Standortdaten aus Apps unterlaufen die Sicherheitsarchitektur von Geheimdiensten und Militär.
Standortdaten aus Apps unterlaufen die Sicherheitsarchitektur von Geheimdiensten und Militär.
Bildquelle: ChatGPT

Databroker Files: Adtech enttarnt BND, Bundeswehr und Spezialeinheiten

von Antonia Frank Lesezeit: 6 Min.

Databroker Files zeigen, wie Werbedaten BND, Bundeswehr und Polizei enttarnen. Standortdaten aus Apps werden zum Sicherheitsrisiko.

Inhalt

Was Werbe-Apps sammeln, reicht bis vor die Tore von Geheimdiensten und Militärbasen. Bewegungsprofile aus Werbedaten machen sicherheitsrelevantes Personal systematisch identifizierbar. Die Databroker Files zeigen, wie Adtech Deutschlands Sicherheitsarchitektur unterläuft. Dies geschieht durch ein Geschäftsmodell, das Tracking über Sicherheit stellt.

Offensichtlich steckt die größte Sicherheitslücke Deutschlands nicht in maroder IT oder veralteter Software. Vielmehr ist sie in ganz normalen Smartphone-Apps zu finden. Die internationalen Recherchen unter dem Titel Databroker Files belegen, dass Werbe- und Standortdaten aus dem Adtech-Ökosystem ausreichen, um Mitarbeitende von BND, Bundeswehr, Polizei und Spezialeinheiten präzise zu verfolgen, bis hin zur privaten Wohnadresse. Möglich macht das eine Industrie, die offiziell nur Werbung ausspielen will und faktisch Bewegungsprofile für jedermann liefert.

Databroker Files: Die unsichtbare Infrastruktur der Datenspionage

Im Zentrum der Databroker Files stehen gigantische Datensätze mit Milliarden einzelner Standortpunkte. Erfasst werden sie über Apps, die Zugriff auf den Standort verlangen wie Wetter-Apps, Navigationsdienste, Spiele, Dating-Apps. Die Daten fließen an Werbenetzwerke, werden dort gebündelt und anschließend von Databrokern weiterverkauft.

Jedes Smartphone erhält dabei eine eindeutige Werbe-ID von Apple oder Google. Diese Kennung funktioniert wie ein digitales Nummernschild. Sie verbindet einzelne Standortpunkte über Wochen und Monate hinweg zu einem lückenlosen Bewegungsprofil. Namen fehlen – doch genau das macht die Daten nicht harmlos, sondern gefährlich.

Im Rahmen der Databroker Files gelangte netzpolitik.org an einen solchen Datensatz, nachdem sich ein Redakteur mit Klarnamen auf einem Berliner Datenmarktplatz registriert hatte. Ein US-Datenhändler stellte daraufhin kostenlos Milliarden Standortpunkte als Vorschau zur Verfügung in der Hoffnung auf ein kostenpflichtiges Abonnement.

Die Databroker Files sind eine internationale Recherche, getragen unter anderem von Le Monde, netzpolitik.org und dem Bayerischen Rundfunk. Die beteiligten Redaktionen werteten dazu umfangreiche Datensätze aus, die von kommerziellen Databrokern stammen und ursprünglich für personalisierte Werbung erhoben wurden.

Deutschland im Fokus: BND, Bundeswehr, Polizei

Die Recherchen von Bayerischem Rundfunk und netzpolitik.org zeigen exemplarisch, was diese Daten in Deutschland preisgeben. In einem Fall ließ sich das Smartphone einer Person verfolgen, die regelmäßig die ehemalige Mangfall-Kaserne in Bad Aibling ansteuerte, ein gesichertes Areal in Oberbayern und heute eine bekannte Außenstelle des Bundesnachrichtendienstes.

Die Standortdaten zeigen nicht nur, dass die Person dort arbeitet, sondern wann, wie oft und in welchem Gebäude sie sich aufhält. Von dort aus führen die Spuren zu einer Wohnadresse, zu Supermärkten, Wochenendzielen und privaten Routinen. Aus einer anonymen Werbe-ID wird ein identifizierbarer Mensch.

Ähnliche Muster finden sich bei Standorten der Bundeswehr, beim Kommando Spezialkräfte (KSK), bei der Bundespolizei (GSG9), beim Bundeskriminalamt und an Einrichtungen verbündeter Streitkräfte. Die Databroker Files legen nahe, dass mutmaßlich zehntausende Personen mit sicherheitsrelevanten Aufgaben in solchen Datensätzen auftauchen.

„Pseudonymisiert“ heißt nicht anonym

Die Werbeindustrie spricht gerne von „pseudonymisierten Daten“. Die Databroker Files zeigen jedoch das Gegenteil. Wer regelmäßig nachts an derselben Adresse verweilt, morgens zu einem gesicherten Objekt fährt und tagsüber bestimmte Orte aufsucht, lässt sich auch ganz ohne Zusatzwissen identifizieren.

Gerade für Geheimdienste oder kriminelle Akteure sind solche Bewegungsprofile Gold wert. Sie erlauben Rückschlüsse auf Dienstzeiten, Schichtwechsel, soziale Kontakte, Gewohnheiten und Schwachstellen. Der Aufwand klassischer Spionage entfällt weitgehend, da Bewegungsprofile aus Datensätzen zentrale Informationen ohne operative Risiken liefern.

Databroker Files: Adtech enttarnt BND, Bundeswehr und Spezialeinheiten
Databroker Files: Adtech enttarnt BND, Bundeswehr und Spezialeinheiten

Sensibilisierung ist keine Sicherheitsstrategie

Auf Anfragen reagieren deutsche Behörden routiniert mit dem Hinweis auf „Sensibilisierung“. Mitarbeitende würden über Risiken informiert, private Smartphones seien auf Liegenschaften untersagt. Doch die Databroker Files machen deutlich, dass diese Maßnahmen zu kurz greifen.

Die entscheidenden Informationen entstehen außerhalb der gesicherten Bereiche wie auf dem Weg zur Arbeit, beim Einkaufen, zu Hause. Wer beruflich erreichbar sein muss, kann sein Smartphone nicht einfach abschalten. Und selbst restriktive App-Einstellungen verhindern den Datenabfluss oft nicht zuverlässig. Digitale Selbstverteidigung wird so zur Illusion. Das Problem ist strukturell, nicht individuell.

DSGVO: stark auf dem Papier, schwach in der Praxis

Rein rechtlich sind Standortdaten personenbezogene Daten und besonders schutzwürdig. In der Praxis jedoch operieren viele Databroker außerhalb der EU oder in regulatorischen Grauzonen. Sie deklarieren die Informationen als pseudonymisiert und entziehen sie damit faktisch der Durchsetzung europäischer Datenschutzregeln.

Die EU-Kommission plant aktuell sogar, den Schutz pseudonymisierter Daten weiter abzuschwächen. Die Databroker Files liefern dafür ein unfreiwilliges Gegenargument. Kaum eine Datenkategorie ist so leicht re-identifizierbar und so sicherheitsrelevant wie präzise Standortdaten.

Aus juristischer Sicht seien die Databroker Files weniger eine journalistische Sensation als vielmehr ein Beweisstück, schreibt der Kölner Rechtsanwalt Jens Ferner. Sie zeigten, dass die europäische Datenschutzordnung, allen voran die DSGVO, in zentralen Bereichen nicht mehr mit der technischen und ökonomischen Realität der Datenmärkte Schritt halte. Anhand realer Datensätze werde sichtbar, wie tief Standortdaten aus dem Adtech-Ökosystem in den Kernbereich staatlicher Sicherheitsvorsorge hineinreichen, bis hin zu Nuklearbasen, Geheimdienstzentralen und dem unmittelbaren Umfeld des französischen Präsidenten. Ferner formuliert dies wie folgt::

„Die DSGVO scheitert dort, wo Akteure im Schatten agieren und sich auf Konstruktionen wie „pseudonymisierte Daten“ und „berechtigtes Interesse“ zurückziehen.​ […] Wenn der Gesetzgeber nun die Hürde für „personenbezogene Daten“ senkt, öffnet er der industriellen Nutzung solcher Pseudonymdaten Tür und Tor – und entzieht ihnen gerade jene Schutzwirkung, die die DSGVO ursprünglich entfalten sollte.​“

Databroker-Recherche: Adtech als sicherheitspolitische Schwachstelle

Damit verschiebt sich die Debatte grundlegend. Die Databroker Files zeigen, dass es nicht mehr nur um Privatsphäre oder personalisierte Werbung geht, sondern um nationale Sicherheit. Bewegungsprofile von Geheimdienst- und Militärangehörigen gehören nicht auf den freien Markt, egal, ob sie offiziell als „Werbedaten“ gelten.

Parlamentarier sprechen inzwischen offen von einem extrem hohen Spionagerisiko. Fremde Nachrichtendienste, organisierte Kriminalität oder private Sicherheitsfirmen können solche Daten legal erwerben. In einer Zeit hybrider Bedrohungen ist das ein gefährlicher Blindfleck.

Grünen-Politiker Konstantin von Notz weist gegenüber dem Bayerischen Rundfunk (BR) auf die Gefahr hin:

„Wenn Sie wissen, wie Menschen sich verhalten und bewegen, dann sind sie ausspionierbar. Dann können Sie Kontakte herstellen oder Zufallssituationen generieren, um mit Menschen ins Gespräch zu kommen, um sie am Ende anzuwerben oder zu bestechen oder was auch immer zu tun”.

Auch Roderich Kiesewetter, stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, warnt vor einem „extrem hohen“ Spionagerisiko. Deutschland befinde sich im Fokus russischer, chinesischer und iranischer Einflussoperationen; kommerziell gehandelte Datensätze öffneten dabei gefährliche Einfallstore für Spionage und kriminellen Missbrauch.

Databroker Files: Nationale Sicherheit trifft Werbeindustrie

Die Databroker Files legen offen, dass die Infrastruktur der Online-Werbung zu einem Einfallstor für Überwachung, Spionage und Sabotage geworden ist. Solange der Handel mit granularen Standortdaten erlaubt bleibt, helfen weder Sensibilisierung noch App-Tipps. Notwendig sind klare Verbote, eine Registrierung und Beaufsichtigung von Databrokern und die Anerkennung von Standortdaten als sicherheitskritische Information.

Der Jurist Jens Ferner weist darauf zudem hin, dass der Databroker-Komplex weit über Geheimdienste hinausreicht. Dieselben Tracking-Infrastrukturen, die Sicherheitsbeamte erfassen, zeichneten auch das Alltagsleben unzähliger Bürger auf, mit tiefen Eingriffen in Grundrechte wie Bewegungsfreiheit und Privatsphäre.

1 Kommentar lesen
Mehr zu dem Thema

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.