MacOS und Windows Apps können heimlich filmen
Betriebssysteme von Computern schützen unzureichend vor Spionage durch Apps. Das zeigt ein Experiment von BR-Datenjournalist:innen und PULS Reportage. Ein Sicherheitsrisiko gerade in Zeiten von Homeoffice.
Die Corona-Pandemie hat die Kommunikation in der Arbeitswelt grundlegend verändert: Ob morgendliche Videokonferenz oder Meeting am Nachmittag, Videocalls mit aktivierter Kamera sind für viele Arbeitnehmerinnen und Arbeitnehmer Normalität. Dabei birgt das Arbeiten von zuhause in Bezug viele Risiken für die Datensicherheit.
Das zeigen Recherchen und technische Versuche des Bayerischen Rundfunks. Die datenjournalistischen Teams BR Data und BR AI und Automation Lab konnten zusammen mit PULS Reportage belegen, dass Notebook-Programme die Kamera und das Mikrofon jederzeit aktivieren können, um Videos und Gespräche aufzuzeichnen.
Außerdem können Computer-Apps jederzeit sämtliche Bildschirminhalte abfotografieren oder aufzeichnen. Das birgt das Risiko umfangreicher Spionage-Angriffe, bei denen Apps verdeckt auf interne Dokumente, Bilder und Videos zugreifen könnten - im Prinzip auf alles, was sich auf dem Computer-Bildschirm abspielt.
Sicherheitslücken seit Jahren bekannt
In IT-Sicherheitskreisen sind diese Probleme seit Jahren bekannt: Obwohl die Sicherheitslücken in der Vergangenheit immer wieder von Schadsoftware für Spionageangriffe genutzt wurden, haben Microsoft und Apple bei ihren Betriebssystemen bislang kaum nachgebessert - das zeigen die Tests des BR. Dazu kommt, dass nicht erst seit der Corona-Pandemie immer mehr Unternehmen auf Videotelefonie setzen: Laut einer Umfrage des IT-Branchenverbands Bitkom aus dem vergangenen Jahr kommunizierten Erwachsene durchschnittlich acht Mal pro Tag per Videochat.
Betriebssysteme lassen umfangreiche Spionage zu
Für die Tests hat der BR eine App programmiert, die in ihrer Funktion bekannten Kommunikations-Apps nachempfunden ist. Ähnlich Videochat-Programmen wie Zoom, Microsoft Teams, Skype oder WhatsApp ermöglicht die Test-App nicht nur Gespräche mit Bild und Ton, sondern auch das Teilen des eigenen Bildschirms. Ziel der Versuche war es, herauszufinden, an welcher Stelle das Betriebssystem die Privatsphäre schützt oder warnt. Das BR-Team installierte die Test-App auf zwei verschiedenen Geräten: auf einem Macbook mit MacOS-Version 12.1 und einem PC mit Windows 11.
Ein BR-Team testete mit einer eigens entwickelten App Zugriffsmöglichkeiten auf Computer-Kameras.
MacOS: Mehrere Apps können die Kamera zeitgleich nutzen
Bereits bei der Installation der Test-App und beim ersten Testanruf zeigten sich die Unterschiede der Notebook-Betriebssysteme: Während bei MacOS neben der Verwendung der Kamera auch der Mikrofonzugriff sowie das Teilen des Bildschirms explizit erlaubt werden musste, klappte der Anruf mit Videobild, Ton und geteiltem Bildschirm bei Windows ohne jede Zustimmung der Nutzerin oder des Nutzers.
Obwohl sowohl bei Windows als auch bei MacOS ein Signallicht die Verwendung der Kamera anzeigt, konnte die Test-App diese Sicherheitsvorgabe bei MacOS teilweise umgehen. Im Versuch war es der Test-App möglich, immer dann heimlich zu filmen, wenn die Notebook-Kamera gerade von einer anderen App genutzt wurde und der grüne Signalpunkt sichtbar war.
Da in diesem Moment die Kamera ohnehin läuft, bleibt intransparent, wie viele und welche Apps Zugriff haben. Auf Nachfrage bestätigte Apple: Falls mehreren Apps der generelle Kamerazugriff gewährt würde, sei dieser "simultane Kamerazugriff" möglich. Zusätzlich schreibt das Unternehmen: "Apps müssen die Erlaubnis erhalten, auf die Kamera oder das Mikrofon des Mac zuzugreifen."
Zwar fragt MacOS, ob ein Zugriff auf die Kamera erlaubt werden soll, aber mehrere Apps können unbesehen gleichzeitig darauf zugreifen.
Windows: Doppelter Kamerazugriff nicht ausgeschlossen
Auf Windows war es der Test-App hingegen nicht möglich, die Kamera zeitgleich mit einer anderen App zu nutzen und Personen auf diese Weise verdeckt zu filmen. Auf Anfrage teilt Microsoft allerdings schriftlich mit, ein solcher Kamerazugriff sei technisch durchaus möglich und weiter: "Benutzer*innen [können] entscheiden, welchen Apps sie den Zugriff auf ihre Kamera erlauben." Microsoft räumt ein: "In einigen Fällen können Anwendungen unabhängig von den Windows-Einstellungen arbeiten." Das heißt, es kann nicht ausgeschlossen werden, dass es Apps gibt, die ohne nachzufragen auf die Kamera zugreifen.
MacOS und Windows: Bildschirmaufnahmen jederzeit möglich
Im zweiten Teil des Experiments untersuchte das BR-Team, ob Apps Bildschirminhalte unbemerkt aufnehmen können. Während der heimliche Kamerazugriff nur in bestimmten Situationen möglich ist, konnte die Test-App bei Windows ohne jede Zustimmung sämtliche Bildschirminhalte mitschneiden, zum Beispiel Bilder, Videos, Chatnachrichten oder E-Mails. Technisch war diese Form der Spionage bei allen sichtbar geöffneten, maximierten Fenstern möglich.
Auch bei MacOS konnte die App heimlich auf alle Bildschirminhalte zugreifen. Im Gegensatz zu Windows funktionierte das jedoch erst nach einmaliger Zustimmung. Auf Nachfrage verwiesen sowohl Microsoft als auch Apple erneut auf die Berechtigungskonzepte der jeweiligen Betriebssysteme.
Programme richtig schließen
Miriam Föller-Nord, Professorin für Cybersecurity der Hochschule Mannheim, fordert angesichts dieser Testergebnisse, dass die Hersteller der Betriebssysteme "möglichst alles für Cybersicherheit tun sollten". Allerdings: "Die totale Sicherheit gibt es nicht, solange man mit dem Internet verbunden ist."
Nutzerinnen und Nutzer haben jedoch die Möglichkeit, sich zu schützen: So können Apps den Bildschirm nicht aufzeichnen oder heimlich auf die Kamera zugreifen, wenn diese "richtig" geschlossen wurden - bei MacOS über die "Aktivitätsanzeige", bei Windows über den "Taskmanager". Doch nicht nur Ausschalten hilft: Bei MacOS und Windows sollte man Apps immer so wenig wie möglich erlauben und Software aus bekannten Quellen installieren, wie beispielsweise aus dem Windows- oder dem Apple-Store.