Stalkerware auf dem Handy finden — 5-Minuten-Scan mit Claude Code

Warum dieser Artikel

Stalkerware ist kein Rand-Thema mehr. Die Coalition Against Stalkerware meldet für 2025 einen Anstieg von 42 Prozent bei gefundenen Spy-Apps auf Geräten im europäischen Raum. Die häufigsten Installations-Kontexte: häusliche Gewalt, Trennungs-Konflikte, übergriffige Ex-Partner. Nicht wahnsinnige Hacker — Menschen im engsten Umfeld.

Das Problem ist brutal einfach: Jemand mit physischem Zugriff auf dein Handy für fünf Minuten kann eine Überwachungs-App installieren. Moderne Stalkerware versteckt sich, zeigt kein Icon, läuft im Hintergrund, schickt Standort, WhatsApp-Nachrichten, Anrufe, Tastatur-Eingaben an einen Server den der Installateur kontrolliert.

Dieser Artikel zeigt wie du prüfst ob du betroffen bist. Kein Panik-Artikel, sondern praktischer Scan.

Die Warnsignale — was dir vielleicht schon aufgefallen ist

Bevor wir zum technischen Scan kommen, die häufigsten Verhaltens-Symptome eines infizierten Handys:

• Akku läuft schneller leer als früher — Stalkerware läuft ständig im Hintergrund
• Handy wird warm im Leerlauf — gleicher Grund
• Datenvolumen ungewöhnlich hoch — Upload an den Server
• Kleinere Performance-Einbußen — Apps starten langsamer, Scrollen stockt
• LEDs oder Kamera-Anzeigen leuchten gelegentlich ohne Grund
• Ungewöhnliche SMS mit Codes oder kryptischen Inhalten die du nicht erwartet hast

Keine dieser Symptome ist ein Beweis. Aber wenn mehrere zusammenkommen, lohnt der Scan.

Der iOS-Scan — iPhone

Apple hat Stalkerware deutlich erschwert. Ohne Jailbreak kann eine App keine tiefgreifende Überwachung installieren. Die übrigen Vektoren sind:

• Ein heimlich installiertes MDM-Profil (Mobile Device Management)
• Shared-iCloud-Konten mit aktivierter Device-Sharing-Funktion
• "Screen Time" im Familien-Modus mit Admin-Zugriff durch andere Person

Mein Scan-Playbook:

Schritt 1 — MDM-Profile prüfen (30 Sekunden)

Einstellungen → Allgemein → VPN & Geräteverwaltung. Wenn dort ein Profil steht das du nicht selbst installiert hast — sofort entfernen. Das ist der häufigste iOS-Stalkerware-Vektor.

Schritt 2 — iCloud-Sharing prüfen (1 Minute)

Einstellungen → Apple-ID (oben) → Familie. Wenn Personen gelistet sind die du nicht selbst hinzugefügt hast — entfernen. Wenn dein iCloud-Konto mit einer anderen Person geshared wird (gleiche Apple-ID auf zwei Geräten), siehst du "Angemeldete Geräte" — alle fremden raus.

Schritt 3 — Screen Time Passcode prüfen (30 Sekunden)

Einstellungen → Bildschirmzeit → Bildschirmzeit-Code ändern. Wenn du das Passwort nicht gesetzt hast oder nicht mehr kennst — zurücksetzen durch einen erwachsenen Familien-Admin. Das hat wer anders für dich gesetzt.

Schritt 4 — MVT mit Claude Code (2 Minuten, für paranoidere User)

Mobile Verification Toolkit ist das Open-Source-Framework zur iOS-Forensik. Du machst einen Backup via iMazing, entschlüsselst den, und MVT sucht nach bekannten Stalkerware-Signaturen (auch Pegasus, FinFisher, wenn die bei dir relevant sind):

brew install mvt
mvt-ios decrypt-backup -p 'backup-passwort' -d decrypted/ backup/
mvt-ios check-backup -o results/ decrypted/

Claude Code kann die JSON-Results für dich parsen:

cat results/*.json | claude --prompt "Analysiere diese MVT-Ergebnisse.
Gibt es Indikatoren für Stalkerware oder Spyware?
Liste auffällige Einträge, ordne nach Wahrscheinlichkeit eines Problems."

Das liefert eine priorisierte Liste statt du durch tausende JSON-Zeilen scrollst.

Der Android-Scan — Pixel, Samsung, etc.

Android ist das größere Problem. Stalkerware-Apps sind dort deutlich verbreiteter, weil das Berechtigungssystem ausnutzbarer ist.

Schritt 1 — Alle installierten Apps durchgehen (2-3 Minuten)

Einstellungen → Apps → Alle Apps anzeigen. Prüfe jede App die du nicht selbst installiert hast. Stalkerware versteckt sich oft unter unauffälligen Namen wie "System Service", "Wifi Helper", "Device Health".

Fürs Durchgehen hilft Claude Code wenn du die App-Liste exportierst (via ADB):

adb shell pm list packages -3 > installed_apps.txt
cat installed_apps.txt | claude --prompt "Hier ist die Liste installierter Third-Party-Apps
auf meinem Android. Markiere welche verdächtig wirken könnten — 
ungewöhnliche Paketnamen, generische System-Namen, bekannte Stalkerware-Signaturen."

Die Antwort priorisiert dir die zu prüfenden Apps.

Schritt 2 — Accessibility-Services prüfen (1 Minute)

Das ist der kritische Punkt bei Android. Stalkerware braucht Accessibility-Berechtigungen um wirklich effektiv zu sein.

Einstellungen → Bedienungshilfen → Installierte Dienste. Jeder Eintrag den du nicht selbst aktiviert hast ist hochgradig verdächtig. Deaktivieren und die zugehörige App untersuchen.

Schritt 3 — Admin-Rechte prüfen (30 Sekunden)

Einstellungen → Sicherheit → Geräteverwaltungs-Apps. Hier stehen Apps die dein Handy sperren oder zurücksetzen können. Standard sind "Mein Gerät finden" und ähnliche Google-Apps. Andere Einträge — raus.

Schritt 4 — Mit MVT Android scannen

MVT funktioniert auch für Android:

mvt-android check-adb --output results/

Das braucht USB-Debugging aktiviert am Handy. Ergebnis wie bei iOS durch Claude Code analysieren.

Wenn du was findest — was dann

Kritisch, weil die Situation oft heikel ist.

Wenn der Verdacht auf häusliche Gewalt liegt: Ändere nichts sofort. Stalkerware zu entfernen signalisiert dem Installateur "ich hab's gefunden" — das kann die Situation akut verschlechtern. Dokumentiere erst (Screenshots, App-Namen, Verdachtsmomente). Dann kontaktiere:

• Weißer Ring (116 006) — Opferhilfe
• Hilfetelefon Gewalt gegen Frauen (08000 116 016)
• Hilfetelefon Gewalt gegen Männer (0800 123 99 00)

Die haben Erfahrung mit digitalem Stalking und können dich durch den Sicherheits-Prozess begleiten, bevor die Technik angefasst wird.

Wenn kein Gewaltkontext existiert: Einfach deinstallieren, Passwörter ändern, Zwei-Faktor neu aufsetzen. Bei iOS zur Sicherheit einen vollständigen Factory-Reset. Bei Android auch — Android-Stalkerware kann sich tief verankern.

Die Prävention — was hilft

Vier Basis-Regeln die schon einiges abfangen:

• Sperr-PIN auf dem Handy, mindestens 6-stellig. Vier Ziffern sind in Minuten brute-forcebar wenn man physischen Zugriff hat.
• Biometrie zusätzlich aktiv. Face-ID, Fingerabdruck. Sekundäre Sperre.
• App-Installation nur aus offiziellen Stores. Kein Sideloading bei Android ohne guten Grund.
• Handy nicht unbeobachtet liegen lassen in Situationen wo jemand fünf Minuten ungestörten Zugriff haben könnte. Klingt paranoid — ist in häuslicher Gewalt der Regel-Anfang.

Warum KI hier hilft

Der Punkt an dem Claude Code real nützlich wird: Auswertung von langen Diagnose-Outputs. MVT produziert JSON-Dateien mit tausenden Einträgen. Android-App-Listen können 300+ Einträge haben. Ein Mensch übersieht Anomalien in solchen Mengen. Eine KI mit gutem Prompt markiert die kritischen fünf Prozent.

Die KI ersetzt nicht den Entscheidungs-Teil — ob ein gefundener Eintrag wirklich Stalkerware ist, musst du am Ende durch eigene Recherche bestätigen. Aber die Vorsortierung ist der Zeitspar-Hebel.

Mein Scan-Result

Ich hab beide Geräte gescant (iPhone und Pixel). Keine Funde. Erwartbar — ich leb allein und mein Handy ist 99 Prozent der Zeit bei mir. Aber ich hab jetzt ein wiederholbares Verfahren wenn ich einen Verdacht hätte.

Der Scan ist Teil meines Quartals-Security-Routine geworden. Ein mal alle drei Monate, zwanzig Minuten. Kein großer Aufwand für das Sicherheitsgefühl.

Weiterlesen

Verwandte Bedrohungen: CEO-Fraud per Voice-Cloning, WhatsApp-Enkeltrick mit ChatGPT. Für den technischen Überblick Pentesting-Pillar.

Eigener Fall oder Fragen zur konkreten Situation? Im Discord Zone "Hacking & Security" — wir behandeln das vertraulich, kein Outing. Wer Unterstützung bei einem Stalking-Fall braucht, kontaktiere bitte zusätzlich die oben genannten Opferhilfe-Hotlines — die haben Psycholog:innen in der Beratung, wir nicht.