• Facebook
  • Twitter
  • Google Plus
  • Reportage

Spionage-Ziel Deutschland

, Matthias Thieme und Thomas Steinmann

Deutschland wird mit deutscher Technik ausspioniert. Jetzt überprüft der Generalbundesanwalt Finfisher-Attacken eines ausländischen Dienstes

Finfisher-Sitz
München, Baierbrunner Str. 15: Hinter dieser Fassade hat eine Firma ihren Sitz, die bei Geheimdiensten der ganzen Welt gefragt ist: Finfisher heißt das Unternehmen heute – genau wie sein Programm, das den Zugriff auf Rechner von Zielpersonen ermöglicht

Der Einsatz von deutscher Spähsoftware durch den bahrainischen Geheimdienst gegen Ziele in Deutschland beschäftigt jetzt die Justiz. Wie die Bundesregierung auf eine Anfrage der Linken-Fraktion im Bundestag bestätigt, hat der Generalbundesanwalt deshalb einen Beobachtungsvorgang angelegt. Es geht dabei um den Einsatz der in Deutschland hergestellten Überwachungs-Software Finfisher durch ausländische Dienste gegen mindestens eine infizierte IP-Adresse in Deutschland.

Capital hatte über diese erste Spur des Einsatzes deutscher Spionagesoftware gegen Ziele in Deutschland im November berichtet. Die Bundesanwaltschaft prüfe nach Medien-Hinweisen, „ob ein Anfangsverdacht einer geheimdienstlichen Tätigkeit zu bejahen ist“, heißt es nun in der Antwort der Bundesregierung, die Capital vorliegt. Die Prüfung sei noch nicht abgeschlossen.

„Ich begrüße, dass nun immerhin der Generalbundesanwalt Vorermittlungen aufgenommen hat“, sagte Jan Korte, stellvertretender Vorsitzender der Bundestagsfraktion der Linken. „Wir brauchen endlich eine rückhaltlose und vollständige Aufklärung über die Machenschaften ausländischer Geheimdienste gegen Oppositionelle hier in Deutschland.“ Die Bundesregierung müsse ihrer Schutzpflicht gegenüber den Menschen in Deutschland nachkommen und sie vor Zugriffen ausländischer Geheimdienste schützen, so Korte. „Wenn sich herausstellen sollte, dass die Käufer deutscher Überwachungstechnik diese auch hierzulande gezielt gegen Menschenrechtsaktivisten und Oppositionelle eingesetzt haben, wäre dies ein handfester Skandal.“

Wenn der Generalbundesanwalt Prüfungen zu geheimdienstrechtlicher Agententätigkeit gegen bahrainische Behördenvertreter anstelle, müsse er auch gegen diejenigen ermitteln, die das notwendige Equipment dafür bereitgestellt haben, forderte Yvonne Veith Referentin des European Center for Constitutional and Human Rights e.V. (ECCHR). „Es wird Zeit, dass auch Unternehmen für ihre Beteiligung an massiven Menschenrechtsverletzungen juristisch belangt werden.“

Deutschland zählt zu den wichtigsten Exporteuren von Überwachungstechnologie und Spähsoftware wie dem Trojaner Finfisher. Zu den Kunden gehören Regime, deren Sicherheitsbehörden die Technologie auch gegen Oppositionelle einsetzen. Der Fall, den die Bundesanwaltschaft nun prüft, ist der erste bekannt gewordene, bei dem ein ausländischer Staat Software made in Germany gegen ein Ziel in Deutschland einsetzt.

Wer sind die Firmen in diesem Geschäft aktiv sind und wer steckt dahinter? Capital hat die Spur nach Deutschland recherchiert:

Die deutsche Spur

Ihren IT-Support hat die Staatssicherheit von Bahrain in der Baierbrunner Straße 15, München-Obersendling. Dort sitzt der Softwarehersteller Gamma International. Am 20. Februar 2012 kontaktieren Mitarbeiter aus dem Sicherheitsapparat der Golfmonarchie um 7.51 Uhr verärgert die Münchner Firma. Ausgerechnet an diesem Tag haben die Spione ein Problem mit der Spähsoftware aus Deutschland. Es ist Arabischer Frühling, und in Dschidhafs, westlich von Bahrains Hauptstadt Manama, geht die Bevölkerung auf die Straße. Die Polizei treibt die Menschen mit Wasserwerfern auseinander. Sie schießt Tränengas in die Menge. Dutzende werden verhaftet.

Während draußen die Proteste gegen das Königshaus eskalieren, warten bahrainische Sicherheitsbeamte in ihrem Kontrollzentrum ungeduldig auf Hilfe aus Deutschland. Die Überwachung mehrerer Zielpersonen, deren Computer die Bahrainer mit einem Gamma-Spionageprogramm infiziert haben, funktioniert nicht wie gewünscht. „Der Trojaner wird von einem Antiviren-Programm erkannt und ist klar erkennbar an einem Pop-up“, beschweren sich die Überwacher beim IT-Support in München.

Es ist nicht das erste Mal, dass die Technik hakt bei Finspy, Gammas Vorzeigeprogramm aus der Produktfamilie namens Finfisher. Zwar haben die Bahrainer schon eine Menge Computer mit Trojanern infiziert und einige „Fische geschnappt“, wie sie an den Hersteller schreiben. Doch manchmal verliere man die überwachten Personen, sobald sie offline gingen. „Wir können die Zielpersonen nicht immer wieder neu infizieren“, klagen die Araber, die insgesamt 855.660 Euro für diverse Spähprogramme made in Germany bezahlt haben. Diese Probleme müssten schnellstmöglich behoben werden, „damit wir unsere Arbeit fortsetzen können“, fordern die Kunden. „Bitte kontaktieren Sie uns so schnell wie möglich.“

Nachzulesen ist all dies in Unterlagen der Firma Gamma, die sich mittlerweile in Finfisher umbenannt hat. Kürzlich wurden ihre eigenen Computer von Unbekannten gehackt. Hunderte Dokumente aus dem Innersten des Unternehmens haben die Angreifer auf die Internetplattform Wikileaks gestellt: Preislisten, Werbetrailer, die Kommunikation von Geheimdiensten aus aller Welt mit dem Kundenservice, auch IP-Adressen von Computern, die mit der Finfisher-Software infiziert wurden. Sogar der Programmiercode des Trojaners ist nun öffentlich einsehbar.

Die internen Unterlagen zeigen, welche Regierungen der Anbieter beliefert hat. Andere Dokumente, die ebenfalls bei Wikileaks hochgeladen wurden, belegen, dass nicht nur Finfisher, sondern mehrere deutsche Firmen zu den weltweit gefragten Herstellern von Hightech-Spionage-Werkzeugen gehören. Ihre Produkte ermöglichen es Polizei und Geheimdiensten vieler Länder, Computer, Telefone und Netzwerke zu überwachen: von einzelnen Personen bis zum Internet- und Telefonverkehr ganzer Staaten.

Rund 20 Unternehmen zählen in Deutschland zur Überwachungsindustrie: Produzenten von Trojanern, Schadsoftware und digitalen Angriffswerkzeugen ebenso wie Hersteller von Überwachungszentren für komplette Netze. Die Firmen heißen Atis Uher, Syborg, Trovicor, Elaman oder Digitask – Mittelständler mit ein paar Dutzend Mitarbeitern, Provinzstandorten – und ausgeklügeltem Know-how. So verspricht etwa die auf Abhörschnittstellen spezialisierte Aachener Firma Utimaco in einer Präsentation, ihr System könne Tausende Überwachungsvorgänge parallel abwickeln. Die Firmen betonen, dass sie ihre Produkte nur an staatliche Stellen lieferten, zur Terrorabwehr und Verbrechensbekämpfung. „Lawful interception“ heißt die Telekommunikationsüberwachung in der Branche.

[Seitenwechsel]

Finfisher
In Videos warb Gamma für seine Überwachungsprogramme. Die Filme wurden jetzt durch ein Datenleck öffentlich

Technisch besteht zwischen Produkten zur Gefahrenabwehr und zur Verfolgung von Oppositionellen allerdings kein Unterschied – und für die genaue Verwendung sei man nicht verantwortlich, argumentieren die Hersteller. Für sie ist es ein gutes Geschäft. 3 bis 5 Mrd. Dollar pro Jahr werden auf dem Weltmarkt umgesetzt, schätzen Experten – mit jährlichen Wachstumsraten von sechs bis acht Prozent. Laut der Organisation Privacy International zählt die Bundesrepublik beim Export von Überwachungslösungen zu den Top drei, nach den USA und Großbritannien.

Insbesondere im Nahen Osten ist Spähtechnologie made in Germany ähnlich begehrt wie deutsche Panzer. Seit dem Ausbruch des Arabischen Frühlings boomt die Nachfrage. Alarmiert von der Wucht, mit der das Internet die Aufstände in Tunesien, Ägypten oder Syrien angeheizt hat, haben die Regime in der Region bei der Überwachung des Netzes aufgerüstet. Viele der Aufträge gingen an Firmen aus Deutschland.

Dass die Münchner Firma Gamma International und ihre Spähprodukte überhaupt existieren, erfuhren viele Deutsche im Jahr 2011. Da fanden Demonstranten in der Zentrale des ägyptischen Geheimdiensts eine hellgrüne Mappe mit einem Angebot von Gamma: Für rund 300.000 Euro sollte der Geheimdienst die Finfisher-Software zur Überwachung der Bevölkerung erhalten. Das Unternehmen erklärte später, man habe nur eine Test-Version geliefert.

Kundendienst für Späher

Doch die Finfisher-Programme sind längst rund um die Welt verbreitet, wie die geleakten Firmendokumente zeigen: Ob aus Bahrain, Nigeria, Bangladesch oder Pakistan – von überall her meldeten sich Kunden in der Münchner Gamma-Zentrale. Etwa weil sie Probleme mit den Software-Lizenzen hatten: „Wie vertraglich vereinbart, haben wir eine Erlaubnis für 35 Ziele“, beschwerten sich Überwacher aus Pakistan beim Kundenservice. Nun könne man die Software aber nur auf 20 Ziele ansetzen. „Bitte sehen Sie sich die Sache an, damit wir unsere Operationen vollständig ausführen können.“ Immerhin habe man 432.120 Euro bezahlt. Nun stecke man „in großen Schwierigkeiten“.

Vom ungarischen Geheimdienst SSNS meldete sich öfter ein „Zoltan“ direkt beim damaligen Gamma-Firmenchef Martin Münch. Man kennt sich offenbar gut, Zoltan duzt „Martin“. Und der Geheimdienst von Bosnien-Herzegowina, Abkürzung OSA-OBA, hatte ein spezielles Problem: Das Spähprogramm funktioniere nur mit einer Import-Nummer, beschwerten sich die Bosnier: „Wir haben nie eine Import-Lizenz bekommen – was sollen wir tun?“

Unterstützt aus Deutschland haben Behörden rund um den Globus den Gebrauch immer neuer Produkte gelernt, bis hin zu umfassenden Eingriffen in die IT-Struktur von Staaten. Bislang ging es bei den Geschäften scheinbar um weit entfernte Regionen. An die autoritäre Führung in Turkmenistan etwa wollte Gamma das Produkt Finfly verkaufen, das die Überwachung des kompletten Internet- und Telefonnetzes eines Landes ermöglicht.

Durch die geleakten Dokumente wird nun deutlich, dass sich die Ziele der Überwacher überall auf der Welt befinden – sogar in den Ländern der Spähsoftwarehersteller. So enthalten die Dokumente der Firma Gamma eine Datei mit 2489 IP-Adressen, die von bahrainischen Behörden mit dem Finfisher-Trojaner infiziert wurden. 1485 dieser Ziele liegen in Bahrain selbst, 340 in Großbritannien, 155 in Marokko, 110 in Iran, 69 in Belgien und 15 in den USA.

Auch Ziele in Deutschland waren im Visier der bahrainischen Sicherheitsdienste. 15 der infizierten IP-Adressen, über die Computer oder mobile Geräte mit dem Internet verbunden waren, stammen aus der Bundesrepublik. Provider in 14 Fällen war die Deutsche Telekom, wie der Konzern bestätigt. Es ist der erste dokumentierte Fall, bei dem ein Abnehmer im Ausland die exportierte Software gegen Ziele in Deutschland richtete. Hatten es die Bahrainer auf Exilanten abgesehen? Oder ging es um deutsche Unternehmen?

Keine Hintertür

Die Telekom erklärt, sie könne nicht mehr ermitteln, wem die betroffenen IP-Adressen zugeordnet waren. Untersucht man die IP-Adressen auf ihre geografische Verortung, entsteht ein Muster: 13 Adressen lassen sich in der Region um das hessische Wetzlar lokalisieren. Dort gibt es ein Rechenzentrum, eine Vakuumpumpenfabrik, Moscheen und Flüchtlingsheime. Wer oder was das Ziel des Angriffs war, könnten heute allenfalls Behörden herausfinden. Fest steht, dass die Adressen von Bahrain aus überwacht wurden.

„Ein solches Ausspähen von Daten ist strafbar“, sagt der Marburger Rechtsprofessor Christoph Safferling. „Wenn so etwas von ausländischen Behörden betrieben wird, ist das nicht nur ein Angriff auf den privaten Lebensbereich der betroffenen Personen“, sagt Safferling, „dann sind auch Interessen der Bundesrepublik Deutschland betroffen. Damit liegt ein Fall für den Staatsschutz vor.“

Nach Recherchen von Capital wurden das Referat für Cyberspionage beim Generalbundesanwalt und das BKA über den Fall informiert. Sollten die Ermittler Hinweise auf elektronische Angriffe fremder Nachrichtendienste finden, werde man prüfen, ob eine Straftat wie etwa geheimdienstliche Agententätigkeit vorliege, sagte Oberstaatsanwalt Marcus Köhler, Sprecher beim Bundesgerichtshof.

Bei der Staatsanwaltschaft München ist bereits eine Strafanzeige gegen Verantwortliche des Finfisher-Herstellers eingegangen: Die Menschenrechtsorganisationen Privacy International und European Center for Constitutional and Human Rights (ECCHR) haben den Verdacht, dass sich die Firmen-Mitarbeiter der Beihilfe zum Ausspähen von Daten schuldig gemacht haben könnten. Die Firma Finfisher selbst hat auf mehrmalige Bitten von Capital, zu den geleakten Dokumenten Stellung zu nehmen, nicht reagiert.

In Frankreich laufen zwei Strafverfahren wegen Beihilfe zur Folter gegen andere Exporteure, die Überwachungstechnik nach Syrien geliefert hatten. Und in Großbritannien könnte die National Cyber Crime Unit bald Ermittlungen im Fall eines Exil-Oppositionellen aus Äthiopien einleiten. Auf seinem Computer hatten Experten Spuren des Trojaners aus München entdeckt.

[Seitenwechsel]

Merkel in Bahrain
Merkel 2010 in Bahrain: König Hamad bin Isa al-Khalifa (r.) ist ein Verbündeter des Westens. Dass dortige Behörden Überwachungssoftware aus Deutschland nutzen, war damals noch nicht bekannt (Foto: Getty Images)

Dass gerade deutsche Firmen führend beim Geschäft mit Überwachungstechnologien sind, ist kein Zufall. „Die Deutschen gelten als zuverlässige Lieferanten“, sagt Rainer Fahs, früherer IT-Sicherheitsexperte bei der NATO und Vorstand der European Expert Group for IT-Security. Anbieter aus den USA, Großbritannien oder Russland hätten den Ruf, verlängerter Arm der jeweiligen Geheimdienste zu sein. Jeder wisse mittlerweile, dass die US-Regierung den Softwareherstellern per Gesetz einen „Third Party Access“ vorschreiben, sagt Fahs – eine Hintertür für Ermittler und Geheimdienste wie die NSA. „Das bringt deutschen Unternehmen einen Geschäftsvorteil“, sagt Fahs. „Die Kunden wenden sich an Hersteller, die ihnen garantieren, dass es keine Backdoors gibt.“

Auch wenn die IT-Branche hierzulande allgemein nicht gerade als Frontrunner gilt, verfügen deutsche Firmen insbesondere bei Verschlüsselungstechnologien über ein besonders großes Know-how. „Viele Firmen sind Spin-offs von Fraunhofer-Instituten“, sagt der IT-Sicherheits-Forscher Sandro Gaycken von der HU Berlin. Im Bereich der Überwachungssysteme für komplette Netzwerke profitiert die Branche außerdem von Fachwissen, das Siemens in seinem einstigen Geschäftsbereich Voice and Data Recording aufgebaut hatte. Nach der Jahrtausendwende lieferte der Konzern auch Spähtechnik an Syrien und den Iran.

Heute firmiert die frühere Siemens-Sparte als selbstständiges Unternehmen unter dem Namen Trovicor. Es gehört dem Investmentfonds Perusa, der auf der Steueroase Guernsey im Ärmelkanal registriert ist. Im vergangenen Jahr erzielte die Münchner Firma, die nach eigenen Angaben 70 „Installationen“ in 35 Ländern unterhält, rund 80 Prozent ihres Umsatzes im Nahen Osten. Wie andere Player verfügt Trovicor über eine Dependance am Golf. Man könne weder Kunden noch Abnehmerländer nennen, „da die Vertragsbedingungen es uns nicht erlauben“, teilt Trovicor auf Anfrage mit.

Kaum Regulierung

Die Unternehmen profitieren auch davon, dass der Verkauf von Überwachungstechnologie in Deutschland weitgehend unreguliert ist. Bislang mussten die hiesigen Unternehmen nur in seltenen Fällen Genehmigungen von staatlichen Exportbehörden einholen: „Die Firmen können alle möglichen Produkte exportieren, auch solche, die in Deutschland nicht eingesetzt werden dürfen“, sagt IT-Experte Gaycken. Ein Trojaner lässt sich so leicht exportieren wie eine Kiste Moselwein.

Überhaupt ist die Überwachungsbranche in Deutschland bislang eng mit dem Staat verflochten. Einzelne Exporte wurden in der Vergangenheit mit Hermes-Bürgschaften abgesichert. In der schwarz-gelben Bundesregierung gab es sogar Pläne, die Beratung von Regierungen in Sicherheitsfragen zu einem Schwerpunkt der Entwicklungshilfe zu machen – auch um damit das Geschäft anzukurbeln. Und als das BKA daran scheiterte, einen rechtskonformen Staatstrojaner zu entwickeln, kaufte es 2013 für 150 000 Euro einen deutschen Exportschlager: das Programm Finfisher von Gamma.

Doch seit zahlreiche Funde den Einsatz der Software in Unrechtsstaaten bewiesen, läuft das Geschäft nicht mehr so reibungslos wie früher. Berichte über bahrainische Sicherheitsdienste, die Finfisher nutzen, um Regimegegner zu verfolgen und in Verhören aus privaten Telefonaten und SMS vorzulesen, rüttelten die deutsche Politik auf. Auch wegen solcher Enthüllungen will die Bundesregierung den Export von Spähtechnologie schärfer kontrollieren. „Autoritäre Regime unterdrücken ihre Bevölkerung schon lange nicht mehr nur mit Panzern und Maschinengewehren, sondern zunehmend auch mit Internet-Überwachungstechnologie“, sagt Wirtschaftsminister Sigmar Gabriel.

„Try before you buy“

International soll die Ausfuhr künftig reguliert werden. Ende 2013 haben 41 Staaten im Wassenaar-Abkommen zur Waffenexportkontrolle vereinbart, dass Netzwerk-Überwachungssysteme und „intrusion software“ – also Trojaner – in die Liste der Güter aufgenommen werden, die sowohl zivil als auch militärisch verwendet werden können („dual use“). Neben der EU haben auch die USA, Russland, Südkorea und die Türkei das Wassenaar-Abkommen unterzeichnet. Bis Ende des Jahres will die EU die Beschlüsse umsetzen, dann sind sie auch in Deutschland bindend.

Der Staat könnte der Branche so künftig Deals mit guten Kunden untersagen, wenn dort die Menschenrechtslage problematisch ist. „Firmen, die Überwachungstechnik aus der EU exportieren, werden es in Zukunft schwerer haben“, meint Ben Wagner von der Forschungsstelle Internet und Menschenrechte an der Europa-Universität Viadrina. Ob die Regulierung aber den Verkauf der Programme insgesamt bremst, ist zweifelhaft. Christian Mihr, Geschäftsführer von Reporter ohne Grenzen, fürchtet: „Die Unternehmen können Firmensitz und Entwicklung ins Ausland verlagern.“ Etwa in die Golfstaaten, die das Wassenaar-Abkommen nicht unterzeichnet haben.

Trotz der Regulierungspläne gibt sich die Branche gelassen – zumindest nach außen. „Wir werden alle Richtlinien, die die deutsche Regierung definiert, sorgfältig umsetzen“, sagt Birgitt Fischer-Harrow, Marketingchefin bei Trovicor.

Abrupte Interventionen deutscher Behörden müssen die Anbieter allerdings auch nicht befürchten. Zwar hatte Wirtschaftsminister Gabriel im Frühjahr angekündigt, Exporte in bestimmte Länder ab sofort per Sondereingriff zu verhindern. Man habe jedoch „keine Kenntnis“ von kritischen Ausfuhren erhalten, erklärte Gabriels Ministerium. Was auch daran liegen könnte, dass die Hersteller selbst die Unterlagen einreichen müssen, damit ihre Produkte überhaupt kontrolliert werden.

Der Hersteller des Finfisher-Trojaners bietet derweil ein besonderes Schnäppchen an, um das Geschäft anzukurbeln. Interessenten können eine rund 100 000 Euro teure Lizenz gratis testen. Beworben wird das Angebot mit dem Slogan: „Try before you buy.“

Die Geschichte erschien zuerst in der November-Ausgabe 2014 von Capital. Sie wurde für die Online-Version um die aktuellen Entwicklungen ergänzt


Artikel zum Thema
Autor
  • Exklusiv
Hopp strebt IPO für Biotechfirma CureVac an

Nach dem Einstieg von Bill Gates will Dietmar Hopp den Impfstoffhersteller an die Börse bringen.MEHR

  • Exklusiv
Politiker fordern schärfere Kontrolle von Überwachungs-Software

Deutsche Firmen wurden mit deutscher Überwachungs-Software ausspioniert.MEHR

LESERKOMMENTARE

 

Kommentare Einblenden

Datenschutz

Die Kommentarfunktion "Disqus" wird von der Big Head Labs, Inc., San Francisco/USA., zur Verfügung gestellt. Weitere Informationen, insbesondere darüber, ob und wie personenbezogene Daten erhoben und verarbeitet werden, finden Sie in unseren Datenschutzbestimmungen.

Moderation

Die Kommentare werden von Capital moderiert. Das heißt, Kommentare werden von der Redaktion freigeschaltet. Kritik und auch in der Sache harte Diskussionen sind willkommen, Beleidigungen werden wir dagegen nicht zulassen. Näheres hierzu finden Sie in unserer Netiquette.