Überwachungs-Software:Was Sie über die Ausspäh-App aus China wissen müssen

Chinaapp
(Foto: Stefan Dimitrov)

China überwacht nicht nur die eigenen Bürger - wie jetzt bekannt wurde, werden Ausspäh-Apps bei der Einreise auch auf Handys von Touristen installiert. Die wichtigsten Fragen und Antworten zur SZ-Recherche.

Von Lea Deuber und Felix Ebert

1. Was tut die Ausspäh-App auf dem Smartphone?

Die App greift einen Großteil der Daten auf dem Handy ab. Darunter Kalendereinträge, Anruflisten, Kontakte und SMS, ferner die Log-in-Daten chinesischer Social-Media-Accounts. Auch die Profilbilder aller Kontakte auf dem Smartphone werden kopiert. Die Daten werden an einen lokalen Server gesendet und können in einer Tabelle aufbereitet von den Grenzbeamten eingesehen werden. Die Daten werden auch maschinell lesbar versendet, was darauf hindeutet, dass sie womöglich an eine zentrale Polizeidatenbank übertragen werden. Die App sammelt auch Log-ins des chinesischen Kurznachrichtendiensts Weibo, des Fahrdiensts Didi und des Kartendiensts der Suchmaschine Sogou.

Eine weitere Funktion der App ist das Durchsuchen des Handys nach verdächtigen Dateien. Dazu nimmt die App eine Art Fingerabdruck von Dateien, die auf dem Smartphone gespeichert wurden. Diese "Hashwerte" gleicht sie mit einer Datenbank innerhalb der App ab. Die Datenbank enthält 73 315 Einträge mit Material, das die chinesische Regierung für gefährlich hält. Dazu gehören Pamphlete islamistischer Terroristen, aber nicht nur das.

2. Wer ist betroffen?

Betroffen sind Reisende, die über die Grenzen zwischen Zentralasien und dem chinesischen Westen einreisen. Die App wird an mindestens zwei Grenzübergängen in Kirgisistan auf Handys aufgespielt. Die Süddeutsche Zeitung hat mit mehreren Betroffenen gesprochen. Dazu zählten Geschäftsleute und Touristen aus mehreren Ländern. Auch deutsche Staatsbürger waren betroffen. An der Grenze informieren die Beamten weder über die App und ihre Funktionen, noch bitten sie um eine Zustimmung der Betroffenen.

3. Wer hat die App entwickelt?

Die App wurde offenbar von einem chinesischen Unternehmen namens Nanjing FiberHome StarrySky Communication Development Company Ltd entwickelt. Es ist eine Tochter der chinesischen Firma FiberHome, die Verbindungen zur chinesischen Regierung hat. Die Ausspäh-App ist weitgehend in der Entwicklersprache Java geschrieben. Die Regeln dieser Programmiersprache sehen vor, dass der Paketname einer App nach der umgekehrten Internetadresse der Firma benannt werden soll. Der Paketname der App, die der Süddeutschen Zeitung vorliegt, heißt "com.fiberhome.wifiserver".

FiberHome ist einer der größten Hersteller von Produkten für Breitbandanschlüsse und Glasfaserkabel weltweit. Er ist international nicht so bekannt wie Huawei oder ZTE, gehört aber zu den wichtigsten Techfirmen des Landes. Erst im vergangenen Jahr besuchte Präsident Xi Jinping den Hauptsitz der Firma.

FiberHome, Nanjing FiberHome StarrySky Communication Development Company sowie die chinesische Zentralregierung und die Lokalregierung in Xinjiang wollten sich auf Anfrage der Süddeutschen Zeitung und ihrer Partner nicht zu den Ergebnissen der Recherche äußern.

4. Wie ist die Süddeutsche Zeitung auf die App gestoßen?

Die Datei, mit der die App auf einem Android-Gerät installiert werden kann, ist der Süddeutschen Zeitung von einem Informanten zugespielt worden. Chinesische Grenzbeamte hatten ihm die App auf das Smartphone aufgespielt, von dort exportierte er sie und schickte sie an die Redaktion. Um die Ergebnisse zu überprüfen, reiste eine Journalistin der Süddeutschen Zeitung selbst in das Gebiet. Dort konnte die gleiche Datei ein zweites Mal gesichert und in Deutschland ausgewertet werden.

Woher weiß man, ob man betroffen ist?

5. Wie wird die App aufgespielt und woher weiß man, ob man betroffen ist?

Die App kann per USB-Kabel oder über ein Wlan-Netz auf das Handy aufgespielt werden. Das Handy muss dafür durch Eingabe des Sicherheitscodes entsperrt sein. Das Aufspielen braucht einige Sekunden bis Minuten. Die Beamten müssen das Gerät berühren, um die Durchsuchung zu starten.

Um zu überprüfen, ob ein Gerät die App aufgespielt bekommen hat, kann der Nutzer in seinen Einstellungen nach dem Namen der App suchen (Fengcai/蜂采). Bei der Installation erstellt die App wie bei jeder anderen Anwendung ein Icon auf dem Startbildschirm. Darauf ist ein grüner Roboter zu sehen, das Logo des Android-Betriebssystems.

6. Wie wird man die App wieder los, wenn man betroffen ist?

Die App kann wie jede andere Anwendung deinstalliert werden. Man findet diese Funktion unten auf dem Startbildschirm der App. Sie dient dazu, alle Spuren der digitalen Durchsuchung zu entfernen. Es verbleibt nur eine verschlüsselte Datei mit dem Zeitpunkt der Untersuchung übrig.

7 . Warum ist das Thema relevant?

Bisher war bekannt, dass die Überwachung den muslimischen Minderheiten in der Provinz Xinjiang gilt. Dass die chinesische Regierung nun auch massenhaft Daten von Ausländern abgreift und auswertet, ist neu. Experten zufolge stellt die App - zumindest nach europäischen Standards - eine Menschenrechtsverletzung dar, siehe Frage 10.

8. Mit wem hat Süddeutsche Zeitung bei der Analyse der App zusammengearbeitet?

Bei der SZ arbeiten nicht nur Reporter, sondern auch Datenjournalistinnen und -journalisten sowie Software-Entwickler. Diese haben die App in enger Zusammenarbeit mit IT-Sicherheitsforschern der Ruhr-Universität Bochum analysiert. Die Ergebnisse wurden durch Cure53 (zur Analyse) im Auftrag des Opentech Fund, eines staatlich finanzierten US-Forschungsprogramms, und das Citizen Lab, ein Institut der Universität Toronto, überprüft und ergänzt. Bei der Recherche hat die SZ mit dem Norddeutschen Rundfunk (NDR), dem Londoner Guardian, der New York Times und der Fachpublikation Vice Motherboard kooperiert.

9. Wonach sucht die App auf den Geräten?

Die App sucht unter anderem nach Inhalten, die aus Sicht der chinesischen Regierung verdächtig sind. Dazu gehören Dateien, die etwa aus dem Internet heruntergeladen wurden. Die SZ und ihre Partner haben von den 73 315 als verdächtig eingestuften Dateien gut 500 näher angesehen. Ergebnis: Der chinesische Staat sucht nicht nur nach terroristischen Inhalten. Sondern zum Beispiel auch nach harmlosen Aufnahmen von Koran-Suren, die gläubige Muslime auf dem Handy speichern. Oder nach Büchern über den Krieg in Syrien.

Einige Dateien beziehen sich auch auf Taiwan, den Inselstaat vor der Küste Chinas, auf den Peking Ansprüche erhebt. Ferner sucht die App nach Material über Tibet, der chinesischen Provinz in der direkten Nachbarschaft Xinjiangs, in der die Regierung seit Langem die lokale Bevölkerung unterdrückt.

10. Wir bewerten Organisationen für Menschenrechte die Ergebnisse?

Auf Anfrage zeigen sich Menschenrechtsorganisationen entsetzt über die Ergebnisse der Recherche. Edin Omanovic von der Organisation Privacy International in London nennt die App "ein erneutes Beispiel dafür, warum der Überwachungsstaat in Xinjiang zu einem der unrechtmäßigsten, umfassendsten und drakonischsten der Welt" gehöre.

Ben Wagner von der Wirtschaftsuniversität Wien sieht in dem Vorgehen einen eklatanten Verstoß gegen das Recht auf Privatsphäre. "Ohne Wissen oder Zustimmung der Betroffenen werden sensible Daten abgesaugt, egal ob sensible berufliche Unterlagen oder besonders schützenswerte private Daten betroffen sind." Darüber hinaus würden alle Ausländer unter Generalverdacht gestellt. "Leider fügt sich das chinesische Verhalten in einen globalen Trend, bei dem Grenzen zwischen Staaten zunehmend zu 'rechtsfreien Räumen' werden", so der Experte. "Es sollte kein Mensch unter Generalverdacht gestellt werden, nur weil dieser Mensch eine Grenze passieren will."

Zur SZ-Startseite

SZ PlusAuf der Spur der Überwachungsapp
:Operation "Honigbiene"

Wer über den Landweg nach China einreist, muss wissen, was ihm blüht: Die Grenzpolizei fällt über das Smartphone her, eine App saugt dann viele private Informationen ab. Eine Recherche aus einem beispiellosen Überwachungsstaat.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: