Wer eine Partnerin oder einen Partner unbemerkt ausspionieren will, findet dazu im Netz Hunderte Apps. Die Branche für sogenannte Stalkerware gedeiht prächtig – wohl auch, weil sie sich kaum vor Strafverfolgung fürchten muss. Diese Apps können unbemerkt auf dem Telefon eines Opfers installiert werden und schneiden dort im Hintergrund alles mit: von Chatnachrichten, E-Mails, Fotos und der Browserhistorie bis hin zum Standort.
Eine solche App ist HelloSpy. Ihr Hersteller verdient sein Geld mit den Gebühren von Nutzern auf der ganzen Welt, die für umgerechnet 28 Euro im Monat ihre Liebsten ausspionieren können. Bezahlen können sie das ganz bequem via Paypal.
Alte App, neuer Firmenname
Bereits im Februar hatte Paypal das Konto des Herstellers hinter HelloSpy gesperrt, nachdem die investigative Tech-Seite Motherboard über den Fall berichtet hat. Eine Sprecherin schrieb damals an Motherboard: „Paypals Richtlinie ist, keinen Verkauf von Dienstleistungen oder Produkten auf unserer Plattform zuzulassen, die für rechtswidrige Zwecke vermarktet werden.“
Recherchen von netzpolitik.org haben ergeben, dass die App zwischenzeitlich allerdings schon wieder über Paypal verkauft wurde – diesmal unter einem anderen Firmennamen. Wenige Stunden, nachdem netzpolitik.org Paypal um eine Stellungnahme dazu gebeten hatte, wurde das Konto gesperrt. Nur wenige Tage später ist der Händler bereits wieder online – wieder unter einem neuen Firmennamen.
Um HelloSpy zu installieren, muss ein Täter oder eine Täterin zumindest einige Minuten lang direkt auf das zu überwachende Gerät zugreifen können – für einen Partner oder eine Partnerin in der Regel kein Problem. Ist die App dann einmal auf dem Telefon, kann sie unbemerkt im Hintergrund alle möglichen Informationen sammeln. Diese werden auf einen Server hochgeladen und von dort aus dem Überwacher in einem übersichtlichen Browserfenster präsentiert.
Er oder sie kann sich dann in Ruhe durch die Liste der angerufenen Nummern, durch Fotos, Videos, Chats oder die Browserhistorie und die Standort-Daten klicken. Laut der Website von HelloSpy lässt sich sogar das Mikrofon aus der Ferne aktivieren, wodurch die Umgebung unbemerkt abgehört werden kann.
Der Hersteller bewirbt sein Produkt auf der Website offen als Lösung, um vermeintlich untreue Partnerinnen und Partner auszuspionieren. „Die vergangenen zwei Dekaden haben Untreue einfacher gemacht als je zuvor, vor allem durch den Aufstieg von … sozialen Netzwerken und Mobiltelefonen“, steht dort. Illustriert wird die Seite mit dem Foto einer Frau, die von einem Mann grob am Handgelenk festgehalten wird – ihr Gesicht voller Blutergüsse.
Eine App gesperrt, Dutzende dürfen weitermachen
Für Paypal dürfte es eigentlich nicht so schwer zu erkennen sein, dass es sich um das gleiche Produkt handelt, dessen Verkauf sie schon einmal auf der Plattform verboten hatten, weil es einem illegalen Zweck dient: Das Ausspähen einer anderen Person ohne deren Wissen und Zustimmung ist in Deutschland und vielen anderen Ländern eine Straftat.
Auch wenn sich der Hersteller mit einem neuen Firmennamen und neuen Kontodaten erneut auf der Plattform angemeldet hat: Die Website, von der aus er seine Kunden zu Paypal weiterleitet, ist nach wie vor die gleiche. Auch ist der Name des Produktes während der Abwicklung der Zahlung klar zu erkennen. Es ist, als würde sich ein Gast mit Hausverbot einfach eine Brille und einen Hut aufsetzen und dann durch den Vordereingang wieder reinspazieren. Immer und immer wieder.
„Aus Gründen des Datenschutzes keine Auskunft“
Warum so ein offensichtlicher Täuschungsversuch eines bereits mehrfach gesperrten Händlers nicht erkannt wird, dazu wollte Paypal sich auf Nachfrage von netzpolitik.org nicht äußern. Eine Sprecherin antwortete auf unsere Fragen und berief sich darauf, dass Paypal als in Luxemburg lizenziertes Kreditinstitut dem dortigen Bankgeheimnis unterliege. „Aus diesem Grund sowie aus Gründen des Datenschutzes dürfen wir keine Auskunft zu einzelnen Konten und Konteninhabern geben“, schrieb sie in einer E-Mail.
Paypal überprüfe regelmäßig fragwürdige Aktivitäten, um sicherzustellen, dass sie nicht gegen die Nutzungsrichtlinien verstießen. Als Teil dieses Prozesses prüfe die Firma auch gemeldete Handlungen und ergreife gegebenenfalls Maßnahmen. Wie Paypal sicherstellt, dass gesperrte Händler nicht beliebig oft unter neuem Namen wiederkehren, ließ Paypal unbeantwortet. Klar ist: Das Moderationsverfahren des Zahlungsdienstleister hat ganz offentlich Lücken.
Offen bleibt auch, warum die Plattform Zahlungen für HelloSpy unterbindet, aber zahlreiche andere Spionage-Apps des gleichen Herstellers nach wie vor über Paypal bezahlt werden können. Der Sicherheitsforscher Cian Heasly hatte aufgedeckt, dass der gleiche Hersteller fünf weitere Spionage-Apps mit verschiedenen Namen vertreibt. Er versteckt sich dabei hinter mehreren Firmennamen, hatte die Domains jedoch alle mit seinem gleichen Googlemail-Account registriert.
Gleichzeitig wickeln derzeit etwa ein Dutzend weitere Stalkerware-Hersteller die Abo-Zahlungen für ihre Dienstleistung über Paypal ab, wie Heasly nachgewiesen hat. Viele von ihnen gehen dabei geschickter vor als HelloSpy und vermarkten sich vordergründig als Kontrollapps für Eltern oder für Arbeitgeber, die Mitarbeiter mit deren Zustimmung tracken – die einzigen beiden legalen Nutzungsszenarien.
Durch diese so genannte Dual-Use-Anwendbarkeit sind zahlreiche zum Stalking geeignete Apps weiterhin in den App-Stores von Apple und Google zu finden, wie ein Forscherteam in den USA analysierte. Die Hersteller berufen sich darauf, für den Missbrauch ihrer Software zu illegalen Zwecken seien allein die Täter verantwortlich. Wie ein Messer ließe sich ihre Technologie sowohl für Gutes einsetzen als auch für illegale Gewalt.
Recherchen der kanadischen Datenschutzorganisation Citizen Lab haben allerdings gezeigt, dass auch diese bewusst sauber auftretenden Firmen häufig einen bestimmten Kundenkreis im Auge haben: stalkende Partner. Darauf deuten die Anzeigen hin, die sie für bestimmte Suchbegriffe auf Google kaufen.
Eine Firma plazierte im HTML-Code der Seite Text, der nur für Suchmaschinen sichtbar war und die App als optimale Lösung für Partnerstalking präsentierte. Auch fehlten auf den Websites der Hersteller grundsätzlich Informationen, wie sich Betroffene gegen die Apps schützen oder sie wieder deinstallieren können.
Neue Methoden, alte Gewalt
Wie häufig solche Apps zum Einsatz kommen, ist kaum zu ermitteln. Betroffene merken in der Regel nicht, dass sie per Stalkerware überwacht werden. Sie können lediglich Vermutungen anstellen. Frauenberatungsstellen und Frauenhäuser berichten, dass digitale Überwachung und Nachstellung in gewalttätigen Partnerschaften in den vergangenen Jahren stark zugenommen hätten. Einige Männer folgten ihren flüchtenden Partnerinnen bis ins Frauenhaus, trackten sie mit Hilfe von Smartphones, die sie den gemeinsamen Kindern schenkten, oder konfrontierten sie nach einem Besuch in der Beratungsstelle.
Ob es sich dabei tatsächlich um Stalkerware auf dem Telefon der Betroffenen handelt, ist kaum zu beweisen. Den finanziell ohnehin schlecht ausgestatteten Beratungsstellen fehlen meist die Möglichkeiten zur digitalen Forensik. Die Polizei hätte diese Möglichkeiten, sofern eine Frau sich traut, dort Anzeige zu erstatten. Sie setzt sie aber für Fälle von Partnergewalt nicht ein.
Digitales Stalking sei zugleich nichts grundsätzlich Neues, betonen Expert:innen: Das Problem von Gewalt in der Partnerschaft ist alt. Heute stehen gewalttätigen Partnern lediglich andere technologische Möglichkeiten zur Verfügung, um Kontrolle und Gewalt auszuüben – und diese würden auch genutzt. Möglich wird das auch, weil Paypal diese Geschäftsmodelle als Zahlungsdienstleister unterstützt.
Update 29.7.: Der Artikel wurde um einen Absatz ergänzt, dass HelloSpy bereits erneut unter neuem Firmennamen auf Paypal Zahlungen entgegennimmt.
Offensichlich sind die klassischen Zahlungsanbieter hier überfordert (oder lassen sich überfordern).
Wie wäre denn die Situation bei zB libra/FB? Haben die schon Aussagen getroffen wie sie strafrechtlich relevante Zahlungen monitoren oder unterbinden wollen?
Und wie ist es mit anonymen Transaktionen via Cryptowährungen? Müssen diese nicht überwacht werden, damit das Bezahlen dieser Apps unmöglich gemacht wird?
Anonyme Transaktionen per Cryptowährung wären nach wie vor eine Möglichkeit. Das würde aber einen großen Teil des jetzigen Nutzerkreises abschrecken oder vor Hürden stellen. Dass Paypal die Zahlung absickelt, macht es nicht nur sehr einfach, diese App zu bezahlen. Es verleiht ihr auch zusätzlich den Anstrich von Seriosität.
Paypal ist nicht die Polizei und sollte mit allen Handel treiben, solange es keine widersprechende richterliche oder behördliche Entscheidung gibt.
Genauso könnte man das Netzwerkdurchsetzungsgesetz befürworten. Hätte so einen Artikel nicht auf netzpolitik.org erwartet.
Wir stehen Forderungen nach der Zensur von Plattformen generell skeptisch gegenüber – auch von Zahlungsplattformen. Noch problematischer ist, wenn Firmen einfach selbst ihre Hausregeln erstellen und eine Art juristisches Parallelsystem aufbauen, das sich nicht mit der Rechtslage in Deutschland deckt. Allerdings verstößt diese App nicht nur gegen Paypals Nutzungsregeln. Sie wird für eine Zweck vermarktet, der nach deutschem Recht (und dem vieler anderer Länder) illegal ist. Insofern sollte der Fall klar sein.
Die Überwachung von Mitarbeitern und Kindern ist aber unter Umständen legal. Auch in Deutschland.
Das ist korrekt. Und wird im Beitrag auch erwähnt.
28 Euro, und das pro Monat… Die denken sich wohl, die zahlen das (Eifersüchtig, „verzweifelt“… genug)…
Klingt zwar schräg, aber man müsste eine gleichwertige kostenlose App entwickeln, und sie im App-Store platzieren.
Damit wäre das Geschäftsmodell dieser Firmen zerstört…
Passen Stalker-Apps nicht wunderbar zu in das Interessensgebiet von Peter Thiel, dem nicht nur PayPal gehört sondern auch Palantir?
Palantir produziert selbst Spionagesoftware und es wäre der Firma zuzutrauen, solche Apps auch über Strohmänner zu verbreiten, und die dafür notwendigen Server im eigenen Interesse auszuwerten.