Wer „WebDetective“ eingesetzt hat, um dem Partner oder der Partnerin hinterher zu spionieren, dem wurde der Zugriff gekappt – aber nicht durch die Polizei oder auf Anordnung eines Gerichts, sondern durch einen Angriff auf den Anbieter.
Der Hersteller, der vor allem in Brasilien eingesetzten Spionagesoftware wurde von einer Angreifergruppe ins Visier genommen, die sich am Geschäftsmodell des Unternehmens grundsätzlich stört. Das Unternehmen bietet Spyware für Privatleute an, mit denen sich vor allem Android-Geräte lückenlos überwachen lassen. Solche Programme werden von eifersüchtigen Partnern eingesetzt, um vermeintliche Untreue nachweisen zu können, und sind gemeinhin unter dem Begriff „Stalkerware“ bekannt.
Opfer einer Stalkerware haben so gut wie kein Privatleben mehr, da der Partner oder die Partnerin über das Smartphone sowohl Gespräche mithören als auch Chatnachrichten mitlesen kann. Auch auf die Kamera des Gerätes sowie die GPS-Koordinaten haben diese Spionageprogramme Zugriff. Sprich: Nichts, was an Daten auf dem Gerät vorhanden ist, ist wirklich geheim. Der Partner oder die Partnerin kann alles mitlesen und mithören.
An diesem Geschäftsmodell nahm die Angreifergruppe, die die Systeme des Anbieters kompromittiert haben, Anstoß. Sie löschten unbestätigten Berichten zufolge (Link öffnet sich in neuem Fenster )die Daten von Opfern (der Menschen also, deren Geräte überwacht wurden) und gaben die Namen der Personen, die bei dem Anbieter eingekauft hatten, deren Einkaufs-Historie sowie die Namen der kompromittiZrten Geräte an ein Forschungs- und Transparenzkollektiv namens DDoSecrets weiter.
Stalkerware – was ist das?
Eine Stalkerware ist eine Spionagesoftware für Privatleute. Sie wird von Unternehmen meist im Abo-Modell vertrieben. Sie machen dabei keinen Hehl daraus, welchen Zweck ihr Produkt verfolgt, verbergen es aber oft hinter scheinbar legitimen Zwecken wie „Mitarbeiterkontrolle“ und schüren die Ängste von Eltern durch Werbematerial, in dem offensiv gefragt wird „Wissen Sie, was Ihr Kind gerade tut?“. Der Autor dieses Textes hat einmal per Chatnachricht eine Anfrage an einen solchen Anbieter (nicht der hier betroffene) gesendet und gefragt, ob man mit dem Programm auch herausfinden könne, ob die Ehepartnerin eventuell untreu ist, und dass das Ganze sehr unangenehm sei. Das sei überhaupt kein Problem, so die Auskunft – solche Anliegen seien gar nicht unüblich. Auf weitere Fragen, ob das legal sei und ob man das wirklich nicht entdecken könne, folgten beruhigende Worte – und wenn sich alles als nichtig herausstelle, könne man die App einfach wieder löschen und niemand müsse davon je erfahren – „aber sie haben schließlich auch ein Recht auf Gewissheit“. Eine Phrase, die seinerzeit auch im Marketingmaterial vorkam.
Insgesamt eine sehr unappetitliche und schädliche Branche, die Menschen gegen ihren Willen zu Opfern eifersüchtiger und kontrollbesessener Partner und Partnerinnen macht.
Schwierige Abwehr, lückenhafte Rechtslage
Die Frage nach der Legalität solcher Programme stellt sich praktisch automatisch. Und die ernüchternde Antwort darauf lautet: Diese Programme sind in vielen Ländern (Deutschland eingeschlossen) grundsätzlich nicht illegal. Mit einer Einschränkung: Die überwachte Person muss Kenntnis von der Überwachung haben und dieser auch zustimmen. Genau hier liegt jedoch das Problem:
Entweder wissen Betroffene gar nichts von der Software, weil sie heimlich installiert wurde. In diesem Fall wäre die Rechtslage klar und die Überwachung strafbar. Oder sie wissen davon, finden das aber in Ordnung. Oder sie wissen davon, haben zugestimmt, fühlen sich aber unwohl dabei – weil sie vom Partner überredet wurden, die Installation der Spionagesoftware zuzulassen. Nach dem Muster „Ich muss doch wissen, wo du bist, falls mal was sein sollte!“ oder – noch perfider – verlangten die Überwachung per App als Vertrauensbeweis. Die überwachten Menschen befinden sich hier je nach Situation in einem gefährlichen Zwiespalt, denn in manchen Fällen spielt auch häusliche Gewalt eine Rolle. Und um eine Eskalation zu vermeiden, lassen die Betroffenen erst einmal vieles zu.
Kein Einzelfall
Bereits in der Vergangenheit sind Unternehmen, die Stalkerware anbieten, zum Ziel von Angriffen geworden. In einem Fall gab es innerhalb kurzer Zeit gleich mehrere Angriffe auf ein einzelnes Unternehmen, was auch schlussendlich zu einem Untergang dieses Anbieters führte. Er ist seither nicht mehr am Markt vertreten.
Im aktuellen Fall scheint es so zu sein, dass die Daten der ausspionierten Menschen ebenfalls gelöscht worden sind. Somit können die Opfer zumindest ein Stückweit aufatmen, doch deren Situation verbessert der Wegfall der Spionagemöglichkeit nicht. Zum einen befinden sich die Betroffenen noch immer in derselben Situation, etwa in einem von Missbrauch geprägten Haushalt, zum anderen gibt es auch noch immer (zu) viele Anbieter vergleichbarer Lösungen.
Mit Bedacht vorgehen
Da es sich bei Stalkerware um nichts anderes als kommerzielle Spyware handelt, wird sie von vielen Sicherheitslösungen (unter anderem denen von G DATA) erkannt. Das für jeden Fall optimale Vorgehen ist jedoch kaum zu ermitteln. Wer den Verdacht hat, auf dem eigenen Smartphone könne eine solche Stalkerware installiert sein, sollte Vorsicht walten lassen und sich der Ressourcen der Coalition against Stalkerware (Link öffnet sich in einem neuen Fenster) bedienen. G DATA ist ebenfalls Mitglied dieser Koalition.
Selbstjustiz in Form von Angriffen gegen die Anbieter von Stalkerware ist zwar rein menschlich absolut nachvollziehbar, aber sollte nicht das Mittel der Wahl werden. Solche oder ähnliche Einschätzungen werden nach Angriffen dieser Art oft laut, vor allem aus Kreisen Rechtskundiger. Es bleibt zu hoffen, dass diese Lücke in der deutschen Gesetzgebung und in den Gesetzen anderer Länder zeitnah beseitigt wird. Zumindest was Stalking angeht, ist in Deutschland seit der letzten Novelle des Paragrafen 238 StGB im Jahr 2021 die Strafbarkeitsschwelle für Stalking (deutscher Rechtsbegriff: „Nachstellung“) drastisch gesenkt worden.
Bildnachweis:
Cottonbro Studio / Pexels
Tim Berghoff
Security Evangelist