Winterthur

Angriff auf die Geheimnisbox

Jemanden über sein Smartphone ausspionieren - geht das? Redaktor Michael Graf hat’s ausprobiert. An sich selbst. Weil «nichts zu verbergen» eben doch nur ein Spruch ist.

Einmal installiert lassen sich per Mspy-Programm auf dem PC beinahe sämtliche Handy-Vorgänge überwachen.

Einmal installiert lassen sich per Mspy-Programm auf dem PC beinahe sämtliche Handy-Vorgänge überwachen. Bild: Enzo Lopardo

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Zu niemandem bin ich ehrlicher als zu meinem Smartphone. Es kennt meine Nachrichten, und damit meine Freundschaften und Liebschaften. Es kennt meinen Internet-Verlauf, und damit meine Vorlieben und Überzeugungen. Es kennt meinen Standort, und weiss somit immer, wo ich bin und war. Es sieht meine Kamerabilder, auch die privatesten. Mein Handy ist kein simples Stück Technik, es ist eine Geheimnis-Box. Trotzdem lässt sich mit dem Thema Datensicherheit kein Blumenkübel gewinnen.* Gegen die Totalrevision des Büpf (Bundesgesetz betreffend Überwachung des Post- und Fernmeldeverkehrs), das den Schweizer Behörden das Recht gibt, unser aller Kommunikation per Telefon, E-mail oder SMS zu überwachen und während sechs Monaten zu speichern, konnte sich keine einzige Bundeshaus-Partei zum Referendum aufraffen. Die Jungparteien versuchten es - und scheiterten.

Nichts zu verbergen - sicher?

«Ich habe nichts zu verbergen!», lautet das Standardargument der Unbesorgten. Kaum jemand macht sich die Mühe, sein Handy zu verschlüsseln. Ich auch nicht. Der grosse Lauschangriff der Geheimdienste und Handy-Hersteller lässt uns recht kühl. Doch wie sieht es mit einem «kleinen Lauschangriff» aus, dem Aushorchen durch eine Person aus dem nahen Umfeld? Da sträuben sich auch bei rechtschaffenen Zeitgenossen die Nackenhaare. Für das Experiment, seine Handydaten während einigen Tagen überwachen zu lassen, wollte sich keine und keiner meiner Redaktionskollegen freiwillig melden. Also tat ich es selbst.

Habe ich etwas zu verbergen? Aber selbstverständlich! Wenig verbotenes zwar, aber viel, was mir äusserst peinlich wäre, wenn es Dritte zu Gesicht bekämen. Die Palette reicht von freizügigen Bildern bis zu stümperhaften, mit dem Handy aufgezeichneten Gesangsversuchen. Dazu kommen private Chat-Gespräche mit Freunden über Sex, oder schlimmer: Politik. Ausserdem habe ich seltsame Hobbies, peinliche Spitznamen und Freunde, die gerne in Tierkostümen rumrennen. Alles ganz legal - aber müssen es die Kollegen, der Chef und halb Winterthur wissen?

Ängstliche Eltern als Markt

Doch zunächst stellt sich die Grundsatzfrage: Kann ein technisch mässig begabter Journalist wie ich überhaupt Handys ausspionieren? Für die Arbeit darf und würde ich das nicht tun. Doch nehmen wir an, ich wäre ein ein eifersüchtiger Ehemann, ein überängstlicher Vater, ein kontrollsüchtiger Chef. Dann habe ich die Qual der Wahl. Für Laien interessant sind insbesondere die sogenannten Parental Control Programme, die man in den offiziellen App-Stores von Google und Apple problemlos findet. Sie richten sich vordergründig an besorgte Eltern. Und verwandeln Smartphones in Wanzen: Anrufe, Aufenthaltsort und mehr lassen sich überwachen.

Ich hole mir das kostenlose Programm «SecureTeen», das für Android-Geräte schon über 100 000 Mal heruntergeladen wurde. Die Installation dauert bloss etwa fünf Minuten aber kostet einige Überwindung: Das Programm will Zugriff auf alle erdenklichen Dienste. Mehrmals warnt mich mein Betriebssystem und fragt, ob ich wirklich weitermachen will. Ich will.

Schliesslich ist die Installation abgeschlossen. Über den Webbrowser meines Arbeitscomputers kann ich mich einloggen und sehe: Einiges. Meine sämtlichen Anrufe der letzten Wochen, mit Nummer und Zeit. Alle SMS. Mein Adressbuch. Und auch mein mittägliches Picknick im Stadtgarten lässt sich anhand der Positionsdaten nachverfolgen. Ich bin begeistert - und beunruhigt.

Der Spion, der mich trackte

Für unauffälliges Spionieren ist das Gratis-Programm allerdings ungeeignet: Ein Piktogramm in der Statusleiste, das nicht ausgeblendet werden kann, verrät, dass «SecureTeen» im Hintergrund läuft. Ich brauche etwa Besseres. Die Firma Mspy, Marktführer in diesem Segment, stellt mir eine Testversion ihres Premium-Produkts zur Verfügung, das normalerweise fast 20 Franken im Monat kostet. Das Produkt ist deutlich ausgefeilter. Es lässt sich komplett versteckt betreiben. Jetzt kann ich auch Bilder und Videos sehen, die ich mit dem Handy aufnehme. Das konnte das Gratisprodukt nicht. Zudem kann ich sogenannte Geofences einrichten, also erlaubte und verbotene Gebiete auf der Karte einrichten. Betritt oder verlässt die überwachte Person das markierte Gebiet, werde ich benachrichtigt. Ausgangssperre 2.0!

Was ich allerdings auch beim bezahlten Mspy-Programm nicht sehe, sind E-mails oder Whatsapp-Chats. Ob die Partnerin mit einem heimlichen Liebhaber turtelt oder bloss Ferienbilder der Bürokollegin kommentiert, erfahre ich also nicht. Ja nicht einmal den Internet-Verlauf kann ich einsehen. Moderne Betriebssysteme, ob Android oder iOS von Apple, erlauben diese Zugriffe nur, wenn das Telefon «gerootet» ist. Also wenn der Handybenutzer sämtliche Administrator-Rechte hat. Eine ziemlich gefährliche Einstellung, die eigentlich nur für Entwickler Sinn macht.

Einmal entsperren, bitte

Sie werden einwenden: Wie könnte ich diese Programme überhaupt auf einem fremden Handy installieren? «Man braucht Zugang zum entsperrten Gerät, sonst läuft wenig», bestätigt Kittipong Khundan vom Handy-Laden iPong in der Altstadt, der mir bei der Installation behilflich war.

Doch auch in diesem Punkt rüsten die Hersteller auf. Während man vor zwei Jahren noch viele Handys mit einem einfachen Wischen entsperren konnte, sind heute fast alle Geräte mit einem Sperr-PIN oder Fingerabdruck-Sensor gesichert. «Über 90 Prozent der Handys, die meine Kunden mitbringen, kann ich nicht selbst entsperren», sagt Khundan. Doch wer wirklich will, findet Wege. Man beobachtet die Zielperson beim Entsperren. Oder man bittet, kurz mit ihrem Gerät telefonieren zu könnnen, weil eigene Akku leer sei. Oder man schenkt ihr einfach ein Gerät, mit der Software vorinstalliert. Übrigens: Wer das entsperrte Gerät einmal in der Hand hat, kann natürlich auch einfach direkt darauf herumblättern – aber das nur so nebenbei.

Der Wert der Geheimnisse

Zeit für ein Fazit: Selbst wenn es nur ich selbst war, der «Big Brother» spielte, fühlte ich mich befreit, die Spionageprogramme wieder vom Handy zu löschen. Nebst mir, lasen ja auch die Hersteller mit. Dass der Staat mitliest, scheint den meisten Leuten in einem demokratischen Land wohl eine zu abstrakte Bedrohung, als dass sie sich echauffieren würden. Doch so dachten sicher auch Millionen Türken bis vor kurzem und sind nun nicht mehr ganz so sicher. Es ist seltsam, dass uns unsere Geheimnisse nur dann etwas wert sind, wenn sie die Nachbarn, Chefs oder Verwandten erfahren könnten.

* Das hängt wohl auch mit den sperrigen Begrifflichkeiten zusammen: Wetten, dass die Hälfte der Leser nach dem Ausschreiben des Büpf (59 Zeichen) ausgestiegen sind? (Der Landbote)

Erstellt: 26.08.2016, 11:42 Uhr

Wie leicht ist es, ein Handy zu knacken? Kittipong Khundan von iPong-Repair hilft unserem Redaktor beim Installieren einer Spionage-Software.

Lauschangriff für Fortgeschrittene

Die Back-ups durchforsten und übers W-lan Daten mitlesen: Wie der ZHAW-Informatik- Dozent Bernhard Tellenbach ein Handy hacken würde.

Der obige Test zeigt: Viele Handy-Informationen sind inzwischen gut verschlüsselt, auch als Reaktion auf Spionage-Affären und Daten-Lecks. Für einen privaten Lauschangriff würde Bernhard Tellenbach, Dozent für Informationssicherheit an der ZHAW und Mit-Organisator des Hacker-Wettkampfs «Swiss Cyber Storm» darum gar nicht erst beim Handy selbst ansetzen. Sondern beim Benutzerkonto.
«Wem es gelingt, das Passwort zur iCloud von Apple oder das Google-Passwort herauszufinden, der hat Zugriff auf alles, was er braucht.» Denn die meisten Geräte erstellen mittlerweile täglichSicherungskopien, ihrer Daten. Dort finden sich Bilder, Nachrichten, Adressbücher, Chat-Logs und vieles mehr. Falls Sie sich je wunderten, warum ihr neu in Betrieb genommenes iPhone schon alle Kontakte des Vorgängermodells kennt: Genau darum, weil es den gleichen iCloud-Account benutzt.
Schwachpunkt E-mail-Konto
Standardpasswörter knacken ist in vielen Fällen keine Hexerei. Immer noch benutzen viele Menschen einfache Wörter, Eigennamen oder Zahlfolgen. Moderne Rechner können solche Passwörter durch simples Durchprobieren in nützlicher Zeit herausfinden. Ein besonderer Schwachpunkt ist dabei der E-mail-Account. Hat ein Hacker Zugriff darauf, kann er die «Passwort vergessen»-Funktion benützen und sich die Passwörter für diverse andere Dienste zuschicken lassen.
Tellenbachs zweiter Trick ist ein manipuliertes Wlan. Sofern nicht anders eingestellt, suchen die meisten Handys nach freien oder bereits bekannten Netzen verbinden sich ungefragt mit ihnen. So lassen sich Mobilfunkdaten einsparen. Hat sich das Handy in Tellenbachs Gratisnetz eingebucht, kann er den Datenverkehr, der über den Router läuft, nicht nur mitlesen, sondern auch gezielt in diesen eingreifen. Unter Umständen kann er gar den eigentlich verschlüsselten Verkehr mitlesen. Er sieht also, auf welchen Seiten seine Gäste surfen. Wenn sie E-mails abrufen, kann er sie lesen. Und wenn sie bei einem Internet-Dienst ein Passwort eintippen, sieht er auch das.
Schutz mit vier simplen Tipps
Für die Datensicherheit am Handy hat Bernhard Tellenbach vier simple Tipps:
Geben Sie Ihr Handy nicht aus der Hand.
Sichern sie es mittels Sperrcode oder Fingerabdruck.
Schalten Sie die automatische Einwahl in freie und bekannte Wlan-Netze aus.
Benutzen Sie für jeden Dienst ein anderes Passwort. Um das Gedächtnis zu entlasten gibt es elektronische «Schlüsselkästen» wie «Password Safe».

Etwas gesehen, etwas geschehen?

Haben Sie etwas Spannendes gesehen oder gehört?
Schicken Sie uns ihr Bild oder Video per E-Mail an webredaktion@zsz.ch oder informieren Sie uns telefonisch unter der Nummer 044 928 55 82. Mehr...

Bonus-Angebote

Bonus-Angebote

Alle Bonus-Angebote im Überblick.

Kommentare

Jetzt abonnieren!

Abonnieren und profitieren!

Jetzt abonnieren und profitieren!