Deutsche Staatstrojaner erobern den Nahen Osten

Auf der weltgrößten Überwachungsmesse ISS in Dubai geben deutsche Firmen wie der Trojanerproduzent FinFisher den Ton an. In den Grenzregionen der Türkei und in Nordsyrien wurden die Kurden mit deutscher Schadsoftware ausspioniert.

Von Erich Möchel

Die türkische Telekom ist an der Jagd der Regierung auf Dissidenten aktiv beteiligt, indem sie deren Geräte mit türkischen Staatstrojanern verseucht. Benutzer werden dabei massenweise auf gefälschte Websites umgeleitet und dort mit Produkten der deutschen Firma FinFisher infiziert. Das geht aus einer aktuellen Studie des kanadischen Forschungsinstituts Citizen Lab hervor.

Angebahnt werden solche Trojanergeschäfte in Nahost gerne auf der Überwachungsmesse ISS World in Dubai, die am Montag startet. Dort sind neben FinFisher, dem Hersteller des einzigen in Deutschland zugelassenen „Bundestrojaners“, mehrere andere deutsche Firmen vertreten. Auch die Kanonenschmiede Rheinmetall ist in das lukrative Schadsoftwaregeschäft mit Nahostdiktaturen eingestiegen.

ISS world

Kanonenschmieden und Trojaner

Im Februar wurde die berüchtigte Schadsoftware FinFisher offiziell als deutscher Bundestrojaner zugelassen. Mehr dazu weiter unten im Text.

Die Firma, deren Geschütze - etwa auf den deutschen Panzern Leopard II - in Nordsyrien ganze Dörfer in Schutt und Asche gelegt haben, ist relativ neu in diesem Geschäft. Die Presseaussendungen von Rheinmetall zu den Schlagworten „Cyber“ bringen nur Sicherheitsansätze, der Vortrag auf der ISS aber ist ausgesprochen offensiv. Er richtet sich zwar an „Law Enforcement“, also an Polizeibehörden, doch der Inhalt betrifft genauso zivile wie Militärgeheimdienste. Auf der ISS-World ist das Publikum nämlich stets gemischt.

Dabei geht es um „Zero Days“, vor deren Ende gewarnt wird. Das sind „Exploits“ oder Einbruchswerkzeuge, die auf noch unbekannten Sicherheitslücken in Betriebssystemen aufsetzen. Diese Exploits sind hocheffizient, eben weil sie sozusagen null Tage bekannt sind, sie sind die weitaus bequemste „Ermittlungshilfe“, weil sie fast immer sofort funktionieren, auch wenn das angegriffene System geschützt ist. Damit seien bis jetzt keine besonders tiefgehenden IT-Kenntnisse der operativen Ermittler nötig gewesen, damit sei nun aber langsam Schluss, heißt es in der Ankündigung des Vortrags von Rheinmetall auf der ISS.

„Ende der Zero-Days für Ermittler“

In Österreich ist gerade das neue Überwachungspaket in Begutachtung gegangen. Auch das sieht Schadsoftware für Ermittler vor.

An solche Exploits der Oberklasse zu kommen, werde nämlich zunehmend schwieriger bis unmöglich, weil nicht mehr leistbar. Der Grund dafür, dass die Preise für Zero-Day-Exploits durch die Decke gingen, sei in den Prämienprogrammen von Google und anderen für unentdeckte Sicherheitslücken zu suchen. Nicht erwähnt wurde die rasant gestiegene Nachfrage, die auf die Begehrlichkeiten von immer mehr Behörden weltweit zurückzuführen ist. Zudem sind gerade diese „Sprengköpfe“ in der Regel kurzlebig, weil die Entdeckung von Sicherheitslücken nun einmal oberste Priorität jedes Sicherheitstechnikers ist. Ein gewisser Teil solcher Lücken verschwindet auch sang- und klanglos, wenn eine neue Version des jeweiligen Betriebssystems erscheint. Es ist also keine Lagerhaltung möglich.

ISS world

Dass Microsoft gerade den vorerst einzigen deutschen Bundestrojaner „FinSpy“ von FinFisher förmlich seziert hat, wird in diesem Talk am Dienstag wohl auch zur Sprache kommen. Vor allem aber gleich am Montag zur Eröffnung, denn der gesamte Vormittag gehört FinFisher, gestartet wird mit dem Flaggschiff des Unternehmens, nämlich der „FinSpy“ Trojanersuite. Das ist mit „Cyber Solutions für den Kampf gegen Verbrechen“ umschrieben, Vortrag zwei betrifft praktische „IT-Aufklärungsoperationen im realen Leben“. Was mit beidem genau gemeint ist, lässt sich am besten dadurch illustrieren, dass im Publikum hochrangige Polizisten und Geheimdienstler von Saudi-Arabien bis Usbekistan und von Bahrain bis in die Türkei versammelt sind.

Deutschland beschäftigen derzeit weniger die eigenen Staatstrojaner als vielmehr solche mutmaßlich russischer Provenienz, die im Sicherheitsnetz der deutschen Bundesregierung umtriebig sind.

Türkische Paketinspektion

Die Erkenntnisse des Teams um Professor Ronald Deibert über die Distribution von Schadsoftware durch Türk Telekom stammen aus einer ungewöhnlichen Quelle, sie basieren nämlich großteils auf der Analyse von Hardware. Die Forscher hatten eine sogenannte DPI-Middlebox, das ist ein Gerät zur Filterung und Analyse des Netzwerkverkehrs in Echtzeit, in die Hände gekriegt, auseinandergenommen und ihr Verhalten analysiert. In Folge wurden die Netze im Nahen Osten nach den Charakteristika solcher Boxen der US-Firma Sandvine abgescannt, in der Türkei wurde man schließlich fündig. Das Citizen Lab der Universität Toronto ist seit Jahren auf die Rolle westlicher Überwachungstechnologie vor allem in Nahostdiktaturen spezialisiert.

gemeinfrei

Über die Sandvine-Boxen wurde erst die Schadsoftware von FinFisher ausgeliefert, im Verlauf der Aktion stieg man auf eine eine andere Spionagesuite namens „StrongPity“ um. Beide Trojaner wurden massenhaft im Südosten der Türkei und in den angrenzenden Kurdengebieten in Nordsyrien verteilt. Davor war der türkische Geheimdienst MIT schon mit Spionagekampagnen gegen exilierte Türken und Kurden unter anderem in Deutschland aufgefallen, stimmigerweise wurde dabei ebenfalls die deutsche Schadsoftware benützt.

Sachdienliche Informationen, Metakritiken et al. können hier verschlüsselt und anonym beim Autor eingeworfen werden. Wer eine Antwort will, sollte eine Kontaktmöglichkeit angeben.

Noch mehr deutsche Überwachungstechnik

In einem dritten Vortrag beschäftigt sich FinFisher auch noch mit „strategischer und taktischer WLAN-Überwachung“, die Mutterfirma Gamma Group, ein deklarierter Militärzulieferer, ist auf der ISS-World ebenso prominent vertreten. Auch hier stehen gleich drei Vorträge auf der Agenda, einer davon kreist um „Big Data“-Anwendungen zu Überwachungszwecken, wie auch ein Vortrag der Deutschen Utimaco zu interessanten Daten, die im Internet der Dinge abzugreifen sind. Die ebenfalls deutsche Trovicor, ein Spin-Off der Firma Siemens, demonstriert „Detektion von Anomalien“ im Verhalten von Zielpersonen und Mustererkennung, sowie die Fusion und Analyse von Big Data aus den Monitoring Centers bei den Telekoms. Die Vorgängerfirma von Trovicor hatte noch unter der Marke Siemens solche Monitoring-Centers etwa an das Regime im Iran geliefert.