Die Firma Gamma verlangt mindestens anderthalb Millionen Euro für die Trojaner-Software FinFisher und arbeitet aktiv daran, Antivirenprogramme zu umgehen. Das geht aus anonym veröffentlichten Dokumenten hervor, die wir verifizieren konnten und spiegeln. Die deutsche FinFisher GmbH verweigert jeden Kommentar dazu.

Seit ein paar Tagen werden auf dem Twitter-Account @GammaGroupPR interne Dokumente der Trojaner-Produktfamilie FinFisher/FinSpy aus dem Hause Gamma veröffentlicht. (Zur Erinnerung: Das ist die offensive Überwachungstechnologie aus deutsch-schweizerischer Produktion, die in Schurkenstaaten eingesetzt und vom Bundeskriminalamt getestet wird.)

Bisher wurden folgende Dokumente (und die drei Bilder) veröffentlicht, die wir hier mal spiegeln:

Portable Document Format (PDF):

Microsoft Excel:

„Wir können ihnen da nicht weiterhelfen.“

Netzpolitik.org konnte jedoch anderweitig verifizieren, dass die Dokumente echt sind.

Natürlich haben wir auch FinFisher bzw. Gamma kontaktiert, um weitere Informationen zu bekommen. Auf finfisher.com ist unter „Kontakt“ eine Münchener Telefonnummer der FinFisher GmbH angegeben, die wir einfach mal angerufen haben. Da das Telefonat eher kurz war, können wir hier ein vollständiges Transkript liefern:

netzpolitik.org: Spreche ich mit FinFisher GmbH?

+49-89-78576175: Nein.

netzpolitik.org: Oh, aber ich habe auf der Nummer von der Webseite angerufen.

+49-89-78576175: Wir können ihnen da nicht weiterhelfen.

netzpolitik.org: Also habe ich doch die richtige Nummer?

+49-89-78576175: Ja.

Geschäft mit der Überwachung

Die neuen Dokumente fügen sich in ältere Leaks über Gamma und FinFisher ein. Besonders die Preisliste liefert bisher ungewohnte Einblicke in das Geschäft mit der Überwachung.

Dort kostet ein FinSpy „Remote Monitoring Solution“ stolze 1,5 Millionen Euro. Ein FinSpy Test System gibt es schon für 60.000 Euro. Was die Frage aufwirft, was das BKA gekauft hat, das 150.000 Euro ausgegeben hat.

Und dass es eben nicht nur um harmlose oder Dual-Use-Technologie geht, verdeutlichen Support und Trainings, die „in-country“ durchgeführt werden.

Unsicherheit für alle statt Sicherheit für alle

Die technischen Dokumente wie Release Notes und Anti-Virus-Tests geben weitere Einblicke in die Arbeits- und Funktionsweise der Spähtechnologie.

Jacob Appelbaum, laut Wikipedia „Internetaktivist und Spezialist für Computersicherheit“, sowie Henri-Nannen-Preisträger, kommentiert gegenüber netzpolitik.org:

Die veröffentlichten Dokumente zeigen, dass die Institutionen, die für den Schutz unserer Sicherheit zuständig sind, Umgehungsmethoden für häufig beworbene Sicherheitstechnologien kennen. Ein Beispiel ist die Umgehung von Antivirenprogrammen, ein bekanntes Problem, das von Angreifern wie staatlichen Behörden ausgenutzt wird, statt an der Sicherung zu arbeiten. An dieser doppelten Aufgabe, Sicherheitslücken schließen oder sie ausnutzen, scheitern staatliche Behörden, die damit die allgemeine Sicherheit unserer Computer und Netzwerke unterwandern. Diese ausnutzbaren Sicherheitslücken in weit verbreiteter Software – in unseren Telefonen, Computern und in unserer Infrastruktur – sind Probleme, die behoben werden müssen. Doch anstatt die Lücken zu schließen, werden sie ausgenutzt und für jeden Angreifer offen gelassen, unabhängig von Motiv.

Wir hoffen, dass weitere Dokumente folgen. Natürlich nehmen wir auch selbst Dokumente auf den üblichen Kanälen entgegen.