Werden Virenschutz-Programme zu Verbündeten im Kampf gegen Stalkerware?

Einen anderen Menschen ausspionieren und kontrollieren? Dafür gibt es unzählige Apps. Der Antiviren-Hersteller Kaspersky Labs will solche Stalkerware in Zukunft als Sicherheitsbedrohung ernst nehmen und Nutzer*innen vor der Gefahr warnen. Ein erster Schritt, doch das reicht noch nicht.

Collage aus Gesichtern
Ich sehe dich, egal, wo du bist. Mit Stalkerware können Männer jeden Schritt ihrer Partnerinnen verfolgen und kontrollieren. CC-BY 2.0 Jannete Mark

Es ist ein Etappensieg im Kampf gegen Partnergewalt: Die Softwarefirma Kaspersky Lab will Nutzer*innen seiner Antivirenprogramme künftig mit einer besonderen Nachricht warnen. Wenn Software auf ihrem Telefon entdeckt wurde, mit der sie verfolgt und abgehört werden können, erscheint auf dem Bildschirm der Hinweis: „Privatsphären-Warnung! Diese App könnte dazu genutzt werden, um ihre persönlichen Daten zu kompromittieren, etwa ihre Anrufe mitzuhören, ihre E-Mails und Textnachrichten zu lesen, ihren Standort festzustellen oder ihre Kommunikation auf sozialen Netzwerken mitzuschneiden.“ Bislang hatten sie in solchen Fällen nur die verwirrende Nachricht bekommen: „Not a virus.“

Die Moskauer Firma reagiert damit auf eine Kampagne der Hackerin und Sicherheitsforscherin Eva Galperin, die bei der digitalen Bürgerrechtsorganisation Electronic Frontier Foundation arbeitet. Galperin beschäftigt sich dort nicht nur mit der Sicherheit von Oppositionellen im Netz, sondern seit einiger Zeit auch mit intimer Partnergewalt und deren digitalen Werkzeugen. Und sie hat mit langer Lobbyarbeit dafür gesorgt, dass Kaspersky bei ihrem Kampf gegen die zweifelhafte Stalkerware-Industrie mit an Bord kommt.

Screenshot der Kaspersky-App

Sogenannte Stalkerware bezeichnet Apps, mit deren Hilfe man andere ohne deren Einverständnis und Wissen überwachen und ausspionieren kann. Diese Apps schneiden Gespräche und Nachrichten auf dem Telefon mit, übermitteln den Standort, zeigen Fotos und Videos, manchmal kann man darüber sogar Textnachrichten verschicken oder das Mikrofon aus der Ferne anschalten, um Gespräche mitzuhören.

Vermarktet werden die Apps vor allem als Trackingsoftware für Eltern, um die eigenen Kinder „besser zu beschützen“ – denn das Abhören einer anderen Person ohne deren Einverständnis ist in Deutschland eine Straftat. In der Realität nutzen viele sie aber, um einen Beziehungspartner oder eine Partnerin auszuspionieren. Der größte Teil der Nutzer – das zeigen bisherige Recherchen, Studien und Datenlecks – ist dabei männlich.

Geräte einrichten? Das macht bei uns Peter/Thomas/Bernd

Viele Frauen, die von einem Partner oder Ex-Partner bedroht und verfolgt werden, berichten, dass der Täter auch Spionagesoftware auf ihren Geräten installiert hat. So weiß er rund um die Uhr, wo sie sind und mit wem sie sprechen. Diese Form der Überwachung ist Gewalt, nämlich eine Verletzung der Privatsphäre. In den extremsten Fällen führt sie darüber hinaus zu Schlägen oder sogar zum Mord, wenn ein Täter etwa durch die App erfährt, dass seine Partnerin sich trennen will oder sie mit Hilfe der Ortung im Frauenhaus aufspürt.

Auch Expertinnen aus Beratungsstellen berichten, dass solche oft verdeckt arbeitenden Apps in den vergangenen Jahren zu einer massiven Bedrohung für die Sicherheit ihrer Klientinnen geworden sind. „Bei acht von zehn Fällen haben wir inzwischen eine digitale Komponente dabei“, sagt Beate Köhler vom Anti-Stalking Projekt, einer Beratungsstelle für von Stalking betroffene Frauen in Berlin. Die Frauen kommen häufig bereits aus gewalttätigen Beziehungen, den Partnern geht es vor allem um Kontrolle. Diese weiten sie dann über die Geräte aus – bis die Frauen selbst an sich und ihrer geistigen Gesundheit zweifelten.

Teil des Problems: Die Männer sind häufig diejenigen, die Geräte und Passwörter verwalten und damit kontrollieren. „Wir hören oft: Das macht alles Peter/Thomas/Bernd“, sagt Anette von Schröder von der Hamburger Beratungsstelle Patchwork. Die Unsicherheit vieler Frauen im Umgang mit Technologie verschärfe das Problem.

Moralisch verwerflich, aber legal

Stalking-Apps sind schon für wenige Euro pro Monat erhältlich und auch für Laien einfach zu installieren. Ein paar Minuten alleine mit dem Telefon der Partnerin reichen dazu aus. Rechtlich kann man gegen die Firmen nur schwer vorgehen, weil die Hersteller oft in Indien, China oder Vietnam sitzen.

Die großen Anbieter, die von Millionen Nutzern auf der ganzen Welt eingesetzt werden, vermarkten die Produkte geschickt. Sie preisen sie nicht mehr als ideales Tool zum Ausspähen der eigenen Freundin oder Ehefrau an, sondern als legale Tracking-App für Kinder. Dass solche so genannten Dual-Use-Programme von übergriffigen Partnern missbraucht werden, nehmen sie bewusst in Kauf. Das zeigt etwa eine Studie von Wissenschaftlern an der Cornell Tech, der New York University und der University of Washington aus dem vergangenen Jahr, die unter anderem überprüfte, wie Hersteller auf einschlägige Anfragen an ihren Kundendienst reagierten – „Ich möchte meine Freundin abhören: merkt sie das?“

Werkzeuge zur digitalen Selbstverteidigung

Wenn sich Hersteller von Antivirensoftware am Kampf gegen die Branche beteiligen, ist das eine interessante neue Strategie. Sie könnten Betroffene dabei unterstützen, solche Apps auf ihren Geräten aufzuspüren. Die großen Antiviren-Hersteller wie Kaspersky, Norton, ESET und Avira hatten Stalkerware als Bedrohung bislang allerdings nicht besonders ernst genommen – wohl, weil sie in der engeren Definition tatsächlich keine Viren sind.

Die Studie der Cornell University aus dem vergangenen Jahr hatte auch untersucht, wie zuverlässig die Programme Stalkerware aufspüren. Das ernüchternde Ergebnis: Unter den großen Anbietern war keiner, der Spionage-geeignete Apps zuverlässig erkannt hätte. Besonders im Fall der legalen Dual-Use-Apps aus dem Google Play Store erkannten die meisten Programme weniger als drei Prozent. „Vermutlich reflektiert [dieses Ergebnis] die Designziele“, resümieren die Autor*innen, „die das Aufspüren von Spyware für intime Partnergewalt nicht unbedingt mit einschließen, geschweige denn von Dual-Use-Apps.“

Auch Eva Galperin kritisiert, dass Programme, die direkten Zugriff auf das Telefon erfordern, von vielen Expert*innen nicht als „echtes“ Hacking anerkannt werden. Dass eine Bedrohung für die Sicherheit von Frauen häufig nicht von fremden Hackern oder gar Regierungsbehörden ausgeht, sondern von Menschen aus ihrer eigenen Familie – das liegt für viele Sicherheitsexperten wohl außerhalb ihres Radars.

Was machen andere Antiviren-Hersteller?

Das soll sich jetzt ändern. Galperins Hoffnung: Der Schritt von Kaspersky soll Druck auf die Konkurrenten aufbauen. Wenn eine Firma sich als Weltmarktführer für das Aufspüren von Stalkerware positioniert, dann ziehen auch die anderen nach. In einem Fall hat das schon funtkioniert: Die Antivirenfirma Lookout, die sich auf die Sicherheit von Telefonen und Tablets spezialisiert, hat angekündigt, Stalkerware ebenfalls in den Fokus zu nehmen.

In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Twitter

Zur Datenschutzerklärung von netzpolitik.org

Und die anderen? Alexander Vukcevic, der das Protection Lab der Softwarefirma Avira leitet, antwortet auf Anfrage von netzpolitik.org: Apps, die ein „potentielles Risiko für Sicherheit oder Privatsphäre auf dem Computer oder Mobiltelefon für den Anwender darstellten“, würden von Avira in die Kategorie „Security Privacy Risk (SPR)“ eingestuft. Sobald eine App unsichtbar im Hintergrund die Aktivität auf dem Gerät mitschneide, falle sie in diese Kategorie. Das trifft auf Stalkerware zu. In der Studie der Cornell University hatte Avira allerdings nur 60 Prozent der gängigsten Stalkerware außerhalb des App Stores erkannt, unter den Dual-Use-Überwachungsapps aus dem Store waren es sogar nur drei Prozent, ein Tropfen in der Badewanne.

Ein weiteres Problem: Die Funktion ist derzeit nicht automatisch aktiv, wenn man das Programm installiert: Nutzer*innen müssen sie erst anschalten. Dazu müsste man allerdings bereits vermuten, dass man abgehört wird. Laut Kaspersky wusste aber ein Großteil der Nutzer*innen, die im vergangenen Jahr Stalkerware auf ihren Geräten fanden, vorher nichts von deren Anwesenheit. Plant Avira, diese Einstellung zu ändern? Unklar. „Avira behält sich vor, eine Anpassung der Standardeinstellungen in Zukunft vorzunehmen“, schreibt Vukcevic.

Nikolaos Chrysaidos, Head of Mobile Threat Intelligence and Security bei Avast, einem der meistgenutzten Programme, sagt: „Ja, wir sind der Meinung, dass Tracking-Apps, die zweckentfremdet werden, eine Sicherheitsbedrohung für die Anwender darstellen.“ Entsprechend alarmiere Avasts Software Nutzer*innen, wenn sie eine App entdeckt, die sie ohne ihr Wissen ausspionieren könnte. „Dazu gehören zum Beispiel Funktionen, um E-Mails, Text- und Chat-Nachrichten zu lesen, seine Stimme oder Videos aufzunehmen.“ Allerdings sieht dieser Alarm genau so aus wie bei jeder anderen Malware. Ein konkreter Hinweis, wozu das Programm in der Lage ist, wie bei Kaspersky fehlt. In der Studie hatte Avast ähnlich schlecht abgeschnitten wie Avira.

Screenshot aus der Antiviren-App von Avast: Für Nutzer*innen wird daraus nicht ersichtlich, dass sie ausspioniert werden könnten.

Ein Sprecher von Symantec, der Firma hinter dem Anti-Viren-Programm Norton, sagte auf Anfrage nur, Nortons Software für Mobiltelefone markiere Stalkerware als Malware und kategorisiere Apps, die persönliche Informationen wie Fotos, Videos oder die Telefonnummer leaken, als „high privacy risk“. Norton Mobile hatte in der Studie die besten Werte erzielt, was das Aufspüren von Dual-Use-Apps angeht: 13 Prozent dieser Apps aus dem Store hatte das Programm gefunden.

Leena Simon, die in der Beratungsstelle Frieda eine IT-Sprechstunde für Betroffene von Cyberstalking anbietet, kritisiert, im Grunde müssten die Programme noch weiter gehen. „Die Antiviren-App müsste abfragen: Haben sie ihre Zustimmung dafür gegeben, dass dieser Dienst auf ihrem Handy ist? Haben Sie das bewusst installiert?“ Viele Programme arbeiteten gar nicht unsichtbar, sondern versteckten sich auf dem Bildschirm hinter Icons mit vermeintlich unauffälligen Namen wie „WiFiService“. Ein guter Virenscanner müsste auch solche Programme finden.

Gute PR für Kaspersky

Für Kaspersky Labs ist die Aktion wohl auch ein kalkulierter PR-Schritt. Der Firma werden seit Jahren Verbindungen zum russischen Geheimdienst nachgesagt. In den USA ist sie deswegen seit vergangenem Jahr von allen Behördengeräten verbannt worden. Die Stalkerware-Kampagne ist da eine willkommene Möglichkeit, um sich auf der Seite des Guten zu präsentieren.

Für Eva Galperin sind Kasperskys Verstrickungen in diesem Kampf allerdings irrelevant: „Es geht darum, deine Bedrohung zu analysieren“, sagte sie im Gespräch mit WIRED. Die meisten Opfer von häuslicher Gewalt arbeiteten eben nicht für die US-Regierung. Ihre Bedrohung geht entsprechend nicht von Russland aus, sondern von Menschen, mit denen sie oft genug noch eine Wohnung teilen.

In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Twitter

Zur Datenschutzerklärung von netzpolitik.org

Auf einen weiteren Punkt weist der IT-Sicherheitsforscher Cian Heasley hin: Stalkerware-Hersteller vermarkten ihre Produkte häufig für eine bestimmte Region. Für die arabischen Länder gibt es andere Programme als für Europa oder die USA. Die Statistik von Kaspersky spiegelt daher vor allem den Markt wider, den die Firma bedient: Russland.

Die Frage ist also, ob Kasperskys Antiviren-Software auch Programme zuverlässig aufspürt, die dort selten zum Einsatz kommen. Um einen wirklich guten Schutz zu bieten, müssten wohl tatsächlich auch andere Firmen an Bord kommen und Stalkerware als ernsthafte Bedrohung für die Sicherheit ihrer Kund*innen anerkennen.

Hinweis: Dieser Artikel wurde aktualisiert um einen Screenshot aus der Antiviren-App von Avast. Er zeigt den Warnhinweis für Stalkerware. Außerdem wurde die Berufsbezeichnung von Beate Köhler aktualisiert: Sie arbeitet nicht beim Frieda Frauenzentrum, sondern beim Anti-Stalking-Projekt, das dort angesiedelt ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Hallo. Mir scheint es gibt zu oft Missverständnisse was Schadsoftware betrifft. Zuallererst ist auch Stalkerware nichts besonderes vor dem man einen extra Schutz bräuchte, noch unterscheidet sich diese von regulärer Schadsoftware. Will man sich vor Angriffen dieser Art schützen dann nimmt man ein ordentliches Betriebssystem (BSD, GNU/Linux), was prinzipiell resistenter gegen Bedrohungen ist, und zudem über ein reichhaltiges Angebot an Sicherheitsmechanismen (Seccomp, Namespaces, die selbst für Anfänger mittels Firejail sehr einfach eingesetzt werden können, samt AppArmor und dergleichen) verfügt, die designbedingt bereits verhindern, dass hier irgendetwas im Hintergrund heimlich Daten abgreift, und sehr wirksam vor Schadsoftware aller Art vorbeugt. Doch sich mit dem Designfehler Windows abzumühen, der ohnehin durch und durch mangelhaft ist, zumal nicht mal die Updates zuverlässig sind, oder mit mobilen Betriebssystemen wie Android und Co., wo der Nutzer selbst um kritische Updates beschissen wird, während Google über Jahre hinweg essentielle Sicherheitsmechanismen einfach nicht nutzt, kann man nicht allen Ernstes als Basis hernehmen um persönliche Daten schützen zu wollen. Das ist nicht nur ein Fass ohne Boden, sondern zudem noch eine Basis die durch den Nutzer weder gänzlich kontrolliert noch verifiziert werden kann. Und dann noch allen Ernstes Vertrauen in Schlangenöl aka Antivirenprogramme setzen, die nachweislich mehr schaden als nützen, und das ausgerechnet auf solch sicherheitstechnisch wackligen Betriebssystemen? Also irgendwo wird mir da zu oft die Realität verdrängt, und scheinbar wird aus der Vergangenheit nicht wirklich gelernt. Nicht falsch verstehen, es geht hier nicht um Werbung für das favorisierte Betriebssystem, sondern um Fakten die sind einfach nicht wegschieben lassen. Und wenn man Sicherheit und einen grundsoliden Datenschutz will, dann kommt man um freie Software nicht herum, zumal mal das auch eine Frage des Vertrauens ist.

    1. Vor Stalkerware braucht man keinen besonderen Schutz, man braucht aber einen spezifischen und klaren Hinweis darauf, was da auf dem eigenen Telefon läuft und dass man abgehört wird. Außerdem müssen mehr Stalkerware-Programme in die Datenbanken, damit sie auch entdeckt werden. Das ist alles eine Frage des Threat Modeling: Wen will ich wovor schützen?

  2. Das ist ein weiteres sehr gutes Beispiel dafür, dass Virenscanner mehr Schein als Sein sind. Nicht umsonst sagen böse Zungen auch „Schlangenöl“ dazu.

    Denn wenn der Partner ohnehin das Handy einrichtet, dann kommt eben kein Virenscanner darauf. Werden Virenscanner überhaupt oft auf Handys installiert? Und das auch von denjenigen, die gleichzeitig eine Stalking-App installieren wollen?

    Und selbst wenn der Virenscanner installiert ist, was soll das bringen? Entweder wird die Stalking-App erst im Nachhinein entdeckt – herzlichen Dank, aber zu spät. Oder sie wird rechtzeitig entdeckt, und der Partner rastet aus, weil er merkt, dass das Opfer die Stalking-App unschädlich gemacht hat.

    1. Das kann man so pauschal nicht sagen. Für auf’s Betriebssystem aufgesetzte Virenscanner mag das eher gelten als für betriebssystemeigene, aber als Grundsatz taugt die Aussage nicht. Und da helfen ihre diversen Wenn-Danns auch nicht bei der Lagebeurteilung. Wäre ihre Methodik Standard, bräuchte man egal wo gar keine Schutzmechanismen, denn Wenn-Danns gibt es immer.

      Die Sache mit dem Schlangenöl haben Sie vermutlich auch nicht wirklich verstanden, sondern nur oberflächlich. Zum einen werden die Antagonisten nur ausgesprochen selten als „bösen Zungen“ verstanden und zum anderen bezieht sich der Verweis ‚Schlangenöl‘ insbesondere auch auf das vermeintliche Sicherheitsgefühl des Anwenders auf die angeblich ‚einfache Lösung‘:

      Nicht Nachdenken, nicht näher mit dem Thema, dem eigenen Verhalten und der eigenen Infrastruktur beschäftigen. Einfach installieren und alle Sorgen verschwinden im Nu.

      Virenscanner sind wertvolle und wichtige Tools, wenn sie ordentlich implementiert werden in Ergänzung zum unbedingt notwendigen persönlichen Sicherheitshabitus.

  3. „… legale Tracking-App für Kinder. Dass solche so genannten Dual-Use-Programme …“

    Inwiefern ist das Dual-Use? Selbst, wenn die Stalking-Apps „nur“ gegen Kinder eingesetzt würden, wäre ihr Einsatz äußerst fragwürdig.

    Darüber hinaus sollte es eine gesellschaftliche Debatte über Tracking-Apps für Kinder geben. Diese dienen wohl kaum dem Kindeswohl, sondern in erster Linie als Kontrollwerkzeug für Helikopter-Eltern. Als Analogie: Wenn ein Elternteil das (bereits eingewöhnte) Kind in die Kita gibt, sich dann jedoch stundenlang in der Kita aufhält, ist das sozial auch nicht akzeptiert.

  4. „Vermarktet werden die Apps vor allem als Trackingsoftware für Eltern, um die eigenen Kinder „besser zu beschützen““

    Das Verwanzen von Kindern durch ihre Eltern ist legal? Seit wenn denn das? Ist das nicht eine gravierende Schutzlücke, die zum Wohle des Kindes geschlossen werden sollte?

  5. Der Begriff „Virenschutz“ ist ein framing, dass uns in die völlig falsche Richtung leiten soll. Wenn überhaupt, dann sollte man von Anti-Viren-Produkten sprechen. Siehe auch neusprech.org

  6. Mich würde es interessieren, ob dann Kaspersky auch anschlägt, wenn Vater Staat mein Telefon anhört/Trackt? Sophos macht da schon einen guten Anfang. Stichwort Stille SMS.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.