Aufsicht über Cyberstalking

US-Behörde geht gegen Stalkerware-Hersteller Retina-X vor

Die US-Wettbewerbsaufsicht hat erstmals einem Hersteller von Spionage-Apps harte Auflagen gemacht. Doch die Vereinbarung hat massive blinde Flecken, warnen Expert*innen.

Frau sitzt mit Beinen übereinander geschlagen, i der Hand ein Smartphone
Immer mit dabei: Wer auf das Smartphone einer Person zugreifen kann, kennt selbst intimste Details. Gemeinfrei-ähnlich freigegeben durch unsplash.com Chad Madden

Es ist eine Premiere: Die US-Wettbewerbsaufsicht FTC geht erstmals gegen eine Firma vor, die im Netz sogenannte Stalkerware verkauft. Das Unternehmen Retina-X mit Sitz in Florida darf drei Apps namens MobileSpy, PhoneSheriff und TeenShield vorerst nicht mehr verkaufen.

Stalkerware ist eine Art von Schadsoftware, die auf dem Mobiltelefon installiert werden kann und dort ohne das Wissen des Betroffenen Daten mitschneidet. Je nach App können Standort, Gespräche, Fotos, Browserverlauf und Chats vom Stalker mitgelesen und gehört werden – eine fast totale Form der Überwachung, für nur wenige Dollar im Monat für jeden zu haben.

Die Hersteller bewerben ihre Apps als digitale Aufpasser für Kinder und Angestellte. Der überwiegende Teil der Kunden sind allerdings gewalttätige Partner, die diese Technologie als Waffe gegen eine Partnerin oder Ex-Partnerin richten. Das hatte zuletzt das kanadische Citizen Lab nachgewiesen. Laut der FTC muss Retina-X nun sicherstellen, dass die angebotenen Apps nur für „legitime Zwecke“ eingesetzt werden.

Retina-X hat Verbraucher*innen getäuscht

Die Behörde ist wohl vor allem wegen ihrer schlampigen Sicherheitsarchitektur auf die Firma aufmerksam geworden: In den vergangenen Jahren hatten Hacker mehrfach Server von Retina-X gehackt und konnten dort auf Petabytes hochsensibler Daten zugreifen. Die Firma habe Verbraucher*innen getäuscht, indem sie die Sicherheit der Daten versprochen hat, sagt die US-Aufsicht. Außerdem habe sie gegen den Children’s Online Privacy Protection Act (COPPA) verstoßen, der in den USA den Datenschutz für Kinder regelt.

Der Behörde stieß auch auf, dass die Apps von Retina-X standardmäßig mit einer Anleitung kommen, wie man die App auf dem Telefon nach der Installation verstecken kann. Die Behörde verlangt, diese Praxis zu beenden: Ist die App installiert, müssen ein Icon und der Name klar sichtbar sein. Retina-X darf auch keine Apps mehr verkaufen, die einen sogenannten „Jailbreak“ von Geräten voraussetzen. Bei Apple-Geräten sind solche Jailbreaks für Stalkerware meist notwendig, um mehr Zugriffsberechtigungen zu erhalten als vom System vorgesehen.

„Es könnte legitime Gründe geben, ein Telefon zu tracken“, sagte Andrew Smith, Leiter der Abteilung Verbraucherschutz in der FTC, „aber diese Apps wurden designt, um unauffällig im Hintergrund zu laufen und sind damit besonders geeignet für illegale und gefährliche Nutzung.“

Deswegen soll Retina-X sicher stellen, dass die Apps nur für „legitime Zwecke“ eingesetzt werden, fordert die Behörde. Kund*innen sollen eine Erklärung abgeben, dass sie mit den Apps tatsächlich nur das eigene Kind überwachen oder einen Erwachsenen, der seine Zustimmung erteilt hat. Wie dies allerdings umgesetzt werden soll, spezifiziert FTC nicht.

Es gibt kein akzeptables Szenario für Spionage

Die Sicherheitsforscherin Eva Galperin, die die Branche für die Bürgerrechtsorganisation Electronic Frontier Foundation beobachtet, findet viele der vorgeschlagenen Schritte sinnvoll. Sie weist aber darauf hin, dass die Regelung große blinde Flecken habe. So soll die App einerseits nicht mehr im Tarnmodus laufen dürfen. Die Regeln bieten aber eine Ausnahme: Eltern dürfen nach wie vor das Icon auf einem Gerät ihres Kindes entfernen. Für die FTC ist die Überwachung der eigenen Kinder offenbar ein legitimer Grund, um ein Telefon zu tracken.

Das lässt sich leicht ausnutzen, um die App auch für andere Zwecke einzusetzen. Zwei Klicks reichen: Ja, ich werde die App nur für legale Zwecke nutzen und ja, dieses Gerät gehört meinem Kind. Auf einer praktischen Ebene ist es für die Firma schier unmöglich, die Beziehung zwischen ihren Kund*innen und den überwachten Personen zu überprüfen.

Das größere Problem laut Galperin ist aber, dass die Behörde die Ausgangssituation auf dem Markt für Stalkerware völlig falsch einschätzt. Apps wie jene, die Retina-X verkauft, mögen von ihren Herstellern als „Dual Use“-Produkt inszeniert werden. Die gängige Haltung der Unternehmen lautet: Ist doch nicht unsere Schuld, wenn einzelne unsere Software für illegale Zwecke nutzen. Uns geht es um die Sicherheit von Kindern.

Die Behörde verkennt jedoch, dass die Apps vor allem von gewalttätigen Partnern eingesetzt werden, die damit Partner*innen, Kinder oder andere terrorisieren. „Tatsache ist, dass diese Technologie repressiv und invasiv ist, egal, wer damit überwacht wird“, schreibt Galperin. „Es gibt kein akzeptables Szenario, um eine kommerzielle Spionage-App heimlich einzusetzen.“

Apps von Retina-X offline, Dutzende andere weiter zu kaufen

Ob ein Produkt von Retina-X all die vereinbarten Auflagen einhalten können wird, ist derzeit völlig unklar. Die Firma hat ihre Apps im vergangenen Jahr nach einem erneuten, schweren Hackerangriff vom Markt genommen – laut Webseite auf unbestimmte Zeit. Dutzende weitere Firmen verkaufen allerdings ungehindert weiter Apps mit den gleichen Funktionen im Netz. Die meisten haben ihren Sitz in Ländern, in denen die US-Wettbewerbsaufsicht nichts ausrichten kann.

Parallel zur Ankündigung der US-Behörde berichten australische Medien über einen Fall in Tasmanien. Ein 38-Jähriger hat sich dort vor Gericht schuldig bekannt, seine Ex-Partnerin mit einer Spionage-App verfolgt zu haben. Parallel hat er aus der Ferne ihren Land Rover getrackt und mit Hilfe einer Fahrzeug-App sogar den Motor gesteuert. Er hatte ihr dabei geholfen, diese App einzurichten. Auf seinem Computer fand die Polizei laut Berichten eine Liste der Orte, die die Frau regelmäßig aufsucht, sowie Preislisten für Waffen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.