Privatsphäre
Die Gerüchteküche brodelt schon lange: Unsere Smartphones lauschen ununterbrochen mit. In Wahrheit ist das Mithören aber überflüssig. So gut wie jede App auf deinem Smartphone versorgt Datenhändler mit genügend Informationen, um ein präzises Profil von dir zu erstellen. Und das gilt für alle Arten von Apps, von Spielen bis zu Wetter-Apps. Bei „Online-Tracking“ dachte man lange Zeit an Suchmaschinen, Anzeigensysteme und Werbetreibende, die genau wussten, welche Websites du besuchst. Doch seit es Smartphones gibt, hat sich die Situation extrem zugespitzt: Nun wissen die Werbeprofis, wo du dich physisch aufhältst und wie oft du wo bist. Aber wie machen sie das?
Jedes Mal, bevor eine mobile App Werbung anzeigt, findet eine blitzschnelle Auktion statt. Die Daten, die dein Smartphone sendet, werden analysiert und es wird entschieden, welche konkrete Anzeige du erblickst. Du siehst nur die Anzeige, die die Auktion gewonnen hat. Gleichzeitig erhalten jedoch alle Auktionsteilnehmer Daten über den potenziellen Betrachter – also über dich. Im Februar 2025 wurde bei einem Experiment untersucht, wie viele Unternehmen solche Informationen erhalten und wie detailliert die Informationen sind. Wie sich zeigte, schützen integrierte Smartphone-Funktionen (z. B. „Do Not Track“ oder „Keine personalisierte Werbung anzeigen“) die Nutzer nur unzureichend. Darum empfehlen wir einige Schutzmethoden!
Welche Daten erhalten Werbeanbieter?
Natürlich hat jede mobile App ihre Besonderheiten. Die meisten übertragen jedoch bereits Daten an Werbenetzwerke, bevor überhaupt Anzeigen geschaltet werden. Im erwähnten Experiment sendete ein mobiles Game unmittelbar nach dem Start umfangreiche Daten an das Unity Ads-Netzwerk:
- Informationen zum Smartphone, Betriebssystemversion, Akkustand, Einstellungen für Helligkeit und Lautstärke sowie Angaben zum verfügbaren Speicherplatz
- Daten über den Mobilfunkanbieter
- Art der Internetverbindung
- Vollständige IP-Adresse des Geräts
- Herstellercode (ID des Spieleentwicklers)
- Eindeutiger Benutzercode (IFV) – Identifikator, der mit dem Spieleentwickler verknüpft ist und von einem Werbesystem verwendet wird
- Ein weiterer eindeutiger Benutzercode (IDFA/AAID) – Werbe-ID, die für alle Apps auf dem Smartphone gleich ist
- Aktueller Standort
- Einwilligung zum Werbe-Tracking (ja oder nein)
Interessanterweise wird der Standort auch dann übermittelt, wenn der Ortungsdienst auf dem Smartphone deaktiviert ist. Dabei wird auf Basis der IP-Adresse ein ungefährer Wert berechnet. Physische Adressen und Internetadressen werden anhand öffentlich zugänglicher Datenbanken abgeglichen, und das Ergebnis ist überraschend genau – bis auf den Wohnblock oder sogar das Gebäude. Wenn Ortungsdienste für die App aktiviert und zugelassen sind, werden präzise Standortdaten übermittelt.
Im selben Experiment wurde die Zustimmung zum Werbe-Tracking als „Nutzer ist einverstanden“ gekennzeichnet, obwohl der Forscher gar nicht zugestimmt hatte.
Wer erhält die Daten und wie oft werden Daten gesendet?
Der Datenstrom wird an alle in die App integrierten Werbeplattformen gesendet. Oft gibt es mehrere solcher Plattformen. Dann entscheidet ein komplexer Algorithmus, auf welcher Plattform die Anzeige präsentiert wird. Einige Daten werden aber großzügig mit allen verbundenen Netzwerken geteilt – auch mit jenen, die gerade keine Werbung anzeigen. Neben dem schon erwähnten Unternehmen Unity (dessen Werbeplattform 66 % des Umsatzes der Entwickler dieser Game-Engine generiert) gibt es weitere wichtige Plattformen wie Facebook, Microsoft, Google, Apple und Amazon sowie Dutzende spezialisierter Unternehmen (z. B. ironSource).
Nächster Schritt: Das Werbenetzwerk, das gerade Werbung in der App anzeigt, sendet eine große Menge von Benutzerdaten an ein Echtzeitgebotssystem (RTB). Dabei analysieren verschiedene Werbetreibende die Daten und geben Gebote für die Schaltung ihrer Anzeigen ab – all das geschieht pfeilschnell. Du siehst die Anzeige, die gewonnen hat, aber alle Auktionsteilnehmer erhalten Informationen zu deinem Standort, kombiniert mit der genauen Uhrzeit, IP-Adresse und einem Berg anderer Daten. Das Experiment hat ergeben, dass diese Daten von Hunderten unbekannter Firmen gesammelt werden. Darunter könnten sich auch Scheinfirmen im Besitz von Geheimdiensten befinden.
Dieses Video stammt aus dem Experiment und zeigt, wie jede Sekunde Dutzende von Verbindungen zu Werbeservern hergestellt wurden. Sogar Facebook empfing Daten, obwohl auf dem Test-Smartphone gar keine Meta-Apps installiert waren.
Die Illusion der Anonymität
Die Besitzer von Werbenetzwerken behaupten gerne, dass sie für gezielte Anzeigen anonyme und anonymisierte Daten verwenden. In Wirklichkeit geben sich Werbesysteme jedoch alle Mühe, um Nutzer über verschiedene Apps und Geräte hinweg möglichst genau zu identifizieren.
Der oben genannte Datensatz enthält zwei verschiedene Benutzercodes: IFV und IDFA (für Apple) bzw. AAID (für Android). Jeder App-Entwickler weist deinem Gerät eine eigene IFV zu. Wenn du drei Games vom selben Entwickler hast, sendet jedes Spiel beim Anzeigen von Werbung dieselbe IFV. Gleichzeitig senden die Apps anderer Entwickler ihre eigenen IFVs. Die IDFA/AAID hingegen ist eine eindeutige Werbe-ID, die für das ganze Smartphone gilt. Wenn du in den Smartphone-Einstellungen der „Personalisierung von Werbung“ zugestimmt hast, verwenden alle Games und Apps auf deinem Gerät dieselbe IDFA/AAID.
Wenn du die Personalisierung von Anzeigen deaktivierst oder die Zustimmung verweigerst, wird die IDFA/AAID durch Nullen ersetzt. Es werden jedoch weiterhin IFVs gesendet. Durch die Kombination der mit jeder Anzeige übertragenen Daten können Werbenetzwerke ein detailliertes Dossier über „anonyme“ Nutzer anlegen und die Benutzeraktivitäten über verschiedene Apps hinweg anhand dieser IDs verknüpfen. Und sobald der Nutzer irgendwo seine E-Mail-Adresse, Telefonnummer, Zahlungsdetails oder Privatadresse eingibt (etwa bei einem Online-Einkauf), kann die anonyme ID mit diesen persönlichen Informationen verknüpft werden.
Wie schon in unserem Artikel zum Datenleck bei Gravy Analytics erwähnt: Standortdaten sind derart wertvoll, dass einige Unternehmen, die sich als Werbemakler ausgeben, nur zu dem Zweck gegründet wurden, solche Daten zu sammeln. Dank der IFV (und insbesondere der IDFA/AAID) ist es möglich, die Bewegungen von „Person X“ nachzuvollziehen und einen Nutzer allein aufgrund dieser Daten zu deanonymisieren.
Häufig ist eine komplexe Analyse der Bewegungen aber gar nicht notwendig. Skrupellose Makler verkaufen Datenbanken, in denen Anzeigen-IDs mit vollständigen Namen, Privatadressen, E-Mail-Adressen und anderen persönlichen Daten verknüpft sind. In solchen Fällen ergibt sich aus detaillierten persönlichen Daten und einem ausführlichen Standortverlauf ein umfangreiches Dossier über den Nutzer.
So schützt du dich vor Werbe-Tracking
In der Praxis bieten weder strenge Gesetze (wie die DSGVO) noch integrierte Datenschutz-Einstellungen einen vollständigen Schutz vor solchen Tracking-Methoden. Wenn du in einer App auf die Schaltfläche drückst, um personalisierte Werbung abzulehnen, wirkt dies leider nur wie ein Tropfen auf den heißen Stein. Dadurch wird nämlich nur eine einzige ID aus den Telemetriedaten entfernt. Die übrigen Informationen landen weiterhin völlig unbehelligt bei den Werbetreibenden.
Fälle wie das Datenleck bei Gravy Analytics und der Skandal um den Datenbroker Datastream illustrieren, wie gravierend dieses Problem ist. Die Werbe-Tracking-Branche ist riesig, und so gut wie alle Apps werden für ihre Zwecke ausgenutzt – nicht nur Games. Darüber hinaus gibt es unzählige Interessenten für Standortdaten – von Werbefirmen bis hin zu Geheimdiensten. Manchmal bekommen Hacker diese Informationen sogar geschenkt – beispielsweise, wenn ein Datenhändler seine Datenbanken nicht sachgemäß schützt. Trotzdem kannst du deine Daten wenigstens teilweise vor solchen Lecks schützen. Dazu solltest du einige wichtige Vorsichtsmaßnahmen treffen:
- Erlaube den Standortzugriff nur für Apps, die dies für ihre eigentliche Funktion wirklich benötigen (z. B. Navigations-Apps, Karten oder Taxidienste). Beispielsweise sind Lieferdienste oder Banking-Apps nicht unbedingt auf deinen Standort angewiesen – von Spielen oder Shopping-Apps ganz zu schweigen. Die Lieferadresse kannst du jederzeit von Hand eintippen.
- Faustregel: Gewähre Apps nur die minimal erforderlichen Berechtigungen. Erlaube ihnen nicht, deine Aktivitäten in anderen Apps zu verfolgen, und gib ihnen keinen Vollzugriff auf deine Fotogalerie. Inzwischen gibt es Malware, die Fotodaten mithilfe von KI analysieren kann, und gewissenlose App-Entwickler könnten solche Funktionen ausnutzen. Außerdem enthalten die Fotos, die du mit deinem Smartphone aufnimmst, eine Menge Daten und vielleicht sogar Geotags.
- Konfiguriere auf deinem Smartphone einen sicheren DNS-Dienst mit Werbefilterfunktion. Dadurch wird ein erheblicher Teil der Werbe-Telemetrie blockiert.
- Verwende möglichst Apps, die keine Werbung enthalten. Normalerweise sind dies entweder FOSS-Apps (Free Open Source Software) oder kostenpflichtige Apps.
- Deaktiviere auf iOS-Geräten die Verwendung der Werbe-ID. Auf Android-Geräten solltest du diese ID mindestens einmal im Monat löschen oder zurücksetzen (leider lässt sie sich nicht vollständig deaktivieren). Durch diese Schritte lässt sich die Menge der über dich gesammelten Informationen zwar reduzieren, du kannst das Tracking jedoch nicht vollständig verhindern.
- Vermeide in Apps die Funktion „Mit Google anmelden“ oder ähnliche Dienste. Und erstelle nicht in jeder App ein Konto. Dadurch ist es für Werbetreibende schwieriger, deine Aktivitäten über verschiedene Apps und Dienste hinweg in einem einheitlichen Werbeprofil zusammenzufassen.
- Verwende möglichst wenige Apps auf deinem Smartphone und lösche ungenutzte Apps regelmäßig. Dadurch verhinderst du, dass nicht aktiv genutzte Apps dich verfolgen.
- Verwende auf allen deinen Geräten zuverlässige Sicherheitslösungen, wie zum Beispiel Kaspersky Premium. Diese schützen dich vor aggressiven Apps, deren Werbemodule genauso schädlich sein können wie Spyware.
- Aktiviere auf deinem Smartphone in den Kaspersky-Einstellungen die Optionen Anti-Banner und Privates Surfen (iOS) bzw. Sicheres Browsen (Android). Dadurch wird es deutlich erschwert, dich zu verfolgen.
Und falls du dir immer noch keine Sorgen wegen der Überwachung von Smartphones machst, findest du hier einige erschreckende Geschichten darüber, wie und von wem wir ausspioniert werden:
Tipps