Deutschland ist der weltweit drittgrößte Exporteur konventioneller Rüstungsgüter und diese sind beliebt bei den internationalen Großkunden deutscher Waffenschmieden. Die Bundesregierung förderte immer wieder die Belieferung autokratischer Diktaturen wie Algerien oder Saudi-Arabien mit Qualitätsprodukten aus deutscher Fertigung und scherte sich wenig um die Menschenrechtsverstößen, für die diese Regierungen verantwortlich gemacht werden. Soweit so bekannt. Hingegen erregten die Aktivitäten deutscher Firmen auf dem Markt für Überwachungstechnologie bisher weniger Aufsehen. Und dabei mauserte sich die deutsche Spywareindustrie zum Hauptakteur auf dem Weltmarkt für Internetspionage. Doch trotz überschaubarer medialer Aufmerksamkeit tragen Kampagnen und juristische Schritte der Zivilgesellschaft gegen den Export von Spyware in autoritäre Staaten inzwischen erste Früchte. Seit dem 1. Januar 2015 gelten strengere EU-Exportrichtlinien für derartige Technologien, während sich französische Software-Hersteller wegen Beihilfe zur Folter vor Gericht verantworten müssen (in redigierter Form erschienen bei WIRED Germany am 25.1.2015).
2013 veröffentlichte die Menschenrechtsorganisation Reporter ohne Grenzen (ROG) einen Bericht, der nicht nur die Verfolgung Oppositioneller in autokratisch regierten Ländern mithilfe modernster Kommunikationsüberwachung dokumentiert, sondern konkret fünf international operierende Firmen für die Weitergabe von Bespitzelungssoftware an autoritäre Staaten anprangert. Neben der US-Firma Blue Coat, der Hacking Group aus Italien und der französischen Amesys finden sich gleich zwei deutsche Hersteller von Überwachungssoftware auf der Blacklist.
Die Rede ist von der Trovicor Gmbh aus München, einer früheren Siemens-Tochter, und der britisch-deutschen Gamma Group. Beide zählen zu Marktführern in der Branche. Travicor operiert weltweit mit Niederlassungen in Dubai, Islamabad und Kuala Lumpur und hat unter anderem Bahrain mit „Monitoring Centres“ ausgestattet. Diese zentralisierten Überwachungscluster eignen sich für die Komplettüberwachung von Onlineverkehr, Voice over IP und Mobilfunk. Trovicor habe auch an Staatstrojanern für das bayerische Innenministerium gebastelt und wurde 2009 verdächtigt ein Paket im Bereich der Deep Packet Inspection in den Iran geliefert zu haben. Die damals noch von Siemens kontrollierte Firma bestreitet die Vorwürfe.
Auch die britisch-deutsche Gamma International Gmbh lieferte fleißig Podukte aus ihrer Spyware-Familie FinFisher an autoritäre Diktaturen. Neben dem Verkauf von FinFisher nach Bahrain versuchte die Firma auch Zugang zum ägyptischen Markt zu erhalten. Kurz nach der Revolution 2011 stürmten Demonstranten ein Gebäude des gefürchteten Staatssicherheitsdienstes in Kairo und fanden eine Gamma-Verkaufsofferte im Wert von fast 300000 Euro. Gammas FinFisher-Familie umfasst Staatstrojaner in allen erdenklichen Formen. Neben Programmen zur manuellen Installation auf Zielsystemen offeriert das Unternehmen Software zum Hacken von WLAN-Netzwerken und Infektionstools, die sich über das Abrufen manipulierter Websites oder Softwareupdates auf Zielrechnern einnisten und die Komplettüberwachung des infizierten Systems erlaubt.
Massenüberwachung in Ägypten
Gamma mischte auch bei der jüngsten Ausschreibung des ägyptischen Innenministeriums zum Kauf neuer Spionagesoftware mit, musste sich aber Blue Coat geschlagen geben. Das Beispiel Ägypten veranschaulicht eindrucksvoll wie wenig glaubwürdig die Beteuerungen der Hersteller sind wenn es um die Gefahr von möglichem Missbrauch geht. Ägyptens Innenministerium kündigte im Juni 2014 an soziale Netzwerke wie Twitter oder Facebook systematisch überwachen zu wollen. Legitimiert mit dem Anti-Terror-Kampf will die Behörde neben Blasphemie und „unmoralischem Verhalten“ auch Aufrufe zu Streiks und Protesten ausspionieren und lässt ihren Worten derzeit Taten folgen.
Gamma hatte offenbar kein Problem damit Kairo das Werkzeug zum Verfolgen von Dissidenten und Homosexuellen anzubieten, schließlich hat es Ägyptens Regierung neben Terrorgruppen auch auf die islamistische und linksliberale Opposition und die LGBT-Community abgesehen. Zuletzt hatten sich Razzien und Gerichtsverfahren gegen die Homosexuellen-Szene am Nil massiv intensiviert – auch wenn es jüngst mehrfach zu Freisprüchen in Gerichtsverfahren kam. Zwar ist nach wie vor unklar, ob die Regierung die von Blue Coat zugesagte Software bereits einsetzt, dennoch werden seit November vermehrt Oppositionelle aufgrund regimekritischer Äußerungen bei Facebook vor Gericht gestellt. Ende November berichtet die ägyptische Zeitung Al-Shuruq von fast 900 gesperrten Facebook-Seiten und 341 Verhaftungen. Den Verdächtigen wird vorgeworfen zu Gewalt aufgerufen zu haben und terroristischen Gruppen nahe zu stehen. Das Regime in Kairo hat sich jedoch zuletzt weniger durch seine sorgfältig arbeitende Justiz einen Namen gemacht, als vielmehr durch pauschale Terrorismusbeschuldigungen gegen jedwede Person, die die Regierung kritisiert. So wurden zuletzt mehrfach Aktivisten aus dem linksliberalen Lager auf Grundlage fadenscheiniger Beschuldigungen verhaftet. Der Fall Karim Zakareya, ein Aktivist der liberalen Jugendbewegung des 6. April, ist dabei nur die Spitze des Eisberges und zeigt wie willkürlich die Behörden agieren. Zakareya saß drei Wochen in Untersuchungshaft, weil er eine regierungskritische Facebook-Gruppe geliked hatte. Seine Anwälte erwarten jedoch bei dem Anfang Februar anstehenden Prozess einen Freispruch.
Schutz vor Onlinebespitzelung und der Speicherung von Daten ist möglich, entsprechende Tools wie Proxy-Server oder Verschlüsselungsprogramme sind in Ländern wie Ägypten jedoch kaum bekannt. Und auch in Europa gerät die bisher als sicher geltende Verschlüsselung von Emails zum Schutz vor Internetspionage ins Visier der Innenbehörden. Auf einer Konferenz zu Cybersicherheit im französischen Lille betonte der deutsche Innenminister Thomas de Maizière Sicherheitsbehörden sollten vor dem Hintergrund des Anti-Terror-Kampfes in die Lage versetzt werden „verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen“ und folgt damit Forderungen des britischen Premierministers David Cameron und US-Präsident Barack Obama. Noch bevor die Verschlüsselung von Emails zu einem Massenphänomen werde, solle sie eingeschränkt werden, schreibt die Wochenzeitung Die Zeit in ihrer Onlineausgabe.
Klagewelle gegen Spyware-Hersteller
Der Fall Ägypten veranschaulicht eindrucksvoll, wie autoritär regierte Staaten die Verfolgung der Opposition mithilfe modernster Überwachungstechnik unter dem Deckmantel der Terrorbekämpfung missbrauchen. Die hessische Firma DigiTask betont auf ihrer Website man würde Ermittlungsbehörden bei Prävention, Ermittlung und Strafverfolgung helfen und hebt die gesetzeskonforme Beschaffenheit ihres Angebots hervor. „Unsere Produkte dienen dem Schutz von Staat und Gesellschaft“, heißt es. Doch mit dem Schutz der Gesellschaft nimmt man es in den Firmenzentralen nicht immer genau, schließlich wird vor allem nach Afrika und Asien exportierte Software für Menschenrechtsverletzungen oft systematisch missbraucht. Trotz des ungebremsten Handels haben zivilgesellschaftliche Kampagnen jedoch erste Steine ins Rollen gebracht.
Im Oktober 2011 reichten zwei NGO’s Klage wegen Beihilfe zur Folter gegen die französische Amesys ein. Die Firma hatte 2007 einen Vertrag mit Libyen zur Lieferung von Software zur Internetüberwachung unterzeichnet. Die Pariser Staatsanwaltschaft sträubte sich zwar gegen die Eröffnung eines Verfahrens, nach dem Urteil des Untersuchungsrichters wurde 2013 jedoch ein Prozess zugelassen. Ein weiteres Ermittlungsverfahren gegen die französische Firma Qosmos – ebenso wegen Beihilfe zur Folter, dieses Mal in Syrien – wurde im April 2014 formell bewilligt. Auch der britische Gamma-Konzern muss sich wegen des Exports von FinFisher nach Bahrain rechtfertigen. Die Menschenrechtsgruppe Privacy International beschuldigt das Unternehmen vor dem Hintergrund seiner Kooperation mit Bahrains Regime gegen britische Gesetze verstoßen zu haben und behält sich das Anrufen der Justiz vor, sollte die Regierung in London der Anfrage von Privacy International eine formelle Untersuchung einzuleiten nicht stattgeben.
Staatliche Exportförderung ade?
Auch die Bundesregierung reagierte auf die intensiver geführte Debatte zum Export von Spyware in autoritäre Länder. Durchaus überraschend, schließlich griff Berlin der Branche beim Vertrieb ihrer Ware lange Zeit unter die Arme, wie erst im August 2014 aus der Antwort der Bundesregierung auf eine kleine Anfrage der Grünen-Fraktion im Deutschen Bundestag hervorgeht. Danach hat die Bundesregierung in den letzten zehn Jahren deutschen Firmen Ausfuhrlizenzen für Überwachungstechnik für mindestens 25 Staaten erteilt, von denen die meisten EU-Menschenrechtsstandards massiv verletzen. Auch mit Exportlizenzen für Spionagesoftware, die auch für Dual-Use-Güter – also Güter, die für zivile und militärische Zwecke geeignet sind – gelten, nehmen es die Hersteller nicht immer genau. Deutsche Unternehmen haben wiederholt ihre Produkte ohne Ausfuhrlizenz exportiert. Nur wenige Monate zuvor verkündete Wirtschaftsminister Sigmar Gabriel den Export von Überwachungstechnik in autoritäre Länder unterbinden zu wollen, doch es bleibt fraglich wie wirksam derlei Ankündigungen in der Praxis sein werden, schließlich setzt Deutschland an anderer Stelle seine Kooperation mit autoritären Regierungen konsequent fort.
Berlin hatte erst im Herbst die Verhandlungen mit Kairo über ein Polizeiabkommen wieder aufgenommen. In ihrer Antwort auf eine kleine Anfrage des Linksparteiabgeordneten Andrej Hunko betont die Regierung, dass derzeit keinerlei „Unterstützungsmaßnahmen im Polizeibereich“ in Ägypten stattfinden, bestätigt aber die Planung „von Schulungen im Bereich der Bekämpfung der Urkundenkriminalität bei gleichzeitiger schulungsbegleitender Ausstattungshilfe“ durch die Bundespolizei. Angesichts jüngster Attacken der Regierung in Kairo auf Zivilgesellschaft und Opposition fordert Hunko die Verhandlungen zu stoppen und weist darauf hin, dass das Bundeskriminalamt (BKA) schon 2010 in der Region Lehrgänge zur polizeilichen Internetauswertung durchgeführt hat. Es ist unklar, inwiefern die 2010 vom BKA vermittelten Kenntnisse zur Internetüberwachung von Ägyptens Behörden zur Verfolgung von Aktivisten missbraucht wurden, daher will Berlin auch erst reagieren, wenn Beweise für den „Missbrauch des vermittelten Wissens“ vorliegen. Auch die EU mischt vor dem Hintergrund ihrer Bemühungen die Mittelmeeranrainer enger in die Migrationsabwehr einzubinden kräftig mit und finanzierte die Fortbildungsprogramme Euromed Police, in deren Rahmen auch Workshops zu Datenträgerauswertung und Abhörtechnik stattfanden.
Strengere Exportbeschränkungen in der EU
Auf EU-Ebene ist jedoch zuletzt Bewegung in die administrative Handhabung von Exportbeschränkungen für Überwachungstechnik gekommen. Das EU-Parlament beschloss schon 2011 strengere Ausfuhrkontrollen für Überwachungstechnik, während die EU-Kommission die Liste rüstungsrelevanter Güter, die Exportbeschränkungen unterliegen, zum 1. Januar 2015 aktualisierte und auf Software-Produkte zur Internetüberwachung ausweitete. „Das ist ein Schritt in die richtige Richtung“, meint Dr. Ben Wagner, Direktor an der Forschungsstelle Internet und Menschenrechte an der Europa-Universität Viadrina. „Es gibt durchaus Bestrebungen europäischer Regierungen den Markt strenger zu reglementierten“, so Wagner. „Die Vorwürfe gegen die beiden Firmen in Frankreich, Beihilfe zur Folter, sprechen eine deutliche Sprache. Die EU hat erkannt, dass sie handeln muss.“
Für die EU-Bürokratie ist das Thema nicht neu. 2012 veröffentlichte das EU-Parlament ein Papier über die Kommunikationsüberwachung in arabischen Staaten, dass deren Überwachungspraktiken anprangert und fordert Exporte in diese Staaten zwingend an die Einhaltung von EU-Menschenrechtsstandards zu binden. ROG will gar ein generelles Exportverbot für Spyware. Konventionelle Rüstungsexporte unterliegen in Deutschland Rüstungsexportkontrollgesetzen, auch wenn diese sehr lax gehandhabt werden. Daher will ROG die Kontrolle für konventionelle Waffenxporte auf Softwaretechnik, die für Menschenrechtsverstöße missbraucht werden kann, ausweiten und auf EU-Ebene durchsetzen. Ein generelles Exportverbot wird es nicht geben, aber immerhin arbeitet die EU daran die Regulierungsbestimmungen anzupassen.
Es ist dennoch kaum zu erwarten, dass die EU ihre Kooperation mit autokratischen Regierungen grundsätzlich in Frage stellt. Auch der Erfolg einer strengeren Regulierung der Exporte von Überwachungstechnik bleibt fraglich, schließlich sind die Hersteller bereits bestens auf Exportrestriktionen vorbereitet. Gamma unterhält Briefkastenfirmen auf den Jungferninseln, um unbequeme nationale Exporthindernisse zu umgehen und auch andere Firmen haben internationale Tochtergesellschaften gegründet und hoffen somit die Kooperation mit umstrittenen Geschäftspartnern verschleiern zu können. „Wird die Ware jedoch in Europa hergestellt, braucht die Firma eine Exportgenehmigung. In diesem Fall kommt es darauf an wie die neuen Ausfuhrbeschränkungen in der Praxis gehandhabt werden“, sagt Wagner. „Grundsätzlich ist es aber schwieriger Software an Dritte weiterzuverkaufen, es herrschen in dem Segment andere Abhängigkeiten von den Produzenten. Ein Gewehr kann relativ einfach weitergegeben werden, aber diese Art von Software braucht in der Regel Updates.“ Doch auch wenn die Weitergabe an Dritte aufgrund technischer Aspekte schwieriger ist als bei konventionellen Waffen stellt sich nach dem jüngsten Regulierungsupdate der EU die Frage, ob damit lediglich auf wachsende Kritik reagiert werden sollte oder ob der europäischen Exekutive wirklich daran gelegen ist den internationalen Handel mit Bespitzelungssoftware einzudämmen. Einfachen Nutzern steht jedoch inzwischen ein Werkzeug zur Verfügung, um sich besser gegen Spionagesoftware zu schützen. Die Menschenrechtsorganisation Amnesty International hatte erst im November 2014 gemeinsam mit einigen anderen Menschenrechtsgruppen eine Software vorgestellt, die es ermöglicht eigene Rechner nach Bespitzelungssoftware zu durchsuchen. Das Programm „Detekt“, das hier heruntergeladen werden kann, solle Nutzer in die Lage versetzen Programme von Gamma oder der Hacking Group aufzuspüren und unschädlich zu machen.
© Sofian Philip Naceur 2015