Ist Online Werbung eine Bedrohung der nationalen Sicherheit?

Grundlage: Businessinsider

Wundert Sie die Frage?
Finden Sie die Frage völlig durchgeknallt? Von einem paranoiden Datenschutzspinner?
Für uns Deutsche klingt das verrückt.
Doch überlegen wir weiter:
Die Werbung wird nur von wenigen Firmen ausgeliefert. Was passiert, wenn Kriminelle eine dieser Firmen hacken und Ihnen nicht nur falsche Werbung unterschieben, sondern gefährlichen Schadcode?

Das ist schon passiert.

Englische Links:
https://www.bleepingcomputer.com/news/security/revive-ad-servers-being-hacked-to-distribute-malicious-ads/

https://www.zdnet.com/article/hackers-have-breached-60-ad-servers-to-load-their-own-malicious-ads/

Selbst Google hat das schon erlebt.

Anstelle Endbenutzer zu attackieren, ist es effizienter, die Lieferanten der Werbung zu infiltrieren und somit auf Millionen von Rechnern zu gelangen.

Dann wären auch Rechner in Firmen und bei Behörden betroffen, denn auch diese Mitarbeiter surfen im Internet. Auf Phishing sind viele Firmen und mehr und mehr Mitarbeiter vorbereitet, aber auf infizierte Werbung?
Und was ist damit: Russische oder Chinesische Geheimdienste verwenden diesen Weg, um ein Land anzugreifen? Oder könnten dadurch Mitarbeiter von Sicherheitsbehörden ausgespäht und dann vielleicht erpresst werden?

Daher haben die Amerikaner in ihrem Intelligence Authorization Act für 2023 einen neuen Abschnitt hinzugefügt, der sich dieses Thema anschauen will.

Der Direktor der Nationalen Nachrichtendienste wurde gebeten, die „ausländische Bewaffnung“ von Werbedaten zu bewerten. Der erste Schritt ist eine Risikobewertung.

Die Bewertung wird „die Risiken der Spionageabwehr und die Gefährdung des Personals der Nachrichtendienste durch die Verfolgung durch ausländische Gegner mittels werbetechnischer Daten“ untersuchen, heißt es im Gesetz.

Technischer Hintergrund

In den Millisekunden, die es dauert, bis eine Webseite oder eine App geladen ist, sendet das Gerät eines Nutzers einen Anruf an Werbebörsen und -netzwerke. Der Anruf enthält Details über das Telefon oder den Computer – wie den aktuellen Standort oder die Geräte-ID – sowie bekannte oder abgeleitete Informationen über den Nutzer, wie sein Alter oder Geschlecht.

Diese Informationen werden dann an Adtech-Anbieter weitergeleitet, die wiederum an einer Auktion teilnehmen können, um dem Nutzer eine Anzeige zu schalten. Ein Prozess, der als Echtzeitgebot bekannt ist. Unabhängig davon, ob sie die Auktion gewinnen oder nicht, haben zahlreiche dieser Unternehmen Zugang zu den so genannten Bidstream-Daten und können diese Informationen potenziell zu detaillierten Nutzerprofilen zusammenstellen. All dies geschieht weitgehend unbemerkt von den Nutzern.

Theoretisch könnte ein ausländischer Gegner solche Informationen nutzen, um den Aufenthaltsort von Geheimdienstmitarbeitern, z. B. auf ihren Auslandsreisen, zu ermitteln.

Auf der anderen Seite haben US Behörden die Daten von Werbeauktionen verwendet, um Bürger zu überwachen, wie das Wallstreet Journal berichtet.

Auch das FBI gab zu, dass es Geodaten von kommerziellen Anbietern verwendet, u.a. um den 6.1.2021, den Angriff auf das Capitol, zu untersuchen. Auch andere Behörden verwendeten derartige Daten ohne einen richterlichen Beschluss oder andere rechtsstaatlichen Mechanismen. Einfach mal überwachen. Jeder ist ein potenzieller Terrorist.

Ob Kriminelle immer nur Bürger der USA damit attackieren ist unklar. Warum sollten sie sich beschränken? Was in den USA technisch möglich ist, ist auch in anderen Ländern, also auch Deutschland, möglich.

Immerhin zeigen die Amerikaner, dass es die Möglichkeit gibt, dass Werbung schädlich und eine Gefahr sein kann. Für jeden von uns. Schadcode schadet jedem und Ihnen wahrscheinlich mehr, als einem von einer Firma oder einer Sicherheitsbehörde professionell geschützten Rechner.