Das kanadische Citizen Lab hat viele Fälle aufgedeckt, in denen Aktivisten und Dissidentinnen mit Malware infiziert wurden. Nun schaute sich das Forschungsinstitut andere Spähsoftware an und fand heraus: Hersteller von Stalkerware vermarkten ihre Software gezielt für die illegale Überwachung von Beziehungspartnerinnen.

Es gibt Branchen, die erfordern von ihren Teilnehmern eine gewisse moralische Flexibilität. Stalkerware zählt dazu: Überwachungssoftware, die dazu dient, die eigenen Kinder oder Partner auszuspähen. In wenigen Minuten lässt sich so ein Programm auf dem Telefon der Zielperson installieren, das unsichtbar im Hintergrund läuft und alles an den Überwacher überträgt – von Chats, Fotos und Gesprächen bis zum Standort und Kalendereinträgen.

Das Citizen Lab, ein Forschungsinstitut an der University of Toronto, hat dieser dubiosen Branche jetzt zwei ausführliche Berichte gewidmet. Auf mehr als 300 Seiten analysiert ein Team aus Juristinnen, Politikwissenschaftlern, Marketing- und Tech-Expertinnen, wie diese Programme funktionieren, wie sie vermarktet werden, welche Sicherheitsrisiken sie darstellen und vor allem: wie man ihnen mit einem Netz aus Maßnahmen beikommen kann.

Im Zusammenhang mit Stalkerware kommt es regelmäßig zu Gewalttaten und Mitarbeiterinnen von Frauenhäusern auf der ganzen Welt berichten, wie Frauen von Partnern digital verfolgt und angegriffen werden. Trotzdem haben Staatsanwaltschaften und Politik das Problem bisher wenig beachtet.

Wie kann man Hersteller zur Verantwortung ziehen?

Ein Problem: Viele Hersteller von Stalkerware verkaufen ihre Produkte vordergründig als legale Software zur Kontrolle der eigenen Kinder. In ihren Nutzungsbedingungen weisen sie darauf hin, dass die App nur mit ausdrücklicher Zustimmung der zu überwachenden Person installiert werden darf. Das macht es schwer, gegen solche sogenannten Dual-Use-Produkte vorzugehen. Die Firmen berufen sich darauf, dass sie ja nichts Illegales täten, für Straftaten seien die Täter:innen selbst verantwortlich.

Das bedeutet allerdings nicht, dass Hersteller nicht zur Verantwortung gezogen werden könnten, betonen die Autor*innen des Citizen Lab. So könnte man sie zum Beispiel zwingen, den „Tarn-Modus“ zu entfernen, also die Möglichkeit, eine App unsichtbar im Hintergrund auf einem Telefon laufen zu lassen, ohne dass die überwachte Person dies mitbekommt. Schließlich gibt es keinen legalen Anwendungsfall, bei dem so ein Feature nötig wäre. Wenn eine Person der Überwachung zugestimmt hat, muss man die Software nicht vor ihr verstecken. Wenn es um das eigene Kind geht, kann auch dieses über die Kontroll-App informiert werden.

Zusätzlich sollten die Programme regelmäßig auf ihre Aktivität hinweisen, fordern die Autor:inen, etwa mit Push-Mitteilungen auf dem Telefon oder sogar einem „Zustimmungsdialog“, in dem die überwachte Person explizit ihr Einverständnis erteilt.

Betroffene unterstützen statt Täter

Hersteller müssten außerdem dafür sorgen, dass Betroffene auf ihren Seiten Hilfe bekommen, etwa Anleitungen, wie sie das Programm auf ihrem Telefon erkennen und deinstallieren können. Derzeit finden sich auf keiner der Firmen-Websites solche Informationen.

Auch sollen die Firmen Betroffene benachrichtigen, wenn deren Daten im Zuge eines Sicherheitslecks öffentlich werden. Diese Lecks treten regelmäßig auf. Nach der europäischen Datenschutzgrundverordnung und auch der kanadischen Entsprechung sind Firmen dazu verpflichtet, Nutzer:innen auf solche Verstöße gegen den Datenschutz hinzuweisen. Stalkerware-Hersteller beschränken sich allerdings bisher darauf, ihre Kunden zu informieren: die Täter:innen.

Den Autor:innen ist bewusst, dass diese Mittel allein nicht ausreichen. In vielen Fällen von häuslicher Gewalt übt der Partner ganz offen Kontrolle aus und zwingt eine Frau dazu, sich überwachen zu lassen – da hilft auch keine Push-Mitteilung. Solche verpflichtenden Designauflagen könnten deswegen nur ein Faden in einem „Netz von Einschränkungen“ sein, den man um die Branche legt, um Betroffene vor Stalkerware zu schützen, schreiben sie.

„Träumst du davon, das Telefon deiner Gattin auszuspionieren?“

Besondere Aufmerksamkeit widmet der Bericht dem Marketing dieser Produkte. Mit Hilfe des Analyse-Werkzeugs AhRefs haben die Forscher*innen untersucht, wie die Hersteller von Stalkerware potentielle Kund:innen per Suchmaschinenoptimierung und bezahlten Google-Anzeigen auf ihre Webseiten lotsen.

Eine Firma, mSpy, geht dabei besonders dreist vor. Sie hat im HTML-Code ihrer Seite mehrere Textblöcke versteckt, die nicht auf der Website angezeigt werden. Dennoch werden sie von Suchmaschinen wahrgenommen und in den Suchergebnissen beachtet. Für Betrachter:innen werden sie nur sichtbar, wenn sie sich den Quelltext der Seite anschauen würden.

Dort steht zum Beispiel: „Obwohl dieser Tracker für Eltern entwickelt wurde, die ihren rebellischen Teenager kontrollieren wollen, kann er auch von Partnern genutzt werden, um ihre bessere Hälfte auszuspionieren…“. Auf einer anderen Blogseite versteckt sich der Text: „Träumst du davon, heimlich das Telefon deines Gatten/deiner Gattin auszuspionieren, um zu erfahren, ob er/sie dich betrügt?“

Um die Firmen zu entlarven, war es in vielen Fällen jedoch gar nicht nötig, nach versteckten Texten und Schlagworten zu suchen. Sechs der neun im Bericht untersuchten Firmen bewarben ihre Produkte ganz offen als Hilfsmittel für Partnergewalt. Wenn man hier von Dual-Use spreche, schreiben die Autor:innen plakativ, so müsse man die Szenarien umdrehen: Diese Software sei in erster Linie Stalkerware – und könne nur zweitrangig für vermeintlich legale Zwecke wie die Überwachung von Kindern genutzt werden.

Situation deckt sich mit Deutschland

Das Citizen Lab sitzt in Kanada und schaut vor allem auf den dortigen Markt und die Rechtslage. Die Erkenntnisse sind jedoch auch aus deutscher Perspektive interessant. Erstens, weil einige der untersuchten Programme wie FlexiSpy und mSpy auch in Deutschland rege vermarktet und genutzt werden. Das weiß man aufgrund der zahlreichen Datenlecks der vergangenen Jahre, bei denen Nutzer:innendaten öffentlich wurden. Und zweitens, weil viele der Beobachtungen sich fast eins zu eins auf Deutschland übertragen lassen.

So etwa die Einschätzung der Rechtslage: Die Jurist*innen des Citizen Lab haben diese ausgewertet und folgern, dass Kanada theoretisch über eine ausreichende Gesetzesgrundlage verfügt, um der Gewalt und dem Missbrauch durch Stalkerware zu begegnen. In der Realität führe dies aber nicht dazu, dass Betroffenen tatsächlich rechtlich geholfen wird. „Das scheint vor allem an einem Mangel an sozio-kulturellem und/oder technologischem Bewusstsein, Training, Verständnis und Ressourcen zu liegen, was technologie-gestützte geschlechtsspezifische Gewalt angeht, auf Seiten von Polizeibeamt:innen, Anwält:innen, Beraterinnen an der Frontlinien, Gerichten und Gesetzgeber:innen.“

Gleiches berichten Expert:innen für geschlechtsspezifische Gewalt in Deutschland, etwa der Bundesverband der Frauenberatungsstellen und Frauennotrufe (bff) oder die Beratungsstelle für Cyberstalking in Berlin. Mehr zur Rechtslage in Deutschland erklären wir in einem eigenen Artikel.

Stalkerware im Visier der Datenschützer und Staatsanwaltschaft

Das Citizen Lab hält nicht nur Probleme fest, es stellt auch eine lange Liste von Forderungen. Die wohl wichtigste: Polizei und Staatsanwaltschaft sollten anfangen, den Einsatz von Stalkerware konsequent strafrechtlich zu verfolgen. „Gewalttätige Partner verfolgen und überwachen andere auf unangebrachte und unrechtmäßige Weise“, sagt Christopher Parsons, einer der Hauptautoren des Berichts, gegenüber der CBC. „Wir müssen als Gesellschaft besser abschneiden.“

Auch Datenschutzbehörden sollten anfangen, die Hersteller von Stalkerware ins Visier zu nehmen. In fast allen Fällen verstießen die Firmen gegen PIPEDA, die kanadische Entsprechung zur Datenschutzgrundverordnung. Dazu müsste die kanadische Behörde jedoch von der Politik erst mit Eingriffsbefugnissen ausgestattet werden. Derzeit kann sie im Gegensatz zu europäischen Behörden nur Empfehlungen geben.

Das kanadische Citizen Lab wurde im Jahr 2001 vom Sicherheitsforscher Ron Deibert gegründet und versteht sich als Nachrichtendienst für die Zivilgesellschaft, eine Art Gegengewicht zu staatlichen Geheimdiensten, der die Überwacher überwacht. In den vergangenen Jahren hat das Forscher:innen-Kollektiv staatliche Malware-Angriffe auf Aktivistinnen, Dissidenten und Journalisten aufgedeckt und untersucht, wie Regime mit Filtern die Meinungsfreiheit im Netz einschränken.