ReportageSpionage-Ziel Deutschland

Finfisher-Sitz
München, Baierbrunner Str. 15: Hinter dieser Fassade hat eine Firma ihren Sitz, die bei Geheimdiensten der ganzen Welt gefragt ist: Finfisher heißt das Unternehmen heute – genau wie sein Programm, das den Zugriff auf Rechner von Zielpersonen ermöglicht

Der Einsatz von deutscher Spähsoftware durch den bahrainischen Geheimdienst gegen Ziele in Deutschland beschäftigt jetzt die Justiz. Wie die Bundesregierung auf eine Anfrage der Linken-Fraktion im Bundestag bestätigt, hat der Generalbundesanwalt deshalb einen Beobachtungsvorgang angelegt. Es geht dabei um den Einsatz der in Deutschland hergestellten Überwachungs-Software Finfisher durch ausländische Dienste gegen mindestens eine infizierte IP-Adresse in Deutschland.

Capital hatte über diese erste Spur des Einsatzes deutscher Spionagesoftware gegen Ziele in Deutschland im November berichtet. Die Bundesanwaltschaft prüfe nach Medien-Hinweisen, „ob ein Anfangsverdacht einer geheimdienstlichen Tätigkeit zu bejahen ist“, heißt es nun in der Antwort der Bundesregierung, die Capital vorliegt. Die Prüfung sei noch nicht abgeschlossen.

„Ich begrüße, dass nun immerhin der Generalbundesanwalt Vorermittlungen aufgenommen hat“, sagte Jan Korte, stellvertretender Vorsitzender der Bundestagsfraktion der Linken. „Wir brauchen endlich eine rückhaltlose und vollständige Aufklärung über die Machenschaften ausländischer Geheimdienste gegen Oppositionelle hier in Deutschland.“ Die Bundesregierung müsse ihrer Schutzpflicht gegenüber den Menschen in Deutschland nachkommen und sie vor Zugriffen ausländischer Geheimdienste schützen, so Korte. „Wenn sich herausstellen sollte, dass die Käufer deutscher Überwachungstechnik diese auch hierzulande gezielt gegen Menschenrechtsaktivisten und Oppositionelle eingesetzt haben, wäre dies ein handfester Skandal.“

Wenn der Generalbundesanwalt Prüfungen zu geheimdienstrechtlicher Agententätigkeit gegen bahrainische Behördenvertreter anstelle, müsse er auch gegen diejenigen ermitteln, die das notwendige Equipment dafür bereitgestellt haben, forderte Yvonne Veith Referentin des European Center for Constitutional and Human Rights e.V. (ECCHR). „Es wird Zeit, dass auch Unternehmen für ihre Beteiligung an massiven Menschenrechtsverletzungen juristisch belangt werden.“

Deutschland zählt zu den wichtigsten Exporteuren von Überwachungstechnologie und Spähsoftware wie dem Trojaner Finfisher. Zu den Kunden gehören Regime, deren Sicherheitsbehörden die Technologie auch gegen Oppositionelle einsetzen. Der Fall, den die Bundesanwaltschaft nun prüft, ist der erste bekannt gewordene, bei dem ein ausländischer Staat Software made in Germany gegen ein Ziel in Deutschland einsetzt.

Wer sind die Firmen in diesem Geschäft aktiv sind und wer steckt dahinter? Capital hat die Spur nach Deutschland recherchiert:

Die deutsche Spur

Ihren IT-Support hat die Staatssicherheit von Bahrain in der Baierbrunner Straße 15, München-Obersendling. Dort sitzt der Softwarehersteller Gamma International. Am 20. Februar 2012 kontaktieren Mitarbeiter aus dem Sicherheitsapparat der Golfmonarchie um 7.51 Uhr verärgert die Münchner Firma. Ausgerechnet an diesem Tag haben die Spione ein Problem mit der Spähsoftware aus Deutschland. Es ist Arabischer Frühling, und in Dschidhafs, westlich von Bahrains Hauptstadt Manama, geht die Bevölkerung auf die Straße. Die Polizei treibt die Menschen mit Wasserwerfern auseinander. Sie schießt Tränengas in die Menge. Dutzende werden verhaftet.

Während draußen die Proteste gegen das Königshaus eskalieren, warten bahrainische Sicherheitsbeamte in ihrem Kontrollzentrum ungeduldig auf Hilfe aus Deutschland. Die Überwachung mehrerer Zielpersonen, deren Computer die Bahrainer mit einem Gamma-Spionageprogramm infiziert haben, funktioniert nicht wie gewünscht. „Der Trojaner wird von einem Antiviren-Programm erkannt und ist klar erkennbar an einem Pop-up“, beschweren sich die Überwacher beim IT-Support in München.

Es ist nicht das erste Mal, dass die Technik hakt bei Finspy, Gammas Vorzeigeprogramm aus der Produktfamilie namens Finfisher. Zwar haben die Bahrainer schon eine Menge Computer mit Trojanern infiziert und einige „Fische geschnappt“, wie sie an den Hersteller schreiben. Doch manchmal verliere man die überwachten Personen, sobald sie offline gingen. „Wir können die Zielpersonen nicht immer wieder neu infizieren“, klagen die Araber, die insgesamt 855.660 Euro für diverse Spähprogramme made in Germany bezahlt haben. Diese Probleme müssten schnellstmöglich behoben werden, „damit wir unsere Arbeit fortsetzen können“, fordern die Kunden. „Bitte kontaktieren Sie uns so schnell wie möglich.“

Nachzulesen ist all dies in Unterlagen der Firma Gamma, die sich mittlerweile in Finfisher umbenannt hat. Kürzlich wurden ihre eigenen Computer von Unbekannten gehackt. Hunderte Dokumente aus dem Innersten des Unternehmens haben die Angreifer auf die Internetplattform Wikileaks gestellt: Preislisten, Werbetrailer, die Kommunikation von Geheimdiensten aus aller Welt mit dem Kundenservice, auch IP-Adressen von Computern, die mit der Finfisher-Software infiziert wurden. Sogar der Programmiercode des Trojaners ist nun öffentlich einsehbar.

Die internen Unterlagen zeigen, welche Regierungen der Anbieter beliefert hat. Andere Dokumente, die ebenfalls bei Wikileaks hochgeladen wurden, belegen, dass nicht nur Finfisher, sondern mehrere deutsche Firmen zu den weltweit gefragten Herstellern von Hightech-Spionage-Werkzeugen gehören. Ihre Produkte ermöglichen es Polizei und Geheimdiensten vieler Länder, Computer, Telefone und Netzwerke zu überwachen: von einzelnen Personen bis zum Internet- und Telefonverkehr ganzer Staaten.

Rund 20 Unternehmen zählen in Deutschland zur Überwachungsindustrie: Produzenten von Trojanern, Schadsoftware und digitalen Angriffswerkzeugen ebenso wie Hersteller von Überwachungszentren für komplette Netze. Die Firmen heißen Atis Uher, Syborg, Trovicor, Elaman oder Digitask – Mittelständler mit ein paar Dutzend Mitarbeitern, Provinzstandorten – und ausgeklügeltem Know-how. So verspricht etwa die auf Abhörschnittstellen spezialisierte Aachener Firma Utimaco in einer Präsentation, ihr System könne Tausende Überwachungsvorgänge parallel abwickeln. Die Firmen betonen, dass sie ihre Produkte nur an staatliche Stellen lieferten, zur Terrorabwehr und Verbrechensbekämpfung. „Lawful interception“ heißt die Telekommunikationsüberwachung in der Branche.