Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Deutsche Firmen helfen autoritären Staaten, ihre Bürger zu überwachen

von Sofian Philip Naceur
Deutschland ist der drittgrößte Exporteur von konventionellen Rüstungsgütern der Welt. Die Bundesregierung hat immer wieder auch Waffenlieferungen an autokratische Regime wie Algerien oder Saudi-Arabien gefördert und sich dabei wenig um deren Menschenrechtsverstöße geschert. So weit, so bekannt. Die Aktivitäten deutscher Firmen auf einem anderen Markt erregten gleichzeitig hingegen weniger Aufsehen: Überwachungstechnologie.

Dabei ist die deutsche Spyware-Industrie längst ein Hauptakteur auf dem Weltmarkt für Internetspionage. 2013 veröffentlichte Reporter ohne Grenzen einen Bericht, der nicht nur dokumentiert, wie Oppositionelle in autokratisch regierten Ländern mithilfe modernster Kommunikationsüberwachung verfolgt werden, sondern auch konkret fünf internationale Unternehmen für den Verkauf von Bespitzelungssoftware an autoritäre Staaten anprangert: Neben der US-Firma Blue Coat, dem Hacking Team aus Italien und der französischen Amesys finden sich auf dieser Blacklist auch zwei deutsche Hersteller.

Das Beispiel Ägypten zeigt, wie wenig glaubwürdig die Versprechungen der Hersteller sind.

Die Rede ist von der Trovicor Gmbh aus München, einer früheren Siemens-Tochter, und der britisch-deutschen Gamma Group. Beide zählen zu Marktführern in der Branche. Trovicor operiert weltweit mit Niederlassungen in Dubai, Islamabad und Kuala Lumpur und hat unter anderem Bahrain mit sogenannten Monitoring Centres ausgestattet. Diese zentralisierten Überwachungscluster eignen sich für die Komplettüberwachung von Online-Verkehr, Voice over IP und Mobilfunk. Trovicor soll auch an Staatstrojanern für das bayerische Innenministerium mitgearbeitet haben und wurde 2009 verdächtigt, Technologie zur Deep Packet Inspection in den Iran geliefert zu haben. Die damals noch von Siemens kontrollierte Firma bestreitet diese Vorwürfe.

Auch die Gamma Group lieferte fleißig Podukte aus ihrer Spyware-Familie FinFisher an autoritäre Regierungen. Neben dem Verkauf von FinFisher nach Bahrain versuchte die Firma auch, Zugang zum ägyptischen Markt zu bekommen. Kurz nach der Revolution 2011 stürmten Demonstranten ein Gebäude des gefürchteten Staatssicherheitsdienstes in Kairo und fanden dort eine Gamma-Verkaufsofferte im Gegenwert von fast 300.000 Euro. Zur FinFisher-Familie gehören Staatstrojaner in allen erdenklichen Formen. Neben Programmen, die von Hand auf dem Zielsystem installiert werden müssen, bietet das Unternehmen Software zum Hacken von WLAN-Netzwerken und Infektionstools an, die sich über manipulierter Websites oder Softwareupdates auf Zielrechnern einnisten. Gelingt das, kann das infizierte System anschließend komplett überwacht werden.

Massenüberwachung in Ägypten
Gamma machte auch bei der jüngsten Ausschreibung des ägyptischen Innenministeriums für neue Spionagesoftware mit, musste sich aber Blue Coat geschlagen geben. Das Beispiel Ägypten veranschaulicht, wie wenig glaubwürdig die Beteuerungen der Hersteller sind, wenn es um die Gefahr von möglichem Missbrauch geht. Das ägyptische Innenministerium kündigte im Juni 2014 an, soziale Netzwerke wie Twitter oder Facebook systematisch überwachen zu wollen. Unter dem Vorwand, Terroristen zu bekämpfen, erfasst die Behörde dabei mittlerweile neben Blasphemie und „unmoralischem Verhalten“ auch Aufrufe zu Streiks und Protesten.

Die Firma hat offenbar kein Problem damit, dem Regime Werkzeuge zur Verfolgung von Dissidenten und Homosexuellen zu liefern.

Gamma hat also offenbar kein Problem damit, dem Regime ein Werkzeug zur Verfolgung von Dissidenten und Homosexuellen zu liefern. Denn Ägyptens Regierung hat es neben Terrorgruppen auch auf die islamistische und linksliberale Opposition sowie die LGBT-Community abgesehen. Zuletzt gab es am Nil immer mehr Razzien und Gerichtsverfahren gegen die Homosexuellen-Szene — auch wenn es jüngst mehrfach zu Freisprüchen kam. Es ist zwar nach wie vor unklar, ob die Regierung die von Blue Coat zugesagte Software schon einsetzt, aber trotzdem werden seit November vermehrt Oppositionelle aufgrund regimekritischer Äußerungen bei Facebook vor Gericht gestellt. Ende November berichtete die ägyptische Zeitung Al-Shuruq von fast 900 gesperrten Facebook-Seiten und 341 Verhaftungen. Den Verdächtigen wird vorgeworfen, zu Gewalt aufzurufen und terroristischen Gruppen nahe zu stehen.

Das Regime in Kairo hat sich jedoch zuletzt weniger durch seine sorgfältig arbeitende Justiz einen Namen gemacht, als vielmehr durch pauschale Terrorismusbeschuldigungen gegen jeden, der die Regierung kritisiert. So wurden mehrfach linksliberale Aktivisten auf Grundlage fadenscheiniger Beschuldigungen verhaftet. Karim Zakareya, ein Aktivist der liberalen Jugendbewegung des 6. April, ist dabei nur ein Fall von vielen, der zeigt, wie willkürlich die Behörden agieren. Zakareya saß drei Wochen in Untersuchungshaft, weil er eine regierungskritische Facebook-Gruppe gelikt hatte. Seine Anwälte erwarten bei dem für Anfang Februar angesetzten Prozess allerdings einen Freispruch.

Man kann sich vor Online-Bespitzelung schützen, doch die Tools dazu sind in Ländern wie Ägypten kaum bekannt.

Es ist möglich, sich vor Online-Bespitzelung und Datenspeicherung zu schützen, entsprechende Tools wie Proxy-Server oder Verschlüsselungsprogramme sind in Ländern wie Ägypten jedoch kaum bekannt. Und auch in Europa gerät die bisher als sicher geltende Verschlüsselung von E-Mails ins Visier der Innenbehörden. Auf einer Konferenz zu Cybersicherheit im französischen Lille betonte der deutsche Innenminister Thomas de Maizière, Sicherheitsbehörden sollten für den Anti-Terror-Kampf in die Lage versetzt werden, „verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen“. Damit folgt er den Forderungen von US-Präsident Barack Obama und Großbritanniens Premier David Cameron (warum Camerons Idee, Verschlüsselung zu verbieten, dumm und gefährlich ist, lest ihr hier). „Noch bevor Verschlüsselung zu einem Massenphänomen wird, soll sie eingeschränkt werden“, schreibt Zeit Online.

Klagewelle gegen Spyware-Hersteller
Ägypten veranschaulicht eindrucksvoll, wie autoritär regierte Staaten den Kampf gegen den Terror als Deckmantel missbrauchen, um Oppositionelle zu verfolgen, und dabei modernste Überwachungstechnik einsetzen. Etwas, womit wohl kein deutsches Unternehmen gern in Zusammenhang gebracht werden will. Die hessische Firma DigiTask schreibt auf ihrer Website zum Beispiel, man würde Ermittlungsbehörden bei Prävention, Ermittlung und Strafverfolgung helfen, und betont dabei, ihr Angebot sei völlig gesetzeskonform. „Unsere Produkte dienen dem Schutz von Staat und Gesellschaft“, heißt es. Doch mit dem Schutz der Gesellschaft nimmt man es in vielen Firmenzentralen nicht immer genau, schließlich wird vor allem nach Afrika und Asien exportierte Software immer wieder systematisch für Menschenrechtsverletzungen missbraucht. Trotz des ungebremsten Handels haben zivilgesellschaftliche Gegenkampagnen jedoch schon Erfolge erzielt.

Im Oktober 2011 reichten zwei NGOs Klage wegen Beihilfe zur Folter gegen Amesys ein. Die französische Firma hatte 2007 mit Libyen einen Vertrag zur Lieferung von Software zur Internetüberwachung unterzeichnet. Die Pariser Staatsanwaltschaft sträubte sich zwar gegen die Eröffnung eines Verfahrens, nach dem Urteil des Untersuchungsrichters wurde 2013 jedoch ein Prozess zugelassen. Ein weiteres Ermittlungsverfahren gegen das französische Unternehmen Qosmos — ebenso wegen Beihilfe zur Folter, diesmal in Syrien — wurde im April 2014 formell bewilligt. Auch der britische Gamma-Konzern muss sich wegen des Exports von FinFisher nach Bahrain rechtfertigen. Die Menschenrechtsgruppe Privacy International beschuldigt das Unternehmen vor dem Hintergrund seiner Kooperation mit Regime in Manama, gegen britische Gesetze verstoßen zu haben.

Die Bundesregierung griff der Branche lange Zeit bereitwillig unter die Arme.

Das Ende der staatlichen Exportförderung?
Auch die Bundesregierung hat auf die Debatte über den Export von Spyware in autoritäre Länder reagiert. Durchaus überraschend, schließlich griff Berlin der Branche lange Zeit bereitwillig unter die Arme. Das ging zum Beispiel im August 2014 aus der Antwort auf eine kleine Anfrage der Grünen-Fraktion im Bundestag hervor: Demnach hat die Bundesregierung deutschen Überwachungstechnik-Firmen in den letzten zehn Jahren Ausfuhrlizenzen für mindestens 25 Staaten erteilt. Die meisten von ihnen verletzen EU-Menschenrechtsstandards massiv. Deutsche Unternehmen haben ihre Produkte außerdem wiederholt ohne Ausfuhrlizenz exportiert. Vor ein paar Monaten verkündete Bundeswirtschaftsminister Sigmar Gabriel, den Export von Überwachungstechnik in autoritäre Länder unterbinden zu wollen, doch es bleibt fraglich wie wirksam derlei Ankündigungen in der Praxis sein werden. Denn Deutschland setzt an anderer Stelle seine Kooperation mit autoritären Regierungen konsequent fort.

Berlin hat im vergangenen Herbst die Verhandlungen mit Kairo über ein Polizeiabkommen wieder aufgenommen. In ihrer Antwort auf eine kleine Anfrage des Linke-Abgeordneten Andrej Hunko beteuert die Regierung, dass derzeit keinerlei „Unterstützungsmaßnahmen im Polizeibereich“ in Ägypten stattfänden, bestätigt aber die Planung „von Schulungen im Bereich der Bekämpfung der Urkundenkriminalität bei gleichzeitiger schulungsbegleitender Ausstattungshilfe“ durch die Bundespolizei. Angesichts der jüngsten Attacken auf die ägyptische Zivilgesellschaft und Opposition fordert Hunko, diese Verhandlungen zu stoppen und weist darauf hin, dass das Bundeskriminalamt (BKA) schon 2010 in Ägypten Lehrgänge zur polizeilichen Internetauswertung durchgeführt hat.

Es ist unklar, inwiefern die 2010 vom BKA vermittelten Kenntnisse von ägyptischen Behörden zur Verfolgung von Aktivisten missbraucht wurden. Deswegen will die Bundesregierung erst reagieren, wenn Beweise für den „Missbrauch des vermittelten Wissens“ vorliegen. Auch die EU mischt vor diesem Hintergrund kräftig mit. Sie will die Mittelmeerstaaten enger in die Migrationsabwehr einbinden und finanzierte deswegen das Fortbildungsprogramm Euromed Police, zu dem auch Workshops über Datenträgerauswertung und Abhörtechnik gehören.

Strengere Exportbeschränkungen in der EU
Andererseits ist auf EU-Ebene zuletzt Bewegung in die Debatte über Exportbeschränkungen für Überwachungstechnik gekommen. Das Europäische Parlament hat schon 2011 strengere Ausfuhrkontrollen für Überwachungstechnik beschlossen, und die EU-Kommission hat die Liste rüstungsrelevanter Güter, die Exportbeschränkungen unterliegen, zum 1. Januar 2015 aktualisiert und auf Software-Produkte zur Internetüberwachung ausgeweitet. „Das ist ein Schritt in die richtige Richtung“, sagt Ben Wagner, Direktor der Forschungsstelle Internet und Menschenrechte an der Europa-Universität Viadrina. „Es gibt durchaus Bestrebungen europäischer Regierungen den Markt strenger zu reglementierten“, sagt er. „Die Vorwürfe gegen die beiden Firmen in Frankreich — Beihilfe zur Folter — sprechen eine deutliche Sprache. Die EU hat erkannt, dass sie handeln muss.“

Ein Gewehr kann man einfach weitergeben, aber Software braucht Updates.

Ben Wagner, Direktor der Forschungsstelle Internet und Menschenrechte

Das zeigt auch ein 2012 veröffentlichtes Papier des EU-Parlaments über die Kommunikationsüberwachung in arabischen Staaten, dass deren Überwachungspraktiken anprangert und fordert, Exporte in diese Staaten zwingend an die Einhaltung von EU-Menschenrechtsstandards zu binden. Reporter ohne Grenzen will hingegen ein generelles Exportverbot für Spyware. Konventionelle Rüstungsexporte unterliegen in Deutschland den Rüstungsexportkontrollgesetzen (auch wenn diese sehr lax gehandhabt werden). Reporter ohne Grenzen will sie auf Softwaretechnik ausweiten und das auch auf EU-Ebene durchsetzen. Ein generelles Exportverbot wird es wohl nicht geben, aber immerhin arbeitet die EU daran, die Regulierungsbestimmungen anzupassen.

Es ist dennoch kaum zu erwarten, dass Europa die Kooperation mit autokratischen Regierungen grundsätzlich in Frage stellt. Der Erfolg einer strengeren Regulierung der Exporte von Überwachungstechnik bleibt fraglich, schließlich sind die Hersteller längst bestens auf Exportrestriktionen vorbereitet. Gamma unterhält Briefkastenfirmen auf den Jungferninseln, um unbequeme nationale Exporthindernisse zu umgehen, auch andere Firmen haben internationale Tochtergesellschaften gegründet und hoffen, so die Kooperation mit umstrittenen Geschäftspartnern verschleiern zu können. „Wird die Ware jedoch in Europa hergestellt, braucht die Firma eine Exportgenehmigung. In diesem Fall kommt es darauf an, wie die neuen Ausfuhrbeschränkungen in der Praxis gehandhabt werden“, sagt Ben Wagner. Grundsätzlich sei es aber schwieriger, Software an Dritte weiterzuverkaufen. In dem Segment würden ganz andere Abhängigkeiten von den Produzenten herrschen als etwa im Waffenhandel. „Ein Gewehr kann relativ einfach weitergegeben werden, aber diese Art von Software braucht in der Regel Updates“, so Wagner.

Doch auch wenn die Weitergabe schwieriger ist als bei konventionellen Waffen, stellt sich nach dem jüngsten Regulierungs-Update der EU die Frage: Ist das lediglich eine Reaktion auf wachsende Kritik oder ist der europäischen Exekutive wirklich daran gelegen, den internationalen Handel mit Bespitzelungssoftware einzudämmen. Den Internetnutzern stehen inzwischen immerhin Werkzeuge zur Verfügung, um sich gegen Spionagesoftware zu schützen. Amnesty International hat beispielsweise im November 2014 eine Software vorgestellt, die es ermöglicht, den eigenen Rechner nach Bespitzelungs-Software zu durchsuchen. Das Programm Detekt solle Nutzer in die Lage versetzen, Programme wie die von Gamma oder Hacking Team aufzuspüren und unschädlich zu machen.

Wie leicht Mobiltelefone zu Überwachungsinstrumenten werden können, hat der Sicherheitsexperte Tobias Engel gerade erst auf dem Chaos Communication Congress gezeigt. Wir haben mit ihm gesprochen

GQ Empfiehlt