Stalkerware-Vertrieb als Kavaliersdelikt vor US-Gericht

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Jahrelang hat er Stalkerware unter dem Namen pcTettletale vertrieben. Ganz offen hat er sie für heimliche Überwachung Erwachsener angepriesen und dafür auch Unterstützung geleistet. Im Dezember 2022 wurde er verhaftet, aber schon nach einem Tag wieder auf freien Fuß gesetzt. Nun überrascht das US-Bundesbezirksgericht mit einer milden Strafe für Bryan Fleming: 5.100 US-Dollar muss er bezahlen, Zinsen fallen nicht an.

Laut Anklage und Geständnis hat der Amerikaner von 2017 bis 2022 Abhöreinrichtungen besessen, beworben und vertrieben. Die Waybackmachine des Internet Archive zeigt allerdings, dass unter der Domain pctattletale.com mindestens seit 2013 Stalkerware für Windows, und spätestens ab 2008 auch für macOS feilgeboten wurde. Ein ebenfalls dort archiviertes Youtube-Video zeigt den Täter, wie er 2016 seine Spyware für Android ankündigt.

Gegenüber dem Gericht gab sein Anwalt an, der Mann habe bis zu seiner Festnahme am 7. Dezember 2022 nicht gewusst, dass Stalkerware illegal ist. Laut Techcrunch hat er seinen Betrieb aber erst Mitte 2024 eingestellt. Und der war kein Ausbund an IT-Sicherheit. Schon 2021 und erneut 2024 wurden die von der Spyware angefertigten Screenshots ungeschützt im Netz gefunden.

Anschließend gelang es einem Dritten, Fleming zur Herausgabe der Schlüssel für seinen AWS-Account (Amazon Web Services) zu bringen. Es folgte ein Defacement der Webseite und die Bloßstellung des Täters. Erst danach stellte pcTattletale den Betrieb ein. Laut dem Bericht des Eindringlings hatte der illegale Dienst zu dem Zeitpunkt 138.000 Kunden, über 300 Millionen gespeicherte Screenshots, und war offenbar seit 2011 selbst Opfer einer unentdeckten Hintertür. Fleming hat hingegen im Verfahren angegeben, nur rund 1.200 Kunden pro Jahr gewonnen zu haben.

Opfer nicht beteiligt

Auf die Tat stehen theoretisch bis zu 15 Jahre Haft. Nach Anrechnung des Geständnisses und der vorherigen Unbescholtenheit blieben laut Strafmaßrichtlinien bis zu sechs Monate übrig. Der Richter des US-Bundesbezirksgerichts für den Süden Kaliforniens beließ es bei „timed served”, also dem einem Tag, den Fleming im Dezember 2022 in Gewahrsam verbracht hat, sowie der genannten Geldstrafe. Außerdem verfallen die mit der Straftat verbundenen Vermögenswerte.

Womöglich hat mitgespielt, dass im Strafverfahren kein einziges Opfer ein sogenanntes victim impact statement abgegeben hat. Das sind persönliche Berichte über die Auswirkungen der Straftat, die vom Gericht bei der Bemessung der Strafe zu berücksichtigen sind. Welche Anstrengungen das ermittelnde US-Ministerium für Heimatsicherheit unternommen hat, um die Opfer zu verständigen, ist dem Gerichtsakt nicht zu entnehmen.

Online werben zahlreiche Anbieter für ihre Stalkerware. Ungewöhnlich an diesem Fall ist, dass der Täter in den USA lebt und offen aufgetreten ist. Laut Techcrunch ist es die erste Verurteilung wegen Vertriebs von Stalkerware in den USA seit zwölf Jahren.

Das Verfahren heißt USA v Bryan Fleming und wurde am US-Bundesbezirksgericht für den Süden Kaliforniens unter dem Az. 3:26-CR-00019 durchgeführt.

• Das Stalkerware-Geständnis

(ds)