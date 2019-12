Leipzig

Die Vorwürfe wiegen schwer: Ein deutsches IT-Unternehmen soll Spionage-Software entwickelt und diese rechtswidrig in die Türkei exportiert haben. Dort soll sie unter anderem genutzt worden sein, um oppositionelle Kräfte auszuspähen. Das geht aus einem Bericht hervor, den der Chaos Computer Club ( CCC) im Rahmen seines 36. Chaos Communication Congress in Leipzig veröffentlicht hat.

Der Untersuchung war eine Strafanzeige der Gesellschaft für Freiheitsrechte (GFF), Netzpolitik.org, Reporter ohne Grenzen sowie des „ European Center for Constitutional and Human Rights“ gegen die deutsche Firmengruppe FinFisher mit Sitz in München im Herbst diesen Jahres vorausgegangen. Dem Unternehmen wird ein vorsätzlicher Vorstoß gegen Paragraf 18 des Außenwirtschaftsgesetzes (AWG) vorgeworfen. Laut diesem unterliegen Güter, die sowohl zivil als auch militärisch nutzbar sind (sogenannte Dual-Use-Güter), einer speziellen Genehmigungspflicht.

28 Code-Samples analysiert

Sicherheitsforscher des CCC hatten daraufhin 28 Code-Samples der Spionage-Software „FinSpy“ aus den Jahren 2012 bis 2019 auf ihre Herkunft und das Datum der Herstellung analysiert. Diese zeige, „dass eine ursprünglich aus Deutschland stammende Überwachungssoftware offenbar gegen demokratische Dissidenten eingesetzt wurde“, wird Mitautor Linus Neumann zitiert. „Wie es dazu kommen konnte, müssen Staatsanwaltschaft und Zollkriminalamt nun aufklären.“ Der in der Türkei eingesetzte Spionage-Trojaner namens „adalet“ sei laut der Auswertung überdies nach dem 18. Juli 2015 erstellt worden und verstoße damit gegen das AWG – vorausgesetzt, Berichte der Bundesregierung treffen zu, wonach für den Staatstrojaner bisher keine Export-Genehmigungen erteilt wurden.

Um nachzuweisen, dass die laut GFF von 2016 bis 2017 in der Türkei eingesetzte Software von FinFisher stammt, habe man dessen Quellcode mit Daten verglichen, die 2014 nach einem Hack des Unternehmens an die Öffentlichkeit gelangt waren. Laut dem Bericht enthalten sämtliche untersuchte Quellcodes einen seit 2012 weitgehend unveränderten Mechanismus, obwohl die Software über die Jahre hinweg weiterentwickelt wurde. Darüber hinaus finden sich in den Konfigurationsdaten der in der Türkei eingesetzten Software deutsche Handy-Nummern und eine Münchener Festnetznummer.

Neumann und sein Co-Autor Thorsten Schröder sehen es damit mit an Sicherheit grenzender Wahrscheinlichkeit als erwiesen an, dass in der Türkei Spionage-Software deutschen Ursprungs eingesetzt wurde.

Sämtliche Daten und Tools stehen online bereit

Finfisher dementiert laut Medienberichten bisher, gegen die Ausfuhrbestimmungen des AWG verstoßen zu haben. Sollte es zu einem Prozess kommen, müsste das Gericht unter anderem klären, ob die eingesetzte Spionage-Software tatsächlich von der Münchener Firma stammt. Falls dem so ist, ist noch immer die Möglichkeit einer illegalen Weitergabe des Programms möglich. In diesem Fall müsste das Unternehmen nachweisen, wem die Software ursprünglich verkauft wurde.

Der komplette Bericht des CCC ist online unter www.ccc.de einsehbar. Dazu wurden auch die komplette Dokumentationder Untersuchung sowie die genutzten Analyse-Tools bereitgestellt.

Vom 27. Bis 30. Dezember treffen sich auf der Leipziger Messe 17.000 Menschen zum 36. Chaos Communications Congress. Nach Angaben des CCC ist es die größte Hacker-Konferenz in Europa. Erst am Freitag hatte der Chaos Computer Club dort bekannt gemacht,dass es große Sicherheitslücken bei der neuen Digitalen Patientenakte gibt.

Von Christian Neffe