Über Smartphones regeln wir unser ganzes Leben – wir nutzen sie nicht nur für E-Mails und Chats, sondern zum Beispiel auch fürs Banking und als Fotoarchiv. All diese persönlichen Informationen können Begehrlichkeiten wecken.
Dabei geht die Gefahr nicht nur von Cyberkriminellen, sondern auch oft von Personen aus dem eigenen Umfeld aus. Vor allem in schwierigen Partnerschaften, etwa mit einem eifersüchtigen oder gewalttägigen Partner, kann das Smartphone zur Gefahr werden. Es gibt sogar eigens entwickelte Programme, die der Überwachung dienen – so genannte Stalkerware oder auch Spyware.
Bemerkbar macht sich das zum Beispiel bei den Hilfseinrichtungen für Betroffene von Gewalt und Stalking. Diese berichten zunehmend von Fällen, bei denen Smartphones überwacht werden.
So schreibt der Bundesverband Frauenberatungsstellen und Frauennotrufe (bff) in einer Expertise zum Thema Digitalisierung geschlechterspezifischer Gewalt: "Das häufigste Problem ist, dass Frauen, die von häuslicher Gewalt oder Stalking betroffen sind, jetzt auch davon ausgehen müssen, dass sich auf ihrem Smartphone Spyware befindet."
Stalkerware für den Massenmarkt
Bei Stalkerware handelt es sich um Programme, die in der Lage sind, Telefonate abzuhören, gespeicherte Informationen wie etwa Fotos vom Smartphone zur überwachenden Person zu übertragen und Chat-Verläufe beliebter Programme wie WhatsApp mitzulesen.
Damit das möglich ist, muss der Überwacher oder die Überwacherin die Stalkerware-App auf dem Smartphone der Zielperson installieren. Dann kann er oder sie viele Prozesse und Nutzungsdaten einsehen, zum Beispiel per App oder über ein Online-Konto auf der Webseite des Anbieters.
In den vergangenen Jahren sind Unternehmen wie Flexispy Ltd. oder MTechnology Ltd. entstanden, die solche Stalkerware verkaufen. Die Ansprache auf ihren Webseiten richtet sich nicht selten gezielt an eifersüchtige Partner.
Diese Stalkerware-Apps sind nicht sehr teuer. So kostet ein Monat im Basic-Tarif beim Anbieter MySpy rund 30 Euro, bei der Konkurrenz Hoverwatch zahlt man rund 100 Euro für ein Jahr. Der Marktführer FlexySpy bietet sein Produkt im Jahresabo für 149 US-Dollar (etwa 130 Euro) an.
Die einschlägigen Spionage-Apps haben keinen Zutritt zu Apples App-Store und auch nicht zum Google Play Store, sondern man bekommt sie nur direkt beim Hersteller.
Handy-Spionage ist verboten
Während der Einrichtung einer solchen Überwachungs-App sichern sich die meisten Anbieter über die Nutzungsbedingungen rechtlich ab. Sie lassen sich zusichern, dass ihr Produkt das Smartphone entweder mit Wissen und Zustimmung der Zielperson oder im Rahmen der elterlichen Erziehung ausforscht. Dass dies nur in den wenigsten Fällen der Realität entsprechen dürfte, ist klar.
Die heimliche Spionage auf dem Smartphone eines Partners ist verboten. Wer ein Smartphone ausspioniert, für den oder die kommt mindestens eine Verurteilung nach Paragraf 202b des Strafgesetzbuches – das Abfangen von Daten – infrage. Allein dafür können bis zu zwei Jahre Haft verhängt werden.
Es kommt auch vor, dass Personen ihre Partner*innen zur Installation von Spionageprogrammen überreden und dazu manipulative Taktiken anwenden. Doch ein Recht auf private Informationen des Partners oder der Partnerin gibt es natürlich nicht.
Die Privatsphäre ist in der EU-Grundrechtecharta festgehalten und das Telekommunikationsgeheimnis wird auch durch die Eheschließung nicht aufgehoben.
Bildschirmsperre als starker Schutz
Um ein Smartphone mit einer Spionage-App zu infizieren, muss man physischen Zugriff dazu haben. Der Angreifer muss das Gerät entsperrt in der Hand halten und genug Zeit haben, das Programm direkt darauf zu installieren.
Eine Bildschirmsperre, die niemand anders kennt, ist daher ein wirksamer Schutz. Eine starke Bildschirmsperre besteht aus mindestens sechs, besser aus acht Zeichen – die natürlich nicht das Geburtsdatum des Kindes oder der Hochzeitstag sein sollten.
Muster sind relativ leicht zu erraten, vor allem, wenn der Angreifer häufig die Gelegenheit zum Zuschauen hat. Auch biometrische Entsperrtechniken, wie der Fingerabdruck oder die Gesichtserkennung, sind weniger sicher – in gewaltsamen Partnerschaften können sie leicht erzwungen werden.
iPhones sind schwer zu überwachen
Wenn Sie ein iPhone mit aktueller Software besitzen, müssen Sie sich derzeit nur wenig Sorgen machen, überwacht zu werden – sofern das Gerät mit einer starken Bildschirmsperre gesichert ist. Apples mobiles Betriebssystem verhindert die Installation von Überwachungsprogrammen seit einigen Jahren beinahe vollständig. Stalkerware lässt sich nur noch aufspielen, wenn zuvor ein tiefer Eingriff ins Betriebssystem durchgeführt wurde, der sich Jailbreak nennt.
Selbst bei älteren Versionen macht das Apple-Betriebssystem es der Stalkerware sehr schwer: Die Installation des Programms Flexispy bedarf nach Angaben des Herstellers nach jedem Abschalten oder Neustart des Geräts einer „Rekonfiguration“. Dazu muss der Angreifer wieder physischen Zugriff auf das Gerät erlangen.
Sie sollten allerdings unbedingt darauf achten, für Ihr iPhone oder iPad eine Apple-ID zu verwenden, deren Passwort nur Sie kennen. Wenn Sie dieselbe Apple-ID verwenden wie Ihr*e Partner*in, werden Anrufprotokolle und Bilder über den Apple-Dienst iCloud unter Umständen mit dem Partner geteilt. Auch das kann schon tiefe Einblicke in persönliche Daten geben.
Android bietet weniger Schutz
Weil es bei Android möglich ist, Apps auch aus anderen Quellen als dem Google Play Store zu installieren, ist hier eine Infektion generell einfacher als bei iPhones. In den vergangenen Jahren hat Google aber zahlreiche Verbesserungen eingeführt, die bei der Enttarnung von Stalkerware-Apps auf dem eigenen Smartphone helfen können.
Eine dieser Verbesserungen nennt sich Google Play Protect. Die in den Play Store integrierte Sicherheitsfunktion überprüft regelmäßig, ob es sich bei installierten Apps um Schadprogramme handelt. Da Spionage-Apps im Grunde Schadprogramme sind, schlägt Play Protect in der Regel auch bei diesen Produkten an.
Beispiel: App Flexispy auf Android enttarnt:
Wie verlässlich die eingebauten Sicherheitsmechanismen von Android inzwischen funktionieren, zeigt ein Test von Flexispy, den der Autor dieses Artikels für das IT-Portal Golem.de durchgeführt hat. Dieser ergab: Wer die App Flexispy installieren will, wird zuvor angewiesen, Play Protect zu deaktivieren. Ist die Funktion aktiv, funktioniert die Spionage-App nicht.
Play Protect ist auf allen Android-Geräten aktiv, die Googles Playstore installiert haben. Ist sie deaktiviert, hat vermutlich jemand versucht, das Smartphone zu manipulieren.
Sie können sehr einfach selbst prüfen, ob Play Protect auf Ihrem Gerät aktiv oder deaktiviert ist. Öffnen Sie dazu im Play-Store das Menü (Klick auf die drei Striche im Suchfeld) > Play Protect
. Dieser Pfad existiert möglicherweise nicht auf allen Android-Modellen. Alternativ können Sie die Funktion auch über Einstellungen > Gerätesicherheit (oder Sicherheit) > Play Protect
aufrufen. Die Funktion sollte unbedingt aktiv sein.
Der Test von Golem.de mit der Flexispy-Software hat gezeigt: Wird nach der Installation der Spionage-App die Funktion Play Protect aktiviert, erkennt diese die Spyware. Das Programm gibt zwar nicht den Namen der Spyware aus, zeigt aber eine Manipulation an.
Die Spionage-App kann dann mit einem Fingertipp entfernt werden. Es dürfte allerdings sinnvoll sein, dass Gerät mit noch installiertem Schadprogramm an Forensik-Experten oder die Polizei zu übergeben.
Tipps: So schützen Sie sich vor Stalkerware
- Es ist sehr zu empfehlen, sein Smartphone immer, auch zu Hause, mit einer starken Bildschirmsperre zu sichern.
- Das eigene Passwort zu teilen, ist kein Liebesbeweis. Geheime Passwörter des Partners oder der Partnerin zu akzeptieren, ist ein Zeichen von Respekt.
- Zweifel könnten angebracht sein, wenn Ihnen plötzlich ein neues Smartphone, etwa als Geschenk, überreicht wird. Hier könnte die Überwachungssoftware vorinstalliert sein. Einige Hersteller bieten sogar komplett mit Stalkerware vorkonfigurierte Geräte zum Kauf an.
- Prüfen Sie bei Verdacht, ob auf Ihrem Android-Gerät die Funktion „Play Protect“ aktiv ist (siehe oben).
- Vorsicht Hintertür: Auch über ein Google-Konto oder über die iCloud von Apple kann ein neugieriger Partner oder eine Partnerin Informationen abgreifen. Sichern Sie auch diese gut ab.