Forschungs-Zwecken des Verantwortlichen zur Überwachung der eigenen Sicherheitsforschungs-Instanz dient und keinerlei Daten Dritter erhebt oder verarbeitet.

Drittanbieter-Cookies, Web-Analytics-Dienste und Werbenetzwerke werden nicht eingesetzt.

11. VERSCHLÜSSELUNG SENSIBLER DATEN

Forensische Aufzeichnungen bei negativer Bona-Fide- Klassifikation werden unmittelbar nach Empfang mit dem öffentlichen Schlüssel eines empfangenden Forschungs- Partners asymmetrisch verschlüsselt (age v1 oder OpenPGP). Eine Entschlüsselung ist technisch ausschließlich dem Empfänger möglich. Weder der Verantwortliche noch sonstige Personen verfügen über den hierfür erforderlichen privaten Schlüssel.

12. BETROFFENENRECHTE

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

– Recht auf Auskunft (Art. 15 DSGVO), – Recht auf Berichtigung (Art. 16 DSGVO), – Recht auf Löschung (Art. 17 DSGVO), – Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), – Recht auf Datenübertragbarkeit (Art. 20 DSGVO), – Recht auf Widerspruch (Art. 21 DSGVO).

Bitte beachten Sie, dass Rechte aus Art. 17 und 18 DSGVO gemäß Art. 17 Abs. 3 lit. b und e DSGVO eingeschränkt sein können, soweit die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung rechtlicher Ansprüche erforderlich ist.

Anfragen sind vorzugsweise per Fax an die in Ziff. 1 genannte Nummer zu richten. Anfragen per E-Mail an GDPR@phoenixcognition.com sind möglich; für eine verbindliche Auskunft kann die Identität des Antragstellers über einen Fax-Rückkanal oder eine qualifizierte elektronische Signatur (eIDAS) verifiziert werden.

13. BESCHWERDERECHT

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach Tel.: +49 (981) 180093-0 E-Mail: poststelle@lda.bayern.de

14. AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung für den Betroffenen im Sinne des Art. 22 DSGVO findet auf dieser Website nicht statt.

Eine automatisierte Klassifikation von Anfragen anhand technischer Merkmale (vgl. Ziff. 4.2, 4.4, 4.5) wird zwar durchgeführt, entfaltet jedoch keine unmittelbare rechtliche Wirkung gegenüber dem Betroffenen.

15. DATENSCHUTZ-FOLGENABSCHÄTZUNG

Eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO wurde vor Inbetriebnahme dieser Sicherheitsforschungs- Instanz durchgeführt. Die Risiken für die Rechte und Freiheiten der Betroffenen wurden gegen das berechtigte Interesse an der Aufrechterhaltung der Cyber-Sicherheit abgewogen und durch die in Ziff. 9, 11 sowie 4.5 und 4.5(a) dokumentierten Maßnahmen angemessen mitigiert.

Eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO war nicht erforderlich, da kein hohes Restrisiko verbleibt.

16. WIDERRUFSRECHT

Soweit die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a oder Art. 7 Abs. 1 DSGVO beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

17. AKTUALITÄT UND ÄNDERUNGEN

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand vom 14. Mai 2026. Bei wesentlichen Änderungen behalten wir uns vor, die Erklärung anzupassen. Die jeweils aktuelle Fassung ist abrufbar unter https://phoenixcognition.com/datenschutz.

18. HINWEIS AN REGULÄRE BESUCHER · NOTE TO BONA-FIDE VISITORS

Deutsch

Wenn Sie bis hierher gescrollt haben, sind Sie sehr wahrscheinlich ein Mensch und kein automatisiertes Werkzeug. Wir möchten Ihnen daher in klarer Sprache und ohne juristischen Jargon erklären, wie wir Sie schützen.

Diese Website ist eine Sicherheitsforschungs-Instanz. Das bedeutet: sie sieht aus wie ein normales Online-Angebot, ist aber bewusst so gestaltet, dass automatisierte Angriffe sie für ein lohnendes Ziel halten. Die dabei anfallenden Daten geben wir an staatliche Stellen und an Sicherheitsforscher weiter, um Angriffsmuster aufzuklären.

Wir sind uns bewusst, dass auch reguläre, neugierige oder versehentliche Besucher hier landen können. Für diese Besucher haben wir den folgenden Schutz eingebaut:

  1. Automatische Erkennung. Schon vor der ersten Datenspeicherung prüft ein technisches Verfahren, ob Ihre Anfrage von einem üblichen Webbrowser stammt — anhand des Netzwerks, des TLS-Fingerabdrucks, der HTTP-Header und Ihres Interaktionsverhaltens. Das ist in Ziff. 4.5 ausführlich beschrieben.

  2. Aktive Warnung vor jeder Eingabe. Wird eine Anfrage als regulär eingestuft, blockiert das System jedes Formular auf dieser Website. Stattdessen erscheint zuerst ein zweisprachiger Hinweis, der Sie klar und unmissverständlich warnt, dass dies eine Forschungs- Seite ist und Sie hier keine echten Zugangsdaten eingeben sollten. Sie haben dann zwei Schaltflächen: weitermachen, wenn Sie verstanden haben, was Sie tun — oder die Seite verlassen.

  3. Datenminimierung als Standard. Auch wenn Sie weitermachen, speichern wir bei einer regulären Klassifikation NUR vier Felder: IP-Adresse, Zeitstempel, angefragten Pfad, HTTP-Statuscode. Die Speicherung beträgt sieben Tage. Keine Passwörter — auch keine gehashten. Keine Formularinhalte. Keine Verhaltens-Telemetrie über die einzelne Anfrage hinaus.

  4. Sie können nichts kaputtmachen. Wenn Sie versehentlich in einem Login-Formular getippt haben, bevor der Hinweis erschien, wurde dieser Inhalt nicht gespeichert. Bei regulärer Klassifikation werden Formularinhalte garantiert verworfen, bevor sie die Speicherung erreichen — vor jeder Klassifikation des Inhalts.

  5. Sie haben das letzte Wort. Wenn Sie Zweifel haben, ob unsere automatische Erkennung Sie richtig eingestuft hat, schreiben Sie uns an GDPR@phoenixcognition.com. Wir geben Ihnen vollständige Auskunft gemäß Art. 15 DSGVO. Dank der strengen Datenminimierung wird unsere Antwort meist sehr kurz ausfallen — und genau das ist der Punkt.

Wir hätten es uns einfacher machen können und einfach alles loggen. Wir haben es nicht getan, weil echter Datenschutz mehr ist als ein Banner. Wenn Sie das hier gelesen haben, wissen Sie jetzt warum.

English

If you have scrolled this far, you are almost certainly a real person and not an automated tool. So we want to explain, in plain language and without legal jargon, exactly how we protect you.

This website is a security-research instance. That means: it is designed to look like an ordinary online service because automated attackers should believe it is a worthwhile target. The data we capture from those attackers we share with state cybersecurity agencies and trusted research partners to help map attack patterns.

We know that real, curious, or accidental visitors will also occasionally land here. For those visitors we built the following safeguards:

  1. Automatic recognition. Before any data is stored, a technical procedure checks whether your request comes from an ordinary web browser — using the network you came from, your TLS fingerprint, your HTTP headers, and your interaction pattern. This is described fully in Section 4.5 above.

  2. Active warning before any input. If your request is classified as bona-fide, the system blocks every form on this site. A bilingual warning appears first, telling you clearly and unmistakably that this is a research site and you should not enter real credentials here. You then have two buttons: continue if you understand what you are doing — or leave the site.

  3. Data minimisation by default. Even if you choose to continue, when you are classified as bona-fide we store ONLY four fields: your IP address, timestamp, requested path, HTTP status code. The retention period is seven days. No passwords — not even hashed. No form contents. No behavioural telemetry beyond the single request.

  4. You cannot break anything. If you accidentally typed into a login form before the warning appeared, that content was not stored. With a bona-fide classification, form contents are discarded before they reach storage — guaranteed by the architecture, not by promise.

  5. You have the last word. If you doubt that our automatic recognition classified you correctly, write to us at GDPR@phoenixcognition.com. We will give you a full Art. 15 DSGVO subject-access response. Because of the strict data minimisation, our answer will usually be very short — and that is precisely the point.

We could have made this simpler and just logged everything. We chose not to, because real privacy is more than a banner. If you have read this far, you now know why.

Adam Brooke, on behalf of phoenixcognition.com