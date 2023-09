Dass tausende Firmen unsere Daten für Online-Werbung sammeln, ist bekannt. Eine Recherche zeigt nun, dass auch Staatstrojaner-Hersteller das Werbesystem nutzen, um Zielpersonen zu tracken und zu hacken. Ob Deutschland über derartige Software verfügt, will die Bundesregierung nicht verraten.

Die Hersteller für staatliche Überwachungstechnologien setzen offenbar zunehmend auf das Online-Werbesystem, um Zielpersonen auszuspionieren und ihre Geräte mit Schadsoftware zu infizieren. Das berichtet die israelische Zeitung Haaretz in einer Recherche [Paywall] über neue Entwicklungen in Israels Staatstrojaner-Industrie.

Spätestens seit den Snowden-Enthüllungen ist klar, dass es Schnittmengen zwischen dem Überwachungskapitalismus und staatlicher Überwachung gibt. Der umfangreiche Bericht der Haaretz bestätigt nun Befürchtungen, dass das außer Kontrolle geratene Datenhandelssystem des Targeted Advertising nicht nur für Werbezwecke genutzt wird, sondern auch von klassischen Spionagefirmen. Die Werbeindustrie kann offenbar nicht verhindern, dass über ihre Infrastrukturen Schadsoftware verteilt wird, die hinter Anzeigen getarnt ist.

„Sherlock“ heißt laut Haaretz zum Beispiel ein Produkt der Firma Insanet. Es soll in der Lage sein, sowohl Android- und iOS-Smartphones als auch Windows-Computer mit einem Trojaner zu infiltrieren. Das Perfide: Die Schadsoftware soll mit Werbeanzeigen in Apps oder auf Websites aufgeliefert werden, ohne dass die Betroffenen es merken oder sich wehren können.

Der Werbe-Trojaner ist dem Bericht zufolge lediglich die Speerspitze einer größeren Entwicklung auf dem israelischen Markt für Spähsoftware. In Anlehnung an den Begriff AdTech, kurz für Advertising Technologies, wird die Sparte AdInt genannt, kurz für Advertising Intelligence.

Alte Bekannte deutscher Behörden?

Gegründet wurde Insanet dem Bericht zufolge von Veteranen des in Israel eng mit dem Militär verwobenen Digitalsektors und von jungen Unternehmern, die zuvor eine Werbefirma gegründet hatten. Laut Haaretz ist das Unternehmen im Besitz ehemals hochrangiger Mitglieder des israelischen Verteidigungssektors, darunter der einstige Vorsitzende des Nationalen Sicherheitsrates, Dani Arditi.

Für den Vertrieb und die Vermarktung von Sherlock hatte sich Insanet laut Haaretz mindestens zeitweise mit dem Staatstrojaner-Hersteller Candiru zusammengetan. Die Firma ist bekannt dafür, ähnlich leistungsstarke Software wie den berüchtigten Pegasus-Trojaner der israelischen NSO Group herzustellen. Mit Pegasus wurden in den vergangenen Jahren zahlreiche Journalist:innen, Menschenrechtler:innen und Oppositionelle in Ländern wie Mexiko, Polen oder Spanien überwacht.

Candiru hat wie die NSO Group Staatstrojaner an Regierungen und Geheimdienste weltweit verkauft, laut einem früheren Bericht der Haaretz steht auch Deutschland auf der Kundenliste.

Auf Anfrage unseres Mediums wollen heute weder das Innenministerium noch der Bundesnachrichtendienst oder der Verfassungsschutz Auskunft geben, ob sie Sherlock oder andere AdInt-Prdukte nutzen und Verträge mit Insanet oder anderen Herstellern haben.

Die Bundesregierung äußere sich „zum Schutz der nachrichtendienstlichen und polizeilichen Arbeitsweisen grundsätzlich nicht zu Einzelheiten und Produkten der technischen Aufklärung und informationstechnischen Überwachung“, so das Innenministerium. Auch eine grundsätzliche Einschätzung zum Thema AdInt will das Ministerium nicht geben.

Überwachungswerbung im doppelten Sinne

Laut Haaretz setzen Überwachungsfirmen bereits seit einigen Jahren auf die Infrastrukturen der Online-Werbeindustrie, um Personen ausfindig zu machen und ihre Bewegungen zu verfolgen. Sie machen sich dabei die allgegenwärtige Datensammlung des riesigen Netzwerks aus tausenden Werbefirmen und das Geschäft von kommerziellen Datenhändlern zunutze.

Wann immer Menschen Websites besuchen oder Apps nutzen und dem Werbetracking zustimmen, werden ihre Daten an zahllose Firmen gesendet. Diese sortieren sie anhand ihrer Eigenschaften und Interessen in Zielgruppenkategorien, sogenannte Segmente. Erst kürzlich hatte eine Recherche unseres Mediums aufgedeckt, dass allein auf einem einzigen Datenmarktplatz mehr als 650.000 dieser Zielgruppensegmente gehandelt wurden: von Einkaufsverhalten und Ortsbesuchen über psychologische Label wie „Fragile Senioren“ bis zu Gesundheitskategorien.

Schon bisher prägten Aktivist:innen deshalb den Begriff Überwachungswerbung für das System der verhaltensbasierten Werbung. Die Technik dahinter ist komplex und ausgefeilt. Innerhalb weniger Millisekunden werden in einem Zusammenspiel mehrerer Plattformen Nutzer:innen von Websites und Apps erkannt und anhand ihrer Eigenschaften als Zielgruppe ausgewiesen. Noch bevor die Website oder App geladen hat, findet eine automatisierte Auktion unter allen Firmen statt, die diesen Personen eine Anzeige ausspielen wollen.

„Apple und Google haben einen Spionagemarkt geschaffen“

Damit dieses System funktioniert, erhalten alle Nutzer:innen individuelle Kennzeichnungen, die gemeinsam mit Informationen zum Aufenthaltsort und weiteren Daten bei jeder Bewegung im Netz in das Netzwerk der Werbefirmen gesendet werden. Dagegen werden seit Jahren vehement Datenschutzbedenken geäußert. Die AdTech-Industrie betont zu ihrer Verteidigung stets, dass Unternehmen in der Regel weder den Namen noch die Telefonnummer der Zielgruppen kennen. Als pseudonyme Identifikatoren fungieren stattdessen etwa die individuellen Advertising IDs, die Apple und Google in ihren Betriebssystem iOS und Android jeder Nutzerin zuteilen.

Wie Haaretz berichtet, haben Überwachungsfirmen offenbar Wege gefunden, diesen Schutz zu umgehen. Sie können offenbar die vermeintlich harmlosen Daten der Werbebranche mit einem Namen oder einer Telefonnummer der Zielperson zuordnen.

Hierfür würden laut einer Industriequelle möglichst große Datenbestände aus unterschiedlichen Quellen miteinander verbunden und gegeneinander abgeglichen, um Zielpersonen zu finden. „Bereits die Teilnahme an einer Werbeauktion kann einer Werbefirma geografische Informationen liefern“, so Haaretz. Der Zeitung zufolge unterhalten die Überwachungsunternehmen zu diesem Zweck enge Beziehungen zu klassischen Werbefirmen oder haben gar selbst AdTech-Unternehmen gegründet, die ihnen Zugang zu den begehrten Daten und Werbeauktionen ermöglichen.

„In gewissem Sinne haben Google und Apple einen Markt für Spionage geschaffen“, zitiert Haaretz eine anonyme Quelle aus der israelischen AdInt-Industrie. „Sie haben einfach gehofft, niemand würde verstehen, dass die Daten, die Werbefirmen sammeln, auch für die Informationsbeschaffung Gold wert sind.“ Als Beispiel nennen die Quellen der Zeitung das Geotracking von iranischen Atomwissenschaftler:innen mithilfe von Werbeanzeigen.

Auch die NSO Group soll Werbetrojaner anbieten

Verhältnismäßig neu ist dem Bericht zufolge offenbar die Fähigkeit, Zielpersonen mithilfe der Webeinfrastrukturen nicht nur passiv nachzuspüren, sondern auch aktiv ihre Geräte mit Schadsoftware zu infiltrieren, wie es beim Sherlock-Trojaner der Fall ist. Hierbei werden mithilfe einer Werbefirma infizierte Werbeanzeigen geladen. Die Segmentkategorie, zu der auch die Zielpersonen gehört, werde mit entsprechenden Werbeanzeigen bombardiert, bis die richtigen Personen die Anzeige geladen hat und ihr Gerät infiziert wurde.

Haaretz zufolge sind zahlreiche israelische Firma im AdInt-Geschäft aktiv, der Großteil jedoch im Bereich der passiven Geo-Überwachung. Hier nennt Haaretz beispielhaft die Firmen Cobwebs, Bsightful und Cognyte.

Die Fähigkeit zur Infiltration von Geräten mithilfe von Werbeanzeigen würden bislang nur wenige Unternehmen beherrschen. Allerdings habe es in den letzten Jahren zwischen berüchtigten israelischen Überwachungsherstellern wie Candiru, Paragon, Nemesis, Quadream und NSO geradezu ein Wettrüsten um die Entwicklung dieser offensiven Fähigkeiten gegeben. Den Quellen der Zeitung zufolge hat mindestens auch die NSO Group einen Staatstrojaner namens „Truman“ entwickelt, der Werbeanzeigen nutzt.

Allerdings habe das Unternehmen von der israelischen Regierung bisher keine Genehmigung für den Export erhalten. Anders als Insanet mit seinem Sherlock-Trojaner dürfe die NSO Group ihre Werbe-Schadsoftware nicht verkaufen. In einer Verkaufspräsentation von 2019 wurde Sherlock laut Haaretz für sechs Millionen Euro angeboten.

Haaretz zufolge unterliegt der Großteil der AdInt-Industrie keiner Genehmigungspflicht, weil die reinen Tracking-Produkte nicht als militärisch eingestuft werden. Anders sei die Lage bei Werbe-Trojanern. Diese würden als militärische Produkte eingestuft. Insanet darf Sherlock deshalb lediglich an westliche Staaten verkaufen. Jeder Verkauf sei genehmigungspflichtig, die Regierung lehne immer wieder Exportanträge ab. Nichtsdestotrotz habe Insanet mindestens einen größeren Verkauf abgeschlossen, so Haaretz.

Verbot von Überwachungswerbung in EU gescheitert

Nach massivem Druck der Überwachungsindustrie habe die israelische Regierung die Exportregeln inzwischen zudem etwas gelockert. So habe die Firma Rayzone eine grundsätzliche Verkaufsgenehmigung für einen eigenen Werbetrojaner erhalten. Rayzone hatte sich zuvor auf Geotracking mithilfe von AdTech fokussiert und gelte mit seinem Produkt „Echo“ als Pionier der AdInt-Branche, so Haaretz. Vor kurzem habe Rayzone jedoch auch ein offensives Produkt entwickelt, der Werbetrojaner sei bislang jedoch noch nicht verkauft worden.

Gegenüber dem US-Magazin The Register kommentiert Jason Kelley von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) die Recherche: Sherlock und andere AdInt-Produkte seien ein weiterer Weg, „wie Spyware-Firmen Aktivist:innen, Reporter:innen und Regierungsbeamte überwachen und infiltrieren können“, so Kelley. Immerhin: Angesichts des horrenden Preises und der hohen sonstigen Anforderungen für Überwachungskampagnen mit einem offensiven Produkt wie Sherlock sei die Gefahr für die meisten Menschen eher gering.

Anders sieht es bei Geotracking mithilfe des AdTech-Systems aus. „Diese Methode für Targeting und Überwachung nutzt kommerziell verfügbare Daten, die man nur sehr schwer aus dem Internet löschen kann“, so Kelley. „Die meisten Menschen haben keine Ahnung, wie viel Informationen über sie von Datenhändlern und AdTech-Firmen gesammelt und geteilt werden.“

Angesichts der neuen Bedrohung durch die Nutzung des Online-Werbesystems stellt Kelley die Grundsatzfrage: „Daten werden immer einen Weg finden, um für Überwachung und schlimmeres genutzt zu werden.“ Wer dafür sorge, dass Datensammlung insgesamt weniger profitabel werde, sorge dafür, dass das AdInt-Problem verschwinde. „Wenn verhaltensbasierte Werbung verboten wäre, würde die Industrie nicht existieren.“

Eine Initiative von EU-Abgeordneten zum Verbot von Targeted Advertising war im Jahr 2022 am Widerstand der Datenkonzerne und einer Mehrheit des EU-Parlaments gescheitert.