In den USA bekannte sich gerade ein Hersteller einer Spionage-App für schuldig, weil er das Programm zur Kontrolle von Partner*innen vermarktete und seinen Kund*innen dabei half, Erwachsene ohne deren Wissen zu überwachen.

Auch in Deutschland können Privatpersonen Spionage-Apps leicht im Internet kaufen. Unternehmen wie mSpy bewerben ihre Produkte vordergründig als „Kinderschutz-App“ für besorgte Eltern. Recherchen zeigten, dass mSpy Kund*innen auch dann unterstützte, wenn sie offen zugaben, dass sie mit dem Programm heimlich Partner*innen überwachen wollen. E-Mail-Werbung legte einen Einsatz bei mutmaßlicher Untreue nahe. Ist es möglich, die Verantwortlichen zur Rechenschaft zu ziehen? Wir haben dazu Franziska Görlitz befragt, Juristin bei der Gesellschaft für Freiheitsrechte.

netzpolitik.org: Darf man in Deutschland Spionage-Software verkaufen?

Franziska Görlitz: Nur, wenn sie für legale Einsatzzwecke gedacht ist, zur Überwachung der eigenen Kinder beispielsweise oder von Mitarbeiter*innen. Das Inverkehrbringen von Programmen, die dazu da sind, Straftaten zu begehen, also zum Beispiel heimlich die Daten von Erwachsenen abzugreifen, kann mit bis zu zwei Jahren Haft bestraft werden.

Einsatzgrund: Eifersucht

netzpolitik.org: mSpy wird offiziell als Kinderschutz-App beworben. Aber wir haben im Januar 2025 eine E-Mail von mSpy bekommen, in der behauptet wird, dass 20 Prozent aller Verheirateten fremdgingen, und dass die Beweise dafür auf den Telefonen der Untreuen zu finden seien. Darunter war ein Link zum mSpy-Abonnement. Droht der mSpy-Chef-Etage dafür Knast?

Franziska Görlitz: Ob ein Programm einem illegalen Einsatzzweck dient, lässt sich ja auch am Design festmachen: Dafür spricht zum Beispiel, dass die App sich auf dem Gerät als unauffällige System-App tarnt, was eine App zum Schutz von Kindern nicht tun müsste. Sie hat auch keinen Notfallknopf, mit dem das Kind seine Eltern kontaktieren kann, Stundenpläne oder andere Features, die für Familientools typisch sind. Dafür aber extrem invasive Zugriffsrechte, vom Zugriff auf sämtliche Kommunikation bis hin zur heimlichen Fernsteuerung von Kamera und Mikrofon.

Ob man in der Werbung schon eine konkrete Anstiftung zu einer Straftat sehen kann, ist unklar. Und für eine Verurteilung müsste vor Gericht auch bewiesen werden, dass die Verantwortlichen von dieser speziellen E-Mail-Kampagne wussten, dass sie die App vorsätzlich so haben gestalten lassen. Man müsste ihnen die Verantwortung für das Vergehen nachweisen, das Wissen darum und auch einen Willen zur Tat. Dieser Nachweis ist schwierig. Und wenn die Firma wie mSpy im Ausland sitzt, braucht man für die Ermittlung auch noch die Unterstützung der dortigen Behörden.

Die Verantwortung des Unternehmens

netzpolitik.org: Gilt das Verbot des Inverkehrbringens von Programmen zur illegalen Überwachung eigentlich auch für das Unternehmen?

Franziska Görlitz In Deutschland gibt es kein Unternehmensstrafrecht. Das heißt, wir brauchen für eine Verurteilung immer eine verantwortliche Person.

netzpolitik.org: Gibt es keine Gesetze, die dem Unternehmen verbieten, die Software zu verkaufen?

Franziska Görlitz: Geräte zur heimlichen Überwachung sind in der EU verboten. Software, die Telefone in heimliche Überwachungsgeräte verwandelt, ist allerdings erlaubt. Das ist nicht mehr zeitgemäß, hier müsste nachgebessert werden.

Der schwarz-rote Koalitionsvertrag sieht zwar vor, „Tracking-Apps“ vorzuschreiben, dass sie sich deutlich bemerkbar machen müssen, doch bisher ist kein entsprechender Gesetzentwurf in Sicht und es ist nicht klar, in welchem Gesetz diese Vorschrift verankert werden soll.

Beihilfe zu einer Straftat

netzpolitik.org: Wir haben in geleakten Chats mit dem mSpy-Kundendienst zahlreiche Menschen gefunden, die klar kommunizieren, dass sie mit der App ihre Partner*innen oder Ex-Partner*innen überwachen wollen – der Kundendienst unterstützte sie trotzdem. Fällt das in die Verantwortung der Firmen-Chefs?

Franziska Görlitz: Auch hier müsste man erst nachweisen, dass die Verantwortlichen davon wissen oder dieses Vorgehen sogar angeordnet haben. Strafbar machen sich erst mal nur die jeweiligen Mitarbeiter*innen im Kundendienst. Wenn die App für verbotene Zwecke genutzt wurde, zum Beispiel für das heimliche, nicht einvernehmliche Überwachen der Partnerin, und Mitarbeiter*innen des Unternehmens das wissentlich unterstützt haben, kann das möglicherweise Beihilfe zu einer Straftat sein. Und wenn das regelmäßig passiert, könnte das dafür sprechen, dass die Software insgesamt den Zweck hat, Straftaten zu ermöglichen.

netzpolitik.org: Können Betroffene, die mit Hilfe einer solchen App ausspioniert wurden, den Hersteller anzeigen?

Franziska Görlitz Betroffene können neben den Personen, die sie illegal überwacht haben, auch die verantwortlichen Personen bei den Unternehmen anzeigen. Für eine mögliche Strafverfolgung wäre es wichtig, dass mehr Fälle zur Anzeige gebracht werden. Auch weil das Thema in Behörden dann präsenter wäre. Noch hat ja kaum jemand auf dem Schirm, dass es so einfach ist, fremde Telefone auszuspionieren. Aber viele Betroffene haben eine hohe Hemmschwelle, zur Polizei zu gehen. Das gilt besonders, weil die Überwachung häufig in gewaltvollen Beziehungen stattfindet.

Für eine Anzeige müssen die Betroffenen auch erst einmal herausfinden, dass sie überwacht werden. Viel zu wenige wissen, dass es solche Tools gibt, deshalb bleibt die Überwachung oft unbemerkt. Dabei sind Spionage-Apps wie mSpy relativ einfach zu finden, indem man zum Beispiel auf dem Smartphone nachschaut, ob Apps verdächtige Berechtigungen haben.

Juristische Hebel auf EU-Ebene

netzpolitik.org: Gibt es andere Wege für Betroffene, gegen Hersteller solcher Software vorzugehen?

Franziska Görlitz Sie können ihre Rechte aus der Datenschutzgrundverordnung nutzen und darüber versuchen, ein Bußgeld zu erwirken – ihre ausgespähten Daten sind ja gegebenenfalls auf den Servern der Unternehmen gespeichert. Dafür braucht es keine konkrete verantwortliche Person, Bußgelder können auch gegen Unternehmen verhängt werden. Wenn Unternehmen aber außerhalb der EU sitzen, ist es schwierig, Maßnahmen gegen sie zu erwirken.

Die EU-Ebene bietet auch noch einen weiteren juristischen Hebel: Wir haben über den Digital Services Act eine Beschwerde gegen Google eingelegt. Die Suchmaschine spielt nämlich vor den organischen Suchergebnissen Anzeigen für Stalkerware wie mSpy aus – obwohl die App gegen die Google-Richtlinien verstößt. Wir wollen erreichen, dass die EU-Kommission als Aufsichtsbehörde einschreitet und darauf hinwirkt, dass Google aktiv verhindert, dass solche Anzeigen ausgespielt werden. Wir wissen, dass das Problem dadurch nicht gelöst wird, aber wenn die App keine Werbung mehr schalten kann, nutzen sie hoffentlich auch weniger Menschen.

netzpolitik.org: Warum ist im Fall von pcTattletale in den USA ein juristisches Vorgehen gelungen?

Im Fall dieses Spyware-Herstellers lag der Staatsanwaltschaft interne Kommunikation vor, die belegte, dass die Person wusste, dass die App für illegale Zwecke verkauft wird, dass die Person das so wollte und es auch nach unten angewiesen hat. Das sind genau die Beweismittel, die man braucht.

Dells NAS-Betriebssystem PowerScale OneFS ist über mehrere Sicherheitslücken angreifbar. Dagegen stehen abgesicherte Ausgaben zum Download bereit.

Mögliche Attacken

In einer Warnmeldung führen die Entwickler aus, dass Angreifer Systeme nach erfolgreichen Attacken kompromittieren können. Von den Lücken ist eine mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2026-22278). Verfügt ein Angreifer über Fernzugriff, kann er ohne Authentifizierung an der Schwachstelle ansetzen und sich so weiteren Zugang verschaffen. Wie ein solcher Angriff ablaufen könnte und was Angreifer danach konkret anstellen können, ist bislang unklar.

Die verbleibenden Lücken (etwa CVE-2026-22280) sind mit „mittel“ und „niedrig“ eingestuft. An diesen Stellen können Angreifer etwa für DoS-Attacken ansetzen und so Abstürze auslösen. Dell gibt derzeit keine Hinweise darauf, ob bereits Attacken laufen. Unklar bleibt auch, woran Admins bereits attackierte Instanzen erkennen können.

Systeme schützen

Um die geschilderten Angriffe zu verhindern, müssen Admins eine der reparierten PowerScale-OneFS-Versionen installieren:

• 9.5.1.6
• 9.7.1.11
• 9.10.1.4
• 9.13.0.0

(des)

Die EU-Kommission möchte Europas digitale Souveränität stärken und Abhängigkeiten reduzieren. Dafür setzt sie auf die Nutzung und Entwicklung von europäischer Open Source Software (OSS) als Alternative zu proprietären Angeboten, die oftmals aus den USA kommen.

Anfang Januar hat die Kommission eine Konsultation gestartet, um Input für eine neue Open-Source-Strategie zu erhalten. Bis zum 3. Februar können alle hier Ideen beitragen.

In einem Dokument zu der Konsultation beschreibt die Brüsseler Behörde ihr Vorhaben. Die Kommission teilt darin die Ansicht, dass es nicht ausreiche, nur die Forschung zu Open Source zu stärken. Vielmehr müsse auch das Open-Source-Ökosystem „strategisch gestärkt“ werden. Was bedeutet das konkret?

Einerseits sollen Open-Source-Projekte kommerzieller werden. Die Akteure sollen finanziell gesichert werden, damit sie ihre Angebote skalieren können. Andererseits soll die Organisation verbessert werden. Auch die Sicherheit der Lieferkette will die Kommission adressieren. Ebenfalls soll der öffentliche Sektor dazu animiert werden, Open Source zu nutzen. Das schließt die Kommission selbst ein.

Schlüsselrolle von Open Source anerkannt

„Die angekündigte Strategie zeigt, dass die Kommission auf höchster Ebene verstanden hat, dass nur Open Source digitale Souveränität und Handlungsfähigkeit garantiert“, sagt Sebastian Raible, Leiter für EU-Beziehungen beim europäischen Open-Source-Unternehmensverband APELL. Open Source bedeute ihm zufolge, „sich gar nicht erst in Abhängigkeiten zu begeben, weil Anwender:innen das Produkt nicht mieten, sondern vollständig mit Quellcode erwerben“.

Dafür würden Open-Source-Unternehmen bereits seit Jahrzehnten jährlich Millionenbeträge in die Entwicklung der Infrastruktur investieren. In Raibles Augen ist es sinnvoll – ökonomisch und für den Standort Europa –, dass öffentliche IT-Budgets dazu beitragen.

Raible ergänzt, dass die Kommission ein besonderes Augenmerk auf kritische Infrastruktur gerichtet habe. „Gerade hier brauchen wir konkrete Schritte, um Europas Unabhängigkeit auch vor dem Hintergrund von russischen Angriffen und US-amerikanischen Grönland-Drohungen abzusichern“, bekräftigt er.

Zu der Konsultation finden sich bereits mehrere Hundert Beiträge. Ein Großteil stammt dabei aus der Feder von EU-Bürger:innen, die in Kommentaren ihre eigenen Erfahrungen mit offenem Quellcode und ihre Gedanken zu dem Thema teilen. Daneben haben auch schon einige Unternehmen und NGOs ihre Position mitgeteilt.

Nextcloud will „Buy European“

Das deutsche Unternehmen Nextcloud GmbH zeichnet ein ähnliches Bild wie die Kommission: Vielen Projekten würden nachhaltige Geschäftsmodelle und die Professionalisierung fehlen. Daneben betont die GmbH die große Konkurrenz von Big-Tech-Angeboten, die oftmals Produkte bündeln und Kund:innen an sich fesseln könnten.

Als entscheidenden Hebel sieht das Unternehmen die bevorzugte Beschaffung von europäischen Open-Source-Lösungen durch europäische Regierungen. Dazu schlagen sie vor, den Ansatz „Buy European/Open Source“ zu realisieren, wo möglich. Nextcloud spricht sich dafür aus, dass Behörden vorbildhafte Open-Source-Nutzer sein sollen. Im zweiten Quartal dieses Jahres werden die EU-Vergaberegeln überarbeitet.

Dass so eine Bevorzugung in der Praxis möglich ist, zeigen aktuelle Entwicklungen: Im Ende Januar anstehenden „Industrial Accelerator Act“, der die Industrie in Europa stärken will, soll eine „Buy-European“-Klausel integriert werden. „Öffentliche Gelder sollten zur Stärkung der Resilienz und Wettbewerbsfähigkeit Europas eingesetzt werden“, sagte dazu am Montag bei einer Veranstaltung Madalina Ivanica, stellvertretende Referatsleiterin bei der Generaldirektion Binnenmarkt, Industrie, Unternehmertum und KMU (DG GROW) der Kommission.

Sicherheit durch Open Source

Der Rüstungsarm des französischen Thales-Konzerns und die französische Nationalgendarmerie hätten bewiesen, dass ein Wechsel zu Open Source möglich sei, heißt in einem Beitrag im Namen von Thales Defense. Der Konzern habe seine IT im Juni 2025 innerhalb von 48 Stunden vollständig auf Linux-Systeme migriert.

In seinem Beitrag zur Konsultation hebt das Unternehmen die Vorteile von OSS für die Sicherheit hervor: Wer freie Software einsetze, habe die Kontrolle über den Code und könne Sicherheitslücken schließen, ohne dabei von Dritten abzuhängen. Die Open-Source-Gemeinschaft reagiere außerdem schnell auf gemeldete Fehler.

Auch die Universität Oslo betont, dass Endnutzer:innen den Code selbst analysieren können, was die Sicherheit erhöhe. Darüber hinaus heißt es in ihrem Beitrag zur Konsultation: „Gute Open-Source-Lösungen sind nicht kostenlos. Daher braucht es Wege, um die Entwicklung und die Wartung der Lösungen zu unterstützen.“ Diese müssten über Geld- und Zeitspenden hinausgehen. Tatsächlich steckt hinter Open Source sehr viel freiwillige Arbeit von Ehrenamtlichen innerhalb der Community.

Ressourcen fehlen

Die tschechische NGO node9.org plädiert ebenfalls für mehr Unterstützung von Entwickler:innen durch die Kommission und verspricht: „Es wird sich sowohl finanziell als auch in Bezug auf die Souveränität auszahlen.“

Das kleine französische Unternehmen MiraLab beschreibt eine „Microsoft-Müdigkeit“ in verschiedenen IT-Abteilungen: „Sie suchen nach Alternativen, aber die EU muss die Führung übernehmen.“ Das einzige, was noch fehle, sei Handlung.

So geht es weiter

Die sogenannte „europäische Strategie für ein offenes digitales Ökosystem“ soll zusammen mit dem „Cloud and AI Development Act“, einer Verordnung zur Entwicklung von Cloud und KI, noch im ersten Quartal des Jahres als Paket veröffentlicht werden.

In dieser Woche wird europäische Souveränität außerdem in Straßburg im EU-Parlament debattiert. Auch Kommissionspräsidentin Ursula von der Leyen und Ratspräsident António Costa werden daran teilnehmen. Dabei geht es allerdings nicht spezifisch um den Digitalbereich.