Spyware und Spy-Apps in der Familie und Beziehung

Philipp Schaumann - Letzte Ergänzungen: Feb. 2025

Beziehungsrisiko: Spyware und Spy-Apps zum Tracking der (Ex-)Partner / Stalking

Die Smartphones haben unser Leben gründlich verändert und bieten tolle Bequemlichkeiten. Leider bieten sie aber böswilligen Menschen auch tolle Möglichkeiten, Schaden anzurichten. Smartphones sind Computer, die wir immer bei uns tragen und die mit einer riesigen Menge von Sensoren ausgestattet sind. Wenn es jemand schafft, diese Sensoren heimlich zu aktivieren und über die Smartphone-Verbindungen deren Daten weiterzuleiten, so ist das Opfer dieser Aktivierung ziemlich transparent und offen.

Ab 2021, aber weiter sehr aktuell: Apple Airtags und andere Tracker

Dieser Spezialfall wird in einem separaten Kapitel am Ende der Seite behandelt.

Studie 2021: Cyber-Gewalt gegen Frauen

Ein Artikel über eine Studie des Zentrums für Sozialforschung und Wissenschaftsdidaktik in Wien zur Rolle von Technologie bei Gewalt in Intimbeziehungen: (K)ein Raum: Cyber-Gewalt gegen Frauen* in (Ex-)Beziehungen.

Der Chaos Computer Club behandelt das Thema digitale Gewalt immer wieder auf seinen Konferenzen. Hier die Links auf Videos des Chaos Computer Clubs zu diesem Thema.

Ab April 2019: NSO Spyware unterwandert iPhones und Android-Geräte im Auftrag von Regierungen

Ein Bericht über die professionelle Spyware Exodus berichtet davon, dass diese Spyware von Regierungen gegen Oppositionelle eingesetzt wird, und zwar auf Android und iOS. Nach diesem Bericht haben nun Apple und Google auf diese Berichte reagiert und diese Software erstmal blockiert. Die unbekannte Herstellerfirmen wird sich nun etwas Neues einfallen lassen.

Dez. 2020: Der israelische Spywaregigant NSO bekommt verstärkt Druck, da Microsoft, Google, Cisco und Dell sich einem Gerichtsverfahren angeschlossen haben, das Facebook gegen den Konzern angestrengt hat. Es geht darum, dass NSO behauptet, sie würden ihre digitalen Einbruchswerkzeuge nur an legitime Regierungen verkaufen und das wäre OK. Real eingesetzt werden diese Tools aber gegen Journalisten und Oppositionelle in vielen Ländern. Die US-Firmen verklagen NSO aber nicht deswegen, sondern weil durch die breite Verbreitung der Tools diese leicht auch in falsche Hände gelangen könnten. Hier noch: Inside NSO, Israel's billion-dollar spyware giant.

Genau dafür gibt es leider eine große Menge Spionage-Apps für Handys. Mit deren Hilfe werden Standortdaten, Chat-Verläufe, Fotos und Gespräche des Opfers in Echtzeit überwacht und übertragen.

Der oben verlinkte Artikel berichtet über eine ganze Reihe von Anbietern solcher Apps. Der Markt besteht aus Eltern, die ihre Kinder überwachen wollen (zum Schutz der Kinder), aber auch Partner und Ex-Partner die eifersüchtig sind und vielleicht sogar überwachungssüchtige Arbeitgeber die auf diese Weise ihre Mitarbeiter kontrollieren wollen. Mit wenigen Ausnahmen, wie z.B. beim Tracking der eigenen (!!) Kinder sind solche Überwachungen illegal, bzw. erfordern bei Arbeitnehmern die Zustimmung des Betroffenen.

Wie kommt die App auf das Smartphone? Bei Kindern und Mitarbeitern von Firmen ist das einfach: die App wird vor der Übergabe an das Kind oder den Mitarbeiter einfach installiert. Diese Apps schaffen es sehr oft, nicht in der Übersicht der Apps angezeigt zu werden. Die heimliche Installation auf dem Gerät eines Partners oder Ex-Partners ist nicht ganz so einfach. Dafür braucht der Angreifer den physischen Zugriff auf das Gerät und den Entsperrcode, was bei Partnern meistens kein Problem darstellt, da das Gerät oft unbeaufsichtigt herumliegt (z.B. beim Duschen) und die Weitergabe des Entsperrcodes (sofern überhaupt gesetzt) in vielen Partnerschaften als (unglücklicher) Vertrauensbeweis gilt.

Was kann der Angreifer auslesen? Das hängt von der Software (und manchmal auch von der Bezahlung) ab. Technisch kann auf (fast) alles zugegriffen werden was auf dem Gerät passiert: Standortdaten aufgenommene Töne, Bilder und Videos, Kontakt- und SMS-Datenbanken, die Anrufhistorie mit ein- und ausgehenden Nummern, Daten aus der Kalender-App sowie Browser-Verläufe und Bookmarks. Da die App Zugriff auf Mikrophone und Kamera bekommt, können auch Gespräche abgehört werden. Wenn das Gerät "gerootet" ist, dann geht noch viel mehr.

Bei Android wird das die Software (d.h. das APK-Paket) entweder via USB oder über den Download mit dem Browser installiert. Erforderlich ist auf jeden Fall der physische, entsperrte Zugang zum Gerät. Die Anbieter erläutern mit Schritt-für-Schritt-Anleitungen, welche Sicherheitsbarrieren und Stealth-Modi aktiviert werden müssen, damit die App nicht sofort vom Betriebssystem entdeckt wird. mSpy nutzt auf iPhones ohne Jailbreak zur Datenausleitung das iCloud-Backup. Der Angreifer muss also die Apple-ID und das Passwort des Opfers kennen und iCloud-Backup heimlich aktivieren.

Wie häufig ist Spyware eigentlich?

Kaspersky hat eine Sicherheitssoftware die versucht, solche Spyware zu finden. Sie haben Anfang 2020 2300 Fälle von Spionagesoftware auf Smartphones in Deutschland entdeckt. Das sind aber nur die Fälle, bei denen die Kaspersky Sicherheitssoftware auf dem Gerät installiert ist. Im europaweiten Vergleich liegt Deutschland an der Spitze.

Was kann jemand tun, wenn er/sie den Verdacht hat, dass sein/ihr Gerät überwacht wird? Eigentlich hilft nur "Factory Reset", Anleitungen im Netz. Das ist aber ein Komplettverlust der Daten.

Traurige Statistik, ebenfalls von Kaspersky: 13% findet es grundsätzlich OK, Partner:in zu tracken, 17% nur wenn man glaubt, einen Grund zu haben (der Link führt zu einem PDF mit den Details).

Traurige Aktualisierung 2023: ca. 50% der Befragten findet Stalkerware /Spyware OK

Kaspersky hat einen Stalkerware Report 2023 veröffentlicht. "Unter Stalkerware werden kommerzielle Apps verstanden, die eine Überwachung des Smartphones einer anderen Person aus der Ferne ermöglichen. Rund 31.000 Fälle hat Kaspersky im Jahr 2023 allein bei Nutzern von Kaspersky-Lösungen gezählt. Die Gesamtzahl dürfte deutlich höher liegen, zumal Apps wie beispielsweise Ortungsdienste gar nicht unter die Definition von Stalkerware fallen, aber zum Stalking missbraucht werden können."

Dazu Daten aus einer Umfrage in 21 Ländern: 23% sagt, sie hätten Online-Stalking durch einen (Ex-)Partner erlebt. Sie diagnostizieren eine Erosion des Anstands: Waren im Jahr 2021 noch 70% der Befragten der Auffassung, dass die Überwachung eines Partners ohne dessen Wissen völlig inakzeptabel ist, sank dieser Anteil 2024 auf 54%. (Details im Secorvo Security News März 2024).

Und immer wenn man denkt, es könne nicht schlimmer kommen, dann gibt es noch was Neues. Der Artikel "Terabytes an Daten" aus Spionage-Apps frei zugänglich berichtet darüber, dass schlimmstenfalls nicht nur der Stalker Zugriff auf diese sehr persönlichen Daten hat, sondern natürlich üblicherweise auch die Firma die die App anbietet. Und wenn die nicht so ganz sicher unterwegs ist, so können sich diese Daten auch schon mal im öffentlichen Internet wiederfinden.

 

Wie kann man sich gegen Überwachungen durch Partner und Ex-Partner schützen?

Der Angreifer braucht 2 Sachen: er/sie muss das Gerät in die Hand bekommen, zumindest für 1 Minute und muss den Entsperrcode kennen.

Theoretisch ganz einfach: Jedes Smartphone ist gesperrt und der Partner kennt den Code nicht. So was kann natürlich als Misstrauensbeweis gewertet werden und außerdem ist das Entsperren bei einem 4- oder 6-stelligen Pin nicht wirklich schwer zu knacken, wenn man es beim Partner hundertmal gesehen hat. Wenn man Angst hat, dass jemand den Pin kennt, so sollte man ihn ändern - spätestens dann, wenn es in einer Beziehung krieselt und der Partner zu Eifersucht neigt.

Wie man sein Smartphone vor dem Partner schützt

In iOS kann man mittels der 'Find My' App nicht nur sein iPhone wiederfinden, sondern auch Familienmitglieder (wenn diese Feature aktiviert ist). Dies ist eine der Möglichkeiten, wie Partner einander ausspionieren können. Apple hat nun eine hilfreiche Anleitung geschrieben, wie man/frau es schafft, die Tracking-Möglichkeiten in iOS zu de-aktivieren: Device and Data Access when Personal Safety is At Risk. Ein deutschsprachiger Bericht dazu: Wie man das iPhone vor dem Partner schützt. So etwas bräuchten wir jetzt noch für Android und auch auf deutsch. Hier ein Text, der auch für Android hilfreich sein kann: So findet und stoppt man solche privaten Spionage-Apps, bzw. mit diesen Sicherheitseinstellungen verhindert, bzw. erschwert man die Installation durch andere Menschen.

Apple warnt iPhone-Nutzer großflächig vor Spyware-Attacke. "Apple hat gezielt iPhone-Besitzer in 92 Ländern vor Auftrags-Spyware-Angriffen gewarnt" (d.h. 92 Regierungen haben sich dieser Firmen bedient um ihre Journalisten und Oppostionellen zu überwachen - wir wissen, dass da auch EU-Länder mit dabei sind). "Betroffene sollten die Warnung ernst nehmen und sich Hilfe suchen." Das mit der 'professionellen Hilfe' ist ernst gemeint, die professionelle Spyware sitzt oft tief in den Geräten drin. Die Infektion geht z.B. über Online-Werbung.

Ein Tipp für alle iOS-Nutzer, die z.B. als Journalisten oder Politiker Angst haben müssen, dass sie Ziel von professionellen Angriffen sind: In den Einstellungen von iOS den 'Lockdown-Modus' aktivieren, das schränkt ein paar Funktionalitäten ein, aber bei iPhones in dem Modus hat Apple keine Spyware gefunden. Hier mehr Details zum Lockdown-Modus.

Außerdem sollte man/frau sein Smartphone nicht 'rumliegen lassen', z.B. in der Kneipe oder wenn man auf einer Party ist und man zur Toilette geht. Männer haben dafür Hosentaschen, eine Frau im Kleid muss schauen, wo sie das Gerät hintut. In die Handtasche stecken, die dann bei den Anderen zurückbleibt ist keine sichere Aufbewahrung.

Wie kann man sich wehren? Der Artikel sagt, dass sei nicht einfach. Wenn das Opfer zur Polizei geht, so muss das Handy dort für eine Untersuchung übergeben werden, ob man das möchte ist eine andere Frage. Wenn dann die illegale Software gefunden wird, so ist dies kein Beweis, dass eine bestimmte Person diese App installiert hat, da steht dann Aussage gegen Aussage.

Was immer hilft: "Factory Reset" nach Anleitung im Internet und dann dem Partner den Entsperrcode nicht mehr sagen. Aber da gehen natürlich alle Apps und Fotos etc., sofern die nicht anderseitig gesichert sind, verloren. Wenn eine Sicherung vorhanden ist (z.B. in der iCloud oder GoogleDrive), und diese Sicherung wird nach dem Reset wieder geladen, so ist auch die Stalking-App wieder drauf. D.h. es hilft nur ein komplettes Aufgeben der Daten die nicht anderweitig, z.B. auf einem Laptop gesichert sind oder werden.

Aber: Warnung von Frauenhäusern

Aber jetzt kommt eine Warnung von Frauenhäusern: Wenn eine Frau Gefahr läuft, dass das De-Aktivieren der 'digitalen Gewalt' zu verstärkter physischer Gewalt führt (weil der Kontrollverlust für den Täter schwer zu ertragen ist), so sollte am Gerät erst dann etwas verändert werden, wenn dieses Risiko, z.B. durch eine Unterbringung in einem Frauenhaus, gebannt ist. Parallel zur weiteren Nutzung des alten Geräts kann evt. zusätzlich ein neues Gerät für Vertrauliches genutzt werden.

 
 

Spyware und Spy-Apps zum Tracking der Kinder durch Smartphones und Wearables wie Smart-Watches

Das Leben der Kinder ist im 21. Jahrhundert immer technisierter geworden. An anderer Stelle schreibe ich über die Problematik der smarten Puppen und anderer Spielzeuge (oder Nanny-Cams), die alle Äußerungen der Kinder ins Internet tragen und manchmal auch eine Kamera haben, die (manchmal auch unbefugt und von der Ferne) aktiviert werden kann.

In diesem Artikel geht es um die Überwachung (oder neu-deutsch: das Tracken) der eigenen Kinder mittels smarter Geräte. Der Standard berichtet in einem langen Artikel über die Problematik: Tracking-Apps: Big Mother is watching you. Wie die Autorin im ersten Satz schreibt: Es ist ein schmaler Grat zwischen Fürsorge und Kontrollwahn, wenn Eltern zu elektronischer Überwachungstechnik greifen. Anlass des Artikels war für die Autorin ein Auslandsaufenthalt der eigenen Kindern in den USA, bei denen die Kinder mit dem durchgehenden "Überwacht-Werden" der US-Kinder konfrontiert wurden. Für alle, die mit dem Gedanken spielen, sei der ganze Artikel empfohlen.

Juristisch ist das in Europa (ab einem gewissen Alter der Kinder) nur erlaubt, wenn das Einverständnis der Kinder vorliegt. Illegal (und außerdem unethisch) wird es auf jeden Fall, wenn die Apps nicht für "informierte Kinder" sondern für den Beziehungspartner eingesetzt werden, auch so etwas soll ja vorkommen. Der Artikel schreibt:

    Auf der Kinderrechte-Seite des österreichischen Familienministeriums ortet die Projektgruppe "digikids" dringenden Handlungsbedarf: "Nachdem Kinder und Jugendliche zu einer Hauptzielgruppe global agierender Online-Unternehmen geworden sind, deren Geschäftsmodelle dem geltenden europäischen Datenschutzrecht widersprechen, stellt sich die intensive Stärkung des datenschutzrechtlichen Schutzniveaus als vordringliche Aufgabe dar."

Das ist sicher schön gesagt. Die Autorin im Standard ist aber auch aus erzieherischen Gründen beunruhigt: "Wer in das Leben seines Kindes kein Vertrauen setzt, wird sehr wahrscheinlich einen Erwachsenen ohne viel Selbstvertrauen ins spätere Leben entlassen. . . . Kinder übermäßig kontrollierender Eltern sind in späteren Jahren häufiger depressiv und leiden eher unter Angstzuständen. Zu diesem Ergebnis kam zumindest eine Studie, die bereits 2013 von der University of Mary Washington in Virginia veröffentlicht wurde."

Die Autorin berichtet auch über das soziale Leben der Jugendlichen, visualisiert z.B. auf Snapchat Map. Dort werden auf einer Karte die augenblicklichen Aufenthaltsorte ihrer Freunde angezeigt. Die Kinder gewöhnen sich daran, immer transparent zu sein. Warum akzeptieren die Kinder das: "Aber man kann es abdrehen! Und es sind Freunde - nicht Eltern!" Na dann!

Wie das Tracken der Kinder technisch umgesetzt werden kann (und wie schlecht das zum Teil implementiert ist), das zeigt 2018 das Projekt "Schutzranzen". Im Schulranzen der Kinder ist ein Gerät mit GPS, das den Standort der Kinder ständig verkündet.

Autofahrer sollen sehen, wenn sich Kinder in der Nähe befinden und eine App ermöglicht es Eltern, ständig zu wissen, wo sich ihre Kinder gerade aufhalten. Laut dem Bürgerrechtsverein Digitalcourage werden die Positionsdaten der Kinder über eine "schlecht geschützte" Cloud an Eltern, Navigationssysteme und Smartphone-Apps für Autofahrer übermittelt. Die Systeme sind zu Beginn 2018 in Wolfsburg und Ludwigshafen im Einsatz.

Das Projekt ist m.E. extra gruselig. Autofahrer müssen sich auf spielende Kinder auch dann einstellen, wenn diese keine Tracking-Geräte mit sich tragen. Und im Gegensatz zu dem sonstigen Tracking der Kinder durch die eigenen Eltern geht es ganz bewusst darum, dass die Kinder auch für Autofahrer (und andere Interessierte) trackbar werden. Kinder werden zu Objekten im Internet der Dinge.

Und wie gehen die Kinder in den USA damit um: "Wer etwas "Verbotenes" vorhat, lässt das Handy einfach in der Schule oder wo auch immer die Eltern ihre Kinder 'in Sicherheit' betrachten. Manche lassen sich Anrufe oder Nachrichten dann auf die Handys von Freunden umleiten. Easy, oder? Oder auch so: "wenn die Kids ihren technisch weniger versierten Eltern die Handys installieren [dann ist da] in Nullkommanichts so eine App installiert, die dann den Kindern sagt, wo sich die Eltern befinden und die Kinder warnt, bevor die Eltern nach Hause kommen.

Hier der Link auf eine US-Studie zu diesem Thema: Parents, Teens and Digital Monitoring

Nur ganz am Rande zum Thema ein anderer Standard-Artikel: Immer mehr junge Menschen wachsen auf, ohne mit der belebten Umwelt in Berührung zu kommen.

Hier jetzt ein Überblick über Tracking-Geräte. Das reicht von Apps für Smartphones, über GPS-Tracker die am Gürtel getragen werden bis zu Smart-Watches. Vor Smart-Watches warnt der Norwegian Consumer Council. Sie haben solche Geräte untersucht und (für alle die das Internet of Things ein wenig beobachten) ist das Ergebnis wenig überraschend: So können auch Fremde die Bewegungen der Kinder verfolgen. Ob dies jetzt dem Sicherheitsgefühl der Eltern wirklich hilft ..... (der volle Report findet sich unter Analysis of smartwatches for children (PDF) ).

 
 

Ab 2021, aber weiter sehr aktuell: Apple Airtags und andere Tracker

In der zweiten Hälfte 2021 hat Apple seine sog. 'Airtags' auf den Markt gebracht (kleine, flache runde "Dosen"). Der vorgebliche Zweck dieser Geräte läuft unter 'find-my-device', FMD-Geräte, d.h. es geht z.B. um das Wiederfinden von Schlüsseln. Es gab bereits vorher ähnliche Angebote von anderen Anbietern, sowohl für iOS, wie für Android, aber ohne die flächendeckende Integration in das Betriebssystem waren die eigentlich nur für ihren eigentlichen Zweck geeignet, z.B. um die eigenen Schlüssel in der eigenen Wohnung zu finden.

Apple Airtags und andere moderne Tracker von anderen Anbietern können aber mehr. Apple Airtags brauchen keine spezielle App sondern sind in iOS integriert (vorausgesetzt, dass das iPhone neu genug ist, um Bluetooth Low Energy zu unterstützen). Dadurch geht ihre Funktionalität über das Finden des Schlüsselbunds weit hinaus.

Wenn ein Airtag mit einem iPhone verknüpft ist, so kann dieses Airtag (und damit das Schlüsselbund) auch dann gefunden werden, wenn es beliebig weit von 'seinem' iPhone entfernt ist, z.B. auf der anderen Seite des Globus (so hat jemand ein Airtag in ein Paket für Nordkorea getan um dann festzustellen, dass dieses Paket in Beijing 'liegengeblieben' ist). Der Trick besteht darin, dass der Airtag Verbindung mit 'irgendeinem' iPhone aufnimmt und dieses iPhone kontaktiert dann über einen zentralen Server bei Apple den registrierten Besitzer des Airtags - clevere Idee.

Hier hat z.B. jemand 2 Airtags als Diebstahlschutz in seinem E-Scooter versteckt. Das erste Airtag haben die Diebe gefunden und entfernt, das 2. aber übersehen, so konnte der Diebstahl aufgeklärt werden. Soweit so, so gut.

Aber schnell haben böse Menschen auch gemerkt, dass damit die (Ex-)Partner:in gestalkt werden kann: einfach den Tracker am Auto befestigen und das Gerät sendet den Standort wann immer ein iPhone am Tracker vorbei geht. Oder den Tracker in die Tasche oder den Rucksack des Opfers hineinfallen lassen. Das nennt man Stalking. Hier hat ein Amerikaner den Airtag im Auto einer anderen Person versteckt.

Gegen solches Stalking hat Apple ein paar Tricks eingebaut, z.B. fängt der Tracker zu Piepsen an (nicht sehr laut) wenn es mehr als 8 Stunden von seinem verknüpften iPhone entfernt ist. Dieses Piepsen hört das Opfer aber nur, wenn das Gerät in der Nähe ist (und nicht an der Stoßstange klebt). Außerdem gibt es mittlerweile auch Airtags mit beschädigtem Lautsprecher zu kaufen, genau für solche illegale Stalking-Nutzung.

Eine weitere Warnung bekommen iPhone-Nutzer, wenn ein fremdes Airtag zu lange in ihrer Nähe bleibt, hier ein Fall aus Australien - das hilft aber Android-Nutzern nicht und auch nicht iPhone-Nutzern mit älteren Geräten.

Apple ist sich des Problems bewusst, sie haben ihr umfangreiches englisches "Handbuch für persönliche Sicherheit" um 'Airtags' erweitert. Hier ein Artikel über das Handbuch, das leider nicht auf deutsch vorliegt. Der Artikel beschreibt, dass Apple Android-Nutzern vorschlägt, ihre "Tracker Detect"-App zu installieren um Airtags zu finden. Wer einen fremden Airtag findet, der kann über die Seriennummer den Tracker deaktivieren lassen. Das Airtag oder zumindest dessen Seriennummer sollte an die Strafverfolgungsbehörden weitergeben werden - darüber lässt sich theoretisch der Besitzer herausfinden.

Hier ein kritischer Testbericht: Apple Airtag im Test: Gelungener Tracker mit Schönheitsfehlern. Und noch ein Test: Apple Airtags im Test: Mit Apple das Auto wiederfinden und den Kollegen verfolgen. Ein dritter Bericht: Apple AirTags: Schutz vor Stalking und Überwachung völlig unzureichend. Ich bin mir nicht sicher, ob das Gerät insgesamt nun ein Fortschritt ist. :-(

Aktualisierung Mai 2024:
Nun kommt es in 2024 endlich zu einer Zusammenarbeit zwischen Apple und Google. Es geht die Warnung vor Tracking-Geräten, die als Find-my-Device-Hardware - FMD-Tracker von vielen Anbietern auf dem Markt sind. Die neue Warn-Software wird für iOS ab Version 17.5 und auf Android ab Version 6.0 verfügbar sein. So weit, so gut.

Nun die schlechte Nachricht: dies funktioniert nur für Tracking-Geräten, die sich an den neuen FMD-Standard halten, und das sind bisher nur wenige. Für die bisher auf dem Markt angebotenen Tracking-Geräte funktioniert die Erkennung immer noch nicht. Dafür wird immer noch eine separate App benötigt, z.B. die kostenlose App AirGuard der TU Darmstadt.

 


Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.