Die Federal Trade Commission (FTC) geht gegen den Spionage-App-Hersteller SpyFone und ihren Chef Scott Zuckerman vor, gab die US-Aufsichtbehörde in einer Mitteilung von Mittwoch bekannt. SpyFone und Zuckerman dürfen nicht mehr in der Überwachungsbranche tätig werden, ihr Produkt nicht mehr verkaufen oder Werbung dafür machen. Bei Verstoß drohen ihnen hohe Strafen.
Firmen wie SpyFone präsentieren ihre Produkte, mit denen sich Anrufe, Bilder, Nachrichten oder Social-Media-Aktiviäten auf einem Handy überwachen lassen, vordergründig als „Monitoring-Apps“ für Eltern oder Arbeitergeber*innen. Ihr Marketing richtet sich jedoch vor allem an Menschen, die mit den Produkten Beziehungspartner*innen ohne deren Wissen ausspionieren wollen. Das hatten Recherchen von Organisationen wie Citizen Lab in der Vergangenheit mehrfach belegt.
Massives Datenleck
Die Firmen sind zudem dafür bekannt, notorisch fahrlässig mit den geklauten Daten umzugehen. In den vergangenen Jahren kam es immer wieder zu massiven Datenlecks, bei denen sensible Bilder und Daten der ausgespähten Betroffenen offen im Internet landeten. Auf dieses Versagen beruft sich nun auch die FTC, die in ihrer Beschwerde gegen SpyFone auch auf die Datenlecks der Firma verweist. 2018 soll SpyFone Terabytes sensibler Informationen im Internet zugänglich gemacht haben, darunter Selfies und Standortdaten, Vice berichtete über den Fall.
„SpyFone ist ein dreister Markenname für ein Überwachungsunternehmen, das Stalkern geholfen hat, private Informationen zu stehlen“, sagte Samuel Levine, amtierender Direktor der Verbraucherschutzabteilung der FTC. „Die Stalker-Software war vor den Gerätebesitzer*innen verborgen, aber für Hacker, die die schlampige Sicherheit des Unternehmens ausnutzten, völlig offen. Dieser Fall ist eine wichtige Erinnerung daran, dass auf Überwachung basierende Unternehmen eine erhebliche Bedrohung für unsere Sicherheit darstellen. Wir werden uns mit Nachdruck für ein Verbot der Überwachung einsetzen, wenn Unternehmen und ihre Führungskräfte in ungeheuerlicher Weise in unsere Privatsphäre eindringen.“
Bereits das zweite Verbot in den USA
Es ist bereits der zweite Mal, dass die FTC gegen einen Hersteller solcher Software vorgeht, 2019 verbot sie der Firma RetinaX, weiter ihre Produkte zu verkaufen. Im Fall von SpyFone wird die in Puerto Rico registrierte Hersteller-Firma Support King nun zusätzlich dazu verpflichtet, alle illegal über ihre Apps erworbenen Daten zu löschen sowie die Betroffenen der Spionage zu benachrichtigen.
SpyFone vermarktete seit Jahren verschiedene Apps für das Betriebssystem Android, mit denen Kund*innen die Mobiltelefone ihrer Opfer heimlich ausspionieren und überwachen konnten. Um eine solche App zu installieren, braucht man in der Regel physischen Zugriff auf das Gerät, was allerdings für Beziehungspartner*innen leicht zu bewerkstelligen ist. SpyFone gab seinen Kund*innen detaillierte Anweisungen, wie sie die Sicherheitsvorkehrungen von Google umgehen und die Apps auf dem Handy versteckt installieren können, schreibt der FTC in seiner Mitteilung. War die App einmal installiert, konnten Täter*innen in Echtzeit das Handy überwachen.
„Die illegale heimliche Überwachung durch die Apps machte es Stalkern und Täter*innen leicht, ihre potenziellen Zielpersonen zu überwachen und sensible Informationen über deren körperliche Bewegungen, Telefonnutzung und Online-Aktivitäten zu stehlen“, schreibt die FTC.
Apple und Google haben die entsprechenden Firmen längst aus ihren App-Stores verbannt, doch vor allem für Android-Geräte lassen sich Apps weiterhin problemlos im Internet kaufen und installieren, dazu braucht man keine besonderen technischen Fähigkeiten.
Bundesnetzagentur darf nicht gegen Apps vorgehen
Fachleute weisen seit Jahren auf die Gefahren hin, die mit dem Verkauf von kommerziellen Spionageapps im Internet einhergeht. Dennoch gab es in der EU bislang keinen vergleichbaren Fall, in dem ein Verkäufer von kommerzieller Spionagesoftware belangt worden wäre. Illegal ist in der Regel nicht der Verkauf solcher Apps, sondern lediglich der Einsatz – wenn ein einzelner Täter oder eine Täterin die App also zum Ausspähen von Daten einsetzt. Die Herstellerfirmen berufen sich darauf, ihre Produkte seien „Dual-Use“, ließen sich also auch für legale Zwecke wie das Beaufsichtigen der eigenen Kinder verwenden, für die Handlungen ihrer Kund*innen seien sie nicht verantwortlich.
Das Vorgehen der FTC zeigt jedoch, dass Verbraucherschutzbehörden durchaus gegen die Hersteller vorgehen können, selbst wenn diese ihren Firmensitz in anderen Ländern haben. SpyFones Hersteller Support King ist in Puerto Rico registriert. Das Vorgehen des Herstellers war der Behörde offenbar Beweis genug, dass die Software für illegale Zwecke gedacht ist.
In Deutschland müsste in solchen Fällen eigentlich die Bundesnetzagentur eingreifen: Sie kann Produkte verbieten und Rückrufaktionen anordnen. In der Vergangenheit ist das etwa bei der vernetzen Puppe Cayla passiert, die von der Agentur als verbotene „Abhöranlage“ eingestuft wurde. Auch Kinderuhren mit Abhörfunktion hat die Agentur bereits verboten.
Das Problem: Die Bundesnetzagentur hat derzeit keine Rechtsgrundlage, um gegen Apps vorzugehen. Ihre Verbote basieren auf einem Paragrafen des Telekommunikationsgesetzes (TKG), das den Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen regelt. Der Paragraf richtet sich damit ausschließlich gegen Hardware. Stalkerware-Apps fallen durch die Maschen des Gesetzes – obwohl sie eine tiefgreifende Überwachung erlauben.
___________
Vermutest du, dass du digital überwacht wirst? Die Coalition Against Stalkerware bietet zahlreiche Informationen und Anleitungen für Betroffene. In Deutschland findest du über den Bundesverband Frauenberatungsstellen bff Informationen zu Digitaler Gewalt und eine Beratungsstelle in deiner Nähe. In Berlin berät das Anti-Stalking-Projekt im FRIEDA-Frauenzentrum Betroffene von Stalking.
Falls du glaubst von digitaler Spionage betroffen zu sein und in der Lage bist darüber zu sprechen, würden wir gerne deine Geschichte hören. Schreib Chris Köver eine verschlüsselte E-Mail an chris@netzpolitik.org (OpenPGP).
„SpyFones Hersteller Support King ist in Puerto Rico registriert.“
„Das Vorgehen der FTC zeigt jedoch, dass Verbraucherschutzbehörden durchaus gegen die Hersteller vorgehen können, selbst wenn diese ihren Firmensitz in anderen Ländern haben.“
Nur dass Puerto Rico halt kein anderes Land ist, sondern eine der verbleibende US Kolonien, ein „Unincorporated and organized U.S. commonwealth“ die Puerto Ricaner sind zwar US Bürger aber haben keinen wirklichen Representanten im Haus, Senatoren schon gar nicht und wählen auch nicht den Präsidenten oder Vize Präsidenten.
Ist das immer noch kein Allgemeinwissen dass wir nicht die einzige US Kolonie sind?^^
Könnte hier nicht der Hackerparagraph § 202c StGB mal im positiven greifen? Letztlich ist es doch das Unternehmen das, die „…Computerprogramme, deren Zweck die Begehung einer solchen Tat „[nach §202a]“ ist, herstellt, …“.
Die Unternehmen berufen sich darauf, dass ihre Technologien für legale Zwecke gedacht sind (Monitoring eigener Kinder, Überwachung von Mitarbeiter*innen mit deren Einwilligung) und grenzen sich inzwischen auch in ihren Nutzungsbedingungen vom illegalen Einsatz der Software ab.