Berüchtigte Spionagesuite „FinSpy“ wird deutscher Bundestrojaner

In Deutschland hat der BND die berüchtigte Trojanersuite „FinSpy“ zum Einsatz als Bundestrojaner freigegeben. Mit dieser Schadsoftware wurden im „arabischen Frühling“ Pro-Demokratie-Aktivisten gejagt. Österreich hat sich bei elektronischer Überwachungstechnik bisher stets am deutschen Vorbild orientiert.

Von Erich Möchel

In Deutschland hat der Geheimdienst BND die berüchtigte Trojanersuite „FinSpy“ zum Einsatz als deutschen Bundestrojaner freigegeben. Der Münchener Hersteller FinFisher steht seit Jahren in der Kritik, weil viele repressive Regimes mit dieser Spionagesoftware Dissidenten jagen. Zuletzt waren türkische Geheimdienste mit konzertierten Angriffen auf Oppositionelle - auch in Deutschland - aufgefallen.

Innenminister Herbert Kickl hat Ende Jänner ein neues „Sicherheitspaket“ mit verstärkter Überwachung des Internets angekündigt, und zwar „in die Tiefe statt in die Breite“. Da praktisch alle Kommunikationsservices verschlüsseln, kommt eigentlich nur Trojaner-Schadsoftware dafür in Frage. Und bei der Akquisition von Überwachungstechnik hat sich Österreich bisher stets stark an Deutschland orientiert.

Citizen Lab

Deutsch-österreichische Kooperation

Die Meetings zwischen deutschen und österreichischen Behörden und warum Österreichs künftiger Staatstrojaner wahrscheinlich ein deutscher ist

Seit 2016 gab es regelmäßige Treffen zwischen hochrangigen Beamten des deutschen Bundeskriminalamts und ihren österreichischen Kollegen. In deren Zentrum stand der Einsatz von Schadsoftware für Ermittlungszwecke. Diese wurde durch die Beantwortung einer Anfrage der Linksfraktion im deutschen Bundestag vor einem Jahr öffentlich. An sich war in Deutschland der Einsatz eines selbstentwickelten Trojaners namens RCIS („Remote Control Interception Software“) geplant, der bereits seit 2016 dafür zugelassen ist.

Eingesetzt wurde diese staatliche Spionagesoftware zur sogenannten „Quellen TKÜ“ - Telekommunkationüberwachung an der Quelle - bis jetzt jedoch kaum. Die bis jetzt neueste Version RCIS 1.0, deren Entwicklung bereits mehrere Millionen Euro gekostet hat, funktioniert derzeit nur rudimentär. Denn RCIS 1.0 läuft nur auf Windows-Systemen und da kann nur ein Kommunikationsservice überwacht werden, nämlich Skype. Die neue Version dieses Bundestrojaners mit erweiterten Features sollte eigentlich bereits Ende 2017 fertig sein, ist sie aber bis jetzt nicht. RCIS Version 2.0 zielt vor allem auf die Überwachung von WhatsApp und anderer Messenger auf Android-Handys aber auch iPhones ab, das entspricht auch den Plänen in Österreich.

Die Blutspur von FinFisher im arabischen Frühling

Kurz vor dem Scheitern des Sicherheitspakets der sxchwarzroten Koalition hatte sich auch Ex-Verteidigungsminister Doskozil für den Trojanereinsatz in Österreich ausgesprochen

Weil dieser von der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (Zitis) selbstentwickelte Trojaner noch nicht zur Verfügung steht, wurde nun Finspy offiziell zum Gebrauch freigegeben. Dabei handelt es sich um eine nach deutschen Gesetzen modifizierte Version der „Finfisher“-Suite, die während des arabischen Frühlings eine regelrechte Blutspur im Nahen Osten hinterlassen hat. Von Bahrain angefangen wurden die Demokratiebewegungen mit dieser Schadsoftware in einer ganzen Reihe von Diktaturen ausspioniert und reihenweise Dissidenten verhaftet.

FinFisher

„FinFisher“ ist erstmals im arabischen Frühling aufgeflogen, ägyptische Oppositionelle hatte nach dem Sturz Mubaraks Verträge des Unternehmens mit Ägyptens Polizei gefunden

Türkische Dissidenten ausspioniert

Zuletzt war eine neue Trojaner-Schadsoftware auf Smartphones kurdischer und türkischer Dissidenten in Großbritannien, Frankreich und Deutschland gefunden worden. Laut US-Forschungsinstitut MITRE und Microsoft handelt es sich es sich dabei um nichts anderes als eine neue Version der Schadsoftware vom Finfisher. Dahinter steht die deutsch-britische Firma Gamma Group, die eine GmbH in München und zwei Firmen in England unterhält. Dissidenten aus der Türkei wurden vom türkischen Auslandsgeheimdienst also auch in Deutschland mit deutscher Malware angegriffen, die nun vom deutschen Geheimdienst BND für Geheimdienste und Strafverfolger freigegeben wurde.

Provider in der Trojanerfalle

Im Sommer 2017 wurde eine neue, stark verbesserte FinSpy-Version von der slowakischen Sicherheitsfirma ESET entdeckt. Diese Schadsoftware fällt durch besonders gute Tarnmechanismen auf, laut ESET wird die Mehrheit der Komponenten durch „Code Virtualization“ verschleiert. Dazu wimmelt es im Programm nur so von eingebauten Tricks, um Re-Engineering durch Sicherheitsfirmen möglichst schwierig zu machen. Diese neue Variante wurde in sieben verschiedenen, nicht näher genannten Staaten aufgefunden. Das wohl Bedenklichste daran ist, dass sie vorwiegend über die Internetprovider der jeweiligen Zielpersonen verbreitet wurde.

Eset Fin Fisher

Welche Rolle Internet-Provider spielen

Dasselbe könnte den Providern auch in Deutschland oder in Österreich bevorstehen: Dass sie nämlich zur Verbreitung von Polizeitrojanern in die Pflicht genommen werden. Gerade bei polizeilichen Überwachungsmaßnahmen in einem Rechtsstaat sind nur zielgerichte Maßnahmen legal. Wird die Schadsoftware aber als Mail-Attachment an Verdächtigten verschickt, so bleibt diese E-Mail samt Anhang in der Inbox der betroffenen Person. Damit gibt es keine Sicherheit, dass die E-Mail nicht weiterverschickt wird und unbeteiligte Dritte mit dem Trojaner infiziert werden.

Zudem hinterlassen solche E-Mails der Strafverfolger bereits eine Menge forensisch auswertbarer Spuren auf dem PC oder dem Smartphone. Sogar ein bloßer Link in der E-Mail, der zu einer verdeckten Website der Ermittler und zum Download des Trojaners führt, lässt weit mehr Rückschlüsse auf die Urheber zu, als gemeinhin angenommen wird. Wird die Schadsoftware hingegen durch den Provider auf Smartphone oder PC der überwachten Person aufgebracht, ist die Überwachungsmaßnahme weit schwieriger zu entdecken und zu rekonstruieren.

Sachdienliche Informationen, Metakritiken et al. können hier verschlüsselt und anonym beim Autor eingeworfen werden. Wer eine Antwort will, sollte eine Kontaktmöglichkeit angeben.

Wie es weitergeht

Ob FinSpy in Deutschland bereits eingesetzt wird, ist bis jetzt noch nicht geklärt, denn dazu gibt es widersprüchliche Medienberichte. Hierzulande gab es bis jetzt nur eine Absichtserklärung von Innnenminster Herbert Kickl im Jänner, ohne weitere Detail. Auch der Zeitpunkt ist derzeit noch unbekannt. Deshalb läuft dazu eine Anfrage von ORF.at im Innenministerium. Mehr dazu lesen Sie im nächsten Teil, der zeitnah hier erscheinen wird.