Spyware und Spy-Apps in der Familie und Beziehung
Philipp Schaumann - Letzte Ergänzungen: Juni 2022
Beziehungsrisiko: Spyware und Spy-Apps zum Tracking der (Ex-)Partner
Die Smartphones haben unser Leben gründlich verändert und bieten tolle Bequemlichkeiten. Leider bieten sie aber böswilligen Menschen auch tolle Möglichkeiten, Schaden anzurichten. Smartphones sind Computer, die wir immer bei uns tragen und die mit einer riesigen Menge von Sensoren ausgestattet sind. Wenn es jemand schafft, diese Sensoren heimlich zu aktivieren und über die Smartphone-Verbindungen deren Daten weiterzuleiten, so ist das Opfer dieser Aktivierung ziemlich transparent und offen.
2021/22: Apple AirtagsDieser Spezialfall wird am Ende der Seite behandelt. Studie 2021: Cyber-Gewalt gegen FrauenEin Artikel über eine Studie des Zentrums für Sozialforschung und Wissenschaftsdidaktik in Wien zur Rolle von Technologie bei Gewalt in Intimbeziehungen: (K)ein Raum: Cyber-Gewalt gegen Frauen* in (Ex-)Beziehungen. Der Chaos Computer Club behandelt das Thema digitale Gewalt immer wieder auf seinen Konferenzen. Hier die Links auf Videos des Chaos Computer Clubs zu diesem Thema. Ab April 2019: NSO Spyware unterwandert iPhones und Android-Geräte im Auftrag von RegierungenEin Bericht über die professionelle Spyware Exodus berichtet davon, dass diese Spyware von Regierungen gegen Oppositionelle eingesetzt wird, und zwar auf Android und iOS. Nach diesem Bericht haben nun Apple und Google auf diese Berichte reagiert und diese Software erstmal blockiert. Die unbekannte Herstellerfirmen wird sich nun etwas Neues einfallen lassen. Dez. 2020: Der israelische Spywaregigant NSO bekommt verstärkt Druck, da Microsoft, Google, Cisco und Dell sich einem Gerichtsverfahren angeschlossen haben, das Facebook gegen den Konzern angestrengt hat. Es geht darum, dass NSO behauptet, sie würden ihre digitalen Einbruchswerkzeuge nur an legitime Regierungen verkaufen und das wäre OK. Real eingesetzt werden diese Tools aber gegen Journalisten und Oppositionelle in vielen Ländern. Die US-Firmen verklagen NSO aber nicht deswegen, sondern weil durch die breite Verbreitung der Tools diese leicht auch in falsche Hände gelangen könnten. Hier noch: Inside NSO, Israel’s billion-dollar spyware giant. |
Klarstellung: Weder ethisch noch legal !Um das hier ganz klar zu sagen: Das Tracken von Menschen (auch von Kindern oder [Ex-]Partnern) ohne ihr Wissen und Zustimmung ist ganz sicher ethisch absolut nicht akzeptabel und in aller Regel auch illegal und wird daher auch bestraft. Sinn dieses Artikels ist die Warnung vor diesem Möglichkeiten, so dass (potentielle) Opfer sich darauf einstellen können, hier Handy noch besser schützen können und mögliche Warnhinweise erkennen können. |
Genau dafür gibt es leider eine große Menge Spionage-Apps für Handys. Mit deren Hilfe werden Standortdaten, Chat-Verläufe, Fotos und Gespräche des Opfers in Echtzeit überwacht und übertragen.
Der oben verlinkte Artikel berichtet über eine ganze Reihe von Anbietern solcher Apps. Der Markt besteht aus Eltern, die ihre Kinder überwachen wollen (zum Schutz der Kinder), aber auch Partner und Ex-Partner die eifersüchtig sind und vielleicht sogar überwachungssüchtige Arbeitgeber die auf diese Weise ihre Mitarbeiter kontrollieren wollen. Mit wenigen Ausnahmen, wie z.B. beim Tracking der eigenen (!!) Kinder sind solche Überwachungen illegal, bzw. erfordern bei Arbeitnehmern die Zustimmung des Betroffenen.
Wie kommt die App auf das Smartphone? Bei Kindern und Mitarbeitern von Firmen ist das einfach: die App wird vor der Übergabe an das Kind oder den Mitarbeiter einfach installiert. Diese Apps schaffen es sehr oft, nicht in der Übersicht der Apps angezeigt zu werden. Die heimliche Installation auf dem Gerät eines Partners oder Ex-Partners ist nicht ganz so einfach. Dafür braucht der Angreifer den physischen Zugriff auf das Gerät und den Entsperrcode, was bei Partnern meistens kein Problem darstellt, da das Gerät oft unbeaufsichtigt herumliegt (z.B. beim Duschen) und die Weitergabe des Entsperrcodes (sofern überhaupt gesetzt) in vielen Partnerschaften als (unglücklicher) Vertrauensbeweis gilt.
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
2018: Test einer Stalking-AppDie Journalisten von golem.de haben sich eine Tracking-App installieren lassen: Flexispy. Zielpublikum ist wohl hauptsächlich die Überwachung von Beziehungspartnern, die Software wird pro Monat oder pro Jahr gemietet. Sie kann je nach Preis unterschiedlich tief in die Privatsphäre des Opfers eindringen und ist natürlich ohne Zustimmung des Abgehörten illegal (bis zu 2 Jahre Haft). Die Basis-Version kann zahlreiche Messenger abhören und den Standort weiterleiten. Die "Extreme"-Version ist teurer und kann auch Gespräche abhören, sie läuft aber nur auf Android und auf iPhones bis iOS 9.1. Auf Android muss für die Basis-Version "Play Protect" abgeschaltet sein. Wenn das Opfer dies wieder aktiviert, funktioniert die Abhör-App nicht mehr. Eher schon wieder kurios: Der mexikanische Drogenboss Joaquín “El Chapo” Guzmán wurde auch Opfer von Flexispy und muss sich nun in NY vor Gericht verantworten. Die abgefangenen Telefonate sind sehr beeindruckend. Und wenn eine solche Spionage App zum Tracken von Partner dann vielleicht auch noch unsicher programmiert ist, dann landen schon mal die gesammelten Daten im Internet: |
Was kann der Angreifer auslesen? Das hängt von der Software (und manchmal auch von der Bezahlung) ab. Technisch kann auf (fast) alles zugegriffen werden was auf dem Gerät passiert: Standortdaten aufgenommene Töne, Bilder und Videos, Kontakt- und SMS-Datenbanken, die Anrufhistorie mit ein- und ausgehenden Nummern, Daten aus der Kalender-App sowie Browser-Verläufe und Bookmarks. Da die App Zugriff auf Mikrophone und Kamera bekommt, können auch Gespräche abgehört werden. Wenn das Gerät "gerootet" ist, dann geht noch viel mehr.
Bei Android wird das die Software (d.h. das APK-Paket) entweder via USB oder über den Download mit dem Browser installiert. Erforderlich ist auf jeden Fall der physische, entsperrte Zugang zum Gerät. Die Anbieter erläutern mit Schritt-für-Schritt-Anleitungen, welche Sicherheitsbarrieren und Stealth-Modi aktiviert werden müssen, damit die App nicht sofort vom Betriebssystem entdeckt wird. mSpy nutzt auf iPhones ohne Jailbreak zur Datenausleitung das iCloud-Backup. Der Angreifer muss also die Apple-ID und das Passwort des Opfers kennen und iCloud-Backup heimlich aktivieren.
Wie häufig ist Spyware eigentlich?Kaspersky hat eine Sicherheitssoftware die versucht, solche Spyware zu finden. Sie haben Anfang 2020 2300 Fälle von Spionagesoftware auf Smartphones in Deutschland entdeckt. Das sind aber nur die Fälle, bei denen die Kaspersky Sicherheitssoftware auf dem Gerät installiert ist. Im europaweiten Vergleich liegt Deutschland an der Spitze. Was kann jemand tun, wenn er/sie den Verdacht hat, dass sein/ihr Gerät überwacht wird? Eigentlich hilft nur "Factory Reset", Anleitungen im Netz. Das ist aber ein Komplettverlust der Daten. 30% der deutschen findet Stalkerware /Spyware OKTraurige Statistik, ebenfalls von Kaspersky: 13% findet es grundsätzlich OK, Partner:in zu tracken, 17% nur wenn man glaubt, einen Grund zu haben (der Link führt zu einem PDF mit den Details). |
Und immer wenn man denkt, es könne nicht schlimmer kommen, dann gibt es noch was Neues. Der Artikel "Terabytes an Daten" aus Spionage-Apps frei zugänglich berichtet darüber, dass schlimmstenfalls nicht nur der Stalker Zugriff auf diese sehr persönlichen Daten hat, sondern natürlich üblicherweise auch die Firma die die App anbietet. Und wenn die nicht so ganz sicher unterwegs ist, so können sich diese Daten auch schon mal im öffentlichen Internet wiederfinden.
Wie kann man sich gegen Überwachungen durch Partner und Ex-Partner schützen?
Der Angreifer braucht 2 Sachen: er/sie muss das Gerät in die Hand bekommen, zumindest für 1 Minute und muss den Entsperrcode kennen.
Theoretisch ganz einfach: Jedes Smartphone ist gesperrt und der Partner kennt den Code nicht. So was kann natürlich als Misstrauensbeweis gewertet werden und außerdem ist das Entsperren bei einem 4- oder 6-stelligen Pin nicht wirklich schwer zu knacken, wenn man es beim Partner hundertmal gesehen hat. Wenn man Angst hat, dass jemand den Pin kennt, so sollte man ihn ändern - spätestens dann, wenn es in einer Beziehung krieselt und der Partner zu Eifersucht neigt.
Apple-Anleitung: Wie man das iPhone vor dem Partner schütztIn iOS kann man mittels der 'Find My' App nicht nur sein iPhone wiederfinden, sondern auch Familienmitglieder (wenn diese Feature aktiviert ist). Dies ist eine der Möglichkeiten, wie Partner einander ausspionieren können. Apple hat nun eine hilfreiche Anleitung geschrieben, wie man/frau es schafft, die Tracking-Möglichkeiten in iOS zu de-aktivieren: Device and Data Access when Personal Safety is At Risk. Ein deutschsprachiger Bericht dazu: Wie man das iPhone vor dem Partner schützt. So etwas bräuchten wir jetzt noch für Android und auch auf deutsch. Aber jetzt kommt eine Warnung von Frauenhäusern: Wenn eine Frau Gefahr läuft, dass das De-Aktivieren der 'digitalen Gewalt' zu verstärkter physischer Gewalt führt (weil der Kontrollverlust für den Täter schwer zu ertragen ist), so sollte am Gerät erst dann etwas verändert werden, wenn dieses Risiko, z.B. durch eine Unterbringung in einem Frauenhaus, gebannt ist. Parallel zur weiteren Nutzung des alten Geräts kann evt. zusätzlich ein neues Gerät für Vertrauliches genutzt werden. |
Außerdem sollte man sein Smartphone nicht rumliegen lassen, z.B. in der Kneipe oder wenn man auf einer Party ist und man zur Toilette geht. Männer haben dafür Hosentaschen, eine Frau im Kleid muss schauen, wo sie das Gerät hintut. In die Handtasche stecken die dann bei den Anderen zurückbleibt ist keine sichere Aufbewahrung.
Wie kann man sich wehren? Der Artikel sagt, dass sei nicht einfach. Wenn das Opfer zur Polizei geht, so muss das Handy dort für eine Untersuchung übergeben werden, ob man das möchte ist eine andere Frage. Wenn dann die illegale Software gefunden wird, so ist dies kein Beweis, dass eine bestimmte Person diese App installiert hat, da steht dann Aussage gegen Aussage.
Was immer hilft: "Factory Reset" nach Anleitung im Internet und dann dem Partner den Entsperrcode nicht mehr sagen. Aber da gehen natürlich alle Apps und Fotos etc., sofern die nicht anderseitig gesichert sind, verloren. Wenn eine Sicherung vorhanden ist (z.B. in der iCloud oder GoogleDrive), und diese Sicherung wird nach dem Reset wieder geladen, so ist auch die Stalking-App wieder drauf. D.h. es hilft nur ein komplettes Aufgeben der Daten die nicht anderweitig, z.B. auf einem Laptop gesichert sind oder werden.