Eine Person wird vom belarussischen Geheimdienst KGB verhört und muss dabei ihr Handy abgeben. Am nächsten Tag meldet das Antivirensystem des Smartphones eine verdächtige App. Die Person löscht sie, aber ahnt nicht, dass sie eine weitere Spionage-App auf ihrem Gerät hat. Diese App hat Zugriff auf Mikrofon und Kamera; sie ermöglicht es, in verschlüsselten Messengern, SMS und E-Mails mitzulesen, Telefonate mitzuhören und aufzuzeichnen sowie den Standort zu überwachen. Man kann sogar das gesamte Smartphone aus der Ferne löschen, wenn man will. Die Kontrolle über diese App hat: der belarussische Geheimdienst. Dieser Fall ist kein hypothetisches Beispiel. Er ist tatsächlich so passiert. Das berichtet die Journalismusorganisation Reporter ohne Grenzen. Die oben beschriebene Person wird in Belarus verfolgt. Um sie zu schützen, nennt dieser Text weder ihren Namen noch ihr Geschlecht. Nur so viel: Es handelt sich um eine Person, die im Journalismus arbeitet. Diese Person wandte sich einige Zeit nach dem Verhör beim KGB an die osteuropäische NGO Resident. Die wiederum untersuchte gemeinsam mit dem Team des Digital Security Lab von Reporter ohne Grenzen das Smartphone. Dabei entdeckten sie die zweite, bis dahin unerkannt gebliebene Spionage-App. Die Analyse ergab, dass es sich um eine ausgeklügelte Schadsoftware handelt, die wohl bereits seit 2021 gegen Oppositionelle eingesetzt wird und bisher unbekannt war. Die Analyse lag der ZEIT vorab vor. "Die App gibt dem Geheimdienst einen weitreichenden Zugriff auf das Smartphone der betroffenen Person", sagt Janik Besendorf, IT-Sicherheitsexperte beim Digital Security Lab. "Der Fall zeigt, wie massiv in die Privatsphäre von Journalistinnen und Journalisten eingegriffen werden kann." Das Risiko für Journalistinnen und Oppositionelle in Belarus ist hoch. Laut Reporter ohne Grenzen befinden sich mehr als 30 Journalisten in Haft; immer wieder wird über Folter berichtet, viele sind im Exil. Diejenigen, die weiterhin aus Belarus berichten, tun dies meist anonym und unter hohem persönlichen Risiko. Das Bekanntwerden der Schadsoftware erfolgt, wenige Tage nachdem Belarus 123 politische Gefangene freigelassen hat. Der aktuelle Fall verdeutlicht, dass auch diese weiterhin überwacht werden könnten. Erst kürzlich wurde ein Cyberangriff auf belarusische Aktivistinnen und Aktivisten im Exil aufgedeckt : Mutmaßlich staatliche Angreifer versuchten mittels gezielter Phishingangriffe, deren Accounts im verschlüsselten Messenger Signal zu übernehmen. Spionage muss nicht mehr (so) teuer sein Der Fund zeigt auch einen neuen Trend bei staatlicher Überwachung. Bisher setzten Staaten oft auf spezialisierte Spionagesoftware. Das bekannteste Beispiel ist die Anwendung Pegasus , mit der zum Beispiel das Umfeld des ermordeten Journalisten Jamal Khashoggi ausspioniert worden sein soll. Diese Art Software lauert auf Sicherheitslücken in Smartphone-Betriebssystemen wie Android und iOS und nutzt sie dann aus. Das geht auch aus der Ferne, zum Beispiel über Textnachrichten mit Schadcode. Doch diese Art von Spionagesoftware ist teuer. Deshalb nutzen Regime heute verstärkt die Möglichkeit, die ein physischer Zugriff auf das Gerät bietet. Soll heißen: Sie nehmen es an sich und spielen gezielt Spionagesoftware drauf. Zuletzt hatte die Nichtregierungsorganisation Amnesty International eine Spionagesoftware des serbischen Geheimdienstes enttarnt , mit der Journalistinnen und Aktivisten überwacht wurden. Sicherheitsforscher fanden ähnliche Ansätze russischer und chinesischer Behörden, die sowohl Oppositionelle als auch reisende Geschäftsleute überwachen. In allen Fällen hatten die Behörden Verhöre oder andere Gelegenheiten genutzt, um die Geräte zu manipulieren. Auch in dem oben beschriebenen Fall machte sich das KGB zunutze, dass das Smartphone in Reichweite war, sagt Besendorf: Die betroffene Person sei für eine Befragung beim KGB gewesen und habe ihr Handy abgeben müssen. "Die Installation der App fällt genau in diesen Zeitraum, das konnten wir in der Analyse sehen." Die Untersuchung des Handys zeigt, dass der Geheimdienst zunächst einige Sicherheitsmaßnahmen des Android-Betriebssystems ausschaltete. Dazu zählte zum Beispiel Google Play Protect, ein Sicherheitsservice vom Android-Hersteller Google, der Apps automatisiert auf Schadsoftware prüft. So ein Dienst hätte möglicherweise vor den weitgehenden Berechtigungen der beiden Spionage-Apps gewarnt oder diese eingeschränkt. Stattdessen konnten sich die Apps zunächst als legitime Systemdienste tarnen, die entsprechende Zugriffe und Freigaben benötigten. Wieso es überhaupt zwei Apps gab und wieso eine nicht entdeckt wurde, ist unklar. Möglicherweise habe der Virenscanner die vielen Berechtigungen der einen App als verdächtig eingestuft, sagt Besendorf. Klar ist, dass beide Apps bis dato nicht bekannt waren – denn sonst wären beide wohl entdeckt worden.