Stalking per Smartphone

Wie Sicherheitsforscher:innen Spionageapps enttarnen wollen

Menschen spionieren andere Menschen aus und billige Apps helfen ihnen dabei. Die Überwachung ist ein massiver Eingriff in die Grundrechte, doch die Programme sind nur schwer aufzufinden. Sicherheitsforscher:innen wollen das ändern.

Illustrationen von zwei Menschen am Esstisch, neben ihnen ihre Telefone
Das Smartphone ist immer dabei – und damit auch die Überwachung. Szene aus einem Video der Coalition Against Stalkerware. Alle Rechte vorbehalten Coalition Against Stalkerwae

In diesem Beitrag geht es um geschlechtsspezifische Gewalt. Bitte denkt daran, dass auch die Browsing-History nachträglich auf euren Geräten überwacht und nachvollzogen werden kann – dazu zählt auch diese Seite. Falls ihr vermutet, selbst überwacht zu werden, wendet euch an eine Beratungsstelle. Organisationen in Deutschland und weitere Informationen findet ihr hier auf der Seite der Coalition Against Stalkerware.

Manchmal wird Technologie, selbst ganz billige, zur Waffe. Stalkerware ist ein Beispiel dafür. Die Apps sind leicht im Internet zu finden, kosten nur wenige Euro im Monat und eignen sich hervorragend dafür, eine andere Person rund um die Uhr zu überwachen. Wo war sie? Mit wem hat sie Nachrichten ausgetauscht? Welche Webseiten hat sie aufgerufen und welche Passwörter eingegeben? Das Handy der Betroffenen wird durch die App zur Wanze, die alles weitersendet, was man ihr anvertraut – selbst verschlüsselte Chats und Passwörter können mitgelesen werden. Ein Werkzeug für die Totalüberwachung.

Vor allem im Zusammenhang mit Partnerschaftsgewalt taucht Stalkerware auf. Menschen jeden Geschlechts sind betroffen, besonders häufig Frauen. Doch wer solche Programme auf dem Smartphone nachweisen will, hat einen ziemlich schweren Stand. Die meisten Apps sind gut darin, ihre Anwesenheit zu verstecken. Auf dem Display tauchen sie gar nicht erst auf oder wenn, dann nur unter unverdächtigen Decknamen wie „Wifi-Check“.

Auf den Spuren der Spähsoftware

Spuren hinterlassen die Programme trotzdem. Der Sicherheitsforscher Etienne Maynier, im Netz auch bekannt als Tek, hat sich die Mühe gemacht, diesen Spuren zu folgen und sie zu dokumentieren. In einem Archiv auf GitHub hat er eine Reihe von Hinweisen veröffentlicht, mit denen einige der gängigsten Spionageprogramme für Android-Geräte ihre Präsenz verraten.

Darin findet sich etwa die Liste der Web-Domains, mit denen die Apps regelmäßig Kontakt halten – denn Stalkerware-Apps leiten die gestohlenen Informationen immer an einen Server weiter, wo der Überwacher sie bequem anschauen kann. Auch die Namen der verschiedenen Paket-Dateien und die zugehörigen Hashwerte listet Maynier, eine Art digitaler Fingerabdruck, mit dem sich überprüfen lässt, ob zwei Dateien deckungsgleich sind. Mit diesem Mittel suchen etwa Antivirenprogramme nach Malware auf dem Telefon.

Maynier lebt in Berlin und arbeitet in seinem Hauptberuf für Amnesty International, wo er die digitale Überwachung von Menschenrechtsaktivist:innen analyisert. Mit Stalkerware beschäftigt er sich in seiner Freizeit, erzählt er netzpolitik.org am Telefon. In Frankreich, wo er herkommt, versucht er gerade mit einem Kreis von feministischen Aktivist:innen eine Organisation aufzubauen, die Frauenhäuser und Beratungsstellen mit Werkzeugen und Wissen unterstützt. ECHAP heißt sie, wie die Escape-Taste auf französischen Tastaturen.

Das Problem ist Gewalt

Mit der Veröffentlichung der Datenspuren will Maynier andere Sicherheitsforscher:innen ins Boot holen. Die Daten sollen ihnen dabei helfen, Spionagesoftware auf Geräten zu finden oder sich tiefer in die Materie einzuarbeiten, sagt Maynier. Seine Liste ist alles andere als vollständig, betont er. Sie enthält bislang rund 50 Programme, darunter berüchtigte Schnüffelapps wie mSpy, HelloSpy oder FlexiSpy. Es sind jene, deren Code er in die Finger bekommen konnte, meist indem er sie über einen versteckten Link herunterladen konnte. Kaufen wollte er die Apps nicht – aus ethischen Gründen.

Zugleich ist Maynier sich der Grenzen seiner technologischen Herangehensweise bewusst. „Was ich veröffentlicht habe, kann nützlich sein“, sagt er, aber es gehe nicht an die Wurzel. „Das Problem ist nicht Stalkerware, das Problem ist Gewalt gegen Frauen und Partnerschaftsgewalt. Und so lange wir das nicht lösen, werden wir mit technologischen Mitteln nicht viel ausrichten.“

Eine Art Berufsrisiko in seiner Branche sei es, dass alle gerne an neuen und coolen Problemen arbeiten wollten. Stalkerware ist so ein Bereich, der den Jagdinstinkt weckt. Doch er fürchtet, Sicherheitsforscher:innen könnten sich verrennen.

Gekidnappte Konten

Denn die Realität von Überwachung in der Partnerschaft ist häufig viel banaler. Wer die Mails oder Chats eines Partners mitlesen will, muss kein Hacker sein. Gerade für Menschen aus dem Umfeld ist es oft viel einfacher, ein Passwort zu erraten oder dem Anderen als Vertrauensbeweis abzupressen. Forscher:innen berichten, es sei häufig eine Mischung von Stalkerware und solchen gekidnappten Konten, mit denen Betroffene unter Druck gesetzt werden. Doch Account-Passwörter zurückzusetzen, dafür gibt es wenig Applaus aus der Peer Group. „Alle wollen an Stalkerware arbeiten“, sagt Maynier, „dabei wäre es vermutlich wichtiger, Opfern dabei zu helfen, ihre GMail-Passwörter zurückzusetzen.“

Der Fokus auf Stalkerware verstellt womöglich auch den Blick, fürchtet er: auf all die anderen Apps und Funktion, die auf jedem Telefon schon vorinstalliert sind und sich ebenfalls für die illegale Überwachung eignen – von Google Maps bis zu den verschiedenen „Find My Phone“-Features.

Android als „Wilder Westen“ der Stalkerware

Mayniers Werkzeugkasten listet nur Apps für das Betriebssystem Android. Eva Galperin, die bei bei der Organisation Electronic Frontier Foundation den Kampf gegen die Branche anführt, bezeichnet das „Ökosystem von Android“ als „Wilden Westen“ von Stalkerware. Zwar gebe es immer wieder Beispiele dafür, wie einzelne Apps durch die Maschen der des ITunes-Stores von Apple und des Google Play Stores schlüpfen und dort offiziell zum Kauf stehen. In der Regel handele es sich aber um Pakete, die über einen Umweg auf dem Android-Smartphone der Betroffenen landen. Das berichtet Galperin bei einem Hintergrundgespräch der Stiftung Neue Verantwortung Anfang der Woche.

Vor allem ältere Android-Telefone seien besonders anfällig, sagt Galperin. „Das macht mir Sorgen, denn es bedeutet, dass Cybersicherheit etwas für reiche Leute ist.“ Das gelte für IPhone- oder Pixel-Nutzer:innen. Die Mehrheit, die weiter auf billige Android-Handys angewiesen ist, muss im Wilden Westen klarkommen.

Galperin hat vergangenes Jahr eine weltweite Initiative gegründet, die Coaltion Against Stalkerware, auch Organisationen aus Deutschland sind dabei wie der Weiße Ring oder der Bundesverband Frauenberatungsstellen (bff).

Sie möchte ihre Zeit nicht mit der Jagd auf die Anbieter:innen verbringen, die sich häufig hinter Strohfirmen und in „juristisch wenig responsiven“ Staaten versteckten. „Ich will es schwerer für sie machen, ihren Job zu erledigen.“

Die Apps ans Licht zerren statt Firmen jagen

Deswegen liegt der Fokus von Galperins Zusammenschluss vor allem auf Detektion. Ihr Ziel: Antivirenprogramme sollen Stalkerware auf dem Telefon ebenso zuverlässig erkennen wie andere Malware. Hersteller könnten die Apps dann nach wie vor verkaufen. Täter:innen könnten sie nach wie vor kaufen und installieren – aber die Apps wären nutzlos, sie könnten sich nicht mehr verstecken. Der Markt ginge kaputt.

Auch Mayniers Werkzeugkasten mit verräterischen Spuren kann dabei helfen, denn Sicherheitsforscher:innen können sie als Ausgangspunkt nehmen, um die Apps ans Licht zu zerren. Doch egal wie gut die technischen Lösungen am Ende sind, sie werden nicht das Problem lösen, so lange nicht die geschlechtsspezifische Gewalt im Fokus steht, warnt Maynier. Soll heißen: Die Betroffenen sind häufig in einer gewalttätigen Beziehung, das Stalking ist Teil der Gewalt und in und für sich schon Gewalt. Die größte Herausforderung: „Alles, was du tust, kann die Betroffenen gefährden – selbst die Apps zu finden und zu entfernen“. Forscher:innen wie Galperin und Maynier wissen das. Deswegen arbeiten sie mit Expert:innen und Organisationen für geschlechtsspezifische Gewalt zusammen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

3 Ergänzungen
  1. Dual-use ist ein generelles Problem. Es ist in erster Linie ein Problem des Menschen, und weniger ein Problem der Technologie. Leider findet Risikofolgenabschätzung in der Informationstechnologie nicht schon auf individueller Ebene oder gar in dem Bereich statt, den man Neudeutsch Startups nennt. Es gibt kaum einen Technologiebereich in dem man sich weitgehendst unbehelligt jenseits legaler Grenzen bewegen kann, und dabei auch noch finanziell erfolgreich werden kann.
    Eine skrupellose, enthemmte und antisoziale Persönlichkeitsstruktur ist leider ein Asset und nicht ein Defizit, wenn es um gesellschaftlich toxische Entwicklungen geht.

  2. Wenn ich mich richtig erinnere, haben all diese Apps keine Chance gegen Android 6 oder höher und aktiviertes Play Protect.
    Hat sich das geändert?
    Das damit nicht alle Probleme gelöst sind, steht außer Frage.
    Ein kurzer Hinweis für die Betroffenen wäre aber hilfreich.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.