Eine Spurensuche zu Opfern und Tätern.
Irgendwann will er sie noch stärker kontrollieren. Er will wissen, mit wem sie schreibt, mit wem sie telefoniert, welche Fotos sie macht. Thomas* beginnt, das Handy seiner Partnerin Petra* zu überwachen.
Die passende Spionage-App findet er im Internet. Wer über Google danach sucht, dem werden Dutzende Treffer angezeigt. Die Apps heissen mSpy, Cocospy oder EyeZy. Können tun sie alle etwa das Gleiche: SMS mitlesen, Telefonanrufe aufzeichnen, das Handy orten, das Mikrofon aus der Ferne einschalten, um so bei Gesprächen mitlauschen zu können. Die totale private Überwachung also – nur eine App entfernt.
Thomas entscheidet sich für «SpyHide». «Wirst du betrogen? Wirst du belogen? Ist dein Herz gebrochen?», heisst es im Werbevideo der Überwachungssoftware. Spezialeffekte lassen die Texte dampfen, der Bass der epischen Filmmusik hämmert, während das Video auf den Höhepunkt zusteuert: «Finde die Wahrheit heraus».
Einen Monat lang die Freundin aushorchen kostet dort 15 Dollar. Für den Schnäppchen-Preis von 55 Dollar läuft die App ein ganzes Jahr. Am 3. September 2022 aktiviert Thomas die App auf seinem Handy.
SpyHide zeichnet 97 Telefongespräche auf, kopiert 60 Fotos, 177 SMS-Nachrichten, und die App überträgt sämtliche Kontakte im Adressbuch des Handys. All das wissen wir, weil die Firma hinter der Spionagesoftware von einer Schweizer Hackerin gehackt wurde. Die daraus gewonnenen Daten hat sie für Journalisten zugänglich gemacht.
Petra ist Opfer von sogenannter Stalkerware geworden. Das sind keine High-End-Spionage-Apps, wie sie weltweit von Geheimdiensten eingesetzt werden. Bei den Überwachungsprogrammen, die im Internet angeboten werden, braucht der Nutzer Zugriff auf das Gerät des Opfers, und er muss das Passwort zum Entsperren des Handys kennen. Dieses «Insiderwissen», das in vielen Partnerschaften gängig sein dürfte, macht es fast unmöglich, diese Apps zu entdecken. Warnungen des Handybetriebssystems, dass da gerade eine Überwachungsapp installiert werde, kann der Täter wegklicken, Sicherheitsvorkehrungen ausschalten.
Beworben werden die Überwachungsapps oft als Software für Eltern, um die Handynutzung der eigenen Kinder zu überwachen. Diese sollen so vor Gefahren im Internet geschützt werden. Stattdessen landen die Apps aber oft auf dem Gerät des Partners oder der Partnerin. Das hat ihnen den Übernamen «Spouseware» – Ehepartner-Software – eingebracht.
Eifersucht oder Kontrollwahn sind typische Gründe, wieso Menschen die Handys ihrer Liebsten überwachen. Die Überwachung bleibt meist unerkannt. Deshalb existieren keine verlässlichen Zahlen, wie verbreitet diese Apps sind. Wenn sie doch entdeckt werden, ist die Hürde gross, den eigenen Partner bei der Polizei anzuzeigen.
Der russische Antivirensoftware-Hersteller Kaspersky hat 2022 rund 29 000 Einsätze von Stalkerware ausgemacht, davon 123 Einsätze in der Schweiz. Es dürften aber deutlich mehr sein. Alleine eine der bekannteren Apps wurde laut Google mehr als 5 Millionen Mal heruntergeladen.
«Wahnsinn, einfach nur Wahnsinn», sagt Petra immer wieder. In einem kleinen Café in der Ostschweiz sitzt sie vor dem Notebook des NZZ-Journalisten. Begleitet wird sie von einem Sozialarbeiter, der sie aufgrund ihrer Lebensumstände betreut. Auf dem Laptop ist eine Tabelle mit all ihren SMS zu sehen.
Draussen hat heftiger Schneefall die Zeit verlangsamt, an der Fensterfront laufen Menschen dick eingepackt an der langen Fensterfront vorbei. Drinnen springt die Zeit etwas mehr als ein Jahr zurück, zu jener Zeit, als die Überwachung begann.
Damals sei es nicht gut zwischen ihrem Freund und ihr gelaufen, erzählt Petra. Thomas habe sie gleich zweifach hintergangen. Zum einen mit einer Frau – und dann ausgerechnet auch noch mit einer Spionage-App. Nur ihr Partner könne es gewesen sein, ist sie sich sicher, nur er habe Zugriff auf ihr Handy gehabt.
Ihr Umfeld habe sie vor ihm gewarnt. Sie erzählt von seinem Kontrollwahn. «Es überrascht mich nicht, dass er mich überwacht hat.» Brutal eifersüchtig habe er sein können, selbst wenn Petra nur zu ihrer Mutter ging. «Irgendwann war ich wie sein Hündchen.» Freunde und Familie begannen, sich von ihr abzuwenden. Gleichzeitig nimmt sie ihn aber auch in Schutz. «Er hat herzliche, liebevolle Seiten», sagt sie. Auch er habe keine einfache Geschichte. Der Sozialarbeiter nickt.
Aber Thomas hat auch eine gewalttätige Seite. Er schlägt Petra. Und auf Facebook teilt er Fotos von Waffen. Dass Überwachung mit körperlichem Missbrauch einhergeht, kommt nicht unerwartet. Stalkerware sei eine Form des technologiegestützten Missbrauchs, die oft nur ein Teil eines grösseren Missbrauchsmusters sei, schreibt die Koalition gegen Stalkerware.
Die Organisation hat sich dem Kampf gegen Stalkerware verschrieben. 2019 wurde sie gegründet, mittlerweile gehören ihr namhafte Antivirensoftware-Hersteller wie auch Opferorganisationen an. So etwa der Weisse Ring, der auch in der Schweiz aktiv ist. Innerhalb eines solchen Gewaltgefüges würden häufig auch noch weitere Technologien missbräuchlich eingesetzt, schreibt die Koalition.
Aufgefallen sei ihr die Überwachung nicht, sagt Petra, einzig einmal habe sie etwas Sonderbares festgestellt. Plötzlich sei ein Kontakt «Jugo» auf ihrem Handy aufgetaucht. Das habe sie sich damals nicht erklären können.
Strafrechtlich sind die Hersteller von Spyware unantastbar. Das Anbieten solcher Apps ist nicht justiziabel. Sowieso sitzen die Hersteller oft ausser Reichweite der Justiz in Ländern ohne Auslieferungsabkommen.
Auch in der Schweiz ist es nicht untersagt, derartige Apps anzubieten –hingegen ist es ausdrücklich verboten, jemanden ohne sein Wissen zu überwachen.
Wie viel die Hersteller mit solchen Überwachungsprogrammen im Graubereich verdienen, lässt sich im Fall von SpyHide aufzeigen, jener App, mit der Petra überwacht wurde.
Gehackt wurde die Firma von der Schweizerin Maia Arson Crimew. Der Hacktivistin ging es nicht um Geld oder wertvolle Daten, wie das bei vielen anderen Hackern üblich ist. Stattdessen wollte sie etwas gegen diese Massenüberwachung unternehmen (siehe Box).
Die Hackerin aus der Schweiz
In die USA reist die Hacktivistin maia arson crimew (Kleinschreibung nach eigener Schreibweise) in nächster Zeit kaum. Dort wurde nämlich eine Klage gegen sie eingereicht, weil sie Dutzende Unternehmen gehackt haben soll. Internationale Medien berichteten über die 24-jährige Luzernerin. Sie ist selbständige Bloggerin und schreibt über Hacking und Internetkultur. 2023 startete sie unter dem Titel «#FuckStalkerware» eine Artikelserie, um auf das Thema der Überwachungsapps aufmerksam zu machen und andere Hacktivistinnen auf dieses Thema zu fokussieren. Für ihre Artikel werden ihr Daten zugespielt, oder sie greift die Hersteller selbst an, wie etwa bei SpyHide.
Wie einfach das bei SpyHide ging, das hat sie selbst überrascht. Mit Scannern hat sie zuerst nach verschiedenen Schwachstellen der Website gesucht. Das hat bestimmt schon jemand gemacht, dachte sie sich und erwartete nicht viel. Doch dann schlugen die Scanner aus. Sie fand weitere Schwachstellen, mit denen sie schliesslich Zugriff auf den gesamten Server erhielt. «Dafür habe ich etwa zwei Stunden gebraucht», erzählt maia arson crimew. Was sie dann fand, sei schockierend. Schon nach wenigen Minuten fand sie erste Nacktfotos. «Man sieht Daten, die eigentlich nicht existieren dürften.»
Einige der Stalkerware-Anbieter, wie etwa SpyHide, sind seitdem von der Bildfläche verschwunden. «Nach unseren Hacks scheinen die Stalkerware-Anbieter Angst zu bekommen», sagt sie. Darum will sie weitermachen mit ihrer Arbeit.
Es ist ihr gelungen, in den Kontrollserver, der die App steuert, einzudringen. So konnte sie den Programmcode, die Dateien von Betroffenen und vieles mehr herunterladen. Auf einer Plattform von Hacktivisten stellt sie die Daten Journalisten und Wissenschaftern zur Verfügung.
SpyHide ist nicht der grösste Anbieter in dieser dubiosen Branche, aber die Daten geben einen seltenen Blick hinter die Machenschaften dieser Industrie. Sie zeigen, wie Petra überwacht wurde und wie die Macher von den massiven Verletzungen der Privatsphäre profitiert haben. Der NZZ ist es gelungen, die Server in einer geschützten Umgebung wieder in Betrieb zu nehmen und so die Hintermänner in Iran sowie einen Geldschleuser in den Niederlanden ausfindig zu machen.
Das Ausmass
Ein Blick auf die Zahlen: Auf 96 000 Geräten aus der ganzen Welt wurde die Überwachungsapp installiert. Manche der User nutzten das Programm nur wenige Tage oder Wochen. Andere liessen das Handy einer Drittperson, mit oder ohne deren Wissen, über Jahre überwachen. Von einer Französin zum Beispiel hat die App während rund zweier Jahre 59 000 SMS-Nachrichten, 2200 Bilder und 1080 Aufrufe aufgezeichnet.
In den acht Jahren, in denen SpyHide aktiv war, hat die App insgesamt 3,3 Millionen SMS-Nachrichten erfasst, 1,9 Millionen GPS-Koordinaten gespeichert, 1,2 Millionen Anrufe aufgezeichnet und 380 000 Bilder kopiert.
In dieser Zeit hat die Überwachungsapp rund 717 000 Dollar generiert. Nach dem Hacken des Servers liegen aber nicht nur die Daten der Opfer vor. Es lassen sich auch Rückschlüsse auf die Hintermänner in Iran finden.
Eine Spyware entsteht
Die Firmengeschichte beginnt im Juli 2015: Die Internetadresse spyhide.com wird gekauft. Zwei Monate später wird sich der erste Kunde, ein iranischer Verkäufer, beim Überwachungsdienst registrieren. Der Entwickler von SpyHide fühlt sich sicher. Die Internetadresse registriert er auf seinen eigenen Namen: Mohammed A.
Weitere SpyHide-Ableger kommen hinzu, vermutlich für den internationalen Markt. Eine der Firmen wird sogar in ein offizielles, iranisches Register für digitale Medien eingetragen. Ein zweiter Name taucht auf: Mostafa M.
Zusätzlich wird ein Deckmantel über die Spionageaktivitäten gelegt. «Virsis, Virtual System Technology» heisst dieser. Offiziell bietet die Firma Suchmaschinenoptimierung, Webdesign und App-Entwicklung an. Inoffiziell läuft auf diesen Servern das Kontrollzentrum der Spy-App. Dorthin schicken die verwanzten Geräte ihre Daten. Dort loggt sich auch der Überwacher ein und stöbert im Privatleben der Zielpersonen.
Entwickelt und kontrolliert wird SpyHide zwar in Iran, doch ohne westliche Hilfe geht es nicht. Mehrere Spuren führen nach Europa. Damit die Überwachung reibungslos funktioniert, ist SpyHide auf schnelles und stabiles Internet angewiesen. Das finden die Beteiligten bei einer deutschen Firma mit Sitz in Mittelfranken. Bis zuletzt laufen dort die Server von SpyHide. Beendet wird die Zusammenarbeit erst durch den Hackerangriff im vergangenen Jahr.
Die Täter in Iran
Mohammed A., einer der Betreiber der App, hat in Maschhad studiert, einer Drei-Millionen-Stadt im Nordosten Irans. Jetzt arbeitet er als Softwareentwickler. Die Wohnadresse ist der NZZ bekannt. Er sei happy mit seinem Leben, heisst es auf dem Berufsportal LinkedIn. SpyHide erwähnt er nirgends.
Auf Anfrage teilt er zunächst mit, mit SpyHide habe er nichts zu tun. Er habe noch nie davon gehört. Konfrontiert mit Belegen, ändert er seine Meinung: Er habe vor Jahren als externer Entwickler etwas ganz Kleines gemacht, könne sich aber nicht mehr an den Auftraggeber erinnern. Dann bricht er den E-Mail-Kontakt ab.
Dass Mohammed A. nur ein paar Codezeilen beigesteuert hat, ist mehr als fraglich. Sein Account war es, der bis zum Hackerangriff den Programmcode verwaltet hat. Seine E-Mail-Adresse taucht überall auf: im Kontrollserver, in Benutzerkonten für die Verwaltung der Website, selbst in der App ist sie eingetragen. Eine Person mit gleichem Nachnamen taucht noch 2023 in den Zahlungsdaten auf. Und da wäre noch seine Umtriebigkeit in den Grauzonen der Legalität.
2019 gründet er mehrere Firmen, um – nach eigenen Angaben – die Sanktionen des Westens zu umgehen. Decima Pay etwa bot Finanzdienste für Zahlungen aus dem Ausland an. Decima Order war für den Warenimport gedacht. Erfolg scheint der umtriebige Iraner damit nicht zu haben. Die verschiedenen Decima-Firmen verschwinden schon bald wieder von der Bildfläche.
Mostafa M., die zweite Person, die sich aus den Daten filtern lässt, administriert die verschiedenen Websites von SpyHide. Auch SMS-Kontakte zwischen Firmenchef Mohammed A. und einem Mostafa liegen vor. Wie es scheint, haben sie zu Testzwecken ihre eigenen Handys gegenseitig überwacht und vergessen, die Log-Dateien zu löschen.
Mostafa M. hat auf Anfragen nicht reagiert. In Iran sind die zwei mutmasslich für die Überwachungsapp Verantwortlichen sicher vor der Strafverfolgung. Eine andere Spur – die Spur des Geldes – führt aber nach Utrecht in den Niederlanden.
Die Geldschleuser aus Europa
An der grössten Universität der Niederlande hat Michael A. theoretische Physik studiert. Heute ist er als selbständiger Datenanalyst tätig. Vor Jahren hat er ehrenamtlich in einer Organisation mitgeholfen, die Studierende mit anderem kulturellem Hintergrund unterstützen sollte. Das geht aus seinem LinkedIn-Profil hervor. Was nicht darin steht: Er hat sehr wahrscheinlich auch für SpyHide gearbeitet. Sein Job: Geld empfangen und weiterleiten.
Aufgrund des Atomwaffenprogramms der Mullahs haben grosse Teile der Weltgemeinschaft, angeführt von den USA, Sanktionen gegen Iran verhängt. Selbst westliche Firmen, die von den Sanktionen nicht betroffen sind, halten sich von Iran fern. So betreibt etwa Apple bis heute keinen Apple-Store im Land am Persischen Golf.
Viele Kreditkartenanbieter blockieren Zahlungen aus und nach Iran, und auch der Bezahldienst Paypal operiert nicht in Iran. Damit sich SpyHide trotzdem für seine Dienste bezahlen lassen kann, braucht es Konten im Westen. Das ist die Aufgabe von sogenannten «money mules» – Geldeseln. Sie nehmen das Geld entgegen und transferieren es nach Iran, zum Teil in Form von Bitcoins.
Ein mutmasslicher «money mule» war der Niederländer Michael A. Das geht aus dem Programmcode von SpyHide hervor. Auf sein Paypal-Konto floss zumindest zeitweise das Geld aus den Abonnements für die Spionage-App. Auch sein Bruder scheint daran beteiligt gewesen zu sein, darauf deutet ein alter Programmcode hin. Wie viel Geld von den beiden Niederländern nach Iran floss und wie der Kontakt entstanden war, ist nicht zu entschlüsseln. Beide haben auf mehrfache Kontaktaufnahme nicht reagiert.
Das Ende einer Stalkerware
2023, kurz nachdem SpyHide gehackt worden ist, geht die Website offline. Um dann wenige Wochen später unter dem neuen Namen «oospy» wieder ihre Dienste anzubieten. Neuer Fokus: elterliche Kinderüberwachung. Wofür der Name steht, wird nicht erklärt. Auf den Bildern, welche den Administrationsbereich zeigen, prangt immer noch das SpyHide-Logo. Erst nach Hinweisen eines amerikanischen Technikportals reagiert der deutsche Serverbetreiber aus Mittelfranken und sperrt die Dienste endgültig. SpyHide hat ausspioniert.
Zurück bleiben zahlreiche Betroffene – für sie ist die Geschichte nicht zu Ende. Etwa für Petra. Sie hat sich inzwischen ein neues Leben aufgebaut, ein Sozialarbeiter hilft ihr dabei. Letztes Jahr wurde sie Mutter. Ihre Tochter sei ihr neuer Lebensmittelpunkt, sagt sie. Ganz weg von jenem Mann, der sie mutmasslich überwachte, kommt sie aber nicht: Er ist der Vater des Kindes. Sie wohnen nicht zusammen. «Ich hasse ihn zu sehr, um mit ihm zusammenzuwohnen, aber liebe ihn zu sehr, um mich von ihm zu trennen», sagt sie.
Und dass sie von ihm überwacht wurde? Anzeigen oder zur Rede stellen will sie ihn nicht. «Vergangen ist vergangen», sagt sie. Das Handy hat sie mittlerweile zurückgesetzt und es mit einem 15 Zeichen langen Passwort geschützt.
* Die Nachrichten und Namen wurden zum Schutz der Persönlichkeit verfremdet.
