In den USA bekannte sich gerade ein Hersteller einer Spionage-App für schuldig, weil er das Programm zur Kontrolle von Partner*innen vermarktete und seinen Kund*innen dabei half, Erwachsene ohne deren Wissen zu überwachen.

Auch in Deutschland können Privatpersonen Spionage-Apps leicht im Internet kaufen. Unternehmen wie mSpy bewerben ihre Produkte vordergründig als „Kinderschutz-App“ für besorgte Eltern. Recherchen zeigten, dass mSpy Kund*innen auch dann unterstützte, wenn sie offen zugaben, dass sie mit dem Programm heimlich Partner*innen überwachen wollen. E-Mail-Werbung legte einen Einsatz bei mutmaßlicher Untreue nahe. Ist es möglich, die Verantwortlichen zur Rechenschaft zu ziehen? Wir haben dazu Franziska Görlitz befragt, Juristin bei der Gesellschaft für Freiheitsrechte.

netzpolitik.org: Darf man in Deutschland Spionage-Software verkaufen?

Franziska Görlitz: Nur, wenn sie für legale Einsatzzwecke gedacht ist, zur Überwachung der eigenen Kinder beispielsweise oder von Mitarbeiter*innen. Das Inverkehrbringen von Programmen, die dazu da sind, Straftaten zu begehen, also zum Beispiel heimlich die Daten von Erwachsenen abzugreifen, kann mit bis zu zwei Jahren Haft bestraft werden.

Einsatzgrund: Eifersucht

netzpolitik.org: mSpy wird offiziell als Kinderschutz-App beworben. Aber wir haben im Januar 2025 eine E-Mail von mSpy bekommen, in der behauptet wird, dass 20 Prozent aller Verheirateten fremdgingen, und dass die Beweise dafür auf den Telefonen der Untreuen zu finden seien. Darunter war ein Link zum mSpy-Abonnement. Droht der mSpy-Chef-Etage dafür Knast?

Franziska Görlitz: Ob ein Programm einem illegalen Einsatzzweck dient, lässt sich ja auch am Design festmachen: Dafür spricht zum Beispiel, dass die App sich auf dem Gerät als unauffällige System-App tarnt, was eine App zum Schutz von Kindern nicht tun müsste. Sie hat auch keinen Notfallknopf, mit dem das Kind seine Eltern kontaktieren kann, Stundenpläne oder andere Features, die für Familientools typisch sind. Dafür aber extrem invasive Zugriffsrechte, vom Zugriff auf sämtliche Kommunikation bis hin zur heimlichen Fernsteuerung von Kamera und Mikrofon.

Ob man in der Werbung schon eine konkrete Anstiftung zu einer Straftat sehen kann, ist unklar. Und für eine Verurteilung müsste vor Gericht auch bewiesen werden, dass die Verantwortlichen von dieser speziellen E-Mail-Kampagne wussten, dass sie die App vorsätzlich so haben gestalten lassen. Man müsste ihnen die Verantwortung für das Vergehen nachweisen, das Wissen darum und auch einen Willen zur Tat. Dieser Nachweis ist schwierig. Und wenn die Firma wie mSpy im Ausland sitzt, braucht man für die Ermittlung auch noch die Unterstützung der dortigen Behörden.

Die Verantwortung des Unternehmens

netzpolitik.org: Gilt das Verbot des Inverkehrbringens von Programmen zur illegalen Überwachung eigentlich auch für das Unternehmen?

Franziska Görlitz In Deutschland gibt es kein Unternehmensstrafrecht. Das heißt, wir brauchen für eine Verurteilung immer eine verantwortliche Person.

netzpolitik.org: Gibt es keine Gesetze, die dem Unternehmen verbieten, die Software zu verkaufen?

Franziska Görlitz: Geräte zur heimlichen Überwachung sind in der EU verboten. Software, die Telefone in heimliche Überwachungsgeräte verwandelt, ist allerdings erlaubt. Das ist nicht mehr zeitgemäß, hier müsste nachgebessert werden.

Der schwarz-rote Koalitionsvertrag sieht zwar vor, „Tracking-Apps“ vorzuschreiben, dass sie sich deutlich bemerkbar machen müssen, doch bisher ist kein entsprechender Gesetzentwurf in Sicht und es ist nicht klar, in welchem Gesetz diese Vorschrift verankert werden soll.

Beihilfe zu einer Straftat

netzpolitik.org: Wir haben in geleakten Chats mit dem mSpy-Kundendienst zahlreiche Menschen gefunden, die klar kommunizieren, dass sie mit der App ihre Partner*innen oder Ex-Partner*innen überwachen wollen – der Kundendienst unterstützte sie trotzdem. Fällt das in die Verantwortung der Firmen-Chefs?

Franziska Görlitz: Auch hier müsste man erst nachweisen, dass die Verantwortlichen davon wissen oder dieses Vorgehen sogar angeordnet haben. Strafbar machen sich erst mal nur die jeweiligen Mitarbeiter*innen im Kundendienst. Wenn die App für verbotene Zwecke genutzt wurde, zum Beispiel für das heimliche, nicht einvernehmliche Überwachen der Partnerin, und Mitarbeiter*innen des Unternehmens das wissentlich unterstützt haben, kann das möglicherweise Beihilfe zu einer Straftat sein. Und wenn das regelmäßig passiert, könnte das dafür sprechen, dass die Software insgesamt den Zweck hat, Straftaten zu ermöglichen.

netzpolitik.org: Können Betroffene, die mit Hilfe einer solchen App ausspioniert wurden, den Hersteller anzeigen?

Franziska Görlitz Betroffene können neben den Personen, die sie illegal überwacht haben, auch die verantwortlichen Personen bei den Unternehmen anzeigen. Für eine mögliche Strafverfolgung wäre es wichtig, dass mehr Fälle zur Anzeige gebracht werden. Auch weil das Thema in Behörden dann präsenter wäre. Noch hat ja kaum jemand auf dem Schirm, dass es so einfach ist, fremde Telefone auszuspionieren. Aber viele Betroffene haben eine hohe Hemmschwelle, zur Polizei zu gehen. Das gilt besonders, weil die Überwachung häufig in gewaltvollen Beziehungen stattfindet.

Für eine Anzeige müssen die Betroffenen auch erst einmal herausfinden, dass sie überwacht werden. Viel zu wenige wissen, dass es solche Tools gibt, deshalb bleibt die Überwachung oft unbemerkt. Dabei sind Spionage-Apps wie mSpy relativ einfach zu finden, indem man zum Beispiel auf dem Smartphone nachschaut, ob Apps verdächtige Berechtigungen haben.

Juristische Hebel auf EU-Ebene

netzpolitik.org: Gibt es andere Wege für Betroffene, gegen Hersteller solcher Software vorzugehen?

Franziska Görlitz Sie können ihre Rechte aus der Datenschutzgrundverordnung nutzen und darüber versuchen, ein Bußgeld zu erwirken – ihre ausgespähten Daten sind ja gegebenenfalls auf den Servern der Unternehmen gespeichert. Dafür braucht es keine konkrete verantwortliche Person, Bußgelder können auch gegen Unternehmen verhängt werden. Wenn Unternehmen aber außerhalb der EU sitzen, ist es schwierig, Maßnahmen gegen sie zu erwirken.

Die EU-Ebene bietet auch noch einen weiteren juristischen Hebel: Wir haben über den Digital Services Act eine Beschwerde gegen Google eingelegt. Die Suchmaschine spielt nämlich vor den organischen Suchergebnissen Anzeigen für Stalkerware wie mSpy aus – obwohl die App gegen die Google-Richtlinien verstößt. Wir wollen erreichen, dass die EU-Kommission als Aufsichtsbehörde einschreitet und darauf hinwirkt, dass Google aktiv verhindert, dass solche Anzeigen ausgespielt werden. Wir wissen, dass das Problem dadurch nicht gelöst wird, aber wenn die App keine Werbung mehr schalten kann, nutzen sie hoffentlich auch weniger Menschen.

netzpolitik.org: Warum ist im Fall von pcTattletale in den USA ein juristisches Vorgehen gelungen?

Im Fall dieses Spyware-Herstellers lag der Staatsanwaltschaft interne Kommunikation vor, die belegte, dass die Person wusste, dass die App für illegale Zwecke verkauft wird, dass die Person das so wollte und es auch nach unten angewiesen hat. Das sind genau die Beweismittel, die man braucht.

Dells NAS-Betriebssystem PowerScale OneFS ist über mehrere Sicherheitslücken angreifbar. Dagegen stehen abgesicherte Ausgaben zum Download bereit.

Mögliche Attacken

In einer Warnmeldung führen die Entwickler aus, dass Angreifer Systeme nach erfolgreichen Attacken kompromittieren können. Von den Lücken ist eine mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22278). Verfügt ein Angreifer über Fernzugriff, kann er ohne Authentifizierung an der Schwachstelle ansetzen und sich so weiteren Zugang verschaffen. Wie ein solcher Angriff ablaufen könnte und was Angreifer danach konkret anstellen können, ist bislang unklar.

Die verbleibenden Lücken (etwa CVE-2026-22280) sind mit „mittel“ und „niedrig“ eingestuft. An diesen Stellen können Angreifer etwa für DoS-Attacken ansetzen und so Abstürze auslösen. Dell gibt derzeit keine Hinweise darauf, ob bereits Attacken laufen. Unklar bleibt auch, woran Admins bereits attackierte Instanzen erkennen können.

Systeme schützen

Um die geschilderten Angriffe zu verhindern, müssen Admins eine der reparierten PowerScale-OneFS-Versionen installieren:

• 9.5.1.6
• 9.7.1.11
• 9.10.1.4
• 9.13.0.0

(des)

Microsofts Authentifizierungsverfahren NTLM ist ein nicht enden wollender Security-Albtraum. Bereits seit Jahren abgekündigt, findet es sich immer noch in den meisten Windows-Netzen und wird von Kriminellen etwa bei Ransomware-Angriffen systematisch missbraucht. Und jetzt macht Googles Mandiant die Situation noch schlimmer – zumindest scheinbar. Denn der Konzern veröffentlicht sogenannte Rainbow-Tabellen, die das Rekonstruieren von Passwörtern aus abgefangenen Authentifizierungsversuchen zum Kinderspiel machen. Doch dahinter steckt ein nachvollziehbarer Plan.

NT LAN Manager (NTLM) ist das älteste Authentifizierungsverfahren in Windows-Netzen; bereits seit dem Jahr 2000 ist der Nachfolger Kerberos der Default. Und das mit gutem Grund: NTLM ist ein akutes Sicherheitsrisiko. Insbesondere bei der Verwendung von Net-NTLMv1 können Angreifer etwa über künstlich erzwungene Anmeldevorgänge – sogenannte Coercion – das verwendete Passwort rekonstruieren. Doch es gibt so viele Nischen, in denen nach wie vor NTLM erforderlich ist, dass Microsoft es immer noch nicht geschafft hat, das Protokoll komplett zu entfernen. Und weil es auf vielen Windows-Systemen immer noch vorhanden ist, können Angreifer ein Downgrade erzwingen und Passwörter erbeuten.

Kalkulierter Todesstoß

Das Knacken der Passwörter erfolgt dann mit Rainbow-Tabellen. Diese enthalten vorberechnete Zwischenwerte des zeitaufwendigen Knackvorgangs, mit deren Hilfe der Rest nur noch wenige Minuten dauert; die Theorie dahinter klärt der heise-Artikel „Von Wörterbüchern und Regenbögen“. Genau diese umfangreichen Tabellen stellt Google jetzt zum freien Download zur Verfügung, sodass das jede(r) mit den ebenfalls frei verfügbaren Knackprogrammen wie John the Ripper auf seinem Notebook machen kann. Genau das ist Googles Intention: „Mit der Veröffentlichung dieser Tabellen möchte Mandiant die Hürde für Sicherheitsexperten senken, die Unsicherheit von Net-NTLMv1 zu demonstrieren“, erklären sie diesen drastischen Schritt.

Das Kalkül könnte aufgehen, denn ein vor den eigenen Augen geknacktes Passwort überzeugt möglicherweise auch die Geschäftsführung, dass man die Härtung des Windows-Netzes jetzt doch mal konkret angehen sollte. Noch wichtiger: Es erhöht den Druck auf Microsoft, die Jahrzehnte währende Abschaffung von NTLM doch endlich zu Ende zu bringen. Das hinzukommende Risiko ist hingegen überschaubar: Bereits vor 20 Jahren gab es Rainbow-Cracking als Online-Service und die benötigten Rainbow-Tables kursieren ebenfalls seit Ewigkeiten. Wer sie wirklich wollte, konnte sie auch finden und benutzen; Angriffe engagierter Täter scheitern nicht an fehlenden Rainbow-Tables.

Hilfe für Admins

Das Problem sind eher die Schutzmaßnahmen in der Übergangszeit, bis Microsoft endgültig den Stecker zieht. Da schreibt Google lediglich: „Organisationen sollten die Verwendung von Net-NTLMv1 unverzüglich deaktivieren.“ Doch ganz so trivial ist das in der Praxis real existierender Windows-Netze oftmals nicht. Es hat schon seinen Grund, warum Microsoft das endgültige Aus für NTLM so lange hinauszögert: In der Praxis ergeben sich dabei oftmals Probleme. Genau deshalb bot heise security auch bereits 2024 Administratoren in einem eigenen Webinar zu NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen ausführliche Hilfestellung.

Doch jetzt sollten Admins das unbedingt angehen und die Windows-Authentifizierung härten, um diese Gefahr in den Griff zu bekommen. Dazu gehört dann auch, Kerberos zu zähmen. Denn der ist ebenfalls von Sicherheitsproblemen geplagt, die sich in Angriffen wie Kerberoasting mit Golden und Silver Tickets niederschlagen. Das sind sogenannte Ticket-granting Tickets, die es dem Angreifer erlauben, sich selbst Authentifizierungs-Token auszustellen. Wie das genau funktioniert und was man dagegen tun sollte, erklärt und demonstriert Frank Ully im heise security Webinar „Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben“ am 26. Februar. Dort geht es natürlich auch um NTLM und wie man damit sinnvoll umgeht.

(ju)