Massenüberwachung per Werbetracking: Webloc überwacht Smartphones weltweit
Massenüberwachung per Werbetracking: Webloc nutzt App-Daten – Behörden kaufen Standortdaten oftmals ohne richterliche Kontrolle.
Inhalt
* Massenüberwachung per Werbetracking: Entstehung eines globalen Systems
* 500 Millionen Geräte nahezu in Echtzeit erfasst
* Massenüberwachung per Werbetracking: Vom Tracking zur Überwachungsplattform
* Smartphones im Zentrum der Datensammlung
* Datensammlung im Werbeökosystem: Von anonymen Daten zu realen Personen
* Wer nutzt solche Systeme?
* Überwachung ohne richterliche Kontrolle
* Mission Creep: Vom Terrorismus zur Alltagskriminalität
* Europa: Zwischen DSGVO und Realität
* Massenüberwachung per Werbetracking: Datenspur reduzieren
* Kontrolle über den Datenverkehr
* Grenzen des Selbstschutzes
Der aktuelle Bericht der kanadischen Forschungsgruppe Citizen Lab zeigt eine neue Dimension der Massenüberwachung per Werbetracking. Die Analyse der IT-Sicherheitsexperten legt offen, wie das System Webloc Daten aus Apps sowie der digitalen Werbeindustrie zusammenführt, um präzise Bewegungsprofile von Millionen Menschen zu erstellen. Die Daten stammen dabei nicht aus Hacks oder Abhöraktionen, sondern vorwiegend aus gewöhnlichen Smartphone-Apps.
Webloc wurde ursprünglich von der israelischen Firma Cobwebs Technologies entwickelt und wird aktuell vom US-Unternehmen Penlink vertrieben. Die Software greift auf riesige Datenströme aus der Werbeindustrie zu, sogenannte „Ad-Tech“-Daten, und verwandelt sie im Nachhinein in ein Überwachungswerkzeug.
## Massenüberwachung per Werbetracking: Entstehung eines globalen Systems
**Ein neuer Bericht** von Citizen Lab zeichnet ein verstörendes Bild moderner Überwachung. Mit der Plattform Webloc können Behörden weltweit Bewegungsprofile von hunderten Millionen Menschen erstellen, basierend auf Daten aus Apps und digitaler Werbung.
Vormals von Geheimdiensten mit hohem Aufwand betrieben, hat sich aktuell globale Massenüberwachung per Werbetracking zum kommerziellen Produkt entwickelt. Citizen Lab legt offen, wie das System „Webloc“ funktioniert und wirft dabei erhebliche Fragen für Datenschutz, Grundrechte und demokratische Kontrolle auf.
Die Grundlage dafür bildet eine gigantische Datenmenge, die im Hintergrund der Werbeindustrie anfällt. Apps erfassen Daten über Nutzer und übertragen diese an Drittanbieter, ursprünglich zur Personalisierung von Werbung. Allerdings lassen sich diese Daten auch für andere Zwecke nutzen. Im Ergebnis entsteht eine weltweite Infrastruktur zur Auswertung von Standortdaten und zur Verhaltensanalyse.
## 500 Millionen Geräte nahezu in Echtzeit erfasst
Laut der Analyse der Sicherheitsforscher verarbeitet Webloc Standortdaten von bis zu 500 Millionen mobilen Geräten weltweit. Dabei handelt es sich nicht nur um einfache Positionsdaten, sondern um ein umfassendes Datenset, das unter anderem GPS-Koordinaten, detaillierte Bewegungsprofile, Geräteinformationen sowie Nutzungsgewohnheiten umfasst. In einigen Fällen lassen sich daraus sogar Interessen und demografische Merkmale ableiten.
Der Umfang und die Tiefe dieser Datensammlung sind erheblich. Die Informationen werden kontinuierlich aktualisiert und können über einen Zeitraum von bis zu drei Jahren rückwirkend ausgewertet werden.
Das hat weitreichende Konsequenzen. Wer gegenwärtig erfasst wird, kann auch im Nachhinein umfassend analysiert werden, inklusive Aufenthaltsorten, täglichen Routinen und potenziellen sozialen Kontakten. Damit entsteht ein nahezu lückenloses Bild des persönlichen Lebensalltags. Damit zeigt sich die enorme Reichweite der Massenüberwachung per Werbetracking.
Standortdaten aus Apps können zu globalen Bewegungsprofilen zusammengeführt werden.
## Massenüberwachung per Werbetracking: Vom Tracking zur Überwachungsplattform
Der Übergang vom Werbetracking hin zu einer umfassenden Überwachungsplattform verläuft weitgehend unbemerkt und ist technisch fließend. Die zugrunde liegenden Daten stammen dabei vor allem aus zwei zentralen Quellen. Zum einen aus in Apps integrierter Tracking-Software (SDKs), zum anderen aus Werbeauktionen in Echtzeit, dem sogenannten Real-Time Bidding.
Werbeprozesse in Echtzeit, auch als Real-Time Advertising (RTA) bezeichnet, gestatten den automatisierten Kauf und die Platzierung digitaler Anzeigen innerhalb weniger Sekunden. Beim Real-Time Bidding geben Algorithmen automatisiert Gebote, also Preisangebote, auf Werbeplätze ab, um gezielt bestimmte Nutzergruppen zu erreichen. Grundlage dafür sind umfangreiche Daten über die jeweiligen Nutzer, anhand derer entschieden wird, wie wertvoll ein einzelner Werbekontakt ist. Diese Abläufe sind Teil des sogenannten Programmatic Advertising, bei dem der digitale Werbemarkt weitgehend automatisiert abgewickelt wird.
Jedes Mal, wenn eine App Werbung lädt, werden im Hintergrund Nutzerdaten an eine Vielzahl von Unternehmen übertragen. Diese Informationen werden über verschiedene Stationen innerhalb der Werbeindustrie weitergegeben und gelangen über Datenbroker schließlich in Systeme wie Webloc.
Ursprünglich als Instrument zur Optimierung von Werbung gedacht, entwickelt sich das System auf diese Weise zu einer Infrastruktur, die großflächige und kommerzialisierte Formen der Überwachung ermöglicht, ein wesentliches Merkmal moderner Massenüberwachung per Werbetracking.
## Smartphones im Zentrum der Datensammlung
Auch wenn grundsätzlich verschiedene internetfähige Geräte erfasst werden können, konzentriert sich die Datenerhebung laut den Forschern vor allem auf Smartphones.
Der Grund dafür liegt in den spezifischen Eigenschaften von Smartphones. Sie liefern präzise GPS-Daten, sind nahezu ständig aktiv und verfügen über eindeutige Identifikatoren wie sogenannte Advertising IDs. Diese Kombination ermöglicht es, Nutzer über längere Zeiträume hinweg eindeutig wiederzuerkennen und ihre Aktivitäten nachzuvollziehen.
Auf diese Weise lassen sich nicht nur einzelne Aufenthaltsorte erfassen, sondern vollständige Bewegungsprofile über Monate oder sogar Jahre hinweg erstellen. Diese kontinuierliche Datensammlung verleiht modernen Überwachungs-Formen ihre besondere Reichweite und Aussagekraft.
## Datensammlung im Werbeökosystem: Von anonymen Daten zu realen Personen
Ein häufig vorgebrachtes Argument der Branche lautet, die gesammelten Daten seien anonym. Die Analyse der Forscher zeigt jedoch, dass die Annahme in der Praxis kaum Bestand hat.
Durch die Verknüpfung und Auswertung von Standortdaten lassen sich zentrale Aspekte des Alltags relativ leicht rekonstruieren. Dazu gehören etwa Wohnorte, Arbeitsplätze oder regelmäßige Bewegungsmuster und Routinen.
Auch ohne direkte Namenszuordnung entsteht auf diese Weise ein detailliertes Profil einzelner Personen. Es umfasst nicht nur Aufenthaltsorte, sondern lässt auch Rückschlüsse auf das soziale Umfeld und individuelle Lebensgewohnheiten zu.
Webloc geht dabei noch einen Schritt weiter. Die Software unterstützt aktiv dabei, vermeintlich anonyme Datensätze wieder konkreten Personen zuzuordnen. Möglich wird dies durch die systematische Analyse von Bewegungsmustern, etwa durch die Identifikation von Wohn- und Arbeitsorten, sowie durch die Verknüpfung mit weiteren Datenquellen.
Zusätzlich fließen Informationen aus der Auswertung von WLAN-Netzwerken ein, während sogenannte Heatmaps genutzt werden, um typische Aufenthaltsorte und wiederkehrende Muster im Alltag sichtbar zu machen. So lässt sich ein einzelnes Gerät, und damit in der Regel auch sein Besitzer, vergleichsweise leicht identifizieren.
Aus den gesammelten Daten können Ermittler schließlich umfassende „Pattern of Life“-Profile erstellen, die detaillierte Einblicke in Lebensgewohnheiten, Routinen und soziale Zusammenhänge ermöglichen.
## Wer nutzt solche Systeme?
Behörden nutzen zunehmend Infrastruktur aus dem Werbetracking zur Auswertung von Standortdaten. Die Liste der Nutzer solcher Systeme umfasst zahlreiche staatliche Sicherheitsbehörden und liest sich wie ein internationales Netzwerk behördlicher Akteure. Zu den bekannten Anwendern zählen in den USA unter anderem die Einwanderungsbehörde ICE, das Militär, das Heimatschutzministerium (DHS) sowie verschiedene lokale Polizeibehörden. Auch in Europa gibt es erste bestätigte Fälle. In Ungarn nutzen Geheimdienste entsprechende Technologien. Darüber hinaus wurde der Einsatz in El Salvador durch die nationale Polizei dokumentiert.
Ebenso weist die Analyse auf ein erhebliches Transparenzproblem hin, insbesondere in Europa. Viele Behörden verweigern Auskünfte oder reagieren auf Anfragen nur ausweichend. Dadurch bleibt unklar, wie weit verbreitet der Einsatz solcher Systeme tatsächlich ist. Es ist davon auszugehen, dass die Zahl der Nutzer tatsächlich höher liegt, als offiziell bestätigt wird.
Ein Beispiel dafür liefert Großbritannien. Dort wollten 39 Polizeibehörden weder bestätigen noch dementieren, ob sie Webloc einsetzen. Diese Zurückhaltung verdeutlicht, wie schwer sich der tatsächliche Umfang der Nutzung in Europa nachvollziehen lässt.
## Überwachung ohne richterliche Kontrolle
Ein besonders problematischer Aspekt ist, dass Webloc Überwachungsmaßnahmen ohne richterlichen Beschluss ermöglicht. Behörden greifen dabei nicht auf klassische Ermittlungsinstrumente zurück, sondern erwerben die benötigten Daten direkt auf dem freien Markt. So lassen sich bestehende rechtliche Hürden umgehen oder zumindest reduzieren, die normalerweise für den Zugriff auf sensible Informationen gelten.
**Kritiker** und **Datenschutzorganisationen** sehen darin eine mögliche Umgehung rechtsstaatlicher Prinzipien, da Kontrollmechanismen ausgehebelt werden, die eigentlich dem Schutz der Privatsphäre dienen. Selbst in den USA mussten Behörden einräumen, dass derartige Praktiken in einzelnen Fällen gegen interne Vorschriften verstoßen haben.
## Mission Creep: Vom Terrorismus zur Alltagskriminalität
Ein weiteres Problem besteht in der schleichenden Zweckentfremdung solcher Systeme. Citizen Lab verweist auf Beispiele aus den USA, die zeigen, wie Technologien, die ursprünglich zur Bekämpfung schwerer Straftaten gedacht waren, zunehmend auch in weniger gravierenden Kontexten eingesetzt werden. So kamen entsprechende Systeme auch bei Diebstahlfällen, Einbrüchen oder sogar zur Überwachung von Protesten zum Einsatz.
Diese Entwicklung wird häufig als „Mission Creep“ bezeichnet, ein Prozess, bei dem hochinvasive Überwachungstechnologien schrittweise ausgeweitet und immer alltäglicher eingesetzt werden. Dadurch verschiebt sich die ursprüngliche Zweckbindung. Maßnahmen, die einst als Ausnahme gedacht waren, werden zunehmend zur Regel.
## Europa: Zwischen DSGVO und Realität
Eigentlich müsste die Datenschutz-Grundverordnung (DSGVO) solche Praktiken einschränken. Schließlich gelten Standortdaten als personenbezogene Informationen, deren Verarbeitung strengen rechtlichen Vorgaben unterliegt. Zudem wird der Grundsatz der Zweckbindung in vielen Fällen offensichtlich unterlaufen, da Daten, die ursprünglich für Werbezwecke erhoben wurden, später für ganz andere Zwecke genutzt werden. Auch die tatsächliche Einwilligung der Nutzer ist in vielen Fällen fraglich.
Dennoch zeigt die Analyse, dass viele europäische Behörden nur begrenzt transparent mit dem Einsatz solcher Systeme umgehen. In zahlreichen Fällen fehlen klare Auskünfte, was darauf hindeutet, dass entsprechende Technologien möglicherweise bereits genutzt werden, ohne dass dies öffentlich nachvollziehbar ist.
## Massenüberwachung per Werbetracking: Datenspur reduzieren
Auch wenn sich diese Entwicklung nicht vollständig aufhalten lässt, gibt es Möglichkeiten, die eigene Datenspur aktiv zu reduzieren. Auf Smartphones lässt sich Tracking in vielen Fällen einschränken. Dazu gehört, App-Tracking zu deaktivieren, den Standortzugriff nur gezielt zu erlauben und Berechtigungen regelmäßig zu überprüfen. Sowohl iOS als auch Android bieten entsprechende Einstellungen. Entscheidend ist, dass man sie auch konsequent nutzt.
Selbstschutz gegen Massenüberwachung per Werbetracking beginnt bei den Einstellungen.
Ein weiterer wichtiger Punkt ist der Umgang mit Apps. Viele Daten entstehen direkt durch deren Nutzung. In manchen Fällen kann es sinnvoll sein, auf Apps zu verzichten und stattdessen Websites im Browser zu verwenden. Ergänzend helfen Browser-Erweiterungen wie uBlock Origin oder Privacy Badger dabei, Tracking-Anfragen effektiv zu blockieren.
Zusätzliche Schutzmaßnahmen lassen sich auf Netzwerkebene umsetzen. Dazu zählen etwa DNS-Blocker, systemweite Werbeblocker oder die Nutzung sicherer DNS-Dienste. Solche Lösungen sorgen dafür, dass Tracking-Anfragen bereits im Hintergrund unterbunden werden und Daten gar nicht erst an entsprechende Server übertragen werden.
## Kontrolle über den Datenverkehr
Für technisch versierte Nutzer gibt es darüber hinaus weitergehende Möglichkeiten, die eigene Datenspur gezielt zu reduzieren und Tracking systematisch einzuschränken.
### Netzwerkbasierter Schutz
Ein zentraler Ansatz ist die Filterung des Datenverkehrs auf Netzwerkebene. Neben klassischen Adblockern im Browser lassen sich auch systemweite Lösungen einsetzen. Dienste wie **AdGuard** , **NextDNS** oder Control D arbeiten auf DNS-Ebene und blockieren Tracking-Anfragen bereits, bevor eine Verbindung zu Tracking-Servern aufgebaut wird. Alternativ können auch selbst betriebene Lösungen genutzt werden, etwa mit Tools wie **Pi-hole** oder **Blocky** im eigenen Netzwerk.
Ein zusätzlicher Vorteil solcher Ansätze liegt darin, dass sie geräteübergreifend funktionieren. In Kombination mit Netzwerk-Lösungen wie **Tailscale** lässt sich ein eigener DNS-Filter auch unterwegs nutzen, etwa auf dem Smartphone. Dadurch wird verhindert, dass Tracking-Anfragen das Gerät überhaupt verlassen.
### System- und Betriebssystemebene
Auch auf Betriebssystemebene bestehen weitere Möglichkeiten. Datenschutzorientierte Android-Varianten wie **GrapheneOS** gelten als besonders strikt in ihrer Trennung von Apps und Berechtigungen. Allerdings sind solche Lösungen meist auf bestimmte Geräte beschränkt, etwa Google-Pixel-Smartphones.
Eingriffe wie das Rooten eines Geräts oder das Entsperren des Bootloaders können zwar mehr Kontrolle ermöglichen, gehen jedoch häufig zulasten der Systemsicherheit, etwa durch den Verlust integrierter Schutzmechanismen. Hier entsteht ein Zielkonflikt zwischen Kontrolle und Schutz vor Angriffen.
Auf Desktop-Systemen lassen sich ähnliche Maßnahmen umsetzen. Unter Linux können z.B. Firewalls wie ufw **eingesetzt werden** , während unter Windows und anderen Systemen DNS-Filter, Host-Blocklisten oder spezielle Sicherheitssoftware zum Einsatz kommen, um Tracking-Verbindungen zu unterbinden.
Je weiter solche Maßnahmen gehen, desto stärker steigt allerdings auch der technische Aufwand.
### Kontrolle vorinstallierter Apps
Zusätzlich besteht die Möglichkeit, vorinstallierte Anwendungen stärker zu kontrollieren. Viele Smartphones enthalten Apps, die sich auf herkömmlichem Weg nicht entfernen lassen und im Hintergrund Daten erfassen oder übertragen können.
Mit Tools wie Shizuku und Canta können technisch versierte Nutzer solche System-Apps zumindest teilweise deaktivieren oder entfernen, auch wenn sie vom Hersteller ursprünglich nicht vorgesehen sind. Auf diese Weise lässt sich die Anzahl potenzieller Datenquellen weiter reduzieren.
Allerdings erfordern solche Eingriffe ein gewisses technisches Verständnis und sollten mit Vorsicht durchgeführt werden, da sie die Stabilität oder Funktion einzelner Geräte beeinträchtigen können.
### Grenzen technischer Schutzmaßnahmen
Solche Maßnahmen erhöhen die Kontrolle über den eigenen Datenverkehr, können die zugrunde liegenden Mechanismen der Datensammlung jedoch nicht vollständig außer Kraft setzen.
## Grenzen des Selbstschutzes
Trotz aller Schutzmaßnahmen bleibt das Problem bestehen, dass die Datensammlung tief in die digitale Infrastruktur integriert ist. Viele Anwendungen übertragen Daten nicht nur lokal, sondern auch serverseitig weiter, wodurch sich Tracking nur begrenzt kontrollieren lässt. Parallel entwickeln sich die eingesetzten Methoden kontinuierlich weiter, während neue Identifikatoren klassische Werbe-IDs zunehmend ersetzen.
Ein vollständiger Schutz vor dieser Form der Datenerfassung ist daher derzeit kaum möglich. Massenüberwachung per Werbetracking wird auf absehbare Zeit bestehen bleiben. Webloc bietet dafür eine Infrastruktur, in der Daten aus alltäglicher Nutzung zur Grundlage für Überwachung werden. Wer allerdings seine Datenspur reduziert, entzieht Systemen wie Webloc zumindest einen Teil ihrer Grundlage.
#Datenschutz bei #Werbung
#Tracking #Webloc #Mobilfunk #Smartphones
tarnkappe.info/artikel/it-sicherheit/da...
0
0
0
0
