Die größte Oppositionspartei war offenbar Ziel der Überwachung. Software der Firma Finfisher wird auch vom deutschen Staat eingesetzt - unklar ist, wie sie in die Türkei kam.

Von Svea Eckert, Boris Kartheuser, Hannes Munzinger und Hakan Tanriverdi

Deutsche Späh-Software für Smartphones ist offenbar in der Türkei zum Einsatz gekommen, um die größte Oppositionspartei CHP auszuspionieren. Das geht aus einem Bericht von Access Now, einer digitalen Bürgerrechtsgruppe, hervor. Der Bericht liegt Süddeutscher Zeitung, NDR und WDR vor. Unabhängige IT-Sicherheitsexperten haben die zentralen Aussagen des 32-seitigen Berichts überprüft und bestätigt. Bislang ist unklar, wie die brisante Software in die Türkei gelangen konnte. Für die Technik gelten strenge Exportregeln.

Bei der Software handele es sich um "Finspy" von der Firma Finfisher, heißt es in dem Bericht. Die Firma sitzt in München. Der sogenannte Trojaner könne die Kontrolle über das Handy erlangen, sagt Thorsten Holz, Professor für IT-Sicherheit an der Ruhr-Universität in Bochum. Er hat die Schadsoftware auf Bitten von SZ, NDR und WDR analysiert.

Auch Holz geht davon aus, dass der Trojaner "relativ ähnlich" zu vorherigen Versionen von Finspy sei und es sich wohl um eine neue Version handle. Das Programm könne "sogar live mithören und mitlesen", was auf dem Telefon passiere.

Nach einem fehlgeschlagenen Putschversuch 2016 gilt in der Türkei der Ausnahmezustand. Mutmaßliche Putschisten wurden inhaftiert, aber auch Oppositionelle und Journalisten. Bis zu 50 000 Menschen kamen ins Gefängnis.

Im Juni 2017 protestierte der CHP-Parteivorsitzende Kemal Kılıçdaroğlu mit einem dreiwöchigen Fußmarsch von Ankara nach Istanbul gegen die türkische Regierung. Anfangs hatte sich die Aktion noch gegen die Verurteilung eines Parteifreundes gerichtet, am Ende war er eine Fundamentalkritik an der Regierungspartei AKP von Präsident Recep Tayyip Erdoğan.

Fake-Konten auf Twitter legten Regierungsgegner rein

Während des Marsches verwendeten Fake-Konten über das soziale Netzwerk Twitter gezielt jenes Hashtag, das die Protestierenden für den Marsch gewählt hatten: #adaleticinyürü, "Marschiere für die Gerechtigkeit". In den Tweets verlinkten die Accounts eine Webseite, über die man sich angeblich über den aktuellen Stand der Demonstration informieren konnte. Auf der Seite selbst hieß es, man solle ein Programm für Android-Smartphones herunterladen. Das war eine Falle. Denn bei dem Programm handelte es sich offenbar um die Späh-Software Finspy. Sie wurde Recherchen von SZ, NDR und WDR zufolge maßgeblich vom deutschen Unternehmen Finfisher entwickelt.

Wer die Kampagne gegen die Opposition in Auftrag gab, ist unklar. Auf der eigenen Website verspricht Finfisher, "ausschließlich mit Strafverfolgungsbehörden und Geheimdiensten" zusammenzuarbeiten, um "Terror und Gewaltverbrechen zu verhindern und aufzuklären". Access Now weist im Bericht darauf hin, dass Finfisher sich "auf eine Art und Weise vermarktet, die nahelegt, dass man ihre Produkte auch verwenden kann, um Ziele in fremden Ländern auszuspionieren." Es ist also denkbar, dass die türkischen Oppositionellen vom Ausland aus ausspioniert wurden.

Auch das BKA setzt Finspy-Software ein

Weder Finfisher noch die türkische Regierung reagierten auf Anfragen. Das Bundeswirtschaftsministerium erklärte auf Nachfrage von SZ, NDR und WDR, man habe in den vergangenen Jahren überhaupt keine Exportlizenzen für sogenannte Intrusion-Software mehr erteilt. Eine konkrete Anfrage, ob auch das Unternehmen Finfisher eine solche Lizenz beantragt habe und sie ihm verweigert worden sei, ließ das Wirtschaftsministerium unbeantwortet.

Auch das Bundeskriminalamt setzt die Finspy-Software ein. Damit können Ermittler die Smartphone-Kommunikation verdächtiger Personen in Echtzeit überwachen. Die Frage danach, ob man Konsequenzen aus dem mutmaßlichen Einsatz von Finspy gegen Oppositionelle ziehen würde, ließ das Bundesinnenministerium unbeantwortet.