Der Verdacht

Die Autorin Xifan Yang vermutet, dass ihr Handy gehackt worden ist. Ist das jetzt Paranoia oder Realität? Und vor allem: Was soll sie jetzt tun?

>> PDF Ansicht

Spionagesoftware auf Ihrem Handy? Aus China?« In der Stimme des IT-Spezialisten ist ein Anflug von Unruhe zu hören. »Wenn das so ist – dann sollten Sie es SOFORT ausschalten und umgehend verschrotten.« Umgehend. Okay. Mein Atem stockt. Die Gedanken rasen. Zehntausende Fotos weg. Unzählige Kontakte. SMS. Notizen von Dutzenden Reisen. Die Chatverläufe der letzten sieben Jahre (mein zweites Gedächtnis). Alle möglichen Passwörter. Mein ganzes Berufsleben. Weg. Ein Back-up wäre sinnlos, sagt der Mann am Telefon weiter. Denn die Schadsoftware oder was auch immer sich womöglich in mein iPhone geschlichen hatte, würde sich einfach mit dem Back-up in das neue Gerät fortpflanzen. Großartig, denke ich. Da kann ich mich ja gleich selbst verschrotten.

Natürlich kann es sein, dass ich mir das alles nur einbilde. Dass mein iPhone spinnt, einfach so. Ausgerechnet an dem Tag, an dem ich aus Peking gelandet bin. Ausgerechnet, nachdem ich in einer Delegation des deutschen Außenministers nach China gereist war. Ausgerechnet, als mein neuer Bekannter, der zuvor drei Jahre Einreiseverbot in China hatte und mit mir unterwegs war, mir am Telefon von ähnlichen Symptomen berichtet: Firewall-Programme, die sich nicht mehr ausschalten lassen. E-Mails, die verschwinden. Plötzliche Meldungen: Bitte Sicherheitscode ändern. Warnungen: Ein Unbekannter hat versucht, sich in Ihren Account einzuloggen. War es dumm von mir gewesen, das Handy auf dem Hotelzimmer zu lassen? Hat jemand mein iPhone gehackt?

Natürlich kann es sein, dass ich paranoid bin. Ich verstehe nichts von Computern. Ich bin ständig online. Ich habe doch nichts zu verstecken. Oder nur wenig. Ich habe, um mich zu beruhigen, ein Zweithandy. Das ich kaum nutze. Ich müsste es besser wissen. Ich informiere mich. Ich bin aufgeklärt. Ich bin faul.

Ich starre auf mein iPhone mit der roten Plastikhülle, Modell 5s. Im Urlaub in Hongkong gekauft. Zwei Jahre damit in China gearbeitet. Nie Probleme gehabt. Immer mal wieder das flaue Gefühl im Magen, abgehört zu werden. Trotzdem habe ich es fast überallhin mitgenommen. Ich gehe in München zum Reparaturladen, empfohlen von Freunden. »Der iPhone-Man – iPhone defekt? Ein Problem für Sie? Kein Problem für uns!« Festplatten und Kabel bis unter die Decke. Netter Kauz, Headset auf dem Kopf. »Gehackt worden? Erzählen Sie mir nichts!« Kopfschütteln. »Werden Sie etwa verfolgt? Haben Sie mit dem Geheimdienst zu tun?« Er gluckst. Lacht mich aus. So eine schon wieder.

Ich gehe in den Apple Store und melde mich an der Genius Bar an. Wenig später eine SMS: »Bald geht ’s los. Bitte wende dich jetzt an einen Mitarbeiter, damit wir wissen, dass du da bist.« Der Mitarbeiter heißt Tony. Tonys Lächeln ist so glatt wie das Display meines verhaltensauffälligen iPhones. »Was kann ich für dich tun?« Ich erzähle ihm alles. Peking. Das Hotelzimmer. Die seltsamen Symptome. Meine Paranoia. Tony legt seinen Kopf zur Seite. »Ich kann dir ein neues iPhone gegen Aufpreis anbieten«, meint er dann. Ich will kein neues Handy, sage ich. Ich will wissen, was mit meinem los ist. Tony verschwindet. Er kommt mit einem iPad wieder. Stellt eine Verbindung zu meinem 5s her. Man kann sich das vorstellen wie ein Stethoskop für Handys. Jedes iPhone führe eine Art Tagebuch über alles, was auf dem Gerät passiert, sagt Tony. Er will es auslesen. Klappt nicht. Das Rädchen dreht sich und dreht sich. Neuer Versuch. Und wieder. Mein 5s reagiert nicht. »So was hatte ich noch nie. Seltsam.« Tony erzählt von einem Freund, dessen Vater Teppiche aus dem Iran importiert. Eines Tages hätten BND-Beamte ihm an der Haustür eröffnet, dass sie künftig seine Telefonate abhören und seine E-Mails lesen werden. Wie nett, denke ich. Spione, die sich ankündigen. Tony lächelt mich an. »Tut mir leid, dass ich nichts für dich tun kann.« Dann muss er zum nächsten Kunden.

Ich schreibe dem Chaos Computer Club und bitte um Hilfe. Eine anonyme Nummer ruft mich an: »Hallo, hier ist Erdgeist.« Erdgeist (später darf ich ihn Dirk nennen) ist selbst iPhone-Programmierer. Das mit meinen Symptomen, da könne etwas dran sein. Endlich nimmt mich jemand ernst. Dirk bietet an, sich mein iPhone anzuschauen. Ich treffe ihn in Berlin. »Von führenden Diktatoren empfohlen« und »Besser übermüdet als überwacht«, steht an der Tür. Die Clubräume des CCC liegen in einem Hinterhof, an der Wand hängt ein Wolfgang-Schäuble-Porträt, auf dem der frühere Innenminister dreinblickt wie Erich Honecker. Erdgeist sitzt auf einem abgewetzten Sofa an einem mit Stickern beklebten Linux-Laptop. Auch er findet nichts. Ich bin beruhigt. »Das muss aber nichts heißen«, sagt Dirk. Genauere Analysen können Tage oder Wochen dauern. Vorausgesetzt, ich finde jemanden, der sich wirklich damit auskennt.

»Sobald deine API-Patches malicious sind, bist du geowned«, sagt ein blasser Langhaariger, den ich beim Rauchen vor der Tür treffe. Heißt so viel wie: Hintertüren für Angreifer gibt es immer. Das A und O seien »diversifizierte Kommunikationswege und keine Muster zu streuen«, belehrt mich derUnbekannte. Seinen Namen möchte er nicht nennen. Er selbst benutzt mehrere Handys gleichzeitig, »wie viele, möchte ich offen lassen«. Geheimnistuerei ist oberstes Hackergebot. Einen Rat zu meinem iPhone kann er mir aber auch nicht geben. »Das Thema Sicherheit ist so komplex geworden, da blickt keiner mehr richtig durch.« Wehrhaft gegen Überwachung, lerne ich an diesem Tag, sind die, die Selbstprogrammiertes nutzen und Quellcodes bauen können. Wenn jedoch selbst die Nerds vor der Technik kapitulieren, muss das etwas heißen, denke ich. Inzwischen gibt der Akku meines iPhones immer schneller den Geist auf. Im Internet lese ich, dass das ein Zeichen dafür sein könne, dass eine Software heimlich Daten aus dem gehackten Handy überträgt.

Auf Facebook (klar bin ich auf Facebook) schaue ich mir ein Video an, das erklärt, wie man sein Smartphone vor Hackern schützt:

1. Sicherheits-Updates laden. IMMER. Mache ich nicht. (Dazu müsste ich Tausende Fotos und Mails löschen und dafür habe ich keine Zeit.)

2. Unterwegs Bluetooth und WLAN-Funktion ausschalten. Mache ich. (Ab morgen.)

3. Daten verschlüsseln. Alle. Sprachnachrichten. Anrufe. E-Mails. Mache ich, wenn es beruflich sein muss. (Aber privat? Hmm.)

4. Freie WLAN-Netze meiden. (Spinnen die? Was ist mit Filme streamen am Flughafen?)

5. Keine Handynummer auf die Visitenkarte. (Habe ich nicht, hätte aber kein Problem damit.)

Habe ich schon erwähnt, dass ich faul bin?

Kleiner Trost: Ich bin nicht alleine. Das flaue Gefühl, beobachtet zu werden, kennen so gut wie alle in meinem Bekanntenkreis. Trotzdem macht kaum einer alle Updates und verschlüsselt Mails. Psychologen nennen das Phänomen Intentions-Verhaltens-Lücke: Die Vernunft weiß, was zu tun ist. Die Bequemlichkeit siegt. Gut, es gibt Ausnahmen: Ein Bekannter erzählt, dass er die Wohnung seiner Familie mit einer selbst gebauten Firewall abgeschirmt hat (alle käuflichen Firewall-Programme würden seine Daten an die NSA weiterleiten). Ein Kollege überlegt bei jedem Satz in jeder E-Mail, ob er ihn auch öffentlich sagen würde. Für vertrauliche Gespräche hat er ein altes Nokia in der Büroschublade liegen. Paradoxerweise komme er sich, seit er das Zweithandy habe, besonders paranoid vor – obwohl er mit dem Smartphone viel ungeschützter ist. Vielleicht, sage ich zu ihm, weil er sich als Besitzer eines Zweithandys in die zweifelhafte Gesellschaft von notorischen Fremdgehern, Drogendealern und Terroristen einreiht. Die meisten schieben wie ich die Ausrede vor: Ich habe eh nichts zu verbergen.

Ist Paranoia aber überhaupt der richtige Begriff? In der Psychologie bezeichnet das Wort Paranoia subjektiven Verfolgungswahn. Wer darunter leidet, gilt als gaga. Weder aber ist seit Edward Snow

den die Furcht, von Geheimdiensten ausgehorcht zu werden, subjektiv noch die Vorstellung, dass Großkonzerne unendlich mehr über uns wissen als wir selbst. Zu Paranoia neigen Menschen, so definieren es Forscher an der University of Texas, die wenig Kontrolle über eine Situation haben. Im Guardian lese ich von einer Elektronikmesse, auf der Handyhüllen mit Mantel aus Kupfer und Zink derVerkaufsschlager sind, dazu gedacht, elektrische Felder zu blocken. »Früher dachten die Leute, ich sei wahnsinnig«, sagt der Erfinder. »Jetzt denken sie das nicht mehr.« Auch Snowden entwickelt gerade eine abhörsichere Handyhülle.

Der britische Philosoph Jeremy Bentham fand schon im 18. Jahrhundert eine Metapher für den modernen Überwachungsstaat: Das Panoptikum ist ein ringförmiger, transparenter Gefängnisbau mit einem Turm in der Mitte. Ein einziger Wärter im Turm kann alle Insassen beobachten, er selbst bleibt aber unsichtbar. In 1984 schreibt George Orwell: »Der Televisor war gleichzeitig Empfangsund Sendegerät. Jedes […] Geräusch […] wurde von ihm registriert. Es bestand natürlich keine Möglichkeit festzustellen, ob man in einem gegebenen Augenblick gerade überwacht wurde. Es war sogar möglich, dass jeder einzelne ständig überwacht wurde.« Der Televisor ist keine Dystopie. Der Televisor ist mein Smartphone.

Je länger ich mich mit den bekannten Überwachungsprogrammen befasse, desto stärker zieht es in meinem Magen. Vorratsdatenspeicherung, Bundestrojaner, IMSI-Catcher, Prism, Tempora. Dazu im Wochentakt neue Wendungen in einem Thriller, dem kaum mehr einer folgen

kann: Das FBI hackt das iPhone eines Terrorverdächtigen. Eine chinesische Firma hackt 85 Millionen Android-Telefone. Russische Hacker haben angeblich NSA-Hacker gehackt. Auf dem Schwarzmarkt werden Smartphone-Schwachstellen für Millionen Dollar gehandelt. Auch Apple schreibt seit Kurzem sechsstellige Belohnungen aus, ähnlich wie Kopfgelder im Wilden Westen. Man kann das als Zugeständnis verstehen: Die Angriffe nehmen zu. »Wer nicht paranoid ist, ist verrückt«, titelte Ende 2015 das US-Magazin The Atlantic. Ist Paranoia einfach derneue Normalzustand?

»Du bist nicht paranoid mit deiner Furcht, gehackt worden zu sein«, sagt Karsten Nohl. »Es ist aber ein Anzeichen von Paranoia, dass du glaubst, die Überwachung entdeckt zu haben.« Karsten Nohl, 35, ist ein renommierter Sicherheitsforscher und Geschäftsführer der Firma Security Research Labs in Berlin.

Auf meine E-Mail, ob er mein iPhone untersuchen könne, antwortet er innerhalb einer Minute. Nohl hat wache Augen, trägt einen blonden Schopf und einen grauen Kapuzenpulli. Ich besuche ihn in seiner Firma in einem spartanischen Dachgeschoss. Nohl berät Mobilfunkanbieter und Großunternehmen, auf Hacker konferenzen ist er ein gern gesehener Redner. Es gebe drei Klassen von Schwachstellen, über die Angreifer sich Zugriff zu meinem iPhone verschaffen können, erklärt er. 1. Jemand bekommt mein Telefon in die Hände, knackt Passwort oder Fingererkennung und überspielt heimlich eine Software. Dazu braucht der Hacker bloß ein Glas mit meinem Fingerabdruck. 2. Ich installiere eine App aus unsicherer Quelle. 3. Ich öffne eine SMS, eine Bildnachricht oder eine E-Mail, über die der Angreifer einen Trojaner in mein Betriebssystem schleust. Letzteres war der Fall, als ein Aktivist aus den Vereinigten Arabischen Emiraten kürzlich eine SMS mit verdächtigen Links bekam. Das Spionageprogramm »Pegasus«, das kanadische Sicherheitsforscher daraufhin ausfindig machen konnten, greift sämtliche Informationen auf einem iPhone ab. Anrufe, SMS, Aufenthaltsorte, Kontakte, E-Mails, Passwörter, Daten von WhatsApp, Facebook und so weiter. Alles. Kürzlich wurden Preislisten der israelischen Firma NSO Group öffentlich, die »Pegasus« an Regierungen vertreibt: Zehn iPhone-Nutzer auszuspähen kostet 650 000 Dollar plus einmaliger Einrichtungsgebühr von 500 000 Dollar, ab zwanzig Nutzern gibt es Mengenrabatt. Das Ausspähen von Bürgern ist mittlerweile ein Milliardengeschäft, an dem weltweit Hunderte Firmen verdienen. Global Player wie FinFisher aus München oder Hacking Team aus Mailand, die Spähtrojaner an Dutzende Regierungen von Äthiopien bis Usbekistan exportieren. Hacking Team prahlt in einem Werbevideo: »Hunderttausende Ziele, alle überwacht von einem Ort. Genau das können wir.« Der größte Kunde des Unternehmens ist die Regierung von Mexiko. Dort, erzählt mir eine Anwältin derDatenschutz-NGO Electronic Frontier Foundation später, würden nicht nur Geheimdienste und Polizei die Spionagesoftware nutzen, sondern auch staatliche Ölfirmen, die ihre Konkurrenz ausspähen, oder Provinzgouverneure, die politische Gegner ausschalten wollen. Deutschland belegt in einem neuen Ranking derLänder mit den meisten kommerziellen Überwachungstechnikherstellern Platz vier, hinter den USA, Großbritannien und Frankreich.

Darüber hinaus entwickeln die großen Geheimdienste, also Länder wie die USA, Großbritannien, China, Russ

land und Israel, ihre eigene Spionagesoftware. »Ab einem Budget von zehn Millionen kannst du eigentlich alles machen«, sagt Karsten Nohl. Laut Snowden verfügt die NSA über ein Jahresbudget von zehn Milliarden Dollar. »Es ist davon auszugehen, dass es viele Programme gibt, die noch nicht eingesetzt wurden und von denen keiner weiß.« Mehrere Tage lang untersucht ein Mitarbeiter von Karsten Nohl mein iPhone. In einem zweiten Schritt will er einen sogenannten Jailbreak überspielen. Ein Jailbreak bricht das Sicherheitskorsett des iPhones auf und ermöglicht unter anderem, eventuelle Änderungen im Betriebssystem genauer unter die Lupe zu nehmen. In diesem Moment stürzt mein iPhone ab. DerBildschirm wird schwarz. Dann blau. Und wieder schwarz. Der leuchtende Apfel erscheint. Schwarz. Blau. Apfel. Schwarz.

Was heißt das? Puh. Halb wirkt Nohl enttäuscht, halb angefixt. Eine mögliche Erklärung sei: Das, was mein iPhone manipuliert hat, hat den Jailbreak verhindert. Der Jailbreak wäre dazu da, um es zu untersuchen. Die Manipulationssoftware in meinem iPhone will das aber nicht. Das grundsätzliche Problem: Alles bleibt im Bereich des Möglichen. Nichts ist ausgeschlossen. Oder wie Edward Snowden kürzlich in einem Vice-Interview gesagt hat: »Sollte dein Handy gehackt sein, ist das Erschreckendste daran die Tatsache, dass du es womöglich nie wissen wirst.« Willkommen im Land der Verschwörungstheoretiker. Hallo, Ohnmacht.

Was schließen die Leute daraus? Ziemlich wenig. Trotz des Wissens um Snowdens NSA-Enthüllungen haben die wenigsten Amerikaner ihr Surfverhalten geändert, bele

gen Umfragen des US-Thinktanks Pew. Dafür betreiben sie öfter Selbstzensur: Laut einer Oxford-Studie ist die Zahl der Wikipedia-Aufrufe zu Einträgen wie »Taliban«, »Al Qaida« und »Autobombe« seit 2013 um zwanzig Prozent gesunken – viele Nutzer haben offenbar Angst, allein das Nachschlagen der Begriffe könne sie verdächtig machen.

Die Folgen der zersetzenden Kraft des Misstrauens für freies Denken und Demokratie werden seit Jahren diskutiert. In Deutschland warnt der Soziologe und Bestsellerautor Harald Welzer vor den Gefahren einer »Smarten Diktatur« und ruft zum digitalen Widerstand auf. Mit mäßigem Erfolg: »Meine Aufrufe verhallen weitgehend ungehört«, sagt er resigniert am Telefon. Wie viel Komfort und Produktivitätsgewinn sind wir bereit zu erkaufen für den Preis, dass wir anderen die Kontrolle über unsere Informationen überlassen? »Womöglich werden die meisten Menschen die Frage erst ernstnehmen, wenn es schon zu spät ist«, meint Welzer. Oder sie reagieren mit Fatalismus. In China, wo ich die letzten Jahren gelebt habe, ist die digitale Diktatur längst Realität. Auf meine Frage, ob er seine Kommunikation verschlüsselt, reagiert ein Freund aus Peking, ein Schriftsteller, fast genervt: »Was soll das schon bringen?«

Sich gänzlich unsichtbar durch unsere digitale Gegenwart zu bewegen, funktioniert ohnehin nicht, sagt Karsten Nohl. Nicht durch das Benutzen alter Nokia-Handys, nicht durch VPN-Programme, nicht durch das Anonymisierungsnetzwerk TOR. »Selbst wenn du all das tätest: Du würdest immer noch dieselben Webseiten besuchen, dieselben Leute anrufen, sie anschreiben, in derselben Sprache, mit derselben Schreibgeschwin

digkeit. Wenn du ein Drogennetzwerk im Darknet betreiben würdest, könntest du vielleicht anonym bleiben. Aber nicht, wenn du im Netz die Dinge tust, die dich als Person charakterisieren.« Mein iPhone ist inzwischen klinisch tot. Jeder Neustart, jede Rettungsmaßnahme ist gescheitert. Letzter Versuch: die Pressestelle von Apple. Man tue alles für die Sicherheit der Kunden, beteuert der Sprecher und schlägt vor, das Gerät zu firmeneigenen Forensikern nach Irland zu schicken. Können seine Kollegen denn zweifelsfrei feststellen, ob sich ein Programm eingeschlichen hat? Ja, sogar mit Sicherheit, sagt der Sprecher. Zwei Tage später rudert er zurück. Apple sei keine Ermittlungsbehörde, wenn da jeder käme, derAufwand stehe in keinem Verhältnis, ich würde ja auch nicht zu Siemens gehen, wenn meine Festnetzleitung abgehört werden würde. Versuchen Sie es mal bei der Polizei. Das trostlose Fazit meiner Suche: Die Einzigen, die von sich behaupten, für Klarheit sorgen zu können, arbeiten auch nicht gerade transparent.

Mein Begleiter, der mit mir in Peking war, hat sein vermeintlich infiziertes iPhone weiterverkauft. Sein neues hat er mit dem alten Back-up überspielt. Ehrlich gesagt habe ich das auch mit meinem neuen Handy getan. Mein digitales Selbst zu verschrotten, das wäre doch verrückt.