mSpy-Leak: Kundenservice gibt Tipps für Straftaten

Teilen

Die Spionage-App mSpy vermarktet sich als Werkzeug für besorgte Eltern. Aber geleakte Nachrichten belegen: Kund:innen, die ihre Partner:innen illegal überwachen wollen, bekommen nicht Ärger, sondern Ratschläge. Die Profiteure verstecken sich hinter einem Netz aus Tarnfirmen.

Der mSpy-Kundendienst unterstützt engagiert bei der Überwachung. – Public Domain Midjourney

ICH MÖCHTE DEN AACOUNT MEINER Freundin HACKEN

Das schreibt ein Interessent. Ein Mitarbeiter antwortet nur wenige Sekunden später:

Werden wir machen. Folgen Sie einfach meinen Anweisungen.

Die Chat-Nachrichten sind Teil eines geleakten Datensatzes aus dem Kundenservice der Spionage-App mSpy. netzpolitik.org und SWR haben ihn untersucht und darin zahlreiche Beispiele von Menschen gefunden, die heimlich und damit illegal ihre Partner:innen überwachen wollen. Und der Kundenservice hilft engagiert dabei.

Zugriff auf Anrufe, E-Mails, Chats, Kontakte, Kalender, Bilder, Videos, die Browser-Historie, den Standort, dazu Fernsteuerung von Kamera und Mikrofon – all das verspricht mSpy Kund:innen, die mit der Spionage-App ein Smartphone überwachen wollen. Ein paar Minuten alleine mit dem Handy reichen aus, um die App zu installieren.

Eine App zur Kinderüberwachung?

mSpy vermarktet sich heute als App für Eltern, die wissen wollen, was ihr Kind auf WhatsApp macht oder ob es sicher in der Schule angekommen ist. Anfangs richtete sich mSpy jedoch noch offen an eifersüchtige Partner:innen.

„Entdecken Sie, ob Ihr Lebensgefährte Sie betrügt“, hieß es 2012 auf der Webseite zu den möglichen Einsatzgebieten, und: „Finden Sie ein für alle Mal heraus, ob Ihr Verdacht begründet ist, indem Sie mSpy auf dem Mobiltelefon Ihres Partners installieren.“

Dabei ist dieses Ausspionieren erwachsener Personen nach deutschem Recht illegal, wenn es heimlich und ohne die Zustimmung der überwachten Person erfolgt. Rufen Unternehmen öffentlich zu Straftaten auf, sind auch polizeiliche Ermittlungen etwa gegen deren Geschäftsführer:innen möglich.

Spätestens seit 2014 ist auf der Webseite kein Hinweis mehr auf Ausspähen in Partnerschaften zu lesen. Sicherheitsforscher:innen des kanadischen Citizen Lab hatten 2019 jedoch entdeckt, dass mSpy einen Textblock im HTML-Code seiner Seite versteckt hatte. Der Text war im Browser nicht sichtbar, konnte aber von Suchmaschinen gefunden werden. Darin warb die Spionage-App: „Obwohl dieser Tracker für Eltern entwickelt wurde, die ihre rebellischen Teenager kontrollieren wollen, kann er auch von Ehepartnern verwendet werden, die ihre Partner ausspionieren wollen.“

Vom Partner verwanzt

Technologie zur verdeckten Spionage

Eva-Maria Maier hat als Teil der Forschungsgruppe „Gender and Tech“ mehrere Spionage-Apps technisch untersucht und auch Marketinganalysen durchgeführt. Sie fand heraus, dass nach mSpy mehrere Hersteller für kommerzielle Spionage-Apps ihre Marketingbotschaft neu ausrichteten. Hin zu: Wir sind eine App für Kindersicherheit und zur Überwachung von Mitarbeiter:innen.

Laut Maier ist das ein Ablenkungsmanöver. Tatsächliche Apps für Eltern hätten häufig bestimmte Features wie einen Panik-Knopf, den das Kind im Notfall drücken kann, oder digitale Stundenpläne. Gäbe es so etwas nicht, „ist das ein Indiz, dass Eltern eigentlich nicht die Zielgruppe sind“.

Gegenüber Menschen, die ihre E-Mail-Adresse bei mSpy hinterlassen, wirbt mSpy auch heute noch ganz offen für den Einsatz aus Eifersucht, der wohl kaum offen, also legal ablaufen wird. In einer Mail von Mitte Januar heißt es: „Finde heraus, ob sie dir das Herz brechen…“ Und weiter: „Etwa 20 % der Ehepaare gehen fremd. Und während sich das Fremdgehen gestern noch auf billige Motels beschränkte, geschieht es heute digital, direkt am Telefon.“

Der Kundenservice hilft beim Ausspähen

Die Nachrichten an den Kundenservice von mSpy, die netzpolitik.org gemeinsam mit dem SWR ausgewertet hat, zeigen: Den Mitarbeiter:innen ist durchaus bewusst, wer das Produkt einsetzt und dass es dabei auch um strafbare Handlungen geht. Mehr noch: Sie unterstützen die Kund:innen aktiv bei ihren Straftaten.

ich möchte gerne heimlich die whats App Nachrichten meiner freundin mit lesen ohne dass sie was davon weiß.

schreibt ein Interessent. Der Kundendienst verweist auf die Lizenzvereinbarung, in der steht, das dürfe nur mit Zustimmung der überwachten Person passieren. Und schreibt dann:

Sie können die Apple ID und das Passwort des Ziel-iCloud-Kontos für die Fernüberwachung verwenden.

Im deutschsprachigen Teil des Datensatzes haben wir mit Hilfe von Suchbegriffen wie „Freundin“ oder „Ehefrau“ viele solche Konversationen mit Kund:innen oder Interessent:innen gefunden.

„Ich schicke dir 1000000 Rosen, Babe!“

Ein Kunde schreibt, er wolle das Handy seiner Ehefrau überwachen. Zwei Stunden später bekommt er Zugangsdaten zur App geschickt, dazu die Aufforderung: „Schnappen Sie sich das Telefon, das Sie überwachen möchten.“

Ein anderer Kunde beschwert sich, die Datenverbindung zu einem überwachten Handy sei abgebrochen. Der Kundenservice fordert ihn auf, eine SMS an das Telefon zu senden, um die Verbindung wieder herzustellen. „Die Nachricht sollte diese Symbole enthalten: 1000000.“ Und gibt dann den Tipp: „Sie können sie auch innerhalb einer SMS senden (z. B. „Ich schicke dir 1000000 Rosen, Babe!“).“ Eine Nachricht, die wohl kaum jemand an sein Kind schicken würde.

Auch dem Rechercheteam boten Service-Mitarbeiter:innen ihre Hilfe bei der heimlichen Überwachung einer fiktiven Ehefrau an.

Die Inszenierung von mSpy als App für besorgte Eltern scheint als Fassade zu dienen. Die Mitarbeiter:innen im Kundenservice verweisen routiniert mit Textbausteinen auf die Nutzungsbedingungen. Anschließend unterstützen sie bereitwillig beim Ausspähen – selbst wenn Kund:innen klar sagen, dass sie heimlich Partner:innen überwachen wollen.

Ein verzweigtes Firmennetz

Wer etwas über die Firmen hinter mSpy herausfinden will, steht vor einem undurchsichtigen Netzwerk. Die Website verweist auf eine Firma namens Altercon Group in Tschechien. Die Adresse führt zu einem Mietbüro-Komplex in Prag. Doch der Datensatz, den netzpolitik.org gemeinsam mit dem SWR analysiert hat, zeigt in eine andere Richtung: eine IT-Firma namens Brainstack mit Sitz in der Ukraine.

In den Daten finden sich mehrere Personen mit Brainstack-E-Mail-Adressen. Sie betreuen unter Decknamen die Kund:innen von mSpy, beantworten Fragen oder bearbeiten Abo-Kündigungen.

Im Portfolio von Brainstack: „Lifestyle-Apps“, „Crypto & Blockchain“ und „Parental Control“. Einen Verweis auf mSpy findet man hier nicht. Dafür viele Bilder von jungen Menschen in Freizeitkleidung, in einem Großraumbüro, das auch nach Berlin oder Brooklyn passen würde.

Eine Holding in den Emiraten

Als Inhaber von mSpy tritt öffentlich ein anderes Unternehmen auf: Virtuoso Holding, vor kurzem registriert in den Arabischen Emiraten. Neben mSpy führt die Holding noch die App Detectico im Portfolio, mit der man angeblich Telefone anhand ihrer Nummer lokalisieren kann. Auch diese App taucht im Datensatz auf. Die Brainstack-Mitarbeiter:innen im Kundenservice betreuen offenbar mSpy und Detectico, außerdem die Spionage-Apps Eyezy, mLite und Scannero.io.

Laut Unterlagen im US-Patentamt hält Virtuoso die Rechte an der Marke und dem Logo von mSpy. Der vorherige Eigentümer Bitex Group übertrug sie im Juli 2023 an die Holding. Vergangenes Jahr hat die Holding außerdem eine Beschwerde gegen einen italienischen Nachahmer von mSpy eingelegt – und bekam daraufhin dessen Domain mspyitaly.com zugesprochen.

Gründerin und Geschäftsführerin von Virtuoso Holding ist Viktoriia Adamchuk. Ende 2024 wird sie in mehreren Blog-Einträgen als neue Eigentümerin von mSpy genannt. Tatsächlich arbeitet die angebliche Firmenchefin als Zahnärztin in Luzk in der Westukraine. Am Telefon gibt sie sich zunächst freundlich, doch als eine SWR-Reporterin nach der Virtuoso Holding und mSpy fragt, sagt Adamchuk, dass sie mit Journalist:innen nicht darüber sprechen wolle.

Es gibt weitere Hinweise darauf, dass die Holding nur die wahren Hintermänner hinter mSpy verschleiern soll. Eine Beschwerde, die im vergangenen Jahr beim Hosting-Anbieter FlokiNET einging, deutet zurück zu Brainstack in die Ukraine. FlokiNET hostet die Server der Organisation DDosSecrets, die im Mai 2024 die geleakten Daten aus dem Kundenservice von mSpy öffentlich machte.

In der Beschwerde heißt es, auf der Website von DDoSecrets würden „gestohlene Daten gehostet, darunter persönliche Informationen von Nutzern und vertrauliche Unternehmensdaten, die mSpy, einer Marke unseres Unternehmens, gehören.“ Der Absender: pr@brainstack.team.

https://netzpolitik.org/2025/mspy-leak-wie-eine-spionage-app-kundinnen-abzockt

Auf Beihilfe stehen bis zu 27 Monate Haft

„Das Verhalten der Kundenservice-Mitarbeiter:innen deutet stark darauf hin, dass das eine vorsätzliche Beihilfehandlung war, eine Teilnahme an der Haupttat“, sagt Nico Kuhlmann, Anwalt bei der Kanzlei Hogan Lovells International LLP. „So ein pseudomäßiger Verweis auf die AGBs reicht da natürlich nicht.“

In den vorliegenden Fällen sei es mehr oder weniger klar, dass die geplante Überwachung nicht einvernehmlich erfolgte. „Und das werden auch nicht einzelne Vergehen von Mitarbeiter:innen sein, sondern das scheint System zu haben“, sagt Kuhlmann.

Für das Ausspähen von Daten drohen bis zu drei Jahre Haft. Die Beihilfe dazu ist mit bis zu zwei Jahren und drei Monaten Haft strafbewehrt. Bei mehreren Beihilfehandlungen für verschiedene Kunden kann sich der Strafrahmen zusätzlich erhöhen.

Die Grenzen des Rechts

Auch Vorgesetzte, die illegaler Überwachung autorisieren oder gar anordnen, könnten von der Strafandrohung erfasst sein, sagt Kuhlmann. Wenn deutsche Täter:innen deutsche Opfer überwachten, sei die Beihilfe auch in Deutschland justiziabel, egal wo die Supportmitarbeiter:innen sitzen.

Die Rechtsdurchsetzung bei Straftaten, die vom Nicht-EU-Ausland aus begangen werden, kann allerdings äußerst schwierig sein. Und das Unternehmen selbst ist in diesen Fällen ohnehin nicht bedroht, da das Strafrecht nicht für Firmen gilt. mSpy drohen maximal Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung der EU. Rechtlich gesehen sind das Ordnungswidrigkeiten.

„Derzeit sind die rechtlichen Möglichkeiten, gegen die Hersteller solcher Apps vorzugehen, beschränkt bis kaum vorhanden“, sagt auch der Datenschutzbeauftragte von Baden-Württemberg Tobias Keber. Da es einen möglichen legalen Einsatzbereich gibt, sei ein Vorgehen seitens staatlicher Behörden kaum möglich. Die Grenze zur Strafbarkeit könnte aber überschritten sein, wenn sich ein Anbieter „widersprüchlich zu den Angaben in den Nutzungsbedingungen“ verhält.

In Deutschland verbietet die Bundesnetzagentur immer wieder Produkte, die heimlich Bild oder Ton aufzeichnen können. Doch die Rechtsgrundlage gilt ausschließlich für Hardware. Apps wie mSpy, die ein Mobiltelefon zur Wanze machen, fallen durch die Maschen des Gesetzes.

https://netzpolitik.org/2025/mspy-leak-so-stoppt-man-spionage-apps

Cyber-Staatsanwaltschaften nicht zuständig

Bei den von uns angefragten Cyber-Staatsanwaltschaften waren einige Ermittlungen im Zusammenhang mit mSpy bekannt. In dem uns vorliegenden Datensatz finden sich auch Ermittlungsanfragen. Allerdings ermittelten die Behörden nicht gegen das Unternehmen, sondern stets gegen einzelne Beschuldigte, die mit mSpy überwachten.

Mehrere Cyber-Staatsanwaltschaften antworteten, sie seien erst zuständig, wenn es sich um organisierte Kriminalität handele. Die Landeszentralstelle Cybercrime Rheinland-Pfalz schreibt: „Unsere Zuständigkeit könnte allenfalls dann gegeben sein, wenn ein derartiges Verfahren gegen Betreiber einer Software geführt würde, die systematisch zum Zwecke der illegalen Überwachung hergestellt würde.“

Die Zentralstelle Cybercrime Bayern schreibt allerdings auch: „Sollte aktiv und mit Kenntnis des kriminellen Zwecks Hilfe zu einem Ausspähen von Daten geleistet werden, wäre sicherlich ein Anfangsverdacht gegeben.“

In den USA gehen Behörden immer wieder gegen Anbieter von kommerziellen Spionage-Apps vor. So hat etwa die Wettbewerbsaufsicht FTC dem Hersteller Retina-X strenge Auflagen erteilt. Auch dessen Apps liefen heimlich im Hintergrund. Zwei Jahre später hat die FTC es einem anderen Hersteller verboten, seine App SpyFone weiter zu verkaufen.

In den USA und auch in Australien sind Verkäufer von Spionage-Apps in der Vergangenheit auch verhaftet worden. Erstmals geschah dies im Jahr 2014. Damals ging das US-Justizministerium gegen die App StealthGenie vor und verhaftete den Entwickler.

Diese Recherche entstand in Kooperation mit dem SWR. Mitarbeit bei der Datenauswertung: Matthias Mehldau. Mit * markierte Namen haben wir geändert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.