Varia
... von Ihren Experten für eigentlich eh fast alles.
Überwacht durch Werbung – die Spionage ohne Hacking
Ronald Deibert warnt vor Überwachung aus dem Werbe-Ökosystem. Pikant: Auch das Medium, das ihn abdruckt, speist die Überwachungsmaschinerie.
Ronald Deibert zählt zu den profiliertesten Überwachungsforschern weltweit. Das Citizen Lab, das er an der Universität Toronto leitet, hat über die Jahre eine Reihe großer Spähskandale öffentlich gemacht – am bekanntesten den Einsatz der Spionagesoftware Pegasus gegen Journalisten und Politiker. Zum Citizen Lab → citizenlab.ca. Pegasus ist eine Spähsoftware der israelischen NSO Group, mit der weltweit Journalisten und Politiker ausspioniert wurden. Derzeit forscht der Kanadier als Gastwissenschaftler in Wien, wo ihn die Presse kürzlich zum Interview traf.
Was ihn zurzeit am meisten beunruhigt, überrascht: nicht Spyware, nicht das Hacken von Handys. Sondern eine Methode, die – wie Deibert sagt – »ganz ohne das Hacken von Handys und ohne Spyware auskommt«.
Überwachung, die kein Hacking braucht
Diese Überwachungstechnik nutzt die Daten aus dem Werbe- und App-Ökosystem. Deibert beschreibt den Mechanismus im Interview so:
Jedes Mal, wenn Sie eine App öffnen oder eine Website besuchen, werden Daten über Sie, Ihr Gerät, Ihren Browser, Ihren Standort und Ihr demografisches Profil an Werbetreibende versteigert, die wirklich binnen Millisekunden darum bieten, Ihnen eine gezielte Werbung anzeigen zu dürfen.
Diese Versteigerung heißt Real-Time Bidding (RTB). Sie ist das technische Rückgrat der Online-Werbung – und sie verschickt die Daten über jeden Aufruf an Dutzende bis Hunderte Firmen gleichzeitig. Private Sicherheitsfirmen, so Deibert, können diesen Datenstrom »erwerben, bündeln und als Sicherheitsprodukt verkaufen«. Was damit möglich wird, klingt wie Science-Fiction, ist aber Gegenwart:
Stellen Sie sich vor, ich arbeite für einen Geheimdienst und weiß, dass ein Treffen in diesem Gebäude stattfindet […]. Ich ziehe also einen digitalen Zaun um das Gebäude und frage ab: »Wer ist gerade hier?« Das System liefert mir nicht nur unsere Namen – es sagt mir, wo wir wohnen, für wen wir arbeiten und so weiter. Ich kann auch rückwirkend abfragen, wo wir vor sechs Monaten waren. Und das ohne dass ein einziges Gerät gehackt wurde.
Kein Exploit, kein Klick auf einen Link, keine Zehn-Millionen-Dollar-Sicherheitslücke. Nur Werbedaten. »In Europa«, sagt Deibert, »verstößt die Methode so gut wie sicher gegen die Datenschutz-Grundverordnung.« Sicher sind wir damit aber nicht, wie wir gleich sehen werden.
Das ist nicht bloß eine Vermutung
Deiberts Warnung ist keine Spekulation. Sie ist die Kurzfassung eines Berichts, den sein eigenes Team wenige Wochen zuvor veröffentlicht hat: Uncovering Webloc (9. April 2026). Citizen Lab, Report No. 191. Recherchiert gemeinsam mit der europäischen Investigativplattform VSquare.
Webloc ist ein Ortungswerkzeug der US-Firma Penlink, gebaut auf der Technik des israelischen Anbieters Cobwebs Technologies. Es zieht seine Daten aus dem erwähnten RTB-Datenstrom – und überwacht damit laut Citizen Lab rund 500 Millionen Geräte weltweit. Käufer: ICE, das US-Militär, Polizeibehörden und Geheimdienste.
Und Deiberts Satz im Interview – Ungarn sei »der erste bestätigte europäische Kunde einer Firma, die so etwas anbietet« – steht ebenfalls schwarz auf weiß im Bericht: Ungarische Inlandsgeheimdienste nutzen Webloc seit mindestens 2022. Die Lizenz wurde im März 2026 verlängert – wenige Wochen vor der Parlamentswahl am 12. April.
Eine Einschränkung benennt der Bericht selbst mit aller Offenheit: Welche Werbebörsen Webloc konkret beliefern, blieb den Forschern trotz erheblichen Aufwands »opaque« – undurchschaubar. Beweisbar ist also nicht die einzelne Datenspur von A nach B. Beweisbar ist das System: Dieselbe Maschinerie, die Webloc anzapft, läuft auf praktisch jeder werbefinanzierten Website.
Und genau hier kommen wir nach Hause
Wer wissen will, wie dieser Datenstrom konkret aussieht, muss nicht nach Budapest reisen. Es genügt der Cookie-Dialog jenes Mediums, in dem Deiberts Warnung erschienen ist: der Presse. Denn während sie ihn abdruckt, beliefert sie selbst die Infrastruktur, vor der der Sicherheitsforscher warnt.
Allein für »personalisierte Werbung« führt der Cookie-Dialog der Presse 43 Nicht-IAB- plus 119 IAB-Partner – zusammen 162 Anbieter, IAB = Interactive Advertising Bureau, der Verband der Online-Werbewirtschaft. Seine »Vendor-Liste« im Transparency & Consent Framework (TCF) ist das Branchenregister der Werbefirmen: Ein Klick »Akzeptieren« gilt für alle gelisteten IAB-Partner zugleich, die Nicht-IAB-Partner fragt der Verlag daneben einzeln ab. Das TCF selbst gilt seit 2022 als DSGVO-widrig – 2025 vom Brüsseler Appellationsgericht bestätigt. an die nach Zustimmung die Daten der Leser fließen.
Das sind keine harmlosen Statistikdienste. Es sind die Plattformen und Datenhändler des programmatischen Werbemarkts: Wie dieser Komplex im Detail funktioniert – vom DSID-Cookie bis zur Wahlwerbung –, habe ich am Beispiel einer Petitionsplattform beschrieben → Wie der überwachungskapitalistische Komplex funktioniert. Amazon Ads, Microsofts Bing Ads, die chinesische Baidu (Hong Kong), der Intent-Datenhändler Bombora, der Standortwerber Blis Global, die israelische Attributionsfirma AppsFlyer – dazu Adobe Advertising Cloud, Adform, AcuityAds und rund 150 weitere.
Jeder von ihnen erhält im Moment der Auktion, was Deibert aufzählt: Gerät, Browser, ungefährer Standort, demografisches Profil. Und es bleibt nicht bei Profilen. Die Cookie Policy der Presse beschreibt selbst, was technisch vorgesehen ist – nüchtern und detailliert:
Ihre genauen Standortdaten können für einen oder mehrere Verarbeitungszwecke genutzt werden (»genaue Standortdaten« bedeutet, dass es hinsichtlich der Genauigkeit des Standortes keine Einschränkungen gibt; diese kann bis auf wenige Meter genau sein).
Dazu kommen das Zusammenführen verschiedener Geräte eines Haushalts, das Wiedererkennen am »Fingerabdruck« automatisch gesendeter Geräteeigenschaften und – in der App – die Werbe-ID IDFA. Es ist die vollständige Werkzeugkiste, aus der ein Webloc sein Bild zusammensetzt. Nicht, weil die Presse jemanden ausspionieren wollte – sondern weil das die normale Funktionsweise des Geschäftsmodells ist.
Und die Presse ist kein Einzelfall. Dieselbe Maschinerie läuft bei den meisten österreichischen Medien und auch beim öffentlich-rechtlichen ORF – nur dass dieser sie im Cookie-Dialog als harmlose Werbung für Wasserfarben und Babykleidung verkauft. Wie der Gebührensender das Datensammeln hübsch verpackt → Der ORF, die Wasserfarben und deine Standortdaten.
»Ich habe nichts zu verbergen«
Das größte Missverständnis über digitale Überwachung sei die Haltung »Ich habe nichts Falsches gemacht und daher nichts zu verbergen«, sagt Deibert. Im Citizen-Lab-Bericht Catalangate habe man dokumentiert, wie Spanien die katalanische Zivilgesellschaft ausspionierte – gehackt wurden dabei auch Telefone von Menschen ohne jede politische Rolle, darunter das einer Onkologin, die die Daten ihrer Krebspatienten am Handy hatte. Deibert im Presse-Interview:
Außerdem möchte ich nicht in einer Gesellschaft leben, in der eine Regierung auf Knopfdruck herausfinden kann, wo man war und wem man begegnet ist. Die liberale Demokratie ist wirklich in Gefahr.
Die ungarische Webloc-Lizenz, verlängert kurz vor der Wahl, ist so ein Knopf. Mutmaßlich versorgt auch mit den Daten der Presse-Leser.
Was tun?
Für sich persönlich rät Deibert zu Naheliegendem: Software aktuell halten, für besonders Gefährdete den Lockdown-Modus von Apple oder das Erweiterte Sicherheitsprogramm von Google. Doch gegen die Überwachung aus dem Werbe-Ökosystem hilft das wenig – sie braucht ja kein kompromittiertes Gerät.
Das Problem ist strukturell, also muss auch die Antwort strukturell sein. Die DSGVO verbietet das Verfahren »so gut wie sicher« – durchgesetzt wird sie kaum. Die Cookie-Dialoge helfen in der Realität nicht – irgendwann klicken die meisten genervt auf irgend eine der Schaltflächen – sinnerfassend durchlesen kann sich das niemand. Wer den überwachungskapitalistischen Komplex nicht speisen will, hat genau zwei Hebel: »Alle ablehnen« – oder noch besser Medien wählen, deren Geschäftsmodell nicht auf dem Weiterverkauf des persönlichen Verhaltens beruht.
Dass es anders geht, führen kleine Anbieter vor. Der Faktencheck-Verein Mimikama etwa stellt Metas »Facebook« bewusst sein trackingfreies Gegenmodell gegenüber:
»Dort bist du das Produkt. Hier bist du Mitglied.« Genau darum geht es. Solange unser Verhalten die Ware ist, wird es jemanden geben, der sie kauft – für Werbung, für Spionage oder eben um den Ruf eines Menschen gezielt zu zerstören.
Quellen
Die Presse / Jürgen Streihammer. Überwachungs-Experte: »Es ist heute unglaublich leicht, den Ruf eines Menschen zu zerstören« Interview mit Ronald Deibert, 6. Juni 2026. 🌐
Citizen Lab. Uncovering Webloc: An Analysis of Penlink's Ad-based Geolocation Surveillance Tech Report No. 191, 9. April 2026. 🌐
VSquare. Orbán's Spying Kit Revealed: Israeli Surveillance Tool Combined with Hungarian Technology 🌐
Electronic Frontier Foundation. Online Behavioral Ads Fuel the Surveillance Industry – Here's How 🌐
Ingo Dachwitz / netzpolitik.org. Wichtiger Baustein für Cookie-Banner ist illegal Zur Entscheidung der belgischen Datenschutzbehörde gegen das IAB Transparency & Consent Framework, 2. Februar 2022. 🌐
Irish Council for Civil Liberties / Johnny Ryan. Facts about the Brussels Court of Appeal judgement of 14 May 2025 Das Brüsseler Appellationsgericht bestätigt die Entscheidung gegen das IAB-TCF, 20. Mai 2025. 🌐
Hof van beroep Brussel (Marktenhof). Arrest 2022/AR/292 – IAB Europe gegen Gegevensbeschermingsautoriteit Urteil des Brüsseler Appellationsgerichts vom 14. Mai 2025 (anonymisierte Fassung).
Weitere Artikel aus der
Kategorie Medien
Der ORF, die Wasserfarben und deine Standortdaten
Im Cookie-Dialog erklärt der Gebührensender das Datensammeln mit niedlichen Beispielen. Die Wirklichkeit dahinter ist eine andere.