Seit der Pandemie gehören Videokonferenzen zum Alltag vieler Menschen. Wie Recherchen des Bayerischen Rundfunks zeigen, sollte man die Anwendungen sorgfältig auswählen – und auch im Blick behalten. Denn sie könnten jederzeit unbemerkt die Kamera einschalten und spionieren.
Spätestens seit der Corona-Pandemie arbeiten viele von uns viel von zu Hause aus. Dabei kommen in der Regel gängige Anwendungen wie Microsoft Teams, Zoom, Webex oder vergleichbare Anwendungen zum Einsatz. Wie selbstverständlich gewähren User hier den Zugriff auf Kamera und Mikrofon, um mit den anderen kommunizieren zu können.
Die meisten gehen davon aus: Kamera und Mikrofon sind nur eingeschaltet und aktiv, wenn die App im Einsatz ist. Aber ist das wirklich so? Oder könnten solche Anwendungen – zumindest theoretisch! – jederzeit, womöglich sogar unbemerkt Kamera und Mikro aktivieren und so Situationen beobachten oder Gespräche bespitzeln?
Reporter von Pulse haben einen ausführlichen Test gemacht
Eine anspruchsvolle Testanwendung
Genau das wollten Journalisten des Bayerischen Rundfunks genauer wissen – und haben ein überaus interessantes Rechercheprojekt auf die Beine gestellt. Sie wollten wissen, ob und unter welchen Umständen Video-Apps zum Risiko werden können. Datenjournalistische Teams von „BR Data“ und „BR AI Automation Lab“ gemeinsam mit Kollegen der Puls-Reportage nachgewiesen: Ja, theoretisch könnten die meisten Kommunikations-Anwendungen jederzeit mithören.
Das Rechercheteam konnte im Versuch belegen, dass Notebook-Programme die Kamera und das Mikrofon jederzeit aktivieren können, um Videos und Gespräche aufzuzeichnen. Ebenso Apps im Smartphone.
Bei dem Versuch wurde nicht etwa der Erweis erbracht, dass Programme wie Microsoft Teams, Zoom oder Webex so etwas tatsächlich machen, sondern erst einmal „nur“, dass es grundsätzlich möglich wäre.
Demo-App „Cool Chat“ sollte spionieren
Dazu hat Techniker Sebastian Bayerl im Team eine Anwendung namens „Cool Chat“ entwickelt – für die allgemein im Einsatz befindlichen Betriebssysteme Windows, MacOS, iOS und Android. Die App sollte zeigen: Was ist möglich, wenn eine solche Anwendung erst einmal eingerichtet und installiert wurde?
Das Ergebnis: Auf praktisch jedem Gerät war es möglich – zumindest zeitweise! –, selbst dann auf Kamera und Mikrofon zuzugreifen, wenn die Anwendung gar nicht aktuell im Vordergrund aktiv ist. Selbst wenn Probanden die Anwendung offiziell beendet hatten und davon ausgehen konnten, dass die Anwendung nicht mehr aktiv ist, war es Techniker „Sebi“ möglich, Kamera und Mikro aus der Ferne zu aktivieren – und Gespräche zu belauschen. Niemandem fällt das kleine grüne Licht auf, das im Display erscheint, wenn die Kamera aktiv ist.
Demo-App „Cool Chat“
Heimliche Gesprächsaufnahmen kein Problem
Auf einem Android-Smartphone war es sogar möglich, die Kamera zu aktivieren, als das Smartphone selbst nicht in Benutzung war – bei ausgeschaltetem Display. Bei älteren Android-Versionen (bis Version 10) ist so etwas tatsächlich noch möglich.
Je nach verwendetem Betriebssystem werden Benutzer nur einmal oder jedes Mal gefragt, ob sie Zugriff auf Kamera und Mikro gewähren. Apples Betriebssysteme bieten nach Erfahrungen der Tests zwar etwas bessere Einstellmöglichkeiten, aber ebenfalls keinen vollständigen Schutz. Auf allen Geräten und unter allen Betriebssystemen war es unter Testbedingungen möglich, unbemerkt Gespräche aufzuzeichnen.
Auch Bildschirminhalt konnte aufgezeichnet werden
Dasselbe gilt für den aktuellen Inhalt von Bildschirm bzw. Display: Auch darauf konnte der Techniker mehr oder weniger jederzeit zugreifen, selbst wenn die Demo-App „Cool Chat“ nicht im Einsatz war. So etwas ermöglicht es, aktuelle Chat-Inhalte, aber auch Kontakte oder vertrauliche Informationen unbemerkt abzufotografieren – und an Dritte zu übertragen.
Die Pulse-Reportage erklärt sehr anschaulich die Testumgebung – und wie solche Zugriffe möglich sind. Sie zeigt aber auch, wie nachlässig Entwickler von Betriebssystemen noch sind (Microsoft, Google, Apple) – und wie viel noch getan werden muss, damit die Betriebssysteme Anwendungen nicht zu vieles erlauben.
User müssen Rechte sorgfältig vergeben
Was User lernen können: Anwendungen nicht einfach nur beenden, denn dann könnten sie trotzdem noch aktiv sein. Besser im Task-Manager (Windows) oder in der Aktivitäten-Anzeige (MacOS) schließen oder im mobilen Betriebssystem definitiv beenden. Außerdem Updates laden, um bekannte Sicherheitsprobleme zu schließen.
Wer Anwendungen lädt und benutzt, sollte immer bedenken: Es ist und bleibt Vertrauenssache. Anwendungen und Apps haben eine Menge Möglichkeiten – und könnten spionieren. Deshalb sollte man nur solchen Anwendungen Zugriff auf Kamera, Mikrofon und Display gewähren, bei denen das absolut sinnvoll und nötig ist – und denen man Vertrauen entgegenbringt.
