Deutsche Unterstützung für Diktaturen: Schnüffeltechnik für die Welt

BERLIN taz | Deutsche Technik ist gefragt. Deutsche Überwachungstechnik auch. Vor allem das Geschäft mit Schnüffelsoft- und -hardware ist in den vergangenen Jahren gewachsen. Zu den eifrigen Abnehmern gehörten und gehören Länder wie Syrien, Iran oder Mubaraks Ägypten. Länder, die der Meinungsfreiheit den Kampf angesagt haben.

Das NDR-Magazin Zapp berichtete in Kooperation mit Wikileaks in der vergangenen Woche, dass deutsche Unternehmen in Geschäfte mit Oman und wohl auch mit Turkmenistan verwickelt sind. Beide Staaten sind bekannt für Verstöße gegen die Meinungsfreiheit und für Zensur im Internet.

Interne Unternehmensdokumente geben nicht nur Einblick in die Verwicklung der Münchener Firma Gamma International GmbH und ihres Schweizer Partnerunternehmens Dreamlab Technologies AG in Geschäfte mit Oman und Turkmenistan. Brisant ist, dass das deutsche Bundeskriminalamt Kunde der Firmengruppe ist, zu der die Münchener Gamma International GmbH gehört.

Branchenimmanenter Mangel an Transparenz

Die Gamma-Gruppe ist ein gutes Beispiel dafür, wie der Markt für Überwachungstechnik organisiert ist: Die Münchener Firma Gamma International ist nur eines von mehreren englischen und deutschen Unternehmen, die die Gamma-Gruppe unter ihrem Dach vereint. Zu diesem Verbund gehört zudem das deutsch-schweizerische Unternehmen Elaman. Über einige der Personen, die an diesen Unternehmen beteiligt sind, bestehen wiederum Verbindungen zu anderen Sicherheitsunternehmen in Deutschland und der Schweiz. Dieser Mangel an Transparenz scheint Geschäftsvoraussetzung in der Branche.

Einer größeren Öffentlichkeit bekannt wurde die Gamma-Unternehmensgruppe nach der Revolution in Ägypten. Im März erstürmten Demonstranten die Zentrale der ägyptischen Staatssicherheit. Dort fanden sie ein geheimes Angebot der britischen Gamma International Ltd. Das Unternehmen bot die Produkte FinSpy und FinFly Lite feil - Überwachungssoftware der modernsten Sorte. Fast 400.000 Euro waren hierfür veranschlagt. Den ägyptischen Sicherheitsbehörden wurde ein Laptop mit einer Testversion überlassen. Sie setzten ihn fünf Monate lang zur Bespitzelung von Oppositionellen ein.

Die in Ägypten angebotenen Produkte FinSpy und FinFly gehören zur Gamma-Produktreihe FinFisher. Mit FinFisher ist es möglich, Computer und Smartphones mit einem Trojaner zu infizieren. Hierfür gibt es - je nach FinFisher-Produkt - verschiedene Möglichkeiten.

Infizierte Computer hören und filmen unbemerkt mit

Eine Trojanerattacke ist etwa über das WLAN, per USB-Stick oder Fake-Update in Programmen wie iTunes oder Adobe Flash Player möglich. Ist der Trojaner einmal installiert, hat man die Kontrolle über den Computer oder das Smartphone verloren. Der FinFisher-Nutzer kann nicht nur den gesamten Inhalt des infizierten Geräts durchsuchen, sondern auch Chats und E-Mails mitlesen, Skypetelefonate mithören oder Videokonferenzen anschauen. Zudem lassen sich Kamera und Mikrofon des befallenen Geräts aus der Ferne aktivieren. Die Technik ist auch für all jene nutzbar, die "keine fortgeschrittenen IT-Kenntnisse" haben, verspricht ein Werbetext für das FinFisher-Produkt FinSpy.

Ein besonders schlagkräftiges Produkt der FinFisher-Reihe heißt FinFly ISP. Es ermöglicht die massenhafte Infizierung von Computern mit Spyware über das Internet. Somit macht diese Technik den physischen Zugang oder zumindest die Nähe zu dem attackierten Computer oder Smartphone überflüssig, die normalerweise für den Erfolg von Trojanerattacken garantiert sein muss.

FinFly ISP ist für Kunden interessant, die auf Schnittstellen des Telekommunikationsnetzes Zugriff haben. Das können vor allem Sicherheitsbehörden sein, die hierzu im Rahmen der staatlichen Telekommunikationsüberwachung ermächtigt sind. Mithilfe von FinFly ISP können sie ganze Bevölkerungs- und Nutzergruppen ausspähen. Zum Beispiel Oppositionelle.

FinFly ISP funktioniert auf Grundlage der sogenannten Infection-Proxy-Technik. Ihre Entwicklung geht auf die Schweizer Firma Dreamlab Technologies AG zurück. Die technischen Fähigkeiten dieser kleinen Firma haben es der Gamma International offensichtlich angetan. Wie interne Dokumente belegen, die der taz vorliegen, ist die Münchener Firma mit der Dreamlab AG eine "strategische Partnerschaft" eingegangen.

Viel Geld aus Oman

Als "Beitrag" von Dreamlab zu dieser Kooperation zählt ein Dokument aus dem Jahr 2011 auch "Infection-Proxy-Lösungen (FinFly ISP)" auf, "bestehend aus Hardware, Software und Dienstleistungen". Gamma bietet im Gegenzug einen weltweiten "Vertriebszugang zu Kunden aus den Bereichen Regierung, Ermittlungsbehörden, Dienste, Militär und mit hoheitlichen Aufgaben betraute Privatfirmen".

Weltweit. Das umfasst Regierungen in undemokratischen Ländern. Dokumenten aus dem Jahr 2010 zufolge reisten Vertreter der Firmen Gamma und Dreamlab auch nach Oman und Turkmenistan, um ihre Produkte zu bewerben.

Zumindest im Fall Omans mit Erfolg. "Infection-Proxy-Lösungen" seien 2010 "vor Ort" aufgebaut worden, so ein Angebotsschreiben der Dreamlab AG an die Gamma International vom Dezember 2010. Das bezieht sich auf das intern so genannte "Project O" - wobei O wohl für Oman steht -, für das die Firma Dreamlab im März desselben Jahres einen Angebotsentwurf für die Gamma International GmbH vorbereitet hatte.

In diesem Angebot listen die Schweizer die Bereitstellung und den Aufbau von Infection-Proxy-Technik im Sultanat auf, inklusive Schulung und Wartung der Geräte. Für den potenziellen Kunden ein teurer Spaß. Allein für diesen Teil des Projekts kalkuliert Dreamlab mit einem Auftragsvolumen von rund 450.000 Schweizer Franken.

Wer den Handel mit Oman abschloß, bleibt unklar

Ein "Plan zur Projektimplementierung von Project O" verzeichnet einen detaillierten Projektablauf für August und September 2010, in dem von der Hard- und Softwareinstallation bis hin zum Training vor Ort alles Wichtige enthalten ist. Sogar an eine mehrtägige Projektpause während des Ramadan wurde gedacht.

Eine wohl für Kundentrainings angefertigte Power-Point-Präsentation von Dreamlab gibt auf 67 Seiten detaillierten Einblick in Funktion und Bedienung der installierten FinFly-ISP-Technik. Sollte etwas mit den Überwachungsanlagen nicht funktionieren, beruhigen die Dreamlab-Vertreter, sollten sich die Kunden nicht sorgen: "We fix things together."

Ansprechpartner war offenbar das staatliche Telekommunikationsunternehmen Omantel. Der omanische Anbieter deckt das volle Telekommunikationsspektrum ab: Fest- und Mobilnetz sowie Internet. Das Installieren von Iproxy-Systemen ermöglicht in einem solchen Netz die Überwachung der Bevölkerung. Im Zeichen politischer Demonstrationen, die in Oman in den vergangenen Monaten wiederholt gewaltsam niedergeschlagen wurden, mag dies nicht unwillkommen sein.

Wer das Projekt letztlich nach Oman verkauft hat, bleibt unklar. Die Münchener Gamma International GmbH stellt über einen Anwalt fest, selbst keine Exporte oder Installationen von Spyware oder Infection-Proxy-Produkten in Oman oder in Turkmenistan getätigt zu haben. Hierbei bezieht sie sich nicht auf die anderen Firmen der Unternehmensgruppe, sondern nur auf die deutsche Gamma International.

Weder Entwicklung noch Verkauf sind strafbar

Die Dreamlab AG dementiert auf Anfrage nicht, an den beiden Projekten beteiligt gewesen zu sein: "Zu internen geschäftlichen Aktivitäten und ihren Beziehungen zu Partnerunternehmen oder Kunden gibt Dreamlab keine Auskünfte an Dritte."

So unmoralisch Außenstehenden solche Geschäfte erscheinen: Strafbar sind weder Entwicklung noch Verkauf von Überwachungstechnik. Auch nicht, wenn Geschäfte mit repressiven Regierungen gemacht werden, die damit alle Überwachungsmöglichkeiten erhalten. Produkte zur Überwachung von Telekommunikation fallen mehrheitlich weder unter nationale noch unter europäische Exportregeln. Dies gilt gerade für Spyware, deren Bedeutung für den Überwachungsmarkt die Politik bislang nicht erkannt hat.

Es gibt noch nicht einmal Pläne, den Export solcher Produkte zu kontrollieren. Eine Initiative des Grünen-Abgeordneten Reinhard Bütikofer, dies zu ändern, scheiterte jüngst im Europäischen Parlament. Firmen wie die Gamma-Gruppe können weiterhin ihren Geschäfte nachgehen.

Auch die deutschen Behörden nehmen offenbar wenig Anstoß an den Geschäftspraktiken der Gamma-Gruppe. So macht das Bundeskriminalamt Geschäfte mit Gamma. Darauf weist eine Antwort der Bundesregierung auf eine Kleine Anfrage der Linken-Bundestagsfraktion hin. Wie die Ermittler auf genauere Nachfrage für diesen Artikel hin mündlich mitteilen, testet das BKA momentan die Gamma-Software FinSpy - wohl ebenjene Technik, die im März 2011 auch in Ägypten gefunden wurde.

FinSpy könnte den sogenannten Bundestrojaner ersetzen, eine Software zur Quellentelekommunikationsüberwachung. Unklar ist noch, ob das Produkt auch "den technischen, rechtlichen und fachlichen Vorgaben und Erwartungen" genügt, so das BKA. Die Behörde habe die Software deshalb vorerst nur "zu Testzwecken erworben". Die Berichte über die Geschäfte der Gamma-Gruppe seien "bekannt und werden derzeit bewertet".