Aikos Ex-Partner verwanzt ihr Handy. Er kann sehen, was sie liest, was sie tippt, wo sie ist. Er lauert ihr immer wieder auf und verfolgt sie bis nach China. Dieser Fall zeigt, wie invasiv und bedrohlich frei verfügbare Spionage-Apps sind.

Seit ihrer Trennung ist Aiko eine vorsichtige Frau geworden. Bevor sie ihren Wohnblock verlässt, wartet sie still im Eingangsbereich. Dort gibt es mehrere Türen mit Glaseinsätzen. Sie versucht zu erkennen, ob draußen jemand ist. Es könnte ja sein, dass Tom ihr wieder auflauert. Er hat schon oft auf sie gewartet oder sie auf der Straße abgefangen. Er hat sich ihr von hinten genähert und sie festgehalten. Sie sagt, Tom wollte immer wieder reden, reden, reden, über ihre Beziehung, obwohl Aiko diese schon vor Jahren beendet hat.

Um Tom zu entkommen, hat Aiko ihn wiederholt angezeigt, ein Annäherungsverbot erwirkt, eine Auskunftssperre bei den Meldebehörden hinterlegen lassen, sie ist in eine neue Stadt gezogen. Doch Tom taucht immer wieder auf. Auch an diesem Tag im Sommer 2025 steht er vor der Tür. Aiko kann das Haus nicht verlassen, ohne sich mit ihm auseinanderzusetzen. Sie ruft die Polizei – wie schon so oft.

Diese Geschichte ist eine von Gewalt. Es geht um Macht und Kontrolle und um eine Spionage-App, die jede*r mit wenigen Klicks im Netz ordern kann und mit der Menschen illegal ihre (Ex-)Partner*innen ausspähen. Jede 100. Frau wurde in den vergangenen fünf Jahren mit digitalen Mitteln gestalkt, so das Bundeskriminalamt. Aiko ist eine der Betroffenen. Mit ihrer Geschichte wird in Deutschland erstmals ein Fall öffentlich, in dem nachgewiesenermaßen eine Spionage-App als Mittel der Partnerschaftsgewalt eingesetzt wurde. Nach der Trennung installierte Tom diese auf Aikos Telefon.

Über ein Browser-Interface konnte Tom sehen, wo Aiko gerade unterwegs war, und lesen, was sie tippte. Er konnte ihre Passwörter abgreifen, ihre Chatnachrichten und E-Mails, die Anrufliste, die Kontakte, den Kalender, die Bilder und Videos, den Browser-Verlauf. Er drang tief in ihr digitales und analoges Leben ein.

Ein paar Minuten allein mit Aikos Handy

Um sie zu schützen, haben sie und Tom hier andere Namen. netzpolitik.org hat mit Aiko gesprochen und Menschen aus ihrem Umfeld befragt. Zahlreiche Dokumente und geleakte Daten aus dem Kundendienst der Spionage-App mSpy bestätigen ihre Schilderungen. Eine forensische Analyse von Aikos Telefon, die ein IT-Sicherheitsexperte für netzpolitik.org durchgeführt hat, belegt zudem, dass das Gerät mit mSpy infiziert ist.

Um mSpy zu installieren, muss man das Zieltelefon für ein paar Minuten in der Hand halten. Tom hatte, so Aiko, viele Gelegenheiten, bei denen er allein mit ihrem Telefon war.

netzpolitik.org hat Tom mit den in diesem Text geschilderten Geschehnissen und Aikos Vorwürfen konfrontiert. Einen großen Teil davon hat er bereits in Gerichtsverfahren eingeräumt. Gegenüber netzpolitik.org erklärt er nur, dass ihm zu vielen der geschilderten Punkte Belege vorlägen, die eine „deutlich andere Sicht auf die Geschehnisse zulassen“. Im Einzelnen will er sich nicht äußern und verweist auf zwei noch laufende Berufungsverfahren.

„Ich dachte, er ist ein aufrichtig guter Mensch“

Die Geschichte von Tom und Aiko beginnt Anfang 2021. Sie treffen sich auf der Dating-Plattform Bumble. Tom ist Nachwuchsregisseur, in Interviews wirkt er eloquent, zu öffentlichen Anlässen trägt er einen schmal geschnittenen Anzug. Seine Agentur schreibt über ihn, dass er mit seiner Arbeit Menschen sichtbar machen wolle, die sonst nicht gesehen würden. Auch Aiko arbeitet in einem kreativen Beruf. In ihrer Freizeit geht sie gerne ins Kino oder reist mit Freundinnen zu Kunstausstellungen.

Laut Aiko verband sie und Tom das Interesse für Kunst, Filme und Design. „Ich dachte, dass er die gleichen humanistischen Werte hat wie ich, dass er ein Idealist ist, ein aufrichtig guter Mensch“, sagt Aiko heute. Sie spricht leise, sucht nach den richtigen Worten. Immer wieder hebt sie fragend den Blick, als müsse sie die Erlaubnis zum Sprechen erst einholen.

Von August 2021 bis Mai 2022 sind Tom und Aiko ein Paar. Dann habe sie entdeckt, dass Tom mit vielen anderen Frauen Kontakt hat, sagt Aiko. Sie habe Sexvideos auf einem Datenträger gefunden. Eines, das sie mit ihm gemacht habe, sieben weitere von ihm und anderen Frauen. Sie sagt, sie habe Schluss gemacht, Tom auf mehreren Messengern blockiert. Doch er habe immer wieder im Treppenhaus gestanden. Mehrere Male habe sie zugelassen, dass er in ihre Wohnung kommt. „Ich wollte extrem von ihm weg. Aber ich bin nicht weggekommen“, sagt Aiko.

Wegen dem, was dann folgt, zeigt Aiko Tom an. Die Staatsanwaltschaft fasst Aikos Schilderungen so zusammen: „Der Beschuldigte soll seine Lebensgefährtin mehrfach auf ein Bett gedrückt, ihr mit der erhobenen Faust gedroht und mit der Faust ein Loch in eine Tür geschlagen haben.“ Zu einer anderen Gelegenheit habe er Aiko, „die zwischenzeitlich ins Badezimmer gegangen war, um von dort die Polizei zu verständigen, ihr Mobiltelefon abgenommen. Als sie in der Folge anfing zu schreien und aus dem Fenster um Hilfe zu rufen, soll der Beschuldigte ihr die Hand auf den Mund gedrückt und sie vom Fenster weggezogen haben.“

Die Staatsanwaltschaft hat keine Anklage erhoben. Sie sah kein öffentliches Interesse an der Strafverfolgung.

Nachrichten an den mSpy-Kundendienst

Am 10. Januar 2023 schickt jemand von dem E-Mail-Account, den Toms Filmhochschule für ihn damals bereitstellt, eine Nachricht an den Kundendienst der Spionage-App mSpy. Dieser Mensch schreibt, er habe ein Problem: Er sehe zwar wie gewünscht den Standort des Zieltelefons, aber es übermittele nicht mehr, was darauf getippt wird.

Auf der Suche nach einer Lösung bombardiert er den Kundendienst mit dutzenden Nachrichten. Dieser rät dazu, eine Nachricht mit dem Inhalt „1000000“ an das Zieltelefon zu senden, um die App neu zu starten. Der Kunde präsentiert einen Entwurf.

aiko rede bitte mit mir anstatt mich zu blocken zum 1000000 mal. bitte aiko. das zerstört mich so sehr.

Später nennt er das Modell des Telefons, das er überwachen will. Es ist das Modell, das Aiko nutzt. MSpy hat auf Nachfragen zum Fall nicht reagiert.

Die Nachrichten sind öffentlich, nachzulesen in einem Datensatz, mit dem Millionen von Chats im Netz landeten, die Nutzer*innen mit dem Kundendienst der Spionage-App geführt haben. Die Plattform Distributed Denial of Secrets hat den Datensatz im Juni 2024 veröffentlicht. Die Hackerin maia arson crimew gibt an, dass ihr das Paket von einer anonymen Quelle zugespielt wurde.

Von Anfang 2023 bis zum Juni 2024 kontaktiert demnach jemand von Toms E-Mail-Account aus den Support mit einer gut dreistelligen Zahl von Nachrichten. Dieser Mensch hat anscheinend mehrfach physischen Zugriff auf das Zieltelefon und installiert mSpy nach Ausfällen wiederholt neu. Er will mSpy mehrere Male kündigen, weil Funktionen ausfallen, und bucht den Service dann doch wieder.

Jahre später wird Tom wegen Nachstellung mit Hilfe einer Software vor Gericht stehen. Dabei gibt er zu, dass er die App am 28. April 2024 installiert hat und damit bis zum 24. November Zugriff auf Aikos Handydaten hatte. Laut den Nachrichten könnte er Aiko aber wesentlich länger mit der App überwacht haben, bereits ab Anfang 2023.

Für Stalking mit Spionage-Apps gibt es bis zu fünf Jahre Haft

Als mSpy vor mehr als 15 Jahren auf den Markt kam, wurde die App noch offen als Instrument für Partnerschaftsgewalt vermarktet. Später stellte das Unternehmen seine Marketing-Botschaften um.

mSpy ist laut eigenen Angaben inzwischen eine App für Eltern, die damit die Geräte ihrer Kinder überwachen – das kann in Deutschland unter Umständen legal sein, auch ohne Zustimmung. Wer hingegen andere Erwachsene heimlich überwacht, handelt eindeutig strafbar: Ausspähen von Daten, womöglich Nachstellung, Verletzung der Vertraulichkeit des Wortes oder des höchstpersönlichen Lebensbereichs durch Bildaufnahmen. Dafür können mehrere Jahre Haft drohen.

Wer ein Spionage-Tool einsetzt, begeht zudem einen besonders schweren Fall von Nachstellung, strafbewehrt mit mindestens drei Monaten und bis zu fünf Jahre Haft. Verschärfend wirkt ebenfalls, wenn die Nachstellung über einen Zeitraum von mehr als sechs Monaten abläuft oder das Opfer gesundheitlich beeinträchtigt wird. Beides trifft im Fall von Aiko zu.

Der Mensch, der von Toms Account dem mSpy-Kundendienst schreibt, gibt an, mit der App seinen Sohn überwachen zu wollen. Tom hat keine Kinder. Frühere Recherchen zeigten: Andere Anwender*innen von mSpy gaben offen zu, dass sie Partner- oder Ex-Partner*innen ausspionieren wollten. Der Kundendienst half ihnen trotzdem weiter.

Kundenservice gibt Tipps für Straftaten

Keine Kraft mehr, sich zu wehren

Auch 2023, da sind Aiko und Tom bald ein Jahr getrennt, taucht Tom laut Aiko immer wieder vor ihrer Wohnung auf und begegnet ihr auch anderswo. „Wenn ich raus bin, hat er mich abgefangen“, sagt Aiko. Sie fährt zu einer Hochzeit, er sitzt im gleichen Zug. Sie will ins Kino, er steht davor. Das geht aus einer eidesstattlichen Versicherung von Aiko hervor, auf deren Basis ein Gericht später ein Kontaktverbot für Tom verhängt.

Aiko zieht sich in dieser Zeit von Familie und Freund*innen zurück. Sie reagiert monatelang nicht auf Nachrichten und Anrufe, berichten ihre Freund*innen. „Ich hatte Angst vor dem Handy“, sagt Aiko. Eine enge Freundin fährt aus Sorge zu Aikos Wohnung.

Die Freundin ist Ärztin in einer psychiatrischen Fachklinik. In einer Stellungnahme schreibt sie, Aiko habe ihr geöffnet und gesagt, Tom sei da und würde gegen ihren Willen bei ihr wohnen, sie habe keine Kraft mehr, sich zu wehren. Aiko bestätigt die Darstellung gegenüber netzpolitik.org.

Aiko und die Freundin sollen Tom gebeten haben, zu gehen. Dieser soll erwidert haben, Aiko wolle doch gar nicht, dass er gehe, er liebe sie, außerdem müsse er noch Wäsche waschen. Die Freundin soll ihn schließlich dazu gebracht haben, die Waschmaschine auszuräumen und die Wohnung zu verlassen.

Insgesamt elf Mal sucht Aiko eine Opfer- und Traumaambulanz auf, während Tom sie stalkt. Diagnose: posttraumatische Belastungsstörung, depressive Episode, panikartige Angstzustände, emotionale Labilität, Einschlafstörungen und wiederkehrende Albträume, Schamgefühle, reduziertes Selbstwertgefühl, sozialer Rückzug, Auflösungswünsche.

„Ein spontaner Rückgang ihrer hohen Symptombelastung ist unter der gegenwärtigen Hochstresssituation nicht zu erwarten“, so die Hilfseinrichtung. Aiko meldet sich immer wieder auf der Arbeit krank.

Er verfolgt sie bis nach China

Ende 2023: Aiko bucht einen Flug nach Shanghai, in die größte Stadt Chinas. Sie sagt, sie habe möglichst weit weg gewollt. Als sie ins Flugzeug steigen will, steht Tom mit ihr in der Boarding-Schlange.

„Ich dachte, das kann doch nicht sein“, sagt Aiko. Sie zweifelt an ihrer Wahrnehmung, kann sich nicht erklären, wie Tom sie gefunden hat. „Dass es so etwas wie mSpy gibt, wusste ich nicht“, sagt Aiko. Sie fügt sich. „Ich dachte, am besten lasse ich es über mich ergehen. Alles ist besser als wieder Polizei und eskalieren und ich verpasse meinen Flug.“

Aiko fasst die Reise so zusammen: Nach der Landung soll Tom mit ihr ins Hotel-Shuttle gestiegen sein, sich ein Zimmer in ihrer Unterkunft genommen haben. Um ihm zu entkommen, sei sie mit dem Taxi zurück zum Flughafen gefahren. Auch dort sei er aufgetaucht. Sie sei noch zwei Mal in neue Hotels geflüchtet, er habe sie jedes Mal gefunden. Er soll geweint haben und gesagt, er habe alle Hotels nach ihr abgesucht.

Irgendwann platzt Aiko der Kragen. „Ich habe gesagt, dass er sich verpissen soll. Ihn gefragt, ob er nicht checkt, dass ich hier bin, weil ich vor ihm fliehen will.“ Tom habe China nach rund 14 Tagen verlassen, Aiko bleibt eine weitere Woche.

Aiko sagt, dass Tom kurz nach Weihnachten bei ihren Eltern vor der Tür stand. „Ich habe hier auf dich gewartet“, soll er gesagt haben. Als sie zurück zu ihrem Wohnort fährt, soll er wieder im gleichen Zug mit ihr gesessen haben.

Die Überwachungs-Industrie

Fachleute aus Beratungsstellen, Forschung und Politik bezeichnen die Überwachung mit Spionage-Apps als digitale Gewalt, weil sie mit elektronischen Mitteln tief in die Selbstbestimmung eingreift. Programme wie mSpy nennen sie Stalkerware: Software für Stalking.

mSpy ist dabei nur eines der Produkte auf diesem Markt. IT-Sicherheitsforscher*innen sprechen von einer ganzen Industrie. Neben Spionage-Apps zählen auch GPS-Tracker oder Ortungs-Tags zu den Werkzeugen, auf die Täter*innen zugreifen.

Besonders häufig kommen Spionage-Apps in Partnerschaften und Familien zum Einsatz. Denn um sie zu installieren, brauchen die Täter*innen in der Regel einige Minuten ungestörten physischen Zugang zum Zieltelefon und den Entsperrcode des Geräts. Je näher sie einer Person stehen, desto eher haben sie beides.

Hinter mSpy steckt ein schwer zugängliches Firmengeflecht, beworben wird die Spionage-App über ein Netz von Unternehmen, die daran mitverdienen. Der Abo-Preis hängt von Buchungsdauer, Rabatten und gewünschtem Funktionsumfang ab und kann schnell 100 Euro pro Jahr übersteigen.

„Ich dachte, ich komme da nie wieder raus“

Immer wieder ruft Aiko in den Jahren, in denen Tom sie verfolgt, die Polizei zu Hilfe, zeigt Tom an. Anfang 2024 wird ein Verfahren wegen Nachstellung eingestellt. Es sei nicht „mit hinreichender Wahrscheinlichkeit nachzuweisen“, dass Aiko den Kontakt nicht gewollt habe, schreibt die Staatsanwaltschaft. Tom soll der Polizei gesagt haben, sie seien noch zusammen und Bilder gezeigt haben, auf denen er mit Aiko zu sehen war. Aiko sagt: „Ich dachte, ich komme da nie wieder raus.“

Im März 2024 schreibt jemand von Toms E-Mail-Adresse aus mehrfach an den mSpy-Kundendienst, weil bestimmte Funktionen der App ausfallen. Als der Kontakt zu Aikos Telefon für eine Weile scheinbar ganz verloren geht, fragt die Person: „can someone please help“, zig Nachrichten später: „I have to know what’s going on“.

Am 28. April um 11:08 Uhr wird die Spionage-App auf Aikos Telefon neu installiert. Wenige Minuten zuvor fragt jemand von Toms E-Mail-Adresse aus den Kundendienst, wie man mSpy installiert und bekommt eine Anleitung zugesendet. Die Nachrichten an den Kundendienst werden laut Chatprotokoll aus der Stadt verschickt, in der Aiko wohnt.

Am Tag davor klingelt Tom bei Aiko. Sie sagt, er habe geweint und gesagt, er habe keinen Schlafplatz und kein Geld und wolle nur eine Nacht bleiben. Aiko lässt ihn entgegen ihrer Vorsätze wieder in die Wohnung. Heute vermutet sie, dass er ihr Entsperrmuster kannte und mSpy installierte, während sie gerade nicht im Raum war.

Was an diesem Tag mit Aikos Telefon geschah, hinterließ Spuren auf dem Gerät. Aus einer forensischen Analyse, die netzpolitik.org bei einem unabhängigen IT-Sicherheits-Experten in Auftrag gab, geht hervor, wie sich das Geschehen vermutlich zugetragen hat: Tom installiert die App und deaktiviert dafür Sicherheitsfunktionen auf dem Handy, tippt einen Registrierungscode ein und schickt dann mit Aikos Handy eine WhatsApp-Nachricht an seine eigene Nummer:

Test Oh Keykoffer funktioniert bitte funktionieren.

K und L, sowie F und G liegen auf der Tastatur nebeneinander, vermutlich wollte Tom in Eile „Keylogger“ tippen. Ein Keylogger erfasst alle Anschläge auf der Tastatur und damit auch Passwörter, Nachrichten und Suchbegriffe, mSpy bietet diese Funktion.

Ein deutlicher Anstieg der Fälle

Wie viele Menschen andere mit Spionage-Apps ausspionieren, weiß niemand. Das Bundeskriminalamt erfasst entsprechende Anzeigen nicht gesondert. Sie fallen in die Rubrik digitale Gewalt, zusammen mit Videoaufnahmen in Umkleiden und sexualisierten Deepfakes beispielsweise. 2023 wurden laut Bundeskriminalamt 17.193 Fälle von digitaler Gewalt gegen Mädchen und Frauen von der Polizei bearbeitet.

Vor wenigen Tagen veröffentlichte das BKA eine Dunkelfeldstudie, für die Menschen zu ihren Gewalterfahrungen befragt wurden. Etwa jede 45. der befragten Frauen gab an, innerhalb der vergangenen fünf Jahre von einem Partner oder Ex-Partner gestalkt worden zu sein. Eine von hundert sagte, dass dies auch mit digitalen Mitteln geschah. Weniger als jede zehnte Frau zeigte die Taten an.

Von einem deutlichen Anstieg der Fälle von digitalem Stalking berichten Fachberatungsstellen für digitale Gewalt und der Bundesverband Frauenberatungsstellen und Frauennotrufe. Cordelia Moore, die lange in einer Frauenberatungsstelle zu digitaler Gewalt gearbeitet hat und heute Organisationen zum Thema berät, sagt: „In Stalkingfällen ist Cyberstalking inzwischen keine Ausnahme, sondern der Standard.“

Die Bundesregierung will den Anbietern von Spionage-Apps vorschreiben, regelmäßig das Einverständnis der Geräte-Besitzer*innen einzuholen, so steht es im Koalitionsvertrag. Eine heimliche Überwachung wie im Fall von Aikos Telefon wäre damit nicht mehr möglich – zumindest wenn sich die App-Anbieter daran halten.

Das Justizministerium des Bundes schreibt auf Anfrage, die Umsetzung werde gerade geprüft, man stehe dazu mit dem Innen- und dem Digitalministerium in Kontakt. Allerdings sitzen die Anbieter der App nicht in Deutschland, womöglich nicht einmal in der EU. Es ist unklar, welche Auswirkungen ein deutscher Alleingang hätte.

„Viel zu wenige wissen, dass es solche Tools gibt“

„Von Panikattacken gequält“

33 Fälle von verbotener Nachstellung gibt Aiko von Mai bis Dezember 2024 bei der Polizei zu Protokoll. Tom steht immer wieder vor ihrem Haus, fängt sie vor dem Kino und am Bahnhof ab, sitzt im gleichen Zug mit ihr, hält sie fest und will mit ihr sprechen. Er ruft mit unterdrückter Nummer immer wieder an, schickt ihr WhatsApp-Nachrichten.

Wieder bricht Aiko den Kontakt zu Freund*innen ab. Die Freundin, die im vergangenen Jahr Tom aus Aikos Wohnung verjagte, gibt sie nicht auf und fährt wieder zu ihr. In ihrer Stellungnahme heißt es:

Ich fand sie in ihrer Wohnung auf dem Sofa liegend vor, die Wohnung war vollständig abgedunkelt, (Aiko) war in einem verwahrlosten Zustand, von Panikattacken gequält und konnte zunächst kaum berichten, was sich in der letzten Zeit zugetragen hatte. Sie hatte mehrere Tage nichts gegessen, aus Angst, die Wohnung zu verlassen.

Mehr als ein Jahr später wird Tom für diese Taten von der Staatsanwaltschaft wegen Nachstellung angeklagt. Er wird ein umfassendes Geständnis ablegen, eine Richterin wird ihn zu mehr als einem Jahr Gefängnis ohne Bewährung verurteilen. Dieses Urteil ist noch nicht rechtskräftig.

„Stalking ist eine Machtdemonstration“

Michaela Burkard vom Bundesverband Frauenberatungsstellen und Frauennotrufe sagt: „Stalking ist eine Machtdemonstration, die der betroffenen Person signalisiert, dass sie sich nicht entziehen kann.“ Mit Hilfe von digitalen Werkzeugen, die den Standort übermitteln, sei eine derartige Machtdemonstration noch einfacher geworden.

„Kontrolle und Stalking treten vor allem dann auf, wenn der gewaltausübende, meist männliche Part einen Machtverlust verhindern will“, sagt Burkard. Eingebettet sei das Stalking in eine patriarchale Gesellschaft, in der Macht in heterosexuellen Beziehungen oft ungleich verteilt ist.

Typisch an dem Fall von Aiko, sagt Burkard, sei das Ineinandergreifen von analogem und digitalem Stalking. „Digitale geschlechtsspezifische Gewalt ist eine Fortsetzung bereits bestehender Gewaltverhältnisse, sie taucht selten isoliert auf“, sagt sie.

Am 10. Juni 2024 erlässt das Amtsgericht ihres Wohnortes auf Aikos Betreiben eine einstweilige Anordnung gegen Tom. Sechs Monate lang muss er mindestens 50 Meter Abstand von ihrer Wohnung halten, darf auch ihren Arbeitsplatz und die Wohnung der Eltern nicht aufsuchen oder anderweitig, beispielsweise per Anruf, Sprach- oder Textnachricht, Kontakt mit ihr aufnehmen. Bei Zufallstreffen hat er sich sofort zu entfernen. Die Anordnung wird später immer weiter verlängert werden. Die Dokumente dazu liegen netzpolitik.org vor.

Obwohl es Tom nun verboten ist, sich Aiko zu nähern, fängt er sie über den darauf folgenden Sommer vier Mal in Seitenstraßen ihrer Wohnung ab. Er rennt auf sie zu und hält sie fest. Er schreibt unzählige Nachrichten und versucht dutzende Male, sie anzurufen.

Das Amtsgericht ihres Wohnortes verurteilt Tom Ende September zu 800 Euro Ordnungsgeld. Er hört dennoch nicht auf. Im Oktober fordert das Gericht weitere 400 Euro. Wieder lässt er sich nicht davon beeindrucken. Tom wird vorläufig festgenommen. Als er wieder frei ist, schreibt er Aiko: „gib mir nur ein Zeichen, sonst muss ich wiederkommen“.

Die Spionage-App wird enttarnt

Dass die Spionage-App auf Aikos Smartphone entdeckt wird, ist nicht den Ermittlungen der Polizei zu verdanken. Von den Beamt*innen, mit denen Aiko sprach, sei keine*r auf die Idee gekommen, dass Tom Aikos Smartphone verwanzt haben könnte, dass Toms ständige Präsenz dort ihren Ursprung hat, sagt Aiko.

Am Ende ist es nicht die Polizei, sondern ein Freund, der ihr Klarheit bringt. „Als Aiko mir von dem Stalking erzählte, hatte ich schon eine Ahnung, wie das kommen könnte, dass Tom immer weiß, wo sie ist“, sagt Benjamin. Er ist Dozent für Informatik und weiß, dass es frei erhältliche Spionage-Software gibt.

Im November 2024 besucht er Aiko und untersucht ihr Telefon. Da ist mSpy noch aktiv. Nach wenigen Minuten findet er in der App-Übersicht ein Programm mit weitreichenden Berechtigungen. Es taucht auf dem Home-Bildschirm nicht auf und verbirgt sich hinter dem unscheinbaren Namen „Update service“. Aiko sagt, ihr sei diese App nicht bekannt gewesen. Die forensische Analyse, die der unabhängige IT-Sicherheitsexperte für netzpolitik.org durchführte, bestätigt, dass es sich dabei um mSpy handelt.

Vom Partner verwanzt

So hat die App sie ausspioniert

Im Download-Ordner von Aikos Handy liegt eine Installationsdatei für die Spionage-App. Sie wurde eine Minute vor der Installation der App „Update service“ heruntergeladen. Außerdem findet sich auf dem Telefon eine Datenbank, in die mSpy Informationen kopierte: Standortdaten, Browserverlauf, Kalender, Anruflisten, Fotos und Videos, SMS und E-Mails, Chats auf verschiedenen Plattformen sowie Mitschnitte der Tastatureingaben. Auch die Testnachricht, die während der Installation an Toms Nummer verschickt wurde, findet sich in den Daten. mSpy sendet derartige Informationen in eine Cloud, wo Kund*innen sie einsehen können – übersichtlich aufbereitet über ein Browser-Tool.

Die App habe fast alle Berechtigungen gehabt, sagt Benjamin, also nicht nur auf alle Telefoninhalte zugreifen können, sondern auch Dateien und Apps aus der Ferne löschen und installieren dürfen. Er kann dies mit Screenshots belegen. Sie zeigen auch, dass die App in den 24 Stunden vor dem Novemberabend, an dem Benjamin die App entdeckt, auf verschiedene Daten zugegriffen hatte, etwa auf den Standort, Anrufliste, Fotos und Videos, Kalender, Kontakte oder SMS.

Um den Datenabfluss zu unterbrechen, habe er die Berechtigungen noch in derselben Nacht aufgehoben, sagt Benjamin. Über viele Monate hatte Tom Zugang zu den Informationen, die mSpy über dieses Gerät erfasste, konnte sehen, wo Aiko sich befand. Jetzt ist es vorbei. Einen Monat später kauft Aiko sich ein neues Telefon.

Der Moment der Erkenntnis

Zu erfahren, dass Tom sie ausgespäht hatte, war „super erschütternd“, sagt Aiko. „Er wusste meine intimsten Gedanken, er wusste immer genau, wo ich war. Und er hat die ganze Zeit meine Realität manipuliert. Ich habe ja geglaubt, dass er überall auf mich wartet.“

Noch aus einem anderen Grund war die Erkenntnis für sie ein Schock. Kurz zuvor hatte Aiko beschlossen, die Stadt zu verlassen und nach Berlin zu ziehen, um Tom zu entkommen. Sie sagt, sie wollte ohne Angst auf die Straße gehen, normal leben. „Als ich verstanden habe, dass er all meine Kommunikation abgegriffen hat, ist mir auch klar geworden, dass er vermutlich weiß, wo ich hinziehe“, sagt sie.

In den Daten, die mSpy mitschnitt, findet sich eine E-Mail mit der Einladung zur Wohnungsbesichtigung. Dort liegen auch die Koordinaten ihrer neuen Wohnung, abgegriffen, als Aiko die Wohnung besichtigte.

Nachdem Benjamin die App gefunden hat, gehen er und Aiko noch in der gleichen Nacht zur Polizei. Die beiden sagen, auf der Wache habe Benjamin versucht, den Beamten die Spionage-App zu erklären, zunächst ohne Erfolg. Erst als Aiko ein Foto herumgezeigt habe, das ihr Vermieter von Tom gemacht hatte, habe ein Polizist gesagt: „Das sieht nach nem Hacker aus.“ Auf dem Foto steht Tom mit aufgeklapptem Laptop unter Aikos Fenster.

Michaela Burkard vom Bundesverband Frauenberatungsstellen und Frauennotrufe sagt: „Wichtig ist, dass alle Instanzen, die mit einer gewaltbetroffenen Person zu tun haben, Fachwissen und die nötige Sensibilität für digitale Gewalt haben.“ So sollte etwa die Polizei im Rahmen einer Risikoeinschätzung bei Partnerschaftsgewalt immer auch digitale Gewalt abfragen.

Das fehlt beim Schutz vor digitaler Gewalt

Die Polizei findet ihn in einem Gebüsch

Februar 2025. Vier Jahre ist es her, dass sich Aiko und Tom auf Bumble getroffen haben. Das Amtsgericht verhängt weitere 3.000 Euro Ordnungsgeld gegen Tom. Die vorhergehenden 1.200 Euro hat er noch nicht gezahlt. Vor Gericht gibt er später an, weitgehend mittellos zu sein.

Ende Februar zieht Aiko nach Berlin. Ungefähr zur gleichen Zeit zieht auch Tom dorthin. Er hat nun keinen Fernzugriff mehr auf ihr Telefon, trotzdem lauert er ihr immer wieder vor ihrem Wohnblock auf, in dessen Umgebung, an der S-Bahn. Einmal finden Polizist*innen, die zu ihrer Sicherheit vor Aikos Haus patrouillieren, Tom in einem Gebüsch. Die Szene beschreibt das Amtsgericht Tiergarten in einem Urteil, das später gegen Tom fällt.

Das Amtsgericht in Berlin-Tiergarten erwirkt einen Haftbefehl gegen Tom. Von Mai bis Juni sitzt er 27 Nächte in Untersuchungshaft. Er wird nur unter der Auflage entlassen, Berlin zu verlassen und sich Aiko nicht mehr zu nähern. Und doch steht er kurz darauf wieder vor ihrer Haustür. Es ist die eingangs geschilderte Szene. Aiko ruft die Polizei und Tom landet noch einmal für fast zwei Monate in Untersuchungshaft.

Am 24. September 2025 verurteilt das Amtsgericht Tiergarten Tom wegen Nachstellung zu sechs Monaten Haft auf Bewährung. Er gesteht die Vorwürfe, will das Urteil aber nicht akzeptieren und geht in Berufung. Das Verfahren läuft.

Das Ende?

Ende Januar 2026 steht Tom noch einmal vor Gericht, diesmal in der Stadt, in der er und Aiko zuvor gewohnt haben. Es geht um die Geschehnisse, die vor ihrem Umzug stattfanden. Und anders als in Berlin geht es diesmal auch um mSpy: In ihrer Anklageschrift wegen Nachstellung erwähnt die Staatsanwaltschaft auch eine Software, die Tom auf Aikos Handy installiert habe, um ihren Standort zu verfolgen und „gezielte Zusammenkünfte herbeizuführen“.

Während ihrer Aussage kommen Aiko immer wieder die Tränen. Sie spricht dennoch weiter.

Tom gesteht alle Vorwürfe. Er bekommt ein Jahr und vier Monate Haft, keine Bewährung. In ihrem Urteil spricht die Richterin von einer „sehr hohen kriminellen Energie“. Sie erwähnt die Spionage-Software, die Nachrichten an den Kundendienst. „Die Skrupellosigkeit, die Sie da an den Tag gelegt haben, das ist besonders und zeigt eine besondere Rücksichtslosigkeit.“

Das Urteil ist noch nicht rechtskräftig. Tom sagte bei einem Telefonat mit netzpolitik.org, dass er Berufung einlegen will. Aiko sagt, für sie sei es wichtig gewesen, dass ihre Realität anerkannt wurde. Befreit fühle sie sich aber nicht, sondern vor allem: erschöpft.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einer der bekanntesten US-Databroker wurde offenbar Ziel eines Hackerangriffs: Gravy Analytics. Es geht um gigantische Mengen von Standortdaten, gesammelt durch populäre Handy-Apps. Erste Ausschnitte der erbeuteten Daten halten Fachleute für authentisch.

Über viele Jahre lang war der US-Databroker Gravy Analytics dafür bekannt, massenhaft Daten von Handy-Nutzenden zu horten – ob die betroffenen Nutzer*innen das nun bewusst wollten oder nicht. Jetzt ist das eingetreten, wovor Fachleute immer gewarnt haben: Gravy Analytics hat offenbar die Kontrolle über seinen Datenschatz verloren.

Ein oder mehrere Hacker*innen behaupten, große Mengen sensibler Daten von Gravy Analytics erbeutet zu haben. Einen Ausschnitt davon haben sie bereits verbreitet. Es geht unter anderem um Standortdaten und Geräte-Kennungen (Mobile Advertising IDs) von Handy-Nutzenden weltweit. Sie drohen außerdem, die gesamten erbeuteten Daten zu veröffentlichen.

Für eine kurzfristige Presseanfrage war die Mutterfirma von Gravy Analytics, Unacast, nicht zu erreichen. Die Website von Gravy Analytics selbst ist am Donnerstagabend offline.

Was droht, wenn die Daten öffentlich werden? Wie ungewöhnlich ist der Vorfall? Und wer ist Gravy Analytics überhaupt? Die wichtigsten Fragen und Antworten.

• Was ist passiert?
• Was für Daten sind das?
• Warum ist das gefährlich?
• Was hat das mit den Databroker Files zu tun?
• Welche Zweifel sind angemessen?
• Wofür ist Gravy Analytics bekannt?
• Woher hat Gravy Analytics all die Daten?
• Was passiert als nächstes?

Was ist passiert?

Am 7. Januar berichtete das US-Medium 404 Media erstmals über den mutmaßlichen Hack von Gravy Analytics, verkündet in einem russischen Hackerforum. Die US-Firma Gravy Analytics hat sich aufs Sammeln und Auswerten von Standortdaten spezialisiert. Auch erste Ausschnitte aus den Daten erschienen im Netz.

Wenig später meldeten sich IT-Sicherheitsforscher zu Wort, die einen ersten Blick auf die Daten werfen konnten. Ihr Tenor ist eindeutig: Sie halten die Daten für authentisch. Gegenüber der Nachrichtenagentur Reuters sagte etwa Marley Smith von der IT-Sicherheitsfirma RedSense: „Es erscheint zu 100 Prozent stichhaltig“ (auf Englisch: „It passes the smell test 100 percent“).

Gegenüber 404 Media sagte der IT-Sicherheitsexperte Zach Edwards vom Unternehmen Silent Push: „Der Hack eines Standortdaten-Brokers wie Gravy Analytics ist das absolute Horrorszenario, das alle Datenschützer*innen befürchtet und vor dem sie gewarnt haben.“

Was für Daten sind das?

Zu den wichtigsten Funden in den Daten gehören einerseits Kombinationen aus Geo-Koordinaten und Geräte-Kennungen (mobile advertising IDs). Mit ihnen lassen sich potentiell detaillierte Bewegungsprofile von Handys erstellen – und damit von ihren Besitzer*innen. Häufungen von Standortdaten können verraten, wo eine Person wohnt und zur Arbeit geht. Auch Ausflüge, Reisen oder Besuche in Praxen, Kliniken, Kirchen, Bordellen und so weiter lassen sich ablesen.

In den bislang veröffentlichen Ausschnitten fanden IT-Sicherheitsforschende Standortdaten aus mehreren Ländern weltweit.

Brisant ist ebenso eine bereits öffentlich gewordene Liste mit mehr als 15.000 Apps. Demnach war Gravy Analytics im Besitz der Standortdaten von Nutzer*innen dieser Apps. Darunter sind weltweit populäre Apps aus allen typischen Kategorien wie Gaming, Dating, Wetter oder Nachrichten.

Warum ist das gefährlich?

Problematisch sind die umfangreichen Datensätze schon in den Händen der Firmen, für die sie gesammelt wurden: Werbeunternehmen, die anhand umfangreicher Überwachung nach den besten Wegen suchen, um Menschen Dinge zu verkaufen. Das können teurer Schmuck für spezifische Zielgruppen wie Viel-Shopper*innen, Online-Casino-Besuche für Spielsüchtige oder teure Therapien für verzweifelte Menschen mit schweren Krankheiten sein.

Allerdings lassen sich gerade mit Standortdaten noch schlimmere Dinge anstellen. Stalker*innen können damit ihren Opfern nachstellen. Täter*innen können ihre (Ex-)Partner*innen ausspionieren. Arbeitgeber*innen können ihre Angestellten überwachen. Behörden können auskundschaften, wer welche Demos besucht. Rechtsradikale könnten die Adressen politischer Gegner*innen finden.

Recherchen von netzpolitik.org und anderen Medien haben in der jüngeren Vergangenheit noch eine andere Gefahr deutlich gemacht: für die Sicherheit von Staaten. Denn auch Menschen, die in sicherheitsrelevanten Bereichen arbeiten, werden von Datenhändlern exponiert. So haben wir in Datensätzen von Databrokern Standorte von Personen gefunden, die auf Militärstützpunkten und kritischer Infrastruktur ein- und ausgehen, die in Bundesministerin, bei der Polizei oder bei Geheimdiensten arbeiten.

Ausländische Geheimdienste können solche Informationen für Spionage, Sabotage oder Erpressung nutzen. Zahlreiche Firmen der sogenannten ADINT-Branche haben sich darauf spezialisiert, die Werbeüberwachung auch für staatliche Akteure nutzbar zu machen.

Schon im alltäglichen Geschäft kontrollieren einige Datenhändler kaum, an wen sie Daten herausgeben, wie nicht nur unsere Recherchen belegen. Ein Leak würde die Daten noch leichter zugänglich machen, die Gefahren vervielfachen sich damit.

Was hat das mit den Databroker Files zu tun?

Der Fall Gravy Analytics untermauert die Gefahren, die netzpolitik.org und Bayerischer Rundfunk mit den Recherchen zu den Databroker Files aufdeckten. Auch in den Databroker Files ging es um Standortdaten von Handy-Nutzer*innen, aus denen genaue Bewegungsprofile hervorgehen, die Menschen identifizierbar machen.

Die bisherigen Veröffentlichungen zu den Databroker Files bezogen sich auf Daten eines weniger bekannten US-Databrokers als Gravy Analytics. Die zugrunde liegenden Probleme sind jedoch die gleichen.

Die Daten aus dem mutmaßlichen Hack von Gravy Analytics könnten zudem dabei helfen, die Rolle einzelner Handy-Apps im weltweiten Datenhandel konkreter zu beschreiben. Ohne eingehende Analyse der Daten lässt sich jedoch nicht sagen, welche Arten von Standortdaten mit einer bestimmten App verknüpft sind – und damit auch, in welchem Maß die erwähnten Apps an der Exponierung ihrer Nutzer*innen beteiligt sind.

Welche Zweifel sind angemessen?

Wie bei jedem noch unbestätigten Hack müssen die Erkenntnisse unter Vorbehalt betrachtet werden. Die bereits veröffentlichten Ausschnitte zeigen zwar offenkundig Standortdaten – es ist jedoch zunächst nicht belegt, dass sie tatsächlich von Gravy Analytics stammen. Nicht zuletzt die Recherchen zu den Databroker Files zeigen: Um an sensible Datensätze zu kommen, muss man Databroker nicht unbedingt hacken. Teils geben die Firmen solche Daten freiwillig als Kostprobe heraus.

Ebenso unklar ist, wie viele Daten der oder die Hacker*innen tatsächlich erbeutet haben und ob sie ihre Drohung einer umfangreichen Veröffentlichung überhaupt umsetzen könnten.

Weiterhin sind Zweifel an der Genauigkeit der Standortdaten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Detailtiefe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Datensätze künstlich aufgebläht. Nicht immer stecken hinter Geo-Koordinaten wertvolle, auf weniger Meter genaue GPS-Daten. Auch aus IP-Adressen werden Geo-Koordinaten generiert, selbst wenn sie die entsprechenden Geräte nicht eindeutig verorten können.

Solche Phänomene konnten netzpolitik.org und seine Kooperations-Partner in bisherigen Recherchen direkt beobachten. Potenziell gefährlich sind die von Gravy Analytics gesammelten Daten dennoch. Selbst auf diese Weise verwässerte Daten reichen, um einen Datenschutz-Skandal zu produzieren. Die wahre Dimension des Skandals lässt sich jedoch ohne nähere Analyse der Daten nur grob umreißen.

Wofür ist Gravy Analytics bekannt?

Gravy Analytics ist einer der bekanntesten Datenhändler der Welt und war regelmäßig Gegenstand kritischer Berichterstattung. 2020 deckte der norwegische Journalist Martin Gundersen auf, wie seine Standortdaten datenschutzwidrig über Wetter- und Navigationsapps bei Venntel landeten, einem Tochterunternehmen von Gravy Analytics.

Nach eigenen Angaben hat Venntel täglich rund 17 Milliarden Signale von einer Milliarde Mobilgeräten gesammelt und an Privat- und Regierungskund*innen verkauft. Dazu zählen auch US-Grenzschutz- und Einwanderungsbehörden, die damit Migrant*innen jagen.

Dass das Geschäft von Gravy Analytics und Venntel tatsächlich in Teilen illegal ist, entschied erst kürzlich die mächtige US-Handelsbehörde FTC. Im Dezember verkündete die scheidende Chef-Aufseherin Lina Khan, der Databroker habe durch den Verkauf von sensiblen Standort- und Werbedaten Millionen US-Amerikaner*innen in Gefahr gebracht. Demzufolge hat das Unternehmen Listen mit Personen erstellt und verkauft, die religiöse Orte oder bestimmte Veranstaltungen mit Bezug zu Krankheiten besucht haben.

Ein weiterer Vorwurf der FTC: Gravy Analytics und Venntel sollen gewusst haben, dass die Betroffenen nicht wirksam in die Nutzung der Daten eingewilligt hätten. Die Handelsbehörde untersagte dem Databroker deshalb Teile seines Geschäfts und ordnete die Löschung umfangreicher Datenbestände an. Ob die Hacker*innen auch die als illegal eingestuften Daten erbeuten konnten, ist unklar.

Woher hat Gravy Analytics all die Daten?

Nach Angaben der US-Handelsaufsicht FTC haben Venntel und Gravy Analytics ihre Daten überwiegend von anderen Datenhändlern bezogen. In der Branche ist es üblich, die eigenen Datenbestände durch Zukäufe bei Konkurrenten aufzustocken, daraus neue Pakete zu schnüren und sie gegebenenfalls durch eigene Analysen zu ergänzen. So sollen Venntel und Gravy Analytics aus gekauften Standortdaten beispielsweise persönliche Eigenschaften von Menschen abgeleitet und weiterverkauft haben.

Von Handys, Computern, Tablets und Smart-Home-Geräten führen viele Wege zu Datenhändlern. So unterhalten zum Beispiel viele Apps und Websites direkte Beziehungen zu Datenhändlern und leiten Daten über ihre Nutzer*innen direkt an sie weiter.

Ein anderer Weg führt über die Auktionen, mit denen im Internet Werbeplätze versteigert werden, dem sogenannten Real Time Bidding. App- und Websitebetreiber*innen verschicken Informationen über Nutzer*innen an ein undurchsichtiges Geflecht aus hunderten bis tausenden Firmen. Werbeunternehmen entscheiden auf dieser Grundlage, wo sie Werbung schalten. Die Daten können allerdings von allen beteiligten Firmen mitgeschnitten, gesammelt, sortiert und verkauft werden.

Was passiert als nächstes?

Weltweit dürften sich nun Fachleute an die Analyse der bereits veröffentlichten Daten machen. Erste Eindrücke zeigen, dass sie dabei sehr ähnlich vorgehen wie netzpolitik.org und seine Recherche-Partner bei den Databroker Files: Um die Gefahr der Daten zu verdeutlichen, richtet sich der Fokus zunächst auf sensible Orte wie etwa Einrichtungen von Militär und Regierungen oder Kliniken.

Stand 9. Januar ist zudem unklar, ob der oder die Hacker*innen ihre Drohung wahr machen und den gesamten erbeuteten Datensatz veröffentlichen. Auch eine Stellungnahme von Gravy Analytics selbst steht noch aus.

Update, 15. Januar: Wie zuerst NRK Beta am 10. Januar berichtete, hat Mutterfirma Unacast den Hack auf Gravy Analytics bestätigt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.