Experten zeigen, wie eine deutsche Firma über Jahre hinweg Software entwickelt haben soll, mit der sich Menschen ausspionieren lassen. Die Staatsanwaltschaft in München ermittelt seit September gegen den Hersteller.

Von Benedikt Strunz, Svea Eckert (NDR) und Hakan Tanriverdi (BR)

Es ist eine mächtige Spionage-Software, die in der Lage ist, Smartphones auszuspähen: Mit ihr lässt sich auf Fotos zugreifen, ebenfalls auf Anrufe und Kontaktlisten. IT-Sicherheitsexperten des Chaos Computer Club (CCC) haben in einer technischen Analyse nachgezeichnet, wie genau diese Software über mindestens sieben Jahre hinweg entwickelt wurde.

Es ist ein Spähprogramm, hinter dem ein deutsche Firma stecken soll: Finfisher, ein Hersteller von Überwachungssoftware, die nach eigenen Angaben ausschließlich an Staaten verkauft wird. Seit September dieses Jahres ermittelt die Staatsanwaltschaft in München gegen die Firma wegen des Verdachts des illegalen Exports der Spähsoftware.

Spionagesoftware gegen Opposition

Das Gutachten der CCC-Experten Linus Neumann und Thorsten Schröder ist über 50 Seiten lang. Neumann und Schröder haben 28 unterschiedliche Programme getestet. Die älteste Variante, Sample genannt, datiert auf 2012, die neueren Versionen reichen bis 2018. "Sämtliche im Rahmen dieser Untersuchung analysierten Samples teilen eindeutige Hinweise auf eine gemeinsame Urheberschaft", heißt es in dem Gutachten, das BR, NDR und "Süddeutsche Zeitung" vorab einsehen konnten.

Mit einem dieser Programme wurde offenbar versucht, im Jahr 2017 türkische Oppositionelle auszuspionieren. Diese organisierten zu der Zeit einen Protestmarsch von der türkischen Hauptstadt Ankara bis nach Istanbul. Anfangs protestierten die Anhänger noch gegen die Verurteilung eines Parteifreundes, am Ende war es Fundamentalkritik an der türkischen Regierungspartei und Staatspräsident Recep Tayyip Erdogan.

Vorhergehende technische Analysen, unter anderem der Ruhr-Universität Bochum und weiterer IT-Spezialisten, gehen davon aus, dass es sich hierbei um "Finspy" handelte. "Finspy" ist der Name der Finfisher-Software. Es ist bis heute unklar, ob die Spionageaktion erfolgreich verlief oder nicht.

Spuren weisen auf deutschen Hersteller hin

Doch das eingesetzte Programm, das ergibt nun das Gutachten, bette "sich ein in eine Entwicklungslinie, die an mehreren Stellen Finfisher eindeutig zuzuordnen ist", sagt Thorsten Schröder im Interview. Es lasse sich eine Art "Evolution der Software“ über die Jahre beobachten. Aufgrund dieser Entwicklungslinie sei es "schwer vorstellbar, dass hier unterschiedliche Teams am Werk waren", wie Schröder sagt.

Die Evolution zeige sich unter anderem daran, wie das Programm zu Beginn eingerichtet werde: über einen Mechanismus, den Finfisher in eigener Arbeit entwickelt hat und der öffentlich unbekannt ist. Dafür würden Daten immer auf dieselbe Art und Weise versteckt. Und dieser Mechanismus werde über sieben Jahre verwendet. Das sei "ein starkes Indiz dafür, dass alle analysierten Samples vom gleichen Hersteller stammen", heißt es in dem Gutachten.

Die technische Beweisführung - Experten sprechen von einer "Attribution" - gilt als grundsätzlich schwierig, aber nicht unmöglich. Neumann und Schröder werden sowohl die getesteten Programme als auch technische Werkzeuge veröffentlichen, mit denen unabhängige Experten ihre Analyseergebnisse nachvollziehen können. Im Rahmen einer jährlichen Hackerkonferenz an diesem Wochenende werden die beiden sie präsentieren.

Ermittlungen nach Anzeige

Die Experten des CCC wurden nach eigenen Angaben auf Bitte der Gesellschaft für Freiheitsrechte hin aktiv. Im Juli 2019 erstattete diese Nichtregierungsorganisation gemeinsam mit Reporter ohne Grenzen e.V., dem European Center for Constitutional and Human Rights und Netzpolitik.org Anzeige gegen Finfisher.

Die Staatsanwaltschaft in München I leitete im September ein Ermittlungsverfahren gegen mehrere Verantwortliche von Finfisher ein. Ein Sprecher bestätigte damals, es bestehe der Verdacht, dass Finfisher gegen das Außenwirtschaftsgesetz verstoßen habe. Als Grund für die Ermittlungen wurden sowohl die Anzeige der NGOs genannt als auch eine Berichterstattung von SZ, NDR und WDR über das Auftauchen der Finspy-Software in der Türkei.

Bereits 2014 erklärte der damalige Wirtschaftsminister Sigmar Gabriel, er wolle dafür sorgen, dass keine deutsche Spähsoftware mehr im Ausland zur Unterdrückung von Oppositionellen eingesetzt würde. Die Vergabe von Exportlizenzen wurde damals verschärft. Seit 2014 gab es keine Exportlizenzen für sogenannte Intrusion-Software, also Programme wie "Finspy", mehr. Das teilte das Bundeswirtschaftsministerium auf Anfrage im September 2019 mit.

Auf der Webseite von Finfisher heißt es, das man ausschließlich mit “Strafverfolgungsbehörden und Geheimdiensten” zusammenzuarbeite. Auf gemeinsame Anfrage von SZ, BR und NDR äußerte sich das Unternehmen nicht. Die laufenden Ermittlungen werden vom Zollkriminalamt geführt. Sie sind brisant. Denn entweder führen sie zu dem Schluss, dass Finfisher, ein Ausrüster deutscher Sicherheitsbehörden, gegen geltendes Recht verstoßen hat. Oder aber sie zeigen auf, dass das deutsche Exportrecht große Lücken aufweist. Denn dann wäre ein Export der Software in eben dem Zeitraum erfolgt, in dem das Bundeswirtschaftsministerium keine Exportlizenzen mehr vergeben hat.

Chaos Computer Club analysiert Lieferung illegaler Spionage-Software

tagesschau 20:00 Uhr, 28.12.2019, Susanne Blum, MDR





Download der Videodatei Wir bieten dieses Video in folgenden Formaten zum Download an: Klein (h264) Mittel (h264) Groß (h264) HD (h264) Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen. Video einbetten Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.

Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.

Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten

Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden <iframe src="https://www.tagesschau.de/multimedia/video/video-638921~player_branded-true.html" frameborder="0" webkitAllowFullScreen mozallowfullscreen allowFullScreen width="800px" height="450px"></iframe> Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.