Dies ist eine gemeinsame Recherche mit Ingo Dachwitz, Privacy Reporter für Netzpolitik.org
Auch dieses Mal geht es wieder um Advertising Tech und die „trümmlige“ Welt der werbefinanzierten Medien. Erneut hab ich mich dafür mit dem AdTech-Profi Michael Maurantonio zusammengetan und dieses Mal folgende Fragestellung untersucht: Auf welchen Webseiten werden Tracker des russischen Big Tech-Konzerns Yandex verbaut und erlauben damit auch eine Vermarktung durch Yandex?
Und siehe da: Maurantonio wurde mit einer Liste von 10’000 Domains schnell fündig.
Dabei sind wir auf ungewöhnlich viele deutsche Medienportale gestossen, die durchaus auch von Deutschschweizer Nutzer:innen aufgerufen werden und deren Daten damit auch potenziell gefährdet sind. Doch dazu später mehr.
Unsere Recherchen zeigen also:
Zahlreiche deutsche Medienportale bieten sich für Yandex als Werbefläche an. Das bedeutet: Yandex dürfte theoretisch den Werbeinventar eines Publishers vermarkten. Und würde so an viele Daten von Leser:innen gelangen.
Dass dies wahrscheinlich nicht passiert, liegt aber nicht an den Verlagen. Sondern ausgerechnet am russischen Werberiesen Yandex, der die europäischen Domains aus seinem Inventar rauskickte.
Der Reihe nach. Bevor wir diese Befunde im Detail noch technisch belegen, hier nochmals die grundlegende Frage: Warum ist eine Zusammenarbeit mit dem russischen Riesen Yandex überhaupt problematisch?
Inhalte
ToggleEin Konzern in Geiselhaft des Kremls
Hierzu ein kleiner Exkurs: Die Firma Yandex galt in Russland lange Zeit als Tech-Monopolist in verschiedenen Branchen: So bietet der Konzern Suchmaschine, News-Aggregator, Youtube, Spotify, UBER und Food Delivery in Einem. Im letzten Jahrzehnt haben die zunehmend repressive Internet-Gesetze des Kremls dazu geführt, dass Yandex immer mehr (unfreiwillig) zu einem Sprachrohr von Wladimir Putin persönlich wurde. Einerseits durch Vorgaben zu den Lizenzierungen des Kreml: Nur lizenzierte und propagandatreue Medienhäuser dürfen beim Yandex-News-Aggregator publizieren.
Und andererseits wegen des berüchtigten „Ausländischen Agenten“-Gesetzes, das diverse oppositionelle und investigative Medienportale brandmarkt (ein Gesetz das auch in Europa „Schule“ macht: so hat die georgische Regierung ebenfalls gegen seine eigene Bevölkerung, Medien oder NGOs dasselbe repressive Gesetz beschlossen). Mit einem solchen Stigma versehen, riskiert man ebenfalls von den Algorithmen von Yandex aussortiert zu werden. Hinzu kommt: Durch richterlichen Beschluss (bei einer bekanntlich nicht unabhängigen Justiz) erhält der russische Geheimdienst regelmässig Daten von Yandex-Usern.
Wegen der Invasion geriet Yandex — das sich betont apolitisch, hip und geeky gibt — zunehmend unter Druck. Der Konzern mit früher knapp 20’000 Mitarbeitenden wurde von der EU für die Desinformation weltweit und auch der russischen Bevölkerung mitverantwortlich gemacht. Gegen Yandex-Mitgründer Arkadi Wolosch verhängte die EU Sanktionen. Im Sommer 2022 verkaufte der Konzern in der Not seine „News-Assets“, also den toxischen News-Aggregator (Pendant zu Google News), der vor allem als Desinformationsschleuder zur Ukraine bekannt ist.
Yandex wurde aufgesplittet in zwei Teile
Yandex ist aber auch nach diesem Verkauf immer noch fest in Kreml-Hand und muss jederzeit Daten an den Staat rausrücken. Die Suchmaschine ist immer noch stark zensiert. Grössere Leaks wie dasjenige von Januar 2023 zeigten ausserdem, wie schlecht es um die IT-Security steht und wie viele Details der Konzern über seine russischen User gesammelt hat. Ich empfehle an dieser Stelle den Vortrag der Privacy-Ingenieurin Kaleigh McCrea an der BlackHat-Konferenz von 2023: Sie konnte anhand des geleakten Code nachvollziehen, welche umfassenden Konsumentenprofile erstellen werden können anhand der Cookies von Yandex, dem Analysetool Metrica und all den Online-Services von Yandex.
Verflechtungen mit Europa
Nur Wenige wissen: Yandex war bis vor Kurzem zwar ein russischer Konzern, der aber seinen rechtlichen Steuersitz in den Niederlanden hatte. Geändert hat sich das erst vor paar Monaten. Yandex NV verkaufte seinen russischen Teil (Video, Lieferdienste, Streaming, Online-Werbung) an eine russische Investorengruppe für 5.21 Milliarden Dollar. Geführt wird der Konzern nun vom Putin-Vertrauten und ehemaligen Finanzminister Alexej Kudrin.
Der europäische Yandex-Ableger positioniert sich als eigenständiges Unternehmen mit Fokus auf Cloud und AI-Projekte. Die „Scheidung“ zum russischen Konzern wurde grafisch dargestellt. Zurzeit befindet sich das Unternehmen in der Rebranding-Phase; vom Namen will „Yandex“ will man sich lösen, wie ein Mediensprecher bestätigt.
An dieser Stelle soll jedoch auch kurz erwähnt werden: Auch das abgespaltene europäische Unternehmen „dient“ dem russischen Staat. Mit der Plattform toloka.ai — eine Art „Mechanical Turk“-Plattform, also eine Plattform, bei der sogenannte Click Worker Bilder mit Schlagworten labeln und damit eine Künstliche Intelligenz trainieren. Das Büro für toloka.ai befindet sich übrigens in Luzern. Mit toloka.ai hat das europäische Yandex auch die Gesichtserkennungstechnologie für Moskau trainiert, wie ein internationales Medienkonsortium herausgefunden hat. Dabei handelt es sich um Schweizer Export von Dual Use-Güter nach Russland, der gemäss SECO (Staatssekretatiat für Wirtschaft) nicht sanktioniert wird.
Mit der Aufsplittung zwischen Yandex Russland und dem neuem europäischen Unternehmen ist jetzt seit dem 5. Februar 2024 klar: Das Yandex-Werbenetzwerk samt der Infrastruktur und den Servern verbleiben beim russischen Konzern. Und alle damit zusammenhängenden Datenströme fliessen also nach Moskau. Denn der gesamte Werbebereich gehört nun auch indirekt dem Staat. Ich bin nicht sicher, ob alle Akteure des AdTech-Ökosystems inklusive Webseitenbetreiber in Europa sich diesen Risiken wirklich bewusst sind, also die Gefahr, dass Publisher die Daten ihrer Leserschaft den russischen Geheimdiensten FSB und GRU preisgeben.
Zur Erinnerung: in der ganzen Werbelieferkette erhalten ALLE Teilnehmer:innen immer auch alle Daten einer/s Lesers/-in. Egal ob sie die Werbe-Auktion gewinnen oder nicht.
Der Privacy- und Ad Tech-Experte sowie Yandex-Kenner Zach Edwards machte zu dieser Aufsplittung einen wichtigen Post auf LinkedIn. Er rief die Webseitenbetreiberinnen dazu auf, die Werbelieferketten und dessen „Tech Stack“ – also eingebetteten Technologien aller beteiligten Unternehmen – zu untersuchen und dabei vorhandenen Yandex-Code schnellstmöglich rauszukicken:
Deutsche Medien mit Yandex in den ads.txt-Files
Ich habe in der Vergangenheit bei republik.ch darüber geschrieben, wie Schweizer Medienportale trotz russischem Angriffskrieg Yandex-Cookies auf ihren Webseiten setzen liessen. Nach Veröffentlichung des Artikels haben einige Medienportale in ihrem Cookie-Standard-Banner (der Branchenorganisationen IAB) das Yandex-Cookie stillschweigend entfernen lassen.
Interessanterweise gibt es auch noch etliche weitere europäische Webseiten, welche Yandex als autorisierte Verkäufer listen, also den offiziellen Status von Supply Side-Plattformen (SSP) aufweisen. Die SSPs sind die Akteure, die die Werbebanner der Webseiten vermarkten (bzw deren Werbeinventar, also des zur Verfügung stehenden Werbebanner-Platzes).
Solche autorisierten Verkäufer werden entweder als Direktverkäufer oder aber als Reseller kategorisiert, je nachdem, ob der Verkäufer das monetarisierte Inventar einer Webseite selber besitzt (DIRECT) oder weiterverkauft (RESELLER). Die Verkäufer-ID wird entsprechend also in der ads.txt- oder app-ads.txt-Datei zur Autorisierung des Verkaufs des Inventars deklariert. Diese Datei wird an einer bekannten Stelle auf dem entsprechenden Webserver abgelegt (zum Beispiel nzz.ch/ads.txt) und kann von Crawlern automatisch gelesen werden. Die Medienportale können in jener Datei ads.txt oder app-ads.txt mit den Feldern deklarieren, wer zum Verkauf ihres Inventars autorisiert wurde.
Nun hat der AdTech-Experte Michael Maurantonio mittels automatisierter Tools eine Liste erstellt, die aufzeigt, bei welchen Webseiten Yandex befugt wäre, die Webseiten zu vermarkten.
Und siehe da: eine ganze Reihe deutscher Medienportale erlaubten Yandex bis vor Kurzem theoretisch die Vermarktung des Werbeinventars (nach unserer Konfrontation änderte sich die Praxis).
Dazu zählten etwa stern.de, futurezone.de, businessinsider.de, fr.de, merkur.de oder philomag.de. Da es vor allem deutsche Medienportale betrifft (die grossen Schweizer Medienplayer hatten nach dem Republik-Artikel die Hausaufgaben gemacht), habe ich mit dem deutschen Tech-Journalisten Ingo Dachwitz von netzpolitik.org zusammengespannt. Gemeinsam wollten wir herausfinden, weshalb jene deutsche Medienverlage sich Yandex „feilbieten“ und dadurch erlauben, dass ihre Leser:innen-Daten nach Moskau geschickt werden.
Netzpolitik.org-Reporter Dachwitz verschickte mehrere Medienanfragen.
Alle angefragten Medienportale antworteten unisono: Es gibt keine Kooperation mit Yandex. Es fliessen offenbar keine RTB-Daten („real time bidding“-Daten, wie zum Beispiel Geräteinformationen, Geo-Informationen, Mobile Advertising ID, Zielgruppe: weiblich, Alter: 30-49) mehr seit März 2022.
Hier ein Zitat von stern.de:
„Bei einem unserer Partner war Yandex bisher noch als möglicher Dritt-Partner gelistet, wodurch der Eintrag in der ads.txt entstanden ist. Nach Rücksprache mit dem Partner hat dieser bestätigt, dass eine Anbindung/Aktivierung von Yandex niemals erfolgt ist. Dementsprechend wurden über diesen Weg weder Erlöse erzielt noch Traffic in Richtung von Yandex geschickt. Auf Basis Ihres Hinweises haben wir den noch vorhandenen Eintrag in der ads.txt zwischenzeitlich der Vollständigkeit halber entfernt.
Darüber hinaus haben wir im Februar/März 2022 unsere Vendorenliste (siehe https://dsgvo.ad-alliance.de/#/) dahingehend untersucht, ob hier Unternehmen gelistet sind, die mit Russland oder dem russischen Staat in Verbindung stehen. Bereits zu diesem Zeitpunkt war Yandex bei uns kein registrierter Vendor. Demnach gab es bei uns für Yandex zu keiner Zeit eine Freigabe zur Verarbeitung personenbezogener Daten im Rahmen des RTB
Stern.de
Nun gut: der Ads.Txt-Eintrag scheint wohl ein „Versehen“ zu sein.
Fragwürdiger war die Antwort des Axel Springer-Verlags, dem Besitzer des betroffenen Magazins Businessinsider.de. Auch dieser Verlage signalisiert nämlich gegenüber Yandex: Du darfst unsere Online-Werbefläche ruhig vermarkten (und kriegst im Gegenzug auch all‘ unsere Leserdaten).
„Wir arbeiten mit renommierten Partnern zusammen, die in Absprache mit uns koordinieren, wer Zugriffe auf Werbeflächen bei uns bekommt. Natürlich gibt es strikte Kriterien, die eingehalten werden müssen und diese prüfen wir regelmäßig im Austausch mit den Partnern. Zu keinem Zeitpunkt wurde Werbeinventar von Business Insider Deutschland durch Yandex vermarktet oder Daten übermittelt.“
Sprecherin Businessinsider.de
Den Eintrag zu Yandex hat das Magazin zwischenzeitlich und stillschweigend aus der ads.txt-Datei entfernt. Das mit der „Kontrolle auf die Werbefläche“ und den „strikten Kriterien“ scheint also nicht ganz zu stimmen.
Fazit: Die deutschen Medienverlage handeln grob fahrlässig
Für Zach Edwards, der als Senior Threat Analyst der Firma Silent Push diese Entwicklungen regelmässig verfolgt, ist der Fall klar: Yandex selber hat keine deutschen Medienwebseiten in ihrem Sellers.json-File mehr aufgelistet. Dass deutsche Medien derzeit keine Daten und Profite in Richtung Russland schicken, liege vor allem daran, dass Yandex selbst die ehemaligen Partner von seiner Sellers.json-Liste entfernt habe. In der Sellers.json-Datei von Yandex sind derzeit nur 177 Publisher gelistet. Früher seien es Zehntausende gewesen.
Das bedeutet: Die Initiative für die Trennung beim AdTech-System kommt von Yandex selbst und nicht von den Webseitenbetreibern her. Ohne Entfernung bei ads.txt hätte der Datenfluss nach Moskau jeden Augenblick reaktiviert werden können:
„All of the German websites who still have Yandex listed within an ads.txt file are seemingly not sending any data or money to Yandex anymore, due to Yandex removing the German publisher accountIDs from the Yandex sellers.json. But at any moment in the future, if Yandex re-added those accountIDs back into their file, it’s likely that some of the legacy ad tech flows would turn back on and Yandex would begin to receive data and money from those same websites.„
Zach Edwards, Yandex-Experte und AdTech-Spezialist
Und damit kommen wir zum ernüchternden Fazit: Die deutschen Medienverlage haben mit der Nicht-Entfernung aus dem ads.txt-File sehr fahrlässig gehandelt. Oder es war ihnen schlichtweg nicht wichtig genug, ihre Vendor-Liste sauber zu überprüfen (und damit die Daten ihrer Leser:innen zu schützen?).
Das Philosophiemagazin philomag.de erlaubt noch bis heute die Vermarktung durch Yandex.
Zach Edwards weist nochmals auf den politischen Kontext hin:
„All publishers who have accountIDs that are no longer valid should remove them from their ads.txt records, and especially when those accountIDs are owned by a company like Yandex who had an ownership change to Russian interests close to Putin and is now harder to trust than ever.„
Zach Edwards
Der Privacy-Experte glaubt zwar nicht, dass es in den letzten Monaten zum Datentransfer von Besucher:innen der betroffenen Webseiten kam, also bei stern.de, fr.de oder businessinsider.de (und vielen weiteren). Dennoch — und das muss man nochmals klar festhalten: Dies geht ALLEIN auf die Massnahmen von Yandex selbst zurück. Warum der russische Big Tech-Konzern diesen Cut zu europäischen Webseiten machte, ist unklar. Eventuell auch als Reaktion auf die Sanktionen.
Hier nochmals Klartext von Zach Edwards:
„German publishers who haven’t taken the steps to clean up their ads.txt files to remove the Yandex authorization, although currently not infringing the privacy of their visitors, are one minor change made by Yandex away from crossing that line.
Zach Edwards
No publisher should trust Yandex to not make unexpected decisions during this tumultuous period in their history, and the responsible decision by publishers would be to remove the Yandex authorized accountIDs from their ads.txt files. This ensures that no matter what Yandex does in the future, the publisher’s users are protected from unexpected data transfers to Russian interests.„
Es ist also höchste Eisenbahn, dass alle Webseitenbetreiber die von Yandex autorisierten AccountIDs aus ihren ads.txt-Dateien entfernen. Nur damit ist man garantiert auf der sicheren Seite. Und die Daten von Leser:innen fliessen nicht zum neuen staatlichen Eigentümerkonsortium. Dass dies schneller passieren kann als man ahnt, zeigt ein Text von IT-Experte und Anwalt Martin Steiger: Er fand heraus dass die beliebte Archiv-Webseite archive.today Daten zu den Servern an die Mail.ru Group schickt. Hierbei handelt es sich um einen russisches Internetunternehmen, dem auch das beliebte social network VK.com (besser bekannt als VKontakte, dem russischen Pendant zu Facebook) angehört.
Die Besitzer von mail.ru heissen: Gazprom Holding, Sogaz und Rostec; drei Unternehmen in staatlicher Hand.
Der Rauswurf von Yandex-Links aus der Webseite ist ein wichtiger Schritt, um sich vom russischen Werberiesen fernzuhalten. Doch es gibt dabei noch „verlängerte Arme“ des russischen Konzerns. So sagt der Schweizer Werbeexperte Michael Maurantonio auch:
„Yandex verschleiert seine Machenschaften bewusst. In Ads.txt tauchen sie mit der eigenen Technologie praktisch nur noch auf russischen, brasilianischen und einigen japanischen Sites auf. Doch sie nutzen auch Dritttechnologien, um weiterhin bei Sites und Apps integriert zu sein„
Die Geschichte rund um die Dritttechnologien sind aber ein anderes Kapitel. Daher: Fortsetzung folgt.