Software von Carrier IQ: Behörden beschnüffeln Schnüffel-Tool

Ist das ein Qualitätssicherungssystem oder schlicht ein Spionageprogramm? An der Software des US-Unternehmens Carrier IQ scheiden sich weiterhin die Geister.

Der Code, der auf zahllosen Smartphones etwa von HTC, Samsung und bis vor kurzem auch Apple lief, hat je nach Betriebssystem und Konfiguration die Möglichkeit, Tastenanschläge auf den Geräten aufzuzeichnen, SMS- und Telefonverbindungen zu protokollieren und einige Tracking genannte Datenspeicherungen mehr.

Sinn der Technik ist es eigentlich, Mobilfunkbetreibern zu helfen, Probleme in ihren Netzen festzustellen - so heißt es zumindest. Der Kundenservice wisse sofort, welches Problem der Nutzer habe, wirbt Carrier IQ. Doch die versteckte Software, die erstmals der Hacker Trevor Eckhart einer breiten Öffentlichkeit bekannt machte, könnte auch zu problematischen Zwecken genutzt werden.

In den USA untersucht deshalb nun sowohl die Kommunikationsbehörde FCC als auch die Handelsaufsicht FTC das Gebaren von Carrier IQ und seinen Kunden, den Mobilfunknetzbetreibern. So wurden Manager der Firma Anfang der Woche in Washington vorstellig, wie die Washington Post berichtet. Bei Carrier iQ gab man sich gelassen: Man kooperiere mit den Bundesbehörden. Man habe "nichts zu verstecken", so eine Sprecherin, "wir blieben in diesem gesamten Prozess bislang stets transparent".

Nach Angaben von Carrier IQ gegenüber dem Technik-Nachrichtendienst AllThingsD ist die Untersuchung "freiwillig". Man habe selbst Kontakt zu FCC und FTC gesucht, um die beiden Behörden über die Funktionen der Software aufzuklären "und jede mögliche Frage" zu beantworten. Was freiwillig sein soll, ist aber mindestens prophylaktisch: Der US-Kongressabgeordnete Edward J. Markey, Co-Vorsitzender des Datenschutz-Gremiums, hatte die FTC aufgefordert, sich des Falls anzunehmen.

Zusammenarbeit mit Polizei?

Eine Verbindung zwischen Carrier IQ und den US-Behörden könnte es aber auch schon auf anderer Ebene geben. Die investigative Plattform MuckRock hatte eine Anfrage an die Bundespolizei FBI nach dem US-Informationsfreiheitsgesetz gestellt, um herauszubekommen, ob Polizisten Carrier-IQ-Daten in Strafverfolgungsdingen einsetzen.

Die Antwort war vieldeutig: "Das nachgefragte Material befindet sich in einer Untersuchungsakte, die von der Offenlegung freigestellt ist", so die FBI-Anwälte in einem Brief. Diese Informationen hätten mit laufenden Untersuchungen zu tun. Die Offenlegung könne demzufolge "die Strafverfolgung behindern". Ob das wirklich heißt, dass sich das FBI an den Daten bedient, bleibt allerdings unbestätigt.

Carrier IQ droht unterdessen rechtlicher Ärger von ziviler Seite. Acht Firmen - neben Carrier IQ auch Handy-Hersteller und Netzbetreiber - sollen im Rahmen einer Sammelklage belangt werden. Dabei geht es um einen Verstoß gegen Abhör- und Datenschutzgesetze der USA. Zwei weitere ähnliche Klagen sind ebenfalls geplant oder bereits eingereicht.

Was Carrier IQ über Kunden weiß

In einem Erklärpapier versucht die Firma, Kunden von der Nützlichkeit ihrer Software zu überzeugen. Das gelingt allerdings nur bedingt. So nennt Carrier IQ mehrere Beispiele, in denen der versteckte Code Kunden helfen soll - doch sie haben durchaus Gruselfaktor.

Ruft ein Kunde beispielsweise bei der Hotline seines Providers an, um zu erfahren, warum seine Batterie nur drei Stunden hält und das Telefon dauernd abstürzt, soll der Kundenberater ihm berichten können, dass er doch gerade App XYZ installiert habe, die dies verursache. Bei der Frage nach der Netzabdeckung auf einer Autobahn kann der Kundenberater dem Kunden genau sagen, dass sein Fahrzeug zwischen Ausfahrt 34 und 35 das Signal verloren habe - er hat also Informationen über Bewegungsdaten, zumindest im groben Maßstab.

Im weiteren Verlauf des Papiers nennt Carrier IQ noch andere erstaunliche Möglichkeiten, etwa das Mitloggen von angesurften URLs und Telefonnummern. Den Netzbetreibern steht frei, diese Daten zu verwenden. Tatsächlich tun sie das teilweise schon jetzt. So erlaubt sich ein großer US-Mobilfunkanbieter mittels Datenschutzrichtlinien, Surfsitzungen zu protokollieren und diese Daten sogar zu Marktforschungszwecken mit anderen Firmen zu teilen.