Ungarns Geheimdienste nutzen mit „Webloc“ ein invasives Tracking-Tool, das Hunderte Millionen Smartphones über Werbedaten ausspäht – ein Novum in der EU.
Kurz vor den entscheidenden Parlamentswahlen am kommenden Sonntag, bei denen Ministerpräsident Viktor Orbán erstmals seit 16 Jahren um seine Macht bangen muss, erschüttert eine neue Enthüllung die europäische Öffentlichkeit. Wie gemeinsame Recherchen der Investigativplattform VSquare und des Citizen Lab der Universität Toronto belegen, hat Ungarn als erstes EU-Land ein hochgradig invasives Überwachungssystem namens Webloc lizenziert. Das Tool nutzt die riesigen Datenströme der Online-Werbeindustrie, um Bewegungsprofile von Millionen Menschen zu erstellen – ohne deren Wissen und unter mutmaßlichem Bruch der Datenschutz-Grundverordnung (DSGVO).
Die Anatomie der ADINT-Überwachung
Das System basiert auf einer Methode, die Experten als ADINT (Advertising-based Intelligence) bezeichnen. Dabei werden Daten aus dem sogenannten Real-Time-Bidding-Verfahren abgegriffen, bei dem Werbeplätze in Millisekunden versteigert werden. Webloc greift laut den Berichten auf Informationen von weltweit bis zu 500 Millionen Smartphones zu.
Zu den Datensätzen gehören präzise GPS-Koordinaten, eindeutige Werbe-IDs (MAID), Informationen über installierte Apps sowie soziodemografische Merkmale wie Alter, Geschlecht und Interessen. Die Software ermöglicht es Behörden, sogenannte Geofencing-Zonen einzurichten. So lässt sich retrospektiv feststellen, wer sich zu einem bestimmten Zeitpunkt an einem bestimmten Ort aufhielt – etwa bei einer Demonstration, in einer Redaktion oder in der Nähe einer Parteizentrale. Ein geleaktes Dokument zeigt beispielhaft, wie die Route eines Nutzers von Deutschland über Österreich bis nach Budapest lückenlos nachverfolgt wurde.
Ein israelisches Toolkit unter amerikanischer Flagge
Webloc ist Teil einer größeren Suite des Unternehmens Cobwebs Technologies, das 2023 von der US-Investmentfirma Spire Capital übernommen und mit der Firma Penlink fusioniert wurde. Trotz der US-Eigentümerschaft bleibt die technologische DNA israelisch: Cobwebs wurde von Veteranen der israelischen Spezialeinheiten gegründet.
Die ungarischen Behörden, allen voran die Überwachungsbehörde NBSZ (Special Service for National Security), haben die Lizenzen erst im März 2026 erneuert. Neben Webloc umfasst das Arsenal weitere KI-gestützte Werkzeuge:
Tangles: Eine Plattform zur Überwachung von Social Media, dem Deep Web und dem Darknet, inklusive Gesichtserkennung.
CoAnalyst: Eine generative KI, die riesige Datenmengen durch natürliche Sprachabfragen in verwertbare Geheimdienstinformationen verwandelt.
Blockchain-Tools: Zur Identifizierung von Personen hinter Kryptowährungstransaktionen.
Dubiose Mittelsmänner und „hausgemachte“ Spyware
Brisant ist die Rolle der ungarischen Firma SCI-Network Ltd. unter der Leitung des ehemaligen Geheimdienstobersten Tamás Berki. Die Firma fungiert als Broker für die Cobwebs-Lizenzen, wobei Berichte von Preisaufschlägen von bis zu 300 Prozent sprechen. Quellen aus Geheimdienstkreisen bezeichnen Berki als „Fixer“ für Antal Rogán, den Leiter des Kabinettsbüros des Ministerpräsidenten, der die zivilen Geheimdienste und den Propagandaapparat kontrolliert.
Die Ermittlungen deuten zudem auf die Existenz einer „hausgemachten“ ungarischen Spyware hin. Während das System offiziell als Eigenentwicklung gilt, vermuten Experten dahinter umetikettierte ausländische Technologie oder eine Kooperation mit israelischen Firmen. Diese Software soll in der Lage sein, Zero-Click-Angriffe durchzuführen, bei denen ein Handy infiziert wird, ohne dass der Nutzer einen Link anklicken muss. Allerdings berichten Quellen von technischen Mängeln: Die Software sei „zu sichtbar“, hinterlasse Spuren und leere die Akkus der Zielgeräte ungewöhnlich schnell.
Politische Dimension und Schweigen in Berlin
Die Enthüllungen fallen in eine Phase extremer politischer Anspannung. Orbáns Herausforderer Péter Magyar, der in Umfragen mit seiner Tisza-Partei führt, wirft der Regierung bereits den Einsatz von Militär-Spyware gegen seine Bewegung vor. Dass die ungarische Datenschutzbehörde NAIH, die eigentlich über die Einhaltung der DSGVO wachen müsste, in der Vergangenheit bei Skandalen um Pegasus oder Candiru stets abwiegelte, verstärkt die Sorgen vor einem systematischen Missbrauch der neuen ADINT-Fähigkeiten gegen Oppositionelle und Journalisten.
Während in Ungarn die Fronten verhärtet sind, bleibt die Lage in Deutschland diffus. Die Firma Penlink unterhält seit 2025 eine deutsche Niederlassung. Auf Anfragen, ob auch deutsche Sicherheitsbehörden Produkte wie Tangles oder Webloc nutzen, verweigert das Bundesinnenministerium unter Verweis auf den Geheimschutz die Auskunft. Europol hingegen bestätigte gegenüber den Forschern zwar, Informationen über Webloc zu besitzen, lehnte eine Offenlegung jedoch ab.
Damit steht die EU vor einer Zerreißprobe: Während Brüssel den AI Act und strenge Datenschutzregeln feiert, schafft sich ein Mitgliedstaat ein digitales Überwachungsarsenal, das die Privatsphäre von Millionen Bürgern faktisch auflöst – und das mitten im demokratischen Wettbewerb.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen