In dieser zweiteiligen Artikelserie beleuchten wir das AdTech-Business, bei dem unsere persönliche Daten im Netz milliardenfach unkontrolliert gehandelt, verkauft und weitergegeben werden. Und worauf im schlimmsten Fall russische, iranische, chinesische und weitere Autokraten Zugriff haben und sich nach Belieben für ihre eigenen Cyberoperationen bedienen können.
Digitalwerbung ist eine Welt, in der kaum etablierte Regeln existieren, Desinformationsschleudern munter finanziert werden und US/EU/Schweizer Sanktionen offenbar null Anwendung haben. Dabei zeigen wir in diesem Teil auf wie Schweizer Marketingagenturen als Vermarkter bei Propaganda und Extremismus-Webseite angepriesen werden, ohne deren Wissen. Und offenbar ohne deren aktive Prävention.
Für diesen Artikel habe ich eng mit Michael Maurantonio zusammengearbeitet. Er ist ein renommierter AdFraud-Experte und spürt Online-Betrug IT-forensisch auf. Einen Namen gemacht hat er sich vor allem mit der Aufdeckung von Werbung westlicher Unternehmen auf rechtsextremen Newsportalen wie u.a. Breitbart.
Über Tracking und Cookies haben wir auf DNIP.ch immer wieder geschrieben (etwa hier oder hier).
Trotzdem nochmals eine kurze Rekapitulation wie dieses “Programmatic Advertising” in der Online-Werbesphäre funktioniert: Es ist ein ausgeklügeltes System mit zu bewerbenden Webseiten auf der einen Seite und Werbekunden (Unternehmen, Institutionen, Organisationen, Einzelpersonen) auf der anderen Seite. Dazwischen sind viele Zwischenhändler beteiligte und auch Technologien verwoben. Es handelt sich um eine eine komplexe Lieferkette mit zahlreichen Subzweigen und Börsen.
- Webseiten wie die NZZ.ch oder Watson.ch stellen Werbebanner-Plätze auf ihren Webseiten zur Verfügung. Diese Plätze werden via SSPs (Supply Side Plattform) im Echtzeit-Verfahren an verschiedenen Werbebörsen (Ad Exchanges) verhandelt. Das Verfahren wird “Realtime-Bidding RTB” genannt. Wenn eine Leserin nzz.ch besucht, werden ihre Daten von der zuständigen SSP-Plattformen n (RTB bid request) an eine oder mehrere Ad Exchanges (also Werbebörsen) verschickt. Diese Werbebörsen versenden wiederum ihre Daten an unzählige DSPs (“Demand Side Plattformen”). Die DSPs untersuchen ob das Profil der Leserin zu ihrem Werbekunden passt und offerieren je nachdem mit bei der Online-Auktion.
- Es gibt somit die Unternehmen auf der anderen Seite der Lieferkette. Diese möchte Werbung auf Webseiten wie NZZ.ch schalten. Sie lassen die DSPs für sich arbeiten. Die DSPs schauen den “Bid Request” des SSP- also die Werbeopportunität- an und entscheiden ob sie in der Auktion offerieren möchten oder nicht. So oder so: die Daten der NZZ-Leserin werden in das Dossier aller an der Auktion teilnehmenden DSPs hinzugefügt, unabhängig wer den “Slot” für den Werbebanner gewonnen hat. Anders gesagt: Datenaustausch findet auch dann statt, wenn kein Angebot gemacht wird. Und damit auch wenn kein Zuschlag für das Angebot erfolgt. Die Datenbanken aller teilnehmenden Akteure wie der DSPs wachsen stetig an. Welche Auswüchse das konkret hat, darauf gehen wir in Teil 2 ein.
Hier eine Visualisierung aus dem Report “European’s hidden security crisis”:
Hier einige Beispiele für die führenden DSP und SSP-Plattformen gemäss AdFraud-Experte Maurantonio:
DSPs: Xandr, DV360 (Google), Adform, Yieldlab, Beeswax, Amazon etc.
SSPs: Pubmatic, Openx, Google AdManager, Xandr etc.
Die Agenturen oder auch Werbeplatzvermittler Goldbach sowie audienzz etc. sind also zum einen Vermarkter auf der Demand-Seite. Sie nutzen diese DSP-Plattformen, um für Schweizer Unternehmen – also die Werbekunden – Kampagnen auf diversen nationalen und internationalen Webseiten auszuspielen. Der Werbe-Inventar einer Webseite managt auf der anderen Seite die genannten SSPs, die die Angebote (bid requests) an die Marktplätze weitergeben. Bei Goldbach und audienzz kommt nun dazu dass sie AUCH auf der Supply-Side fungieren, weil sie einem Verlagshaus angehören und damit deren Inventar (alle Webseiten der NZZ und TX-Gruppe) auch direkt managen. Sie dienen also als Vermittler für die Medientitel der TX und der NZZ-Mediengruppe.
In diesem Artikel schauen wir uns aber die problematische Seite dieses Systems an in Sachen SSP.
Werbeberater Maurantonio wies mich darauf hin dass auf Webseiten wie Russiadefence.net oder Islamfrancophone.com Schweizer Marketing-Agenturen wie Stailamedia, audienzz und Goldbach als “Reseller” ausgegeben werden.
Das bedeutet jene Agenturen werden- gemäss den Webseiten- dazu ermächtigt, bei ihnen Werbebanner ihrer Kunden zu verkaufen. Die lässt sich anhand der angehängten ads.text-Files (einfach russiadefence.net/ads.txt eingeben) überprüfen. Die Agenturen werden als sogenannte Reseller für AppNexus angegeben, der Online-Vermarktungstechnologie von Microsoft (auch interessant wie amerikanische Big-Tech-Firmen die Werbeangebote auf russischen Webseiten uneingeschränkt vermarkten, auch hier spielen offenbar Sanktionen keine Rolle). Die Webseitenbetreiber machen hier sozusagen eine Eigendeklaration, wer bei ihnen offiziell Werbung schalten darf.
Eine Webseite wie Russiadefence.net erstellt somit Ads.Text-Files mit verschiedenen Seller IDs um dem Buchungstool für Online-Werbung vorzugaukeln: der Werbeplatzvermittler mit der ID 3927 (das ist die ID der NZZ-Agentur audienzz beim Marktplatz von appnexus) ist legitimiert Werbung auf dem Forum des russischen Militär buchen. Die SellerIDs von AppNexus findet man in diesem Json-File: https://acdn.adnxs.com/sellers/1d/appnexus/sellers.json
Dies sieht dann so aus:
Und genau hier liegt das Problem: Weder die Stailamedia, noch Goldbach oder audienzz wissen offenbar dass sie als Agentur für russische Propaganda-Webseiten aufgeführt sind. Alle verneinen eine Vermarktung jener Webseiten.
Goldbach-Sprecherin Iris Blättler sagt dazu:
“Falls irgendeine beliebige Webseite uns in ihrem ads.txt file aufführen sollte, ohne von uns vermarktet zu werden, dann handelt es sich um betrügerische Aktivitäten dieser Webseite.“
Iris Blättler, Leiterin Kommunikation Goldbach
Die Identifikation solcher Webseites sei schwierig. Goldbach prüfe immerhin die Domains, von denen sie dann effektiv Ad Requests erhalten.
Dem widerspricht aber AdTech-Profi Michael Maurantonio. Ein Vermarktungsunternehmen kann nicht nur Parameter wie Zielgruppe, Zielgebiet und Kosten für 1000 Einblendungen definieren, sondern auch Top-Level-Domains wie .ru oder .cn von Vorneherein ausschliessen. Damit kann ein Werbekunde Vorkehrungen treffen, dass er mit grosser Wahrscheinlichkeit nie Werbebanner zum Beispiel auf einer russischsprachigen Medien-Seite ausspielen wird. Ausserdem kann jede Agentur mit Tools automatisiert selber nachschauen, wo und wie sie mit ihrer SellerID gelistet ist und bei den Betrugswebseiten verlangen, diese zu entfernen.
Raphael Oppenheim von Stailamedia sagt, dass sie diesen Schritt tun werden:
“Wir werden diese Webseiten abmahnen, können jedoch leider nicht kontrollieren, welche Domains allenfalls unsere ads.txt-Einträge ohne unser Wissen auflisten.“
Raphael Oppenheim, Sprecher von Stailamedia
Stand heute: die SellerIDs aller 3 Schweizer Werbeplatz-Vermarkter stehen immer noch auf russiadefence.net aufgeführt.
Die Erklärungen der Agenturen sind nachvollziehbar, jedoch auch eine Kapitulationserklärung im Kampf gegen Betrug im Online-Werbebusiness.
Kurz: in der Online-Werbewelt herrscht der absolute Wilde Westen. Die Kunden verlassen sich auf ihre Agenturen oder auf eben auf die DSPs wie Google darauf, dass sie an den “richtigen Orten” erscheinen. Doch garantieren kann das niemand.
Mit anderen Worten: Das gegenwärtige Werbeökosystem finanziert weiterhin Extremismus, Desinformation und Webseiten von autoritären Staaten.
Was ändert sich nun mit dem geplanten Aus von 3rd-Party-Cookies bei Google (beim Browser Chrome)?
Dazu wird es auf DNIP.ch einen längeren Artikel geben (vor allem was die Auswirkungen auf die Privacy von uns allen sein werden).
Doch kurz zusammengefasst: Für viele DSPs sind die goldenen Datenzeiten vorbei. Sie können nur bedingt einzelne Personen über alle Webseiten -die die entsprechenden Cookies der DSPs einbetten- verfolgen. Also erkennen dass ein und dieselbe Person gestern nzz.ch gelesen hat, heute bei ebay.ch surfte und morgen auf booking.com ein Hotel buchen wird (Es ist davon auszugehen dass die Google-Cookies unangetastet bleiben und Google weiterhin wissen möchte, wo sich seine User im Internet überall bewegen). Das “Cross-Site-Tracking” mittels 3 party-Cookies für alle anderen DSPs wird unterbunden.
Aber: Nach wie vor erlaubt ist die Weitergabe der Daten der 1st Party Cookies an alle DSPs: Diese werden von der zu bewerbenden Website selber erstellt und dienen dazu zum Beispiel Informationen über die Interaktionen des Nutzers zu speichern. Hier haben sich die Schweizer Medien mit der OneLog/OneID-Allianz bereits in Stellung gebracht (Ringier, NZZ, TX Gruppe und AZ Medien). Ein von der NZZ eigenes Cookie wird beim Besuch von nzz.ch gesetzt und damit in das OneLog/OneID-Ökosystem eingespiesen. Diese Daten über eine OneLog-Leserin werden dann mit allen Partner der Allianz geteilt, so dass eine NZZ-Leserin zugleich auch beim Besuch von 20minuten verfolgt wird, sagt Michael Maurantonio.
Es gibt noch weitere ID-Verbünde wie ID5, NetID oder IDFusion.
“Aber: egal mit welcher ID man arbeitet, die Menge adressierbare Reichweite ist viel geringer, als die mit 3rd Party Cookies, also wird auch die Menge an Adimpression mit Targeting geringer ausfallen, was wiederum einen finanziellen Impact haben wird. Ein Grund ist: Verschiedene Plattformen und Dienste können unterschiedliche Identifikatoren verwenden, was zu einer Fragmentierung führt. Ohne eine standardisierte Identifikationsmethode wird es schwieriger, Benutzer über verschiedene Plattformen hinweg zu verfolgen und anzusprechen. Weiterhin möglich wird aber die Ausspielung von Werbung in der DSP ohne Targeting auf Basis von Bspw. Content-Affinität geben, zum Beispiel: „Sportschuhe werden im Umfeld von Sport-News”
Michael Maurantonio, AdFraud-Experte
Das bedeutet: wir können uns auf bessere Zeiten für unsere Privatsphäre durchaus freuen. In einigen Ländern müssen Benutzer möglicherweise aktiv ihre Zustimmung zur Verwendung solcher Identifikatoren (Emailadresse etc.) geben. Dies kann zu einer geringeren Zustimmungsrate führen, da viele Benutzer möglicherweise zögern, ihre Identifikatoren freizugeben. Der Digital Services Act verbietet auch Online-Werbung auf Basis von sexueller Orientierung, religiöser Glaube, ethnischer Zugehörigkeit und auch politischen Einstellungen. Dieses Gesetz ist für die Schweiz zwar nicht bindend, eine Vorlage nach dem Vorbild des DSA wird vom Bundesamt für Kommunikation BAKOM ausgearbeitet. (Doch ob die Schweiz auch jene Einschränkungen im Datenkapitalismus übernehmen wird? Darauf würde ich nicht wetten.)
Das unkontrollierte AdTech-Ökosystem mit all seinen Betrugsmaschen ist mit diesen gesetzlichen Einschränkungen ohnehin nicht gelöst.
Besser: auf ein anderes Geschäftsmodell setzen. In Teil 2 werde ich auf weitere Auswüchse dieses AdTech-Systems eingehen.
AdFraud-Profi Maurantonio hat noch ein weiteres Schmankerl parat zum Schluss: Die Werbefläche des deutschen rechtspopulistischen Newsportals nius.de, das gerade sehr unrühmliche Schlagzeilen rund um die SZ-Vizechefredakteurin Alexandra Föderl-Schmid machte und von Ex-Bild-Chefredaktor Julian Reichelt lancierte wurde-, wird vermarktet… von der NZZ-Agentur audienzz.
Und dies sogar gemäss offiziellen eigenen Angaben der Agentur. Dazu kommt: gemäss meiner im letzten Jahr publizierten Republik-Geschichte wissen wir auch: Schweizer Medienwebseiten wie die 20min.ch, blick.ch und NZZ.ch schicken gerne (und bewusst) auch die Daten ihrer Leserinnen nach Russland zu russischen Big Tech-Unternehmen wie Yandex.
3 Responses
Ich würde hier gerne zwei Punkte des Artikels ansprechen, bei welchen ich als Experte auf diesem Gebiet anderer Meinung bin:
1. der Titel ist so nicht korrekt. Die 3 Vermarkter haben mit ziemlicher Sicherheit keine einzige Impression der Seite russiadefence.net verkauft oder vermarktet. Das ads.txt ist eine Liste mit den Account-ID’s von Verkaufsplattformen (SSP’s), welche von der Seite selber technisch autorisiert wären, Werbung zu verkaufen. Diese ID’s sind öffentlich, da sie in den Ads.txt jedes grösseren Portals gelistet sind. Als Beispiel: der erste Eintrag auf nzz.ch/ads.txt ist der Direktvermarkter, also die Audienzz, gekennzeichnet mit DIRECT.
2. “Kurz: in der Online-Werbewelt herrscht der absolute Wilde Westen. Die Kunden verlassen sich auf ihre Agenturen oder auf eben auf die DSPs wie Google darauf, dass sie an den “richtigen Orten” erscheinen. Doch garantieren kann das niemand.”
Das ist so ebenfalls nicht korrekt. Wenn jemand eine DSP, also die Buchungsplattform der Agentur oder des Werbekunden selbst, richtig bedienen kann, dann läuft jede Kampagne am “richtigen Ort”. Bei jeder DSP gibt es die Möglichkeit eine Domain-Liste zu hinterlegen und so die Kampagne nur auf überprüften und für brand-safe eingestuften Websites auszuliefern. Zusätzlich kann man mit Brandsafety Tools arbeiten die den Inhalt jeder Website analysieren und die Ausspielung blockieren, sollte der Inhalt nicht den Anforderungen des Werbekunden entsprechen.
Früher waren es intransparente Adnetzwerke, welche günstig Werbeplätze verkauften und der Werbekunde oder die Agentur nicht genau wusste, wo schlussendlich die Werbung ausgespielt wurde, heute kann das mit fehlendem Fachwissen mit programmatischem Einkauf passieren. Schlussendlich hat man heute im Vergleich zu früher aber mehr Möglichkeiten um AdFraud und ungewünschter Auslieferung entgegenzuwirken.
Hallo Tobi Hauck…Titel kann man zugespitzt so stehen lassen, weil die Vermarkter unfreiwillig “vermarktet” werden, bzw als die Vermarkter der Webseite aufgeführt werden (ohne effektive Impressions zu verkaufen) Und zum Zweiten: das schreibe ich ja hier: “Ein Vermarktungsunternehmen kann nicht nur Parameter wie Zielgruppe, Zielgebiet und Kosten für 1000 Einblendungen definieren, sondern auch Top-Level-Domains wie .ru oder .cn von Vorneherein ausschliessen. Damit kann ein Werbekunde Vorkehrungen treffen, dass er mit grosser Wahrscheinlichkeit nie Werbebanner zum Beispiel auf einer russischsprachigen Medien-Seite ausspielen wird. Ausserdem kann jede Agentur mit Tools automatisiert selber nachschauen, wo und wie sie mit ihrer SellerID gelistet ist und bei den Betrugswebseiten verlangen, diese zu entfernen.
Ich habe den Eindruck hier soll den Werbeplatzanbietern (wie NZZ, Tagi, ..) unterstellt werden, sie wuerden sich drum kuemmern, welche Werbung bei ihren Kunden eingeblendet wird, resp wohin die Kundendaten gehen. Das ist beides eher nicht der Fall. Weshalb sollten sie Sonderaufwendungen treiben, die ihnen, den Werbeplatzanbietern, nichts bringen.
Bezahlt wird fuer Impressionen, dh wie oft ist das Ad sichtbar. Und fuer die CTR, click through ratio, wie oft wird die Werbung dann auch geclickt. Die Platform in der Mitte sollte nun diese Werte maximieren. Das haengt an den Daten, welche mitgeteilt werden. Das Einfachste ist der Kontext der Seite, zB Ski-Sportresultate, toll waere noch eine Benutzer-ID, sodass der Betreiber ein Profil aufbauen kann. Im Sinne von : dieser Benutzer schaut sich oft Ski-Sportresultate an, aber Skiwerbung kommt nicht an. Ohne Benutzer-id kein Profil, keine Historie, keine Optimierung. Ein wesentlicher Punkt liegt auf den Schluesselwoertern. zB Ski-Sportresultate. Was bedeuten die, wie werden die abgegrenzt, was sind die verwandten Gebiete. Diese Beschreibungen der Seite wird von einer Maschine erstellt und der URL zugewiesen, sofern noch nicht bekannt. Was der Werbeplatzanbieter weiss, aber eher nicht mitteilt, ist wie der Benutzer auf diese Seite kam. Sinnvollerweise kommt der gesammte Vermarktungsprozess aus einer Hand, dann stimmt das alles ueberein. Unsere Medienanbieter haben da leider ein paar Jahre geschlafen. Und jetzt wird versucht aufzuholen.