Im Webinar beleuchten Reflectiz-Mitgründer und -CEO Idan Cohen sowie Omri Ariav, Director of Product bei Taboola, das Thema aus Sicht von Sicherheitsverantwortlichen und Ad-Tech-Anbietern. Ausgangspunkt ist ein typisches Muster: Ein Anbieter wurde geprüft, das zugehörige Tag freigegeben und der Vorgang abgeschlossen. Doch das ursprünglich genehmigte Tag bleibt demnach oft nicht identisch mit dem Code, der später tatsächlich in den Browsern der Nutzer läuft.

Nach Darstellung von Reflectiz liegt der Kern des Problems darin, dass ein freigegebener Anbieter weiteren Code einbindet, der wiederum zusätzliche Verbindungen und Skripte nachlädt. Innerhalb weniger Sprünge könne eine Website so Viertanbieter-Skripte ausführen, die im Sicherheitsprozess nie bewertet wurden. Diese „Approval Gap“ beschreibt Reflectiz als Abstand zwischen der ursprünglichen Freigabe durch das Sicherheitsteam und dem, was aktuell auf der Website aktiv ist.

Taboola verweist in diesem Zusammenhang darauf, dass es sich nicht nur um ein Problem der Werbebranche handelt, sondern um eine Herausforderung, an deren Lösung verantwortungsbewusste Ad-Tech-Plattformen arbeiten. Die Content-Discovery-Plattform des Unternehmens erreiche nach eigenen Angaben 600 Millionen täglich aktive Nutzer über 9.000 Publisher-Partner. Gerade deshalb sei der eigene Code ein typisches Beispiel für Drittanbieter-Skripte, die Sicherheitsteams prüfen müssten, bevor sie in die Nähe einer Checkout-Seite gelangen.

Ariav beschreibt Taboolas Code als „Gast im Haus“ und sagt: „Wir glauben, dass wir Gäste auf der Landingpage des Publishers oder Werbetreibenden sind. Und wir müssen uns entsprechend verhalten.“ Zugleich betont er, dass gutes Verhalten keine einmalige Zusage sei: „Die anfängliche Freigabe ist nicht das Ziel. Man braucht eine kontinuierliche Möglichkeit zur Überwachung, zum Sandboxing und zur Sicherstellung, dass ein guter Sicherheitsstandard eingehalten wird. Eine einzige Prüfung reicht nicht aus.“

Cohen fordert deshalb hohe Anforderungen an die digitale Lieferkette. Im Webinar stellt er fünf aus seiner Sicht unverzichtbare Fragen vor, die Unternehmen jedem Marketing-Anbieter stellen sollten, bevor dessen Code auf der eigenen Website ausgeführt wird. Die erste Frage lautet laut Reflectiz, welcher weitere Code von einem Tag nachgeladen wird und wer diesen geprüft hat. Cohen formuliert es so: „Ein Anbieter, der die Fragen nicht beantworten kann, ist nicht zwangsläufig bösartig, aber er ist nicht überwacht – und nicht überwacht bedeutet Risiko.“

Besonders relevant werde das Thema durch KI-gestützte Ad-Tech-Systeme. Diese erzeugten neue Integrationen, Endpunkte und Datenflüsse laut Webinar mit maschineller Geschwindigkeit, sodass eine Freigabe aus dem letzten Quartal womöglich bereits einen Stack beschreibt, der so nicht mehr existiert. Gleichzeitig mache KI Missbrauch im Browser billiger, schneller und auch für technisch weniger versierte Angreifer zugänglich.

Reflectiz verweist zudem auf den eigenen „State of Web Exposure Report 2026“. Demnach stammen 53 Prozent der Risikoexpositionen im Einzelhandel aus dem übermäßigen Einsatz von Tracking-Werkzeugen. Das deute auf ein strukturelles Problem hin: Marketing setze Tags schnell ein, weil Geschwindigkeit zähle, während Sicherheitsteams Code gründlich prüften. Die nicht offengelegten Unteraufrufe, die zwischen diesen beiden Arbeitsweisen entstehen, gehörten oft niemandem eindeutig. Genau deshalb, so die Argumentation, rutschten sie durch Firewalls, WAFs und punktuelle Code-Reviews. Ein Skript, das bei der Freigabe noch unauffällig war, könne sich schon am nächsten Tag verändern.

Als Gegenmaßnahme nennen die Referenten ausdrücklich nicht eine Verlangsamung des Marketings oder eine pauschale Behandlung von Ad Tech als Gegner. Stattdessen fordern sie fortlaufende und tiefgehende Transparenz darüber, welcher Code tatsächlich in den Browsern der Nutzer ausgeführt wird.