Hacking Team:Deutsche Firmen koordinieren Späh-Angriffe

  • Nach dem Cyber-Angriff auf Hacking Team, einen italienischen Anbieter von Überwachungs-Software, wurden 400 GB interne Daten veröffentlicht.
  • Die Dokumente zeigen, dass eine deutsche Firma maßgeblich an der Koordination der Späh-Attacken beteiligt war.
  • Der Markt für Überwachungsprogramme ist milliardenschwer - und war bis Anfang des Jahres vollkommen unreguliert.

Von Lena Kampf, Andreas Spinrath, Jan Strozyk und Hakan Tanriverdi

Jamal nutzt das Betriebssystem Windows 7, hat das Programm Skype installiert und arbeitet mit den Sprachversionen der kurdischen Dialekte Sorani und Kudmandschi. Seine IP-Adresse verrät seinen Standort: Kirkuk, Irak. Jamal ist Zielperson einer Überwachung der kurdischen Autonomiebehörde.

Die Details seines Computersystems sind in rund 400 Gigabyte internen Unterlagen der italienischen Firma Hacking Team vermerkt, die ein Unbekannter vor gut einer Woche ins Internet gestellt hat, darunter Dokumente, E-Mails, Verträge, sogar Teile des Programmcodes der Hacking Team Spähsoftware. Auch das Twitter-Konto der Firma übernahm der Unbekannte und machte darüber öffentlich, dass er die Interna der Firma geraubt hatte. Aus Hacking Team wurde "Hacked Team".

Hacking Team hat die Spähsoftware programmiert, mit der die Zielperson Jamal im Nordirak überwacht wird: Der Trojaner "Remote Control System". Das Programm sorgt für die komplette Überwachung von Smartphones und Computern. Alles, was digital ist, rafft die Software unbemerkt zusammen. Sie überwindet Verschlüsselung, kann Handys in Wanzen verwandeln. Sie hilft Strafverfolgern beim Überführen von Schwerstkriminellen, aber sie ist auch ein mächtiges Instrument in einem Markt, der kaum zu kontrollieren ist. In Zypern musste der Chef des Geheimdienstes am Montag zurücktreten, weil die Dokumente zeigen, dass seine Behörde Hacking Team Software nutzt, die nach zypriotischem Recht illegal ist. Auch in Deutschland dürften die Polizeibehörden die Software nicht einsetzen, das Verfassungsgericht hat der Nutzung enge Grenzen gesetzt.

Das Hacking Team verwischt seine eigenen Spuren

Die Dokumente erlauben tiefe Einblicke in eine Firma, die andere gläsern macht, sich selbst aber in Heimlichkeit hüllt: "Schreibe nicht Hacking Team auf deiner Tastatur" und "Gehe nicht auf die Hacking Team Website" steht ausdrücklich in einem Schulungsdokument für Vertriebsmitarbeiter. Das Demo Kit, mit dem die Fähigkeiten des Trojaners zukünftigen Kunden in aller Welt präsentiert werden sollen, habe mit Absicht nirgends das Logo der Firma aufgedruckt. Im Handbuch steht auch, dass die Hacking Team Software selbst keine Spuren verursache, "keine Vibration, kein Geräusch oder grafischen Effekt". Nichts soll Rückschlüsse auf die Firma zulassen.

Doch in den Unterlagen entfaltet sich eine geschäftliche Dreiecksbeziehung zwischen Programmierern von Hacking Team in Italien, Kunden und Überwachern im Irak und einem Dienstleister in Deutschland, über die auch die Zeitung Die Welt heute berichtet. Denn die Überwachung Jamals wird vom Saarland aus orchestriert. Im Städtchen Lebach, Landkreis Saarlouis, koordiniert Simon T. das Ausspähen von Jamals Computer.

Jede Bewegung Jamals auf der Tastatur, jede Webseite, die er anklickt, jedes Passwort, das er eingibt, landet bei Simon T. Die Software der Firma Hacking Team ist ohne technischen Support nicht, oder nur sehr kurze Zeit nutzbar, das bestätigt Simon T. auf Anfrage. Unter Vorgangsnummer OFN-964-42705 betreut der Diplom-Ingenieur seine Kunden in Arbil, Irak. Die Kunden tragen den Decknamen "Condor".

Keine Behörde kontrolliert die deutschen Überwachungs-Exporte

Als die Bundesregierung im September 2014 die Peshmerga-Kämpfer mit Waffen für den Kampf gegen den IS ausstattete, bedeutete das eine radikale Kursänderung in der deutschen Außenpolitik. Digitales Rüstzeug hat die kurdische Autonomiebehörde schon 2010 aus Deutschland erhalten: Die deutsche Firma Intech-Solutions mit Sitz in Neufahrn bei Freising lieferte 2010 den Hacking-Team-Trojaner an das "Security and Intelligence Department" in Arbil, für die Simon T. als freier Mitarbeiter arbeitet. Gerade ist der Vertrag mit der kurdischen Regionalregierung um ein weiteres Jahr verlängert worden. Insgesamt haben sie bisher rund 500 000 Euro in die Überwachung investiert.

Wie Überwachungsexporte geregelt sind

Experten schätzen den Markt für Überwachungstechnologie auf mehr als fünf Milliarden US-Dollar jährlich. Ungefähr ein Dutzend Firmen weltweit stellt sogenannte offensive Spähsoftware her, Programme also, die sich tief in die Rechner von Überwachungszielen fräsen. Die Firmen drängen sich auf dem kleinen, aber sehr lukrativen Markt staatlicher Überwachung, der bis Anfang 2015 vollkommen unreguliert war. In Deutschland gab es außer einem Exportverbot für Syrien und Iran keine gesetzlichen Beschränkungen für die Ausfuhr von Spähsoftware, die Bundesregierung hatte zunächst Exportbürgschaften für einzelne Firmen übernommen. Bundeswirtschaftsminister Sigmar Gabriel hatte 2014 allerdings einen faktischen Exportstopp durch Einzeleingriffe hergestellt. Seit Januar 2015 gilt eine neue EU-Verordnung, laut der auch Spähsoftware als Dual-Use-Güter gilt, wie sie im Wassenaar-Abkommen für Exportkontrollen geregelt ist. Außerhalb der EU ist die Ausfuhr von Spähsoftware nun genehmigungspflichtig. Am vergangenen Donnerstag führte die Bundesregierung zusätzliche Änderungen in der Außenwirtschaftsverordnung ein. Die technische Unterstützung von Spähsoftware soll nun ebenfalls kontrolliert werden.

Die Ausfuhr der Software in den Irak wurde von keiner Behörde kontrolliert - bis Anfang des Jahres war der Markt für Überwachungsprogramme vollkommen unreguliert (siehe Info-Kasten). Heute habe man eine "globale" Ausfuhrgenehmigung, sagt Hacking-Team-Sprecher Eric Rabe. Auf Anfrage bestätigt das italienische Ministerium für wirtschaftliche Zusammenarbeit, dass es eine Genehmigung für "nicht sensitive Länder" gebe, allerdings ohne diese zu spezifizieren.

Heftige Kritik von Menschenrechtsgruppen

Jahrelang haben Menschenrechtsgruppen kritisiert, dass Hacking Team die Spähsoftware auch an repressive und diktatorische Regime verkauft. Die Firma hat das bislang abgestritten. Man habe "keine Gesetze gebrochen" und sich "komplett ethisch verhalten", sagte der Sprecher Eric Rabe in einem Interview nach der Veröffentlichung der Unterlagen. Die Firma geriert sich weiterhin als Dienstleister der Guten.

In dem Leak finden sich allerdings Verträge mit Geheimdiensten und Polizeibehörden aus Ländern wie Ägypten, Äthiopien, Honduras, Russland und Kasachstan. Staaten, in denen regimekritische Äußerungen ein Verbrechen sein können und in denen die Hacking-Team Trojaner wohl auch Computer und Telefone von Demokratieaktivisten infizieren. Eine Gefahr, die Hacking Team offenbar bewusst in Kauf nahm: "Eine gute Geschäftsgelegenheit in Bahrain", kommentierte 2012 ein Hacking Team Mitarbeiter ironisch die Vorwürfe bahrainischer Aktivisten gegen den deutschen Konkurrenten Finfisher, dass dessen Software gezielt zur Ausspähung der Demokratiebewegung genutzt werde. 2013 kaufte das Bahrainische Verteidigungsministerium dann tatsächlich in Mailand ein, Hacking Team berechnete 210 000 Euro.

"Der Ferrari der Cyberangriffe"

Die 2003 gegründete Firma, an der die italienische Region Lombardei 26 Prozent der Anteile hält, hatte zunächst anderen geholfen, die eigene IT-Infrastruktur zu sichern. Die Mailänder hackten die Systeme ihrer Kunden, um die Schwachstellen herauszufinden. Unter den Kunden große Namen wie etwa die Allianz. Die Abrechnungen zeigen, dass die Firma sich wohl seit 2011 auf das deutlich lukrativere Geschäft mit der staatlichen Angriffssoftware spezialisierte. Hacking Team avancierte schnell zu einem wichtigen Akteur, mit einem Jahresumsatz von 7,73 Millionen Euro in 2014.

"Ihr habt es hier mit dem Ferrari der Cyberangriffe zu tun", schreibt Geschäftsführer David Vincenzetti in einer Email von 2012, als Kunden verunsichert auf die anhaltende Kritik an dem sogenannten Bundestrojaner in Deutschland reagieren. "Wir sind sicher berüchtigt, vielleicht der berüchtigste Name im Markt der Angriffssoftware. Das ist großartig", schreibt David Vincenzetti im Februar 2015. Sich selbst bezeichnet er einmal als "Kriegsmaschine, arbeitsmäßig".

Kein Despot zu brutal, kein Krisengebiet zu gefährlich

Offenbar ist kein Despot den Managern von Hacking Team als potentieller Kunde zu brutal, kein Krisengebiet zu gefährlich. David Vincenzetti beobachtet die Weltlage genau. In seinem E-Mailpostfach kommen regelmäßig Artikel der New York Times an, er hat einen Filter für die Worte "Nuklear" und "Folter" eingerichtet. Vincenzetti schickt Berichte, die er für besonders interessant hält, an seine Mitarbeiter weiter. Einen Artikel über Saudi Arabiens hartes Durchgreifen gegenüber liberaleren Kräften leitet er als "absolute Leseempfehlung" weiter, "gerade weil Saudi eine lokale Supermacht (und ein sehr wichtiger Kunde von uns) ist."

Als im Iran 2011 die ersten Demonstrationen durch die Straßen Teherans ziehen, verabredet sich ein Hacking Team Mitarbeiter mit einem Vertreter der iranischen Telekommunikationsgesellschaft TCT zu einem "privaten Treffen". Er will ihm den Hacking Team Trojaner vorstellen, der auch "Skype und MSN Chats" abfangen kann. Iran sei nie ein Kunde der Firma gewesen, sagt Sprecher Eric Rabe.

2014 werden die Vereinten Nationen auf einen Deal von Hacking Team mit dem sudanesischen Geheimdienst aufmerksam. Der Sudan ist seit 2005 strengstens sanktioniert, dennoch verkauft Hacking Team 2012 seinen Trojaner für 869 000 Euro an das Land. Hacking Teams Sprecher Rabe sagt, der Sudan sei heute kein Kunde mehr. Die UN kommt zu einem deutlichen Urteil: Die Software sei ideal dazu geeignet, bei militärischer Aufklärung zu helfen. "Sie könnte in die Kategorie Militärische Ausrüstung oder Unterstützung fallen", steht in einem Brief vom März 2015.

BKA und die bayerische Polizei waren interessiert

Auch die Schweiz, Polen und die USA beziehen Überwachungssoftware aus Mailand. Der luxemburgische Geheimdienst wird, als Steuerbehörde getarnt, seit 2012 als Kunde betreut - ebenfalls von Simon T. im Saarland. Sogar Beamte des Bundeskriminalamts (BKA) und der Landespolizei Bayern besuchen die Firma im März 2011 und im Januar 2012, um sich den RCS Trojaner vorführen zu lassen.

Wenige Wochen nach dem Besuch erkundigt sich ein Techniker des BKA nach Hilfe für einen "speziellen Fall". Man benötige einen Keylogger für einen Mac-OSX Computer. "Haben Sie ein Produkt, das unseren Bedürfnissen entspricht?", fragt der deutsche Polizist. Ob Hacking Team ein Angebot macht, lässt sich nicht nachvollziehen, jedenfalls aber wäre es eins im deutlichen Graubereich der deutschen Gesetze gewesen: Für den Einsatz müsste eine besonders gravierende Gefahrenlage bestehen. "Im BKA finden keine Softwareprodukte der Firma Hacking Team Anwendung", sagt eine Sprecherin der Behörde.

Das Hacking Team liefert die Munition für die Bespitzelung

Wem die Liste der Crew des irakischen Regierungsflugs B 737-800 YI-ASF vom 11. November 2014 geschickt wurde, weiß auch Simon T. nicht. Sicher ist, dass derjenige, der sie per Email erhalten und auf seinem Computer geöffnet hat, Opfer eines Spähhangriffs hätte werden können. Simon T. hatte die Liste und fünf weitere Dokumente, darunter ein Propagandapamphlet der Patriotischen Union Kurdistans, zuvor von seinen Kunden in Arbil erhalten und sie nach Mailand weitergeleitet, wo sie mit dem Trojaner infiziert worden waren. Simon T. hat die Munition für die Bespitzelung geliefert.

An "eine demokratisch gewählte Regierung", sagt er im Gespräch mit der SZ. Wen die kurdische Autonomiebehörde ausspioniert, weiß Simon T. nicht. Ist es ein mutmaßlicher Straftäter? Ein politischer Gegner der Regionalregierung? Die Details über die Zielpersonen deuten eher auf einen innerkurdischen Konflikt hin, doch Simon T. behauptet sicher zu sein, dass die Kunden im Irak sich "zu 150 Prozent mit den äußeren Feinden beschäftigen", etwa dem sogenannten Islamischen Staat. Mehrmals habe er die Kunden im Irak besucht. Die Software habe er besten Gewissens geliefert.

Andere Firmen sind vorsichtiger, das zeigt eine E-Mail von Simon T.: Der Versuch die französische Konkurrenzfirma Vupen als neuen Lieferanten zu gewinnen scheitert, weil diese sich weigert, in den Irak zu exportieren. Auch Hacking Team Mitarbeiter sorgen sich mittlerweile um die Region: Der "Islamische Staat" stehe 20 Kilometer vor Arbil, heißt es in einer Mail. "Es wäre hilfreich zu verstehen, wie die Situation mit Simon und dem Kunden Condor ist, und wie wir verhindern, dass die Installation in die falschen Hände gerät. Um uns zu schützen und auch den Kunden."

David Vincenzetti allerdings sieht eine Geschäftsgelegenheit. In einem weiteren E-Mail Austausch schreibt er, Hacking Team sei bereits autorisiert, an die irakische Regierung zu liefern. "Sie werden Cybertechnologien bald sehr nötig haben, um die Terroristen zu bekämpfen. Let's kick some ass!"

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: