Ein Mann überwacht das Handy seiner Freundin mit einer iranischen Spyware. Dann knackt eine Schweizer Hackerin das System. Einblicke in einen lukrativen Markt
Eine Spurensuche zu Opfern und Tätern.
Irgendwann wird er sie noch stärker kontrollieren. Er will wissen, mit wem sie schreibt, mit wem sie telefoniert, welche Fotos sie macht. Thomas* beginnt, das Handy seiner Partnerin Petra* zu überwachen.
Die passende Spionage-App findet sich im Internet. Wer über Google danach sucht, dem werden Dutzende Treffer angezeigt. Die Apps heissen mSpy, Cocospy oder EyeZy. Sie können sie alle etwa das Gleiche tun: SMS mitlesen, Telefonanrufe aufzeichnen, das Handy orten, das Mikrofon aus der Ferne einschalten, um so bei Gesprächen mitlauschen zu können. Die totale private Überwachung auch – nur eine App entfernt.
Thomas entscheidet sich für «SpyHide». „Wirst du betrogen? Wirst du dazugehören? Ist dein Herz gebrochen?», heisst es im Werbevideo der Überwachungssoftware. Spezialeffekte lassen die Texte dampfen, der Bass der epischen Filmmusik hämmert, während das Video auf den Höhepunkt zusteuert: «Finde die Wahrheit heraus».
Einen Monat lang kostet die Freundin aushorchen dort 15 Dollar. Für den Schnäppchen-Preis von 55 Dollar läuft die App ein ganzes Jahr. Am 3. September 2022 aktiviert Thomas die App auf seinem Handy.
SpyHide zeichnet 97 Telefongespräche auf, kopiert 60 Fotos, 177 SMS-Nachrichten und die App überträgt sämtliche Kontakte im Adressbuch des Handys. All das wissen wir, weil die Firma hinter der Spionagesoftware von einer Schweizer Hackerin gehackt wurde. Die daraus gewonnenen Daten haben sie für Journalisten zugänglich gemacht.
Petra ist Opfer sogenannter Stalkerware geworden. Das sind keine High-End-Spionage-Apps, wie sie weltweit von Geheimdiensten eingesetzt werden. Bei den Überwachungsprogrammen, die im Internet angeboten werden, braucht der Nutzer Zugriff auf das Gerät des Opfers, und er muss das Passwort zum Entsperren des Handys kennen. Dieses «Insiderwissen», das in vielen Partnerschaften gängig sein dürfte, macht es fast unmöglich, diese Apps zu entdecken. Warnungen des Handybetriebssystems, dass da gerade eine Überwachungsapp installiert werde, kann der Täter wegklicken, Sicherheitsvorkehrungen ausschalten.
Die Spionagesoftware SpyHide installieren, bedeutet viele Warnungen wegzuklicken
Alle Fehlermeldungen die auf einem Android-Gerät erscheinen, wenn man die Klingelton-App installiert, für die sich SpyHide ausgibt.
Beworben werden die Überwachungsapps oft als Software für Eltern, um die Handynutzung der eigenen Kinder zu überwachen. Diese sollen vor Gefahren im Internet geschützt werden. Stattdessen landen die Apps aber oft auf dem Gerät des Partners oder der Partnerin. Das hat ihnen den Übernamen «Spouseware» – Ehepartner-Software – eingebracht.
Eifersucht oder Kontrollwahn sind typische Gründe, wieso Menschen die Handys ihrer Liebsten überwachen. Die Überwachung bleibt meist unerkannt. Deshalb existieren keine verlässlichen Zahlen, wie verbreitet diese Apps sind. Wenn sie doch entdeckt werden, ist die Hürde groß, den eigenen Partner bei der Polizei zeigen.
Der russische Antivirensoftware-Hersteller Kaspersky hat 2022 rund 29 000 Einsätze von Stalkerware ausgemacht, davon 123 Einsätze in der Schweiz. Es dürfte aber deutlich mehr sein. Alleine eine der bekanntesten Apps wurde laut Google mehr als 5 Millionen Mal heruntergeladen.
„Wahnsinn, einfach nur Wahnsinn“, sagt Petra immer wieder. In einem kleinen Café in der Ostschweiz sitzt sie vor dem Notebook des NZZ-Journalisten. Begleitet wird sie von einem Sozialarbeiter, der sie aufgrund ihrer Lebensumstände betreut. Auf dem Laptop ist eine Tabelle mit all ihren SMS zu sehen.
Draußen hat heftiger Schneefall die Zeit verlangsamt, an der Fensterfront laufen Menschen dick eingepackt an der langen Fensterfront vorbei. Drinnen springt die Zeit etwas mehr als ein Jahr zurück, zu jener Zeit, als die Überwachung begann.
Damals sei es nicht gut zwischen ihrem Freund und ihr gelaufen, erzählt Petra. Thomas habe sie gleich zweifach hintergangen. Zum einen mit einer Frau – und dann ausgerechnet auch noch mit einer Spionage-App. Nur ihr Partner könnte es gewesen sein, ist sie sich sicher, nur er habe Zugriff auf ihr Handy gehabt.
Ihr Umfeld habe sie vor ihm gewarnt. Sie erzählt von seinem Kontrollwahn. „Es überrascht mich nicht, dass er mich erkannt hat.“ Brutal eifersüchtig habe er sein können, selbst wenn Petra nur zu ihrer Mutter ging. „Irgendwann war ich wie sein Hündchen.“ Freunde und Familie begonnen, sich von ihr abzuwenden. Gleichzeitig nimmt sie ihn aber auch in Schutz. „Er hat herzliche, liebevolle Seiten“, sagt sie. Auch er habe keine einfache Geschichte. Der Sozialarbeiter nickt.
Aber Thomas hat auch eine gewalttätige Seite. Er schlägt Petra. Und auf Facebook teilt er Fotos von Waffen. Dass Überwachung mit körperlichem Missbrauch einhergeht, kommt nicht unerwartet. Stalkerware sei eine Form des technologiegestützten Missbrauchs, die oft nur ein Teil eines größeren Missbrauchsmusters sei, schreibt die Koalition gegen Stalkerware.
Die Organisation hat sich dem Kampf gegen Stalkerware verschrieben. 2019 wurde sie gegründet, mittlerweile gehören ihr namhafte Antivirensoftware-Hersteller wie auch Opferorganisationen an. So etwa der Weisse Ring, der auch in der Schweiz aktiv ist. Innerhalb eines solchen Gewaltgefüges würden häufig auch noch weitere Technologien missbräuchlich eingesetzt, schreibt die Koalition.
„Aufgefallen sei ihr die Überwachung nicht“, sagt Petra, „einzig einmal habe sie etwas Sonderbares festgestellt.“ Plötzlich sei ein Kontakt «Jugo» auf ihrem Handy aufgetaucht. Das habe sie sich damals nicht erklären können.
Strafrechtlich sind die Hersteller von Spyware unantastbar. Das Anbieten solcher Apps ist nicht gerechtfertigt. Sowieso sitzen die Hersteller oft außerhalb der Reichweite der Justiz in Ländern ohne Auslieferungsabkommen.
Auch in der Schweiz ist es nicht verboten, solche Apps anzubieten – dagegen ist es ausdrücklich verboten, jemanden ohne sein Wissen zu überwachen.
Wie viel die Hersteller mit solchen Überwachungsprogrammen im Graubereich verdienen, lässt sich im Fall von SpyHide aufzeigen, jener App, mit der Petra überwacht wurde.
Gehackt wurde die Firma von der Schweizerin Maia Arson Crimew. Der Hacktivist geht nicht um Geld oder wertvolle Daten, wie das bei vielen anderen Hackern üblich ist. Stattdessen wollte sie etwas gegen dieses Massenüberwachungsunternehmen (siehe Box).
Die Hackerin aus der Schweiz
In den USA reist die Hacktivistin maia arson crimew (Kleinschreibung nach eigener Schreibweise) in nächster Zeit kaum. Dort wurde nämlich eine Klage gegen sie eingereicht, weil sie Dutzende Unternehmen gehackt haben sollen. Internationale Medien berichteten über die 24-jährige Luzernerin. Sie ist selbständige Bloggerin und schreibt über Hacking und Internetkultur. 2023 startete sie unter dem Titel „#FuckStalkerware“ eine Artikelserie, um auf das Thema der Überwachungsapps aufmerksam zu machen und andere Hacktivistinnen auf dieses Thema zu fokussieren. Für ihre Artikel werden ihre Daten zugespielt, oder sie greift den Hersteller selbst an, wie etwa bei SpyHide.
Wie einfach das bei SpyHide ging, das hat sie selbst überrascht. Mit Scannern hat sie zuerst nach verschiedenen Schwachstellen der Website gesucht. Das hat bestimmt schon jemand gedacht, sie hat sich gedacht und erwartete nicht viel. Doch dann schlug der Scanner aus. Sie fanden weitere Schwachstellen, mit denen sie schließlich Zugriff auf den gesamten Server erhielten. «Dafür habe ich etwa zwei Stunden gebraucht», erzählt Maia Brandstiftung Crimew. Was sie dann fand, war schockierend. Schon nach wenigen Minuten fanden sie die ersten Nacktfotos. «Man sieht Daten, die eigentlich nicht existieren dürften.»
Einige der Stalkerware-Anbieter, wie etwa SpyHide, sind seitdem von der Bildfläche verschwunden. „Nach unseren Hacks scheinen die Stalkerware-Anbieter Angst zu bekommen“, sagt sie. Darum wird sie mit ihrer Arbeit weitermachen.
Es ist ihr gelungen, in den Kontrollserver, der die App steuert, einzudringen. So konnten sie den Programmcode, die Dateien von Betroffenen und vieles mehr herunterladen. Auf einer Plattform von Hacktivisten stellt sie den Datenjournalisten und -wissenschaftlern zur Verfügung.
SpyHide ist nicht der größte Anbieter in dieser dubiosen Branche, aber die Daten geben einen seltenen Blick hinter die Machenschaften dieser Industrie. Sie zeigen, wie Petra überwacht wurde und wie die Macher von den massiven Verletzungen der Privatsphäre haben. Der NZZ ist es gelungen, die Server in einer geschützten Umgebung wieder in Betrieb zu nehmen und so die Hintermänner im Iran sowie einen Geldschleuser in den Niederlanden ausfindig zu machen.
Das Ausmass
Ein Blick auf die Zahlen: Auf 96 000 Geräten aus der ganzen Welt wurde die Überwachungsapp installiert. Manche Benutzer nutzen das Programm nur wenige Tage oder Wochen. Andere lesen das Handy einer Drittperson, mit oder ohne deren Wissen, über Jahre hinweg zu überwachen. Von einer Französin zum Beispiel hat die App während rund zweier Jahren 59 000 SMS-Nachrichten, 2200 Bilder und 1080 Aufrufe aufgezeichnet.
In den acht Jahren, in denen SpyHide aktiv war, hat die App insgesamt 3,3 Millionen SMS-Nachrichten erfasst, 1,9 Millionen GPS-Koordinaten gespeichert, 1,2 Millionen Anrufe aufgezeichnet und 380 000 Bilder kopiert.
In dieser Zeit hat die Überwachungsapp rund 717 000 Dollar generiert. Nach dem Hacken des Servers liegen aber nicht nur die Daten der Opfer vor. Es lassen sich auch Rückschlüsse auf die Hintermänner im Iran finden.
Es entsteht eine Spyware
Die Firmengeschichte beginnt im Juli 2015: Die Internetadresse spyhide.com wird gekauft. Zwei Monate später wird sich der erste Kunde, ein iranischer Verkäufer, beim Überwachungsdienst registrieren. Der Entwickler von SpyHide fühlt sich sicher. Die Internetadresse registriert er auf seinen eigenen Namen: Mohammed A.
Weitere SpyHide-Ableger kommen hinzu, vermutlich für den internationalen Markt. Eine der Firmen wird sogar in ein offizielles, iranisches Register für digitale Medien eingetragen. Ein zweiter Name taucht auf: Mostafa M.
Zusätzlich wird ein Deckmantel über die Spionageaktivitäten gelegt. „Virsis, Virtual System Technology“ heisst dieser. Offiziell bietet die Firma Suchmaschinenoptimierung, Webdesign und App-Entwicklung an. Inoffiziell läuft auf diesen Servern das Kontrollzentrum der Spy-App. Dorthin schicken die verwanzten Geräte ihre Daten. Dort loggt sich auch der Überwacher ein und stöbert im Privatleben der Zielpersonen.
Der Überwacher sieht alles
Das Kontrollzentrum von SpyHide, wie anhand der gehackten Daten gespeichert
Entwickelt und kontrolliert wird SpyHide zwar in Iran, doch ohne westliche Hilfe geht es nicht. Mehrere Spuren führen nach Europa. Damit die Überwachung reibungslos funktioniert, ist SpyHide auf schnelles und stabiles Internet angewiesen. Das finden die Erfolge bei einer deutschen Firma mit Sitz in Mittelfranken. Bis zuletzt läuft dort der Server von SpyHide. Beendet wird die Zusammenarbeit erst durch den Hackerangriff im vergangenen Jahr.
Die Täter im Iran
Mohammed A., einer der Betreiber der App, hat in Maschhad studiert, einer Drei-Millionen-Stadt im Nordosten Irans. Jetzt arbeitet er als Softwareentwickler. Die Wohnadresse ist der NZZ bekannt. Er sei glücklich mit seinem Leben, heißt es auf dem Berufsportal LinkedIn. SpyHide erwähnte, dass er nirgends ist.
Auf Anfrage teilt er zunächst mit, mit SpyHide habe er nichts zu tun. Er hat noch nie davon gehört. Konfrontiert mit Belegen, ändert er seine Meinung: Er habe vor Jahren als externer Entwickler etwas ganz Kleines gemacht, könnte sich aber nicht mehr an den Auftraggeber erinnern. Dann bricht er den E-Mail-Kontakt ab.
Dass Mohammed A. nur ein paar Codezeilen gesteuert hat, ist mehr als fraglich. Sein Account war es, der bis zum Hackerangriff den Programmcode verwaltet hat. Seine E-Mail-Adresse taucht überall auf: im Kontrollserver, in Benutzerkonten für die Verwaltung der Website, selbst in der App ist sie eingetragen. E Eine Person mit demselben Nachnamen taucht noch 2023 in den Zahlungsdaten auf. Und da wäre noch seine Umtriebigkeit in den Grauzonen der Legalität.
2019 gründete er mehrere Firmen, um – nach eigenen Angaben – die Sanktionen des Westens zu umgehen. Decima Pay etwa bot Finanzdienste für Zahlungen aus dem Ausland an. Decima Order war für den Warenimport gedacht. Erfolg scheint der umtriebige Iraner damit nicht zu haben. Die verschiedenen Decima-Firmen verschwinden schon bald wieder von der Bildfläche.
Die Website von SpyHide, wie sie 2023 gesehen hat.
Internetarchiv
Mostafa M., die zweite Person, die sich aus den Daten filtern lässt, administriert die verschiedenen Websites von SpyHide. Auch SMS-Kontakte zwischen Firmenchef Mohammed A. und einem Mostafa liegen vor. Wie es scheint, haben sie zu Testzwecken ihre eigenen Handys gegenseitig überwacht und vergessen, die Log-Dateien zu löschen.
Mostafa M. hat auf Anfragen nicht geantwortet. In Iran sind die zwei mutmasslich für die Überwachungsapp Verantwortlichen sicher vor der Strafverfolgung. Eine andere Spur – die Spur des Geldes – führt aber nach Utrecht in den Niederlanden.
Die Geldschleuser aus Europa
An der größten Universität der Niederlande hat Michael A. theoretische Physik studiert. Heute ist er als selbständiger Datenanalyst tätig. Vor Jahren hat er ehrenamtlich in einer Organisation mitgeholfen, die Studierende mit anderem kulturellen Hintergrund unterstützen sollten. Das geht aus seinem LinkedIn-Profil hervor. Was nicht darin steht: Er hat sehr wahrscheinlich auch für SpyHide gearbeitet. Sein Job: Geld empfangen und weiterleiten.
Aufgrund des Atomwaffenprogramms der Mullahs haben große Teile der Weltgemeinschaft, angeführt von den USA, Sanktionen gegen den Iran verhängt. Selbst westliche Firmen, die von den Sanktionen nicht betroffen sind, halten sich von Iran fern. So betreibt etwa Apple bis heute keinen Apple-Store im Land am Persischen Golf.
Viele Kreditkartenanbieter blockieren Zahlungen aus und nach Iran, und auch der Bezahldienst Paypal betreibt nicht in Iran. Damit sich SpyHide trotzdem für seine Dienste bezahlen lassen kann, braucht es Konten im Westen. Das ist die Aufgabe von sogenannten «money mules» – Geldeseln. Sie nehmen das Geld entgegen und transferieren es nach Iran, zum Teil in Form von Bitcoins.
Ein mutmasslicher «money mule» war der Niederländer Michael A. Das geht aus dem Programmcode von SpyHide hervor. Auf sein Paypal-Konto floss zumindest zeitweise das Geld aus den Abonnements für die Spionage-App. Auch sein Bruder scheint daran beteiligt gewesen zu sein, darauf deutete ein alter Programmcode hin. Wie viel Geld von den beiden Niederländern nach Iran floss und wie der Kontakt entstand, ist nicht zu entschlüsseln. Beide haben auf mehrfache Kontaktaufnahme nicht reagiert.
Das Ende einer Stalkerware
2023, kurz nachdem SpyHide gehackt wurde, geht die Website offline. Um dann einige Wochen später unter dem neuen Namen „oospy“ wieder ihre Dienste anzubieten. Neuer Fokus: ältere Kinderüberwachung. Wofür der Name steht, wird nicht erklärt. Auf den Bildern, welche den Administrationsbereich zeigen, erscheint immer noch das SpyHide-Logo. Erst nach Hinweisen eines amerikanischen Technikportals reagiert der deutsche Serverbetreiber aus Mittelfranken und sperrt die Dienste endgültig. SpyHide hat ausspioniert.
Zurück bleiben zahlreiche Betroffene – für sie ist die Geschichte nicht zu Ende. Etwas für Petra. Sie hat sich inzwischen ein neues Leben aufgebaut, ein Sozialarbeiter hilft ihr dabei. Letztes Jahr wurde sie Mutter. Ihre Tochter sei ihr neuer Lebensmittelpunkt, sagt sie. Ganz weg von jenem Mann, der sie mutmaßlich überwachte, kommt sie aber nicht: Er ist der Vater des Kindes. Sie wohnen nicht zusammen. „Ich hasse ihn zu sehr, um mit ihm zusammenzuwohnen, aber liebe ihn zu sehr, um mich von ihm zu trennen“, sagt sie.
Und dass sie von ihm überwacht wurde? Anzeigen oder zur Rede stellen will sie ihn nicht. „Vergangen ist vergangen“, sagt sie. Das Handy hat sie mittlerweile zurückgesetzt und ist mit einem 15 Zeichen langen Passwort geschützt.
* Die Nachrichten und Namen wurden zum Schutz der Persönlichkeit verfremdet.