Spionagesoftware made in Germany

Deutschland ist einer der weltweit größten Exporteure konventioneller Rüstungsgüter. Handfeuerwaffen und gepanzerte Fahrzeuge sind beliebt bei den internationalen Großkunden deutscher Waffenschmieden und die Bundesregierung fördert seit Jahren aktiv die Belieferung autokratischer Diktaturen wie Algerien, Katar oder Saudi-Arabien mit Qualitätsprodukten aus deutscher Fertigung. Berlin schert sich wenig um die lange Liste an Menschenrechtsverstößen, für die diese Regierungen verantwortlich gemacht werden. Soweit so bekannt. Hingegen erregen die Aktivitäten deutscher Unternehmen auf dem Markt für Internetkontrolle und Spionagesoftware bisher wenig Aufsehen. Während sich die Öffentlichkeit weiter über die Spionage des US-Geheimdienstes NSA auf deutschem Boden echauffiert, mauserte sich Deutschlands Softwareindustrie klammheimlich zum Hauptakteur auf dem Weltmarkt für Onlinebespitzelung und Internetüberwachung.

Im März 2013 veröffentlichte die Menschenrechtsorganisation Reporter ohne Grenzen (ROG) einen Bericht, der nicht nur die Verfolgung von Oppositionellen und Dissidenten in autokratisch regierten Staaten mithilfe modernster Kommunikationsüberwachung dokumentiert, sondern konkret fünf multinational operierende Unternehmen für die Weitergabe von Spionagesoftware zur Internetüberwachung an autoritäre Länder anprangert. Neben der US-Firma Blue Coat, der Hacking Group aus Italien und der französischen Amesys finden sich gleich zwei deutsche Hersteller von Überwachungssoftware auf der Blacklist von ROG.

Die Rede ist von der Trovicor Gmbh mit Sitz in München, einer früheren Siemens-Tochter, und der britisch-deutschen Gamma Group. Beide zählen zu den Marktführern in der Branche. Travicor operiert weltweit mit Niederlassungen in Dubai, Islamabad und Kuala Lumpur und hat unter anderem Bahrain mit „Monitoring Centres“ ausgestattet. Diese zentralisierten Überwachungscluster eignen sich für die Komplettüberwachung von Onlineverkehr, Voice over IP und Mobiltelefonen. Trovicor habe auch an Staatstrojanern für Bayerns Innenministerium gebastelt und wurde 2009 verdächtigt ein Paket im Bereich der Deep Packet Inspection (DPI) nach Iran geliefert zu haben. Die damals noch von Siemens kontrollierte Firma bestreitet die Vorwürfe. Man habe Teheran lediglich mit Möglichkeiten zur „gesetzeskonformen“ Telefonüberwachung ausgerüstet.

Auch die britisch-deutsche Gamma International Gmbh lieferten fleißig Produkte aus ihrer Spyware-Familie FinFisher an autoritäre Diktaturen. Neben Bahrain ist das Unternehmen in Ägypten aktiv und drängt trotz jüngster Kritik an der Kooperation mit Kairo weiter auf den Markt am Nil. Kurz nach Ausbruch von Ägyptens Revolution 2011 stürmten Demonstranten ein Gebäude des gefürchteten Staatssicherheitsdienst in Kairo und fanden eine Gamma-Verkaufsofferte. Fast 300000 Euro sollte die Software kosten. Die Regierung soll eine Testversion genutzt haben, berichtet der NDR. Gammas FinFisher-Familie umfasst Staatstrojaner in allen erdenklichen Formen. Von Programmen zur manuellen Installation der Software auf Zielsystemen offeriert Gamma auch Software zum Hacken von WLAN-Netzwerken und Infektionstools, die sich über das Abrufen manipulierter Websites oder Updates auf Zielcomputern einnisten und eine Komplettüberwachung der infizierten Systeme ermöglichen. FinFisher wurde in Bahrain genutzt und soll in Äthiopien, den Vereinigten Arabischen Emiraten, Katar und zahlreichen anderen Ländern eingesetzt worden sein.

Massenüberwachung in Ägypten

Das Unternehmen hat keinerlei Probleme seine Produkte autoritären Staaten anzubieten, mischte die Firma doch auch bei der jüngsten Ausschreibung von Ägyptens Innenministerium zum Kauf von Spionagesoftware mit. Gamma musste sich in dem Wettbewerb der US-Firma Blue Coat geschlagen geben. Der Fall Ägypten veranschaulicht eindrucksvoll wie wenig glaubwürdig die Beteuerungen der Hersteller sind wenn es um die Gefahr von staatlichem Missbrauch geht. Auf ihren Websites betonen die Spionagesoftware-Produzenten man liefere die Produkte nur für die „gesetzeskonforme“ Schnüffelei. Die Realität sieht indes anders aus wie das Beispiel Ägypten zeigt. Dessen Innenministerium will soziale Netzwerke wie Twitter, Youtube, Facebook und sogar Smartphone-Apps systematisch überwachen lassen, berichtete die Menschenrechtsorganisation Amnesty International im Juni 2014. Legitimiert mit dem Anti-Terror-Kampf am Nil wollen Behörden neben Blasphemie, Gotteslästerung und „unmoralischem Verhalten“ auch Aufrufe zu Streiks und Demonstrationen ausspionieren. Die Liste der „verdächtigen“ Schlagwörter ist lang und nur teilweise öffentlich bekannt.

Gamma war sehr daran interessiert den Zuschlag für die lukrative Ausschreibung des Innenministeriums zu bekommen und hat daher offenbar kein Problem Kairo dabei zu helfen Oppositionelle und Homosexuelle zu verfolgen, schließlich hat es die ägyptische Regierung neben der Opposition auch auf die LGBT-Community im Land abgesehen. Zuletzt hatten sich Razzien bei Schwulen-Partys deutlich intensiviert. Im Oktober 2014 wurden mehrere Männer gar zu mehrjährigen Haftstrafen verurteilt, nachdem sie auf einer Hochzeit eines schwulen Pärchens verhaftet wurden. Die Regierung nimmt mit der systematischen Massenüberwachung sozialer Netzwerke die letzte noch verbliebene Plattform für freie Meinungsäußerungen im Land ins Visier. Und dabei sind Schutzwerkzeuge wie Verschlüsselungssoftware und Proxy-Server in Ägypten nach wie vor relativ unbekannt und werden kaum genutzt. Der Staat hat es somit umso leichter seine völlig entfesselte Datensammelwut auszuleben und unerwünschte politische Aktivitäten ungehindert auszuspähen.

Spionagesoftware als Waffe

Travicor und Gamma sind jedoch nicht die einzigen zweifelhaften Akteure auf dem deutschen Markt. Neben dem saarländischen Unternehmen Syborg, das Libyen ein Angebot für Spionagesoftware unterbreitet hatte, und der bayerischen Siemens-Tochter Nokia Siemens Networks, mischt auch ein hessisches Unternehmen im Handel mit Spionagesoftware mit. Die Firma DigiTask, der „Platzhirsch im deutschen Abhörbusiness“, entwickelte unter anderem den Staatstrojaner für Bayerns Landeskriminalamt. DigiTask-Programme wurden in Österreich und Holland eingesetzt und in der Schweiz von der Bundesanwaltschaft für das Ausspionieren von Linksaktivisten verwendet. Auf seiner Website betont die Firma man würde Ermittlungsbehörden bei Prävention, Ermittlung und Strafverfolgung helfen und hebt die gesetzeskonforme Beschaffenheit seines Angebots hervor. „Unsere Produkte dienen dem Schutz von Staat und Gesellschaft“, heißt es bei DigiTask.

Doch mit der Gesetzeskonformität und dem Schutz der Gesellschaft nimmt man es in den Firmenzentralen nicht immer so genau, schließlich wird vor allem nach Afrika und Asien exportierte Spionagesoftware für Menschenrechtsverletzungen wie die Verfolgung von Dissidenten und die Überwachung von Journalisten und Bloggern missbraucht. Daher sind vor allem die Gamma-Gruppe und Travicor für ihre umfangreichen Exportgeschäfte mit arabischen Ländern ins Visier von Menschenrechtsgruppen geraten. Gemeinsam mit einigen arabischen Organisationen reichte ROG im Februar 2013 Beschwerde bei der OECD ein mit dem Ziel die Firmen zur Offenlegung ihrer Verträge mit Bahrain und anderen Staaten zu zwingen. Organisationen wie ROG fordern ein Exportverbot für Spionage- und Überwachungssoftware. Konventionelle Rüstungsexporte unterliegen in der Bundesrepublik Rüstungsexportkontrollgesetzen, auch wenn diese sehr lax gehandhabt werden. ROG will daher das Kontrollregime für konventionelle Waffenexporte auf Softwaretechnik, die für Menschenrechtsverletzungen missbraucht werden könnte, ausweiten und auf EU-Ebene durchsetzen.

Bundespolizei und BKA bilden aus

Das EU-Parlament beschloss schon 2011 strengere Ausfuhrkontrollen für Überwachungstechnik, doch geht das Geschäft seither munter weiter – auch weil sich europäische Regierungen gar aktiv am Vertrieb solcher Software beteiligen und Polizeieinheiten in autokratisch regierten Staaten mit Ausbildungsförderung unter die Arme greifen. Berlin hatte erst vor Kurzem die Verhandlungen mit Ägypten über ein Polizeiabkommen wieder aufgenommen. In ihrer Antwort auf eine kleine Anfrage des Linksparteiabgeordneten Andrej Hunko betont die Bundesregierung zwar, dass derzeit keinerlei „Unterstützungsmaßnahmen im Polizeibereich“ von deutschen Behörden in Ägypten stattfinden, bestätigt jedoch die Planung „von Schulungen im Bereich der Bekämpfung der Urkundenkriminalität bei gleichzeitiger schulungsbegleitender Ausstattungshilfe“ durch die Bundespolizei. Angesichts der jüngsten Attacken der Regierung in Kairo auf Zivilgesellschaft und Opposition könnte der Zeitpunkt für die Wiederaufnahme der Verhandlungen über ein Polizeiabkommen fragwürdiger nicht sein. In einer Pressemitteilung fordert Hunko den sofortigen Stopp der Verhandlungen mit Ägypten und weist erneut daraufhin, dass das Bundeskriminalamt (BKA) schon vor Ausbruch der arabischen Revolten in mehreren Ländern der Region Lehrgänge zur polizeilichen Auswertung des Internet durchgeführt hat.

Das BKA organisierte eine ganze Reihe von Workshops zur polizeilichen Internetauswertung, unter anderem für Ägyptens Staatssicherheitsdienst und Sicherheitsbehörden in Jordanien, Algerien, Marokko und Libanon. Es ist unklar, inwiefern die 2010 vom BKA vermittelten Kenntnisse zur Internetüberwachung von Ägyptens Behörden zur Verfolgung von Aktivisten missbraucht wurden, daher will Berlin auch erst reagieren, wenn Beweise für den „Missbrauch des vermittelten Wissens“ vorliegen, heißt es in der Antwort auf die Anfrage der Linkspartei. Auch die EU mischt vor dem Hintergrund ihrer Bemühungen die Mittelmeeranrainerstaaten enger in die EU-Migrationsabwehr einzubinden kräftig mit bei der polizeilichen Ausbildung in Nordafrika. So flossen fünf Millionen Euro in das dreijährige Fortbildungsprogramm „Euromed Police“, in dessen Rahmen auch Workshops zu Ermittlungsverfahren bei größeren Datenmengen, elektronischer Geräuschanalyse, der Auswertung von PC’s, Mobiltelefonen und USB-Speichern sowie Abhörtechniken durchgeführt wurden.

Staatliche Exportförderung

Derweil greift Deutschland der Branche auch beim Vertrieb ihrer Waren ordentlich unter die Arme, wie erst im August 2014 aus der Antwort der Bundesregierung auf kleine Anfrage der Grünen-Fraktion im Deutschen Bundestag hervorgeht. Danach hat Berlin in den letzten zehn Jahren deutschen Firmen Ausfuhrlizenzen für Überwachungstechnik für mindestens 25 Staaten erteilt, unter anderem für Katar, Kosovo, Kuwait, Libanon, Malaysia, Marokko, Mexiko, Pakistan, Russland, Saudi-Arabien, Indonesien und Turkmenistan. Auch mit den Exportlizenzen für Spionagesoftware, die auch für Dual-Use-Güter – also Güter, die sowohl für zivile als auch militärische Zwecke geeignet sind – gelten, nehmen es die Hersteller offenbar nicht immer genau. Wie aus der gleichen Anfrage hervorgeht, haben deutsche Unternehmen wiederholt Produkte ohne Ausfuhrlizenzen ins Ausland verkauft. Betroffen ist unter anderem der Staatstrojaner FinFisher von Gamma. Immerhin hat die Regierung offenbar davon Abstand genommen derartige Exporte mit Exportkreditgarantien abzusichern. Noch 2005 bürgte Berlin für die Lieferung von Überwachungstechnologie nach Russland und Malaysia.

Es wird schwer werden den kaum reglementierten Export von Spionagesoftware und Überwachungstechnik einzudämmen, auch weil in Europa schlichtweg der politische Wille fehlt ein konsequentes und wirksames Kontrollregime zu installieren. Überraschend ist dies nicht, schließlich sind europäische Regierung zur Zeit selber damit beschäftigt ihre Überwachungsinstrumente und gesetzlichen Grundlagen zu erneuern, um die Ausweitung der Internetüberwachung rechtlich und logistisch implementieren zu können. Doch selbst wenn Bundeswirtschaftsminister Sigmar Gabriel mit seiner Ankündigung den Export von Überwachungstechnik in autoritäre Länder unterbinden zu wollen Ernst machen sollte – erst Mitte Mai 2014 hatte sein Ministerium den Zoll angewiesen die Ausfuhr von Überwachungstechnologie strenger zu kontrollieren – bleibt der Erfolg einer strengeren staatlichen Reglementierung fraglich. Die betroffenen Software-Hersteller sind schließlich auf derartige Regelungen – sollten diese denn je durchgesetzt werden – bereits bestens vorbereitet.

Nach Angaben des Internationalen Konsortiums für investigativen Journalismus (ICIJ) und der Tageszeitung The Guardian unterhalten mehrere Hersteller von Überwachungstechnologien Briefkastenfirmen auf den Jungferninseln, um unbequeme nationale Exportbeschränkungen zu umgehen und die Zusammenarbeit mit umstrittenen Geschäftspartnern zu verschleiern. Auch die Gamma-Gruppe unterhält neben der Münchener Gamma International weitere Tochter-Firmen, unter anderem in Singapur. In der Schweiz hat Gamma mit der Firma Dreamlab aus Bern einen Kooperationspartner gefunden und versucht seit 2013 auch von dort Spionagesoftware in den Nahen Osten und nach Zentralasien zu verkaufen. Interessanter Nebenaspekt: die Jungferninseln, Singapur und auch die Schweiz gelten als Steuerparadiese. Die britische Regierung hatte erst 2012 den Export von Gammas FinFisher-Palette und anderer Bespitzelungssoftware an autoritäre Staaten eingeschränkt und sich ein Veto bei heiklen Geschäften gesichert, aber in Deutschland hat die Debatte über Maßnahmen zur Exportbeschränkung für Überwachungstechnik grade erst begonnen. Unternehmen wie Gamma sind daher den nationalen Gesetzgebungen bereits einige Schritte voraus und lassen sich mithilfe unübersichtlicher Firmengeflechte nicht in die Karten schauen. Vor diesen Hintergrund geht die langsame aber stetige Erosion von Privatsphäre und bürgerrechtlicher Standards unvermindert weiter, immer wieder legitimiert mit dem Kampf gegen den Terror und der Verbrechensbekämpfung. Die Kollektivüberwachung droht jedoch nicht nur die Verfassung auszuhebeln, sondern den Gesellschaftsvertrag zwischen Regierung und Bevölkerung in seiner Gesamtheit in Frage zu stellen. Angesichts der zügellosen Exportvorhaben der Branche und der ihr gewährten staatlichen Förderung bei Vertrieb und Ausbildung der Partnerländer steht die Zivilgesellschaft vor eine Mammutaufgabe, will sie weiterhin gegen die Kollektivüberwachung vorgehen und die Etablierung eines Überwachungsstaates in Europa oder dem Nahen Osten nachhaltig verhindern.

© Sofian Philip Naceur 2014

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert