Überwachung

Spionage-Apps sind in erster Linie ein Werkzeug für Partnergewalt

Das kanadische Citizen Lab hat viele Fälle aufgedeckt, in denen Aktivisten und Dissidentinnen mit Malware infiziert wurden. Nun schaute sich das Forschungsinstitut andere Spähsoftware an und fand heraus: Hersteller von Stalkerware vermarkten ihre Software gezielt für die illegale Überwachung von Beziehungspartnerinnen.

Frau mit Smartphone in der Hand
Wenn der Feind in der Hosentasche immer dabei ist. Gemeinfrei-ähnlich freigegeben durch unsplash.com John Tuesday

Es gibt Branchen, die erfordern von ihren Teilnehmern eine gewisse moralische Flexibilität. Stalkerware zählt dazu: Überwachungssoftware, die dazu dient, die eigenen Kinder oder Partner auszuspähen. In wenigen Minuten lässt sich so ein Programm auf dem Telefon der Zielperson installieren, das unsichtbar im Hintergrund läuft und alles an den Überwacher überträgt – von Chats, Fotos und Gesprächen bis zum Standort und Kalendereinträgen.

Das Citizen Lab, ein Forschungsinstitut an der University of Toronto, hat dieser dubiosen Branche jetzt zwei ausführliche Berichte gewidmet. Auf mehr als 300 Seiten analysiert ein Team aus Juristinnen, Politikwissenschaftlern, Marketing- und Tech-Expertinnen, wie diese Programme funktionieren, wie sie vermarktet werden, welche Sicherheitsrisiken sie darstellen und vor allem: wie man ihnen mit einem Netz aus Maßnahmen beikommen kann.

Im Zusammenhang mit Stalkerware kommt es regelmäßig zu Gewalttaten und Mitarbeiterinnen von Frauenhäusern auf der ganzen Welt berichten, wie Frauen von Partnern digital verfolgt und angegriffen werden. Trotzdem haben Staatsanwaltschaften und Politik das Problem bisher wenig beachtet.

Wie kann man Hersteller zur Verantwortung ziehen?

Ein Problem: Viele Hersteller von Stalkerware verkaufen ihre Produkte vordergründig als legale Software zur Kontrolle der eigenen Kinder. In ihren Nutzungsbedingungen weisen sie darauf hin, dass die App nur mit ausdrücklicher Zustimmung der zu überwachenden Person installiert werden darf. Das macht es schwer, gegen solche sogenannten Dual-Use-Produkte vorzugehen. Die Firmen berufen sich darauf, dass sie ja nichts Illegales täten, für Straftaten seien die Täter:innen selbst verantwortlich.

Das bedeutet allerdings nicht, dass Hersteller nicht zur Verantwortung gezogen werden könnten, betonen die Autor*innen des Citizen Lab. So könnte man sie zum Beispiel zwingen, den „Tarn-Modus“ zu entfernen, also die Möglichkeit, eine App unsichtbar im Hintergrund auf einem Telefon laufen zu lassen, ohne dass die überwachte Person dies mitbekommt. Schließlich gibt es keinen legalen Anwendungsfall, bei dem so ein Feature nötig wäre. Wenn eine Person der Überwachung zugestimmt hat, muss man die Software nicht vor ihr verstecken. Wenn es um das eigene Kind geht, kann auch dieses über die Kontroll-App informiert werden.

Zusätzlich sollten die Programme regelmäßig auf ihre Aktivität hinweisen, fordern die Autor:inen, etwa mit Push-Mitteilungen auf dem Telefon oder sogar einem „Zustimmungsdialog“, in dem die überwachte Person explizit ihr Einverständnis erteilt.

Betroffene unterstützen statt Täter

Hersteller müssten außerdem dafür sorgen, dass Betroffene auf ihren Seiten Hilfe bekommen, etwa Anleitungen, wie sie das Programm auf ihrem Telefon erkennen und deinstallieren können. Derzeit finden sich auf keiner der Firmen-Websites solche Informationen.

Auch sollen die Firmen Betroffene benachrichtigen, wenn deren Daten im Zuge eines Sicherheitslecks öffentlich werden. Diese Lecks treten regelmäßig auf. Nach der europäischen Datenschutzgrundverordnung und auch der kanadischen Entsprechung sind Firmen dazu verpflichtet, Nutzer:innen auf solche Verstöße gegen den Datenschutz hinzuweisen. Stalkerware-Hersteller beschränken sich allerdings bisher darauf, ihre Kunden zu informieren: die Täter:innen.

Den Autor:innen ist bewusst, dass diese Mittel allein nicht ausreichen. In vielen Fällen von häuslicher Gewalt übt der Partner ganz offen Kontrolle aus und zwingt eine Frau dazu, sich überwachen zu lassen – da hilft auch keine Push-Mitteilung. Solche verpflichtenden Designauflagen könnten deswegen nur ein Faden in einem „Netz von Einschränkungen“ sein, den man um die Branche legt, um Betroffene vor Stalkerware zu schützen, schreiben sie.

„Träumst du davon, das Telefon deiner Gattin auszuspionieren?“

Besondere Aufmerksamkeit widmet der Bericht dem Marketing dieser Produkte. Mit Hilfe des Analyse-Werkzeugs AhRefs haben die Forscher*innen untersucht, wie die Hersteller von Stalkerware potentielle Kund:innen per Suchmaschinenoptimierung und bezahlten Google-Anzeigen auf ihre Webseiten lotsen.

Eine Firma, mSpy, geht dabei besonders dreist vor. Sie hat im HTML-Code ihrer Seite mehrere Textblöcke versteckt, die nicht auf der Website angezeigt werden. Dennoch werden sie von Suchmaschinen wahrgenommen und in den Suchergebnissen beachtet. Für Betrachter:innen werden sie nur sichtbar, wenn sie sich den Quelltext der Seite anschauen würden.

Dort steht zum Beispiel: „Obwohl dieser Tracker für Eltern entwickelt wurde, die ihren rebellischen Teenager kontrollieren wollen, kann er auch von Partnern genutzt werden, um ihre bessere Hälfte auszuspionieren…“. Auf einer anderen Blogseite versteckt sich der Text: „Träumst du davon, heimlich das Telefon deines Gatten/deiner Gattin auszuspionieren, um zu erfahren, ob er/sie dich betrügt?“

Um die Firmen zu entlarven, war es in vielen Fällen jedoch gar nicht nötig, nach versteckten Texten und Schlagworten zu suchen. Sechs der neun im Bericht untersuchten Firmen bewarben ihre Produkte ganz offen als Hilfsmittel für Partnergewalt. Wenn man hier von Dual-Use spreche, schreiben die Autor:innen plakativ, so müsse man die Szenarien umdrehen: Diese Software sei in erster Linie Stalkerware – und könne nur zweitrangig für vermeintlich legale Zwecke wie die Überwachung von Kindern genutzt werden.

Situation deckt sich mit Deutschland

Das Citizen Lab sitzt in Kanada und schaut vor allem auf den dortigen Markt und die Rechtslage. Die Erkenntnisse sind jedoch auch aus deutscher Perspektive interessant. Erstens, weil einige der untersuchten Programme wie FlexiSpy und mSpy auch in Deutschland rege vermarktet und genutzt werden. Das weiß man aufgrund der zahlreichen Datenlecks der vergangenen Jahre, bei denen Nutzer:innendaten öffentlich wurden. Und zweitens, weil viele der Beobachtungen sich fast eins zu eins auf Deutschland übertragen lassen.

So etwa die Einschätzung der Rechtslage: Die Jurist*innen des Citizen Lab haben diese ausgewertet und folgern, dass Kanada theoretisch über eine ausreichende Gesetzesgrundlage verfügt, um der Gewalt und dem Missbrauch durch Stalkerware zu begegnen. In der Realität führe dies aber nicht dazu, dass Betroffenen tatsächlich rechtlich geholfen wird. „Das scheint vor allem an einem Mangel an sozio-kulturellem und/oder technologischem Bewusstsein, Training, Verständnis und Ressourcen zu liegen, was technologie-gestützte geschlechtsspezifische Gewalt angeht, auf Seiten von Polizeibeamt:innen, Anwält:innen, Beraterinnen an der Frontlinien, Gerichten und Gesetzgeber:innen.“

Gleiches berichten Expert:innen für geschlechtsspezifische Gewalt in Deutschland, etwa der Bundesverband der Frauenberatungsstellen und Frauennotrufe (bff) oder die Beratungsstelle für Cyberstalking in Berlin. Mehr zur Rechtslage in Deutschland erklären wir in einem eigenen Artikel.

Stalkerware im Visier der Datenschützer und Staatsanwaltschaft

Das Citizen Lab hält nicht nur Probleme fest, es stellt auch eine lange Liste von Forderungen. Die wohl wichtigste: Polizei und Staatsanwaltschaft sollten anfangen, den Einsatz von Stalkerware konsequent strafrechtlich zu verfolgen. „Gewalttätige Partner verfolgen und überwachen andere auf unangebrachte und unrechtmäßige Weise“, sagt Christopher Parsons, einer der Hauptautoren des Berichts, gegenüber der CBC. „Wir müssen als Gesellschaft besser abschneiden.“

Auch Datenschutzbehörden sollten anfangen, die Hersteller von Stalkerware ins Visier zu nehmen. In fast allen Fällen verstießen die Firmen gegen PIPEDA, die kanadische Entsprechung zur Datenschutzgrundverordnung. Dazu müsste die kanadische Behörde jedoch von der Politik erst mit Eingriffsbefugnissen ausgestattet werden. Derzeit kann sie im Gegensatz zu europäischen Behörden nur Empfehlungen geben.

Das kanadische Citizen Lab wurde im Jahr 2001 vom Sicherheitsforscher Ron Deibert gegründet und versteht sich als Nachrichtendienst für die Zivilgesellschaft, eine Art Gegengewicht zu staatlichen Geheimdiensten, der die Überwacher überwacht. In den vergangenen Jahren hat das Forscher:innen-Kollektiv staatliche Malware-Angriffe auf Aktivistinnen, Dissidenten und Journalisten aufgedeckt und untersucht, wie Regime mit Filtern die Meinungsfreiheit im Netz einschränken.

6 Ergänzungen
  1. Einerseits möchte man, dass der Einzelne auch die Möglichkeiten der Überwachung auch zur Verfügung hat, andererseits schaudert es einen, was Mann und Frau dann damit anstellen.

    Wozu führen Überwachungsmittel, die Institutionen zur Verfügung haben, unabhängig davon ob sie Rechenschaft ablegen?

    Ist es die Verrohung des Einzelnen?

    1. > Einerseits möchte man, dass der Einzelne auch die Möglichkeiten der Überwachung auch zur Verfügung hat

      Nicht alle möchten das. Die Formulierung ist übergriffig, weil sie es als akzeptable Tatsache suggeriert, dass Überwachungsinstrumente für Personen allgemein verfügbar sein sollten. Harter Widerspruch gleich zu Beginn.

      Überwachungsinstrumente, die auf andere Personen gerichtet sind, sind faktische Instrumente der Ausübung von Macht. Wer also ein Bedürfnis bei sich bemerkt, eine/n andere/n überwachen zu wollen, der strebt nach Macht über den anderen. Und wer ein Bedürfnis nach Ausweitung seiner Macht hat, der sucht sein persönliches Defizit auszugleichen. Schwach aufgestellte Persönlichkeiten ergreifen gerne solche Möglichkeiten, womit wir beim „Einzelnen“ wären.

      „Verrohung“ wurde bereits im antiken Griechenland beklagt, wie auch später bei den Römern. Bezeichnend ist es, dass der Begriff fast ausnahmslos elitär gebraucht wurde, also von oben nach unten gerichtet. Gegenwärtig wird der Begriff gerne dazu gebraucht, sich von anderen zu unterscheiden. Doch dabei wird meistens übersehen, dass man auch in einen Spiegel blickt, wenn man andere betrachtet. Das Zerrbild sind immer die anderen – zunächst.

      1. „Nicht alle möchten das. Die Formulierung ist übergriffig, weil sie es als akzeptable Tatsache suggeriert, dass Überwachungsinstrumente für Personen allgemein verfügbar sein sollten. Harter Widerspruch gleich zu Beginn.“

        Aber manche möchten das eben doch. Von daher: Keine Widerspruch und auch nicht übergriffig.

        „Überwachungsinstrumente, die auf andere Personen gerichtet sind, sind faktische Instrumente der Ausübung von Macht.“

        Oder hat – als Unternehmen – ein höheres Sicherheitsbedürfnis und nutzt solche Instrumente je nach Gesetzgebung vollkommen legal gegen seine Mitarbeiter.

  2. Ich könnte mir vorstellen, dass man diese Apps nicht auch noch weiter bewerben möchte. Aber hilfreich zur Analyse wären die natürlich schon.

    Eine Hilfestellung wie man die Apps bei sich erkennen kann wäre aber extrem hilfreich.

  3. Ich habe mir den Artikel jetzt zweimal durchgelesen. Nicht nur wegen des Inhalts sondern auch wegen der Schreibweise. Es lässt mich nicht ruhig, wann genau nutzt ihr ein : und wann ein * um Geschlechter neutrale Bezeichnungen zu schreiben?
    Bsp Forscher:innen, Jurist*innen

    Aber sonst auch ein sehr guter Artikel, mir war die Existenz und Verbreitung dieser Apps garnicht so bewusst.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.