Die digitale Werbeindustrie entwickelt sich zunehmend zu einem verdeckten Instrument der Standortueberwachung im grossen Stil. Ein aktueller Bericht der Forschungsgruppe Citizen Lab beleuchtet mit „Webloc“ ein System, das Daten aus der Online-Werbung nutzt, um Bewegungsprofile von Hunderten Millionen Menschen zu erstellen – und das vor allem von Sicherheitsbehoerden rund um den Globus eingesetzt wird.
Was ist Webloc und wer steckt hinter der Ueberwachungsplattform?
Webloc ist eine von der israelischen Firma Cobwebs Technologies entwickelte Plattform zur geobasierten Massenueberwachung. Cobwebs ist auf OSINT (Open Source Intelligence) und die Auswertung frei zugaenglicher digitaler Daten spezialisiert. Seit einer Fusion im Juli 2023 wird das Produkt unter der Marke Penlink vertrieben, einem US-Anbieter von Software fuer Kommunikationsueberwachung, der weltweit Strafverfolgungs- und Sicherheitsbehoerden beliefert.
Nach Recherchen von Citizen Lab gehoeren zu den Nutzern von Webloc unter anderem der ungarische Inlandsgeheimdienst, die nationale Polizei El Salvadors sowie verschiedene Behoerden in den USA. Genannt werden etwa Immigration and Customs Enforcement (ICE), Einheiten der US-Armee, der Sicherheitsbehoerde des Bundesstaates Texas, regionale Stellen des US-Heimatschutzministeriums, Staatsanwaltschaften in New York sowie Polizeidepartments in Los Angeles, Dallas, Baltimore, Tucson, Durham und weiteren Staedten.
So funktioniert Standortueberwachung ueber Werbedaten
Technisch wird Webloc als Modul zur digitalen Ermittlungsplattform Tangles angeboten. Laut Citizen Lab bietet das System Zugriff auf einen staendig aktualisierten Datenbestand von bis zu 500 Millionen mobilen Endgeraeten weltweit. Erfasst werden unter anderem:
- Geraete-Identifikatoren und Mobile Advertising IDs (MAID), also die Werbe-IDs von Smartphones und Tablets,
- GPS- und andere Geokoordinaten mit hoher Genauigkeit,
- weitere Profildaten, die von Apps und Werbenetzwerken gesammelt werden.
Die Plattform nutzt das bestehende Adtech-Oekosystem: Standort- und Nutzungsdaten werden bei Datenbrokern eingekauft, die sie wiederum aus Mobil-Apps und Werbeplattformen beziehen. Urspruenglich dienen diese Informationen dazu, personalisierte Werbung auszuliefern. In Kombination, langfristiger Speicherung und mit Analysewerkzeugen wie Webloc lassen sich daraus jedoch detaillierte Bewegungs- und Verhaltensprofile erstellen.
Mobile Advertising ID und langfristige Bewegungsprofile
Die Mobile Advertising ID (MAID) ist eine eindeutige Kennung, die Betriebssysteme wie Android (GAID) oder iOS (IDFA) Werbetreibenden zur Verfuegung stellen. Sie soll pseudonym sein, laesst sich aber mithilfe wiederkehrender Aufenthaltsorte leicht einer realen Person zuordnen. Laut Penlink ermoeglicht Webloc eine Rueckverfolgung von Bewegungsdaten ueber einen Zeitraum von bis zu drei Jahren und bietet Funktionen wie:
- Zuordnung von Geraeten zu Wohnadresse und Arbeitsplatz anhand wiederholter Positionen,
- zusaetzliche Lokalisierung ueber IP-Adressen,
- automatisierte Ueberwachung bestimmter Werbe-IDs oder Geozonen (z. B. um Gebaeude, Demonstrationen, Grenzuebergaenge).
Praxisnah bedeutet dies: Eine Polizeibehoerde kann analysieren, welche Geraete sich wiederholt in der Naehe eines bestimmten Objekts aufgehalten haben oder wer zu einem bestimmten Zeitpunkt an einem sensiblen Ort – etwa einer Klinik, einem Oppositionsbuero oder einer Protestveranstaltung – anwesend war, ohne klassische Telekommunikationsdaten bei Netzbetreibern abzufragen.
Globale Infrastruktur und Verflechtungen mit Spyware-Anbietern
Citizen Lab hat mindestens 219 aktive Server identifiziert, die mit Produkten von Cobwebs und der Webloc-Infrastruktur in Verbindung stehen. Der groesste Teil dieser Server steht in den USA (126), gefolgt von den Niederlanden (32), Singapur (17), Deutschland (8), Hongkong (8) und Grossbritannien (7). Zusaetzliche Instanzen wurden in Laendern in Afrika, Asien und Europa gefunden – ein Indikator fuer den globalen Einsatzbereich der Plattform.
Zudem verweisen die Forschenden auf Verbindungen zwischen Cobwebs und dem israelischen Spyware-Anbieter Quadream ueber Omri Timianker, Gruender und frueherer Praesident von Cobwebs, der heute internationale Operationen bei Penlink verantwortet. Quadream war – aehnlich wie NSO Group – fuer hoechst intrusive Ueberwachungstools bekannt und stellte laut Medienberichten 2023 zwar den Betrieb ein, hat aber einen deutlichen Fussabdruck auf dem Markt kommerzieller „Cyber-Söldner“ hinterlassen.
Risiken fuer Datenschutz, Grundrechte und Rechtsstaat
Massenüberwachung ohne richterliche Kontrolle
Der zentrale Kritikpunkt an Webloc und vergleichbaren Systemen ist die Moeglichkeit massiver Standortueberwachung ohne richterlichen Beschluss und ohne wirksame Kontrolle. Mehrere Recherchen – darunter Citizen Lab sowie Berichte von 404 Media, Forbes und Texas Observer – dokumentieren Faelle, in denen Strafverfolger allein auf Basis von Werbedaten Telefone nachverfolgten, anstatt den aufwaendigeren Weg ueber Telekommunikationsanbieter zu gehen.
Besonders sensibel ist, dass die so gewonnenen Daten Rueckschluesse auf politische Ueberzeugungen, Gewerkschaftszugehoerigkeit, Religionsausuebung oder Gesundheitsdaten ermoeglichen, etwa wenn regelmaessige Besuche von Gebetshaeusern, Kliniken oder Parteibueros ersichtlich werden. Damit besteht ein erhebliches Risiko fuer Grundrechte wie Privatsphaere, Versammlungs- und Meinungsfreiheit.
Rolle von Datenbrokern und Plattformen
Bereits 2021 hatte Meta rund 200 Konten entfernt, die Cobwebs und sechs weiteren Firmen fuer digitale Ueberwachungsdienstleistungen zugeordnet wurden. Meta warf diesen Akteuren vor, sowohl klassische strafverfolgungsbezogene Einsaetze als auch die Ausspae-hung von Aktivisten, oppositionellen Politikern und Regierungsvertretern – unter anderem in Hongkong und Mexiko – zu betreiben. Diese Faelle zeigen, wie leicht sich kommerzielle Tracking-Infrastrukturen für politische Zwecke missbrauchen lassen.
Position von Penlink und regulatorischer Handlungsbedarf
Penlink weist die von Citizen Lab erhobenen Vorwuerfe zurueck und spricht von „ungenauen Informationen oder Missverstaendnissen“. Das Unternehmen betont, seit der Uebernahme von Cobwebs bestimmte Praktiken nicht mehr zu nutzen und die einschlaegigen Datenschutzgesetze, insbesondere in den USA, einzuhalten. Ohne Einblick in die Systemarchitektur, unabhaengige Audits oder transparente Transparenzberichte lassen sich diese Aussagen jedoch nicht belastbar ueberpruefen.
Aus Perspektive des Datenschutz- und IT-Sicherheitsrechts wird deutlich: Es braucht klare Regeln fuer den Handel mit Standort- und Werbedaten sowie fuer deren Nutzung durch staatliche Stellen. Dazu gehoeren strenge Zweckbindung, richterliche Kontrolle bei Zugriffsanfragen, Transparenzpflichten gegenueber der Oeffentlichkeit und effektive Aufsichtsmechanismen. In der EU bieten DSGVO und ePrivacy-Richtlinie Ansatzpunkte, viele Detailfragen – etwa zur Rolle von Datenbrokern – sind jedoch weiterhin unzureichend geregelt.
Fuer Nutzerinnen und Nutzer bedeutet Webloc, dass scheinbar harmlose App-Berechtigungen und personalisierte Werbung zu verdeckten Ueberwachungsinstrumenten werden koennen. Empfehlenswert sind daher das konsequente Pruefen von App-Zugriffsrechten, das Deaktivieren oder regelmaessige Zuruecksetzen von Werbe-IDs (IDFA/GAID), die Beschraenkung von Standortfreigaben auf das Noetigste sowie der Einsatz datenschutzfreundlicher Betriebssystem- und Browser-Einstellungen. Organisationen sollten „Privacy by Design“ und strenge Mobile-Security-Richtlinien umsetzen. Gesetzgeber und Aufsichtsbehoerden sind gefordert, die Adtech-Branche staerker zu regulieren, um zu verhindern, dass die Werbeinfrastruktur faktisch zu einer globalen Ueberwachungsplattform wird.
