Es ist ein bemerkenswerter Satz vom FBI-Chef. Während einer Frage-Antwort-Runde am Kenyon College gab James Comey im April 2016 zu, dass er die Kamera seines Laptops abklebt: "Weil ich gesehen habe, dass eine Person, die schlauer ist als ich, die Kamera abgeklebt hat." Weniger freiwillig zeigte auch Mark Zuckerberg der Öffentlichkeit, dass er seine Kamera überklebt. Als die zu Facebook gehörende Foto-App Instagram 500 Millionen Nutzer feierte, machte ein Angestellter ein Bild mit dem Facebook-Chef. Im Hintergrund war sein Laptop zu sehen, samt abgeklebter Kamera.
Zuckerberg und Comey tun es also. Sollten alle Menschen die Kamera abkleben? Die Antwort lautet: Ja - um auf Nummer sicher zu gehen. Dafür sprechen zwei Gründe. Erstens sind Menschen vor dem Rechner oft nicht besonders aufmerksam, wenn es um ihre Webcam geht. Und selbst wenn sie es sind: IT-Sicherheitsforschern ist es wiederholt gelungen, Schutzmechanismen auszuhebeln.
Zum ersten Punkt: In einer Studie der University of California wurden 98 Personen vor Laptops gesetzt, um Texte zu lesen, Essays zu schreiben, Spiele zu spielen oder sich Videos anzuschauen. Anschließend wurde nachgefragt, ob ihnen etwas aufgefallen sei. Nur 27 der 98 Personen hatten bemerkt, dass das blaue Licht aufleuchtete, das signalisiert, dass die LED-Kamera eingeschaltet ist.
Das Lämpchen ist ein Schutzmechanismus, der also größtenteils unbemerkt bleibt, deutet diese Studie an. Zudem haben IT-Sicherheitsforscher mehrfach bewiesen, dass sie Kameras aus der Ferne aktivieren können, ohne dass das Licht dabei überhaupt aufleuchtet.
Adam Kujawa kümmert sich bei der IT-Sicherheitsfirma Malwarebytes um die Analyse von Schadsoftware. "Üblicherweise werden Webcams über sogenannte Remote Access Trojans (RAT) übernommen", schreibt er in einer E-Mail. Das ist Software, die aus der Ferne Passwörter mitschneiden, den Desktop kontrollieren oder eben die Kamera einschalten kann. "Betroffen sind im Prinzip alle Systeme", sagt Kujawa. Auch Windows-Systeme sind anfällig für solche Angriffe. Die IT-Experten Matthew Brocker und Stephen Checkoway haben 2013 gezeigt, dass sie in Apple-Geräte eingebaute Kameras auf diese Weise einschalten konnten. Die Ergebnisse wurden an Macbooks demonstriert, die vor 2008 auf den Markt kamen. Sie zeigten auch Wege auf, um den Angriff abzuwehren.
"Wir haben unseren Code der Öffentlichkeit nicht präsentiert", sagt Brocker auf Nachfrage. Bedeutet: Selbst wenn es weiterhin möglich wäre, die Kameras derart zu kontrollieren, müssten die Angreifer den Weg dorthin selbst herausfinden. Apple selbst wurde von den Forschern übrigens informiert. IT-Sicherheitsforscher sagen oft, dass vor allem Geheimdienste genug Ressourcen zur Verfügung haben, um Menschen per Webcam auszuspionieren, wie etwa der britische Geheimdienst GCHQ es den Snowden-Dokumenten zufolge tat. Für Kleinkriminelle ist es da schon schwieriger.
Die Hürden für das Ausspionieren sind allerdings hoch. Kujawa von Malwarebytes sagt, dass es kompliziert sei, solche RAT selbst zu bauen. Er merkt jedoch an, dass man die Software einfach kaufen kann. Je nach Leistung liege der Preis zwischen 50 und 1000 Euro. Sich vor solchen Angriffen zu schützen, ist simpel. Ein Post-it-Zettel reicht. Oder eine Webcam-Abdeckung. Sie kostet nur wenige Euro.