Abhören von Handys und Handy Spionage: Kaum Schutz vor Handy Spionage Software wie FinSpy Mobile

Deutschland wird immer mehr zu einem Überwachungsstaat, auch zu einem Firmen-Razzien-Staat (Stichwort z.B.: Deutsche Bank AG, Unister GmbH): Wurden im Jahr 2003 noch circa 30.000 Telefone und Handys durch die Staatsfirma „Guck und Horch“ abgehört, sind es im Jahr 2012 nach Schätzungen bereits mindestens 100.000 Telefone und Handys. Dabei handelt es sich nur um jene Telefonabhör-Maßnahmen, die einigermaßen offiziell bestätigt sind. Millionen deutscher, Schweizer oder österreichischer Telefone werden obendrein grundsätzlich von Geheimdiensten – beispielsweise aus den USA – automatisch angezapft.

Tauchen bestimmte Keywords im Telefongespräch auf, springt das Aufzeichnungsgerät an. Neu scheint nun ein besonders perfider Staatstrojaner zu sein. So gibt es mehrere Berichte, wonach die deutsche Firma Gamma International GmbH (Gamma International), den neuen Handy-Abhör-Trojaner, die Abhörsoftware für Handys, „FinSpy Mobile“ den Polizeidienststellen, Staatsanwälten, Richtern, Kriminalbeamten oder Geheimdiensten verkaufe. Auch in Deutschland dürfte er bereits im Einsatz sein.

Grundsätzlich gilt jedoch: Wenn Behörden ein Handy, Smartphone oder sonstiges Telefon abhören möchten, muss in der Regel eine richterliche Anordnung vorliegen. In Ausnahmefällen genügt jedoch eine Anweisung eines Staatsanwaltes. Dabei gilt jedoch: Es muss eine zeitliche Befristung der Abhörmaßnahme erfolgen. Sie muss zudem verhältnismäßig sein. Zudem muss es ausreichende strafrechtliche Verdachtsgründe für einen der massivsten Eingriffe auf das im deutschen Grundgesetz verbriefte Recht auf den Schutz der Privatsphäre vorliegen.

So besagt das Grundgesetz nach Ausführungen des deutschen Bundesdatenschutz-Beauftragten: „Das Fernmeldegeheimnis steht mit dem Brief- und Postgeheimnis unter dem verfassungsrechtlichen Schutz des Artikel 10 Grundgesetz. Danach hat der Einzelne gegenüber dem Staat ein Recht auf Abschirmung der nicht öffentlichen Kommunikation, um den unbeobachteten Austausch und die Weitergabe von Tatsachen und Gedanken zu ermöglichen. Die Vertraulichkeit von Telekommunikationsvorgängen ist insbesondere vor dem Hintergrund der grundrechtlich garantierten Meinungsfreiheit ein wichtiges Rechtsgut, das im Verhältnis zwischen Bürger und Staat einen besonderen Schutz verdient.“

Bundesdatenschutzbeauftragte erklärt, was wann erlaubt ist und wann nicht

Allerdings gibt es, so der Bundesdatenschutzbeauftragte, in Deutschland Schranken des Fernmeldegeheimnisses. So ist das Abhören und Ausspionieren nur unter besonderen Voraussetzungen staatlich (nicht privat!) erlaubt: „Ermächtigungsgrundlagen befinden sich unter anderem in der Strafprozessordnung (StPO), dem Artikel 10-Gesetz (G 10) und dem Zollfahndungsdienstgesetz (ZFdG)“, schreibt der Datenschutzbeauftragte. Und weiter: „Im Rahmen von Strafverfolgungsmaßnahmen darf die Überwachung und Aufzeichnung der Telekommunikation angeordnet werden, wenn der begründete Verdacht einer schweren Straftat (zum Beispiel Mord oder Erpressung) besteht (§ 100a StPO). Zudem muss die Telefonüberwachung durch einen Richter oder – bei Gefahr im Verzug – durch die Staatsanwaltschaft angeordnet werden.“

Grundsätzlich gilt: Alle Abhörmaßnahmen werden im wesentlichen in der „Telekommunikationsüberwachungsverordnung“ geregelt (www.gesetze-im-internet.de/tk_v_2005/BJNR313600005.html#BJNR313600005BJNG000100000).

Abhörmaßnahmen erfolgen in der Regel direkt über den Telekommunikationsanbieter. Er schneidet sämtliche Gespräche und Gesprächsversuche einfach mit und leitete sie als direkte Kopie den zuständigen Kriminalbeamten, Polizeidienststellen oder Staatsanwaltschaften weiter. In Deutschland dürfen bislang offiziell SMS nicht mitgelesen werden – auch von staatlichen Stellen nicht. Ob das aber auch eingehalten wird, sei dahingestellt.

Beim Abhören von Handys ist immer häufiger der direkte Weg über den Telekommunikationsanbieter (z.B. Deutsche Telekom AG, Vodafone) nicht mehr nötig. Es genügt beispielsweise ein Trojaner wie der „FinSpy Mobile“ der deutschen Firma Gamma International. Ein Trojaner ist eine Software die – für Privatleute illegal – auf ein Handy oder Smartphone geschmuggelt wird.

Allerdings muss sie dafür zumindest unbewusst aktiviert werden: Entweder durch das Öffnen einer Email, sms oder mms und der damit einhergehende Download einer Datei – also beispielsweise einer Bilddatei in die die Abhörsoftware eingebaut ist. Grundsätzlich ist sowieso zu empfehlen: Auch über Android keine automatische Verknüpfung mit eMail-Programmen.

Keine Email-Anhänge öffnen, auch keine SMS-Anhänge

Der beste Schutz ist nach wie vor: Keine Anhänge von Personen öffnen, die man nicht kennt. Doch: Es ist auch möglich auf ein Handy eine SMS mit einem Kontakt zu schicken, den man bereits kennt. Man spricht hier von geklauten Identitäten. Deshalb im Zweifelsfall die Person anrufen und fragen: „Hast Du mir soeben ein Bild oder eine Datei zum herunterladen über eine SMS oder email geschickt?“

Besonders perfide ist die Handy-Spionage-Software „FinSpy Mobile“: Ist sie erst einmal auf dem Smartphone oder Handy aktiv, kann sie automatisch das Mikro einschalten oder die Kamera. Sie schneidet also alle Gespräche automatisch mit und überspielt diese direkt an die Staatsanwaltschaften oder Polizeidienststellen

Ein wichtiger Schutz ist grundsätzlich: Die Kamera am Computer oder Handy sollte man gegebenenfalls mit einem dünnen in Baumärkten oder Papiergeschäften erwerblichen dünnen Filzstreifen überkleben. Ein gewisser Schutz ist die Aktivierung des Flightmodusses. Zumindest ist bislang nicht bekannt, ob im Flightmodus immer noch Daten parallel übertragen werden können – wohl eher nicht. Problematisch ist allerdings, dass die Gespräche über das heimlich aktivierte Mikro nach wie vor aufgezeichnet werden können und diese dann später übertragen würden. Wer also das Gefühl hat, er wird abgehört – zum Beispiel mittels seines eigenen Handys, der sollte grundsätzlich kein Handy bei sich haben oder die Batterie des Handys herausnehmen. Wenn kein Strom mehr auf dem Handy ist, ist auch eine Abhörmaßnahme über das Handy nicht mehr möglich.

Grundsätzlich gilt zudem: Handys können mittlerweile bis auf einen Radius von zehn Metern rechte genau geortet werden – je dichter besiedelt ein Gebiet ist, desto besser und einfacher ist die Ortung, da die Frequenz an Telekommunikations-Antennen höher ist. Je ländlicher ein Gebiet ist, desto ungenauer kann eine Ortung sein. Allerdings kann beispielsweise in Deutschland davon ausgegangen werden, dass fast an jedem Ort, auch auf Landstraßen, eine fast treffergenaue Handy-Ortung über GPS möglich ist.Wer nun glaubt, durch das Deaktivieren von GPS sei eine Ortung nicht mehr möglich, irrt. Ein Spionage-Trojaner kann GPS aktivieren, ohne dass das äußerlich dem GPS-Signal unbedingt anzumerken ist. Ist eine Telefonnummer von einer Person bekannt, ist eine Ortung oder Abhörmaßnahme am einfachsten.

Auch eine andere SIM-Karte hilft nicht unbedingt / Unternehmen müssen sich schützen

Nun meinen manche: Mit dem Einlegen einer anderen SIM-Karte könne eine Abhörmaßnahme verhindert werden. Jedoch gilt: Über einen sogenannten IMSI-Catcher kann in einem Umkreis von bis zu 100 Metern ein Handy einer Zielperson von der Kriminalpolizei, der Staatsanwaltschaft oder sonstigen Schnüffel-Einheiten angepeilt werden und dennoch mit einer recht hohen Treffergenauigkeit abgehört werden. Findet also ein Gespräch in einem Raum mit einem Handy statt, so ist noch nicht einmal mehr eine installierte Wanze, also Abhörwanze, im Raum nötig. Denn das Handy oder Smartphone – möglich ist das auch mit Computern oder Tablet-PCs – ist dann das Abhörgerät. Allerdings müsste dann bereits auf dem jeweiligen Computer eine Person durch unachtsames Öffnen einer email die Software installiert haben.

Im Zweifelsfall die Computer komplett austauschen. Achtung ist auch gegeben, wenn ein Computer eine Inventarnummer aufweist. Besonders bei Razzien achten die ermittelnden Einheiten darauf, welche Inventarnummer ein Computer hat. Auch ist es nicht ausgeschlossen, dass die Staatsanwälte versuchen, Personen in sicherheitsrelevante Bereiche einer Firma schon Monate vor der Razzia zu schleusen, um interne Informationen zu erlangen – beispielsweise Emails. Deshalb sind Mitarbeiter in sicherheitsrelevanten Abteilungen von der Personalabteilung besonders zu screenen – vor der Einstellung.

Auch ist darauf zu achten, ob bei bestimmten Mitarbeitern – beispielsweise in der EDV und Systemverwaltung – Auffälligkeiten in den Arbeitszeiten zu vermerken sind. Möglich wäre hier, dass es beispielsweise in bestimmten Abteilungen verboten ist, dass weniger als drei Personen Zugang in eine Abteilung haben – beispielsweise Abends, an Feiertagen oder am Wochenende. Auch sollten USB-Zugänge sehr stark reglementiert und kontrolliert werden. Je sicherheitsrelevanter eine Abteilung, desto größer ist grundsätzlich die interne Gegenkontrolle durchzuführen. Nicht umsonst haben große Konzerne ganze Abteilungen mit dem Namen „Unternehmenssicherheit“. Auch muss in begründeten Verdachtsmomenten rechtlich geprüft werden, in welchem Ausmaß Eingänge von Abteilungen beispielsweise mit Kameras überwacht werden dürfen. Möglich ist auch die Reglementierung der Zugänge mit individuellen Tür-Zahlencodes.

Nicht ratsam ist es, ein bereits bekanntes Smartphone zu nutzen und dort einfach die SIM-Karte auszutauschen. Denn auch hier kann über die IMSI-Catcher die “International Mobile Subscriber Identity” des Smartphones herausgelesen werden. Das ist eine Nummer, die jedem Handy auf der Welt nur einmal zugeordnet wurde. So lässt sich zumindest der Käufer oder eigentliche Besitzer des Handys wiederum feststellen. Deshalb versuchen sich in der Regel die Staatsanwaltschaften gleich zu mehreren Handys und Telefonen die richterliche Abhörerlaubnis einzuholen – also beispielsweise auch von Freunden, Bekannten, Kollegen in einer Firma.

Deshalb gilt auch hier: Am besten sämtliche Batterien und Stromverbindungen zu Computern, Smartphones, Tablet-PCs kappen, möchte man zumindest sicher sein, dass nicht die eignen Geräte als Abhörspitzel missbraucht werden.

Ein nicht mehr aus der Welt zu bringendes Gerücht ist, wonach man eine Abhörmaßnahme beispielsweise durch einen schlechteren Empfang während eines Telefonats oder ein Echo-Geräusch beim Telefonieren doch mitbekommen könnte. Hierbei gilt nach Meinung von Sicherheitsexperten: Im digitalen Zeitalter hat ein Echo nichts mit einer Abhörmaßnahme zu tun. Die Ursachen können in allen möglichen Bereichen liegen.

Spioniert die Staatsanwaltschaft beispielsweise innerhalb eines Strafverfahrens ein Unternehmen aus, so kann davon ausgegangen werden, dass auch der komplette Internet-Verkehr mit ausspioniert wird – also auch Emails, Chat-Verläufe oder Aufrufe im Internet. Dabei gilt: Fast alles, was die Staatsanwälte so mitbekommen kann dann im Gerichtsprozess gegen die Zielperson verwendet werden.

Dennoch gilt: Es gibt mehr oder weniger abhörsichere Handys und Telefone. Beispielsweise bietet der Anbieter kryptoscommunications.com Software an mit dem Namen Kryptos. Sie soll Handys zumindest recht abhörsicher machen. Man kann diese Software beispielsweise auf dem iPhone, Android & oder Blackberry installieren.

Doch: Ermittelt eine Staatsanwaltschaft beim Verdacht auf eine Straftat hilft auch solche Kryptos-Software nicht mehr unbedingt. Beliebt sind beispielsweise Durchsuchungen von Firmenräumen und Privaträumen. Besonders für Firmen gilt: Der deutsche Staat wird hier immer rabiater und materialistischer. Die Symbolik der Staatsmacht wird immer stärker ausgebaut. So sollen doch tatsächlich während der Razzia bei der Deutschen Bank in Frankfurt vor Weihnachten 2012 sogar in der Eingangshalle acht schwarz gekleidete vermummte Polizisten mit Maschinengewehren gestanden haben.

Ist die Geschichte vergessen? Deutschland auf dem Weg zum totalen Überwachungsstaat

Die Geschichte scheint also immer mehr in Vergessenheit zu geraten. Denn gerade in West-Deutschland galt nach dem Dritten Reich und der staatlichen Terror- und Verbrecherherrschaft der Nationalsozialisten: Nie wieder Gestapo, nie wieder totale Staatskontrolle von Bürgern, Institutionen, Parteien oder Firmen. Nicht umsonst war in West-Deutschland die Polizei auch äußerlich dezent im Auftreten: Grünliche Uniformen, keine beängstigende Polizeifahrzeuge. Auch in der DDR hatte man von Stasi und Bautzen-Gefängnissen genug. Doch zeigen gerade Razzien wie bei der Deutschen Bank oder der Unister GmbH (Unister), wie maßlos der Staat mittlerweile agiert.

Seit wenigen Jahren rüstet die Polizei um und macht wo sie kann auf dicke Staatsmacht: Dicke Autos, viel Blinklichter, Maschinengewehre, Razzien, U-Haft fast ohne Ende. Noch nie gab es in deutschen Firmen so viele Razzien wie derzeit. Das liegt nicht daran, dass die Firmen „krimineller“ geworden wären, sondern daran, dass Deutschland auf dem Weg ist zu einem totalen Überwachungsstaat. Eben zu dem, was man noch vor 20 Jahren als Polizeistaat abgelehnt hat. Großen Widerstand gibt es weder in der SPD, noch bei den GRÜNEN oder der FDP.

Doch selbst wer glaubt, ein abhörsicheres Handy zu haben – beispielsweise Dank einer Kryptos-Software -, der kann sicher sein: Auch Codewörter oder verschlüsselte Gespräche können entschlüsselt werden. Im deutschen U-Boot-Krieg war die mangelnde Verschlüsselungstechnik der Untergang für Hunderte U-Boot-Fahrer. Der Feind hörte fast immer mit. Je länger eine Verschlüsselung, desto höher die Chance auf eine Entschlüsselung.

UMTS-Handys sind abhörsicherer – sofern Inhaber nicht bekannt ist

Einig sind sich Experten, dass bislang fast nur Handys abgehört und ausspioniert werden können, die im sogenannten GSM Netz durchgeführt werden. Das Abhören oder Ausspionieren von Gesprächen über das vor zehn Jahren für Milliarden Euro vom Staat an private Telekommunikations-Unternehmen versteigerte „UMTS“-Netz sind bislang kaum oder gar nicht möglich. Der Grund liegt in der mehrfachen komplizierten Verschlüsselung. Doch auch hier gilt: Unmöglich ist das Abhören von solchen Telefonen nicht. Das gilt besonders dann, wenn bekannt ist, wer der Telefon- und SIM-Karten-Besitzer ist.

Der bereits vom Bundeskriminalamt getestete neue sogenannten Staatstrojaner FinSpy Mobile soll nach Forschungen des Citizen Lab bereits auf folgenden Endgeräten gefunden worden sein: iOS, Android, BlackBerry, Windows Mobile sowie Symbian.

Als Kopf und Lenker der Spionagesoftware Gamma International gilt der deutsche Martin Muench (auch: Martin J. Münch, EDV-Entwickler). Sein Name scheint ab und an, berichten IT-Fachleute, auch in dem Software-Codes vorhanden sein. Allerdings scheinen sich bislang die Einnahmen aus der Abhörsoftware in Schranken zu halten. Laut bundesanzeiger.de/ebanzwww/wexsservlet verfüge die Firma über etwas mehr als 330.000 Euro Aktiva. Die Firma Gamma verfügt im Internet über die Homepage „gamma-international.de/GGI/Home/index.php“. Zugang gibt es aber nur über ein Passwort.

Es heißt, Gamma würde sich beim Export der Spionage-Software („Überwachungs-Software“) an die Exportbestimmungen in Ländern wie Großbritannien, den USA oder Deutschland halten. Allerding scheint es in Deutschland bislang kein Gesetz zu geben, das den Export von Spionage-Software reglementiert. Neben der Gamma-Spionage-Software gibt es weltweit aber auch zahlreiche andere Abhör-Softwares für Telefone oder Handys.