Hacking Team Deutsche Firmen koordinieren Späh-Angriffe

  • Nach dem Cyber-Angriff auf Hacking Team, einen italienischen Anbieter von Überwachungs-Software, wurden 400 GB interne Daten veröffentlicht.
  • Die Dokumente zeigen, dass eine deutsche Firma maßgeblich an der Koordination der Späh-Attacken beteiligt war.
  • Der Markt für Überwachungsprogramme ist milliardenschwer - und war bis Anfang des Jahres vollkommen unreguliert.
Von Lena Kampf, Andreas Spinrath, Jan Strozyk und Hakan Tanriverdi

Jamal nutzt das Betriebssystem Windows 7, hat das Programm Skype installiert und arbeitet mit den Sprachversionen der kurdischen Dialekte Sorani und Kudmandschi. Seine IP-Adresse verrät seinen Standort: Kirkuk, Irak. Jamal ist Zielperson einer Überwachung der kurdischen Autonomiebehörde.

Die Details seines Computersystems sind in rund 400 Gigabyte internen Unterlagen der italienischen Firma Hacking Team vermerkt, die ein Unbekannter vor gut einer Woche ins Internet gestellt hat, darunter Dokumente, E-Mails, Verträge, sogar Teile des Programmcodes der Hacking Team Spähsoftware. Auch das Twitter-Konto der Firma übernahm der Unbekannte und machte darüber öffentlich, dass er die Interna der Firma geraubt hatte. Aus Hacking Team wurde "Hacked Team".

Hacking Team hat die Spähsoftware programmiert, mit der die Zielperson Jamal im Nordirak überwacht wird: Der Trojaner "Remote Control System". Das Programm sorgt für die komplette Überwachung von Smartphones und Computern. Alles, was digital ist, rafft die Software unbemerkt zusammen. Sie überwindet Verschlüsselung, kann Handys in Wanzen verwandeln. Sie hilft Strafverfolgern beim Überführen von Schwerstkriminellen, aber sie ist auch ein mächtiges Instrument in einem Markt, der kaum zu kontrollieren ist. In Zypern musste der Chef des Geheimdienstes am Montag zurücktreten, weil die Dokumente zeigen, dass seine Behörde Hacking Team Software nutzt, die nach zypriotischem Recht illegal ist. Auch in Deutschland dürften die Polizeibehörden die Software nicht einsetzen, das Verfassungsgericht hat der Nutzung enge Grenzen gesetzt.

Das Hacking Team verwischt seine eigenen Spuren

Die Dokumente erlauben tiefe Einblicke in eine Firma, die andere gläsern macht, sich selbst aber in Heimlichkeit hüllt: "Schreibe nicht Hacking Team auf deiner Tastatur" und "Gehe nicht auf die Hacking Team Website" steht ausdrücklich in einem Schulungsdokument für Vertriebsmitarbeiter. Das Demo Kit, mit dem die Fähigkeiten des Trojaners zukünftigen Kunden in aller Welt präsentiert werden sollen, habe mit Absicht nirgends das Logo der Firma aufgedruckt. Im Handbuch steht auch, dass die Hacking Team Software selbst keine Spuren verursache, "keine Vibration, kein Geräusch oder grafischen Effekt". Nichts soll Rückschlüsse auf die Firma zulassen.

Doch in den Unterlagen entfaltet sich eine geschäftliche Dreiecksbeziehung zwischen Programmierern von Hacking Team in Italien, Kunden und Überwachern im Irak und einem Dienstleister in Deutschland, über die auch die Zeitung Die Welt heute berichtet. Denn die Überwachung Jamals wird vom Saarland aus orchestriert. Im Städtchen Lebach, Landkreis Saarlouis, koordiniert Simon T. das Ausspähen von Jamals Computer.

Jede Bewegung Jamals auf der Tastatur, jede Webseite, die er anklickt, jedes Passwort, das er eingibt, landet bei Simon T. Die Software der Firma Hacking Team ist ohne technischen Support nicht, oder nur sehr kurze Zeit nutzbar, das bestätigt Simon T. auf Anfrage. Unter Vorgangsnummer OFN-964-42705 betreut der Diplom-Ingenieur seine Kunden in Arbil, Irak. Die Kunden tragen den Decknamen "Condor".

Keine Behörde kontrolliert die deutschen Überwachungs-Exporte

Als die Bundesregierung im September 2014 die Peshmerga-Kämpfer mit Waffen für den Kampf gegen den IS ausstattete, bedeutete das eine radikale Kursänderung in der deutschen Außenpolitik. Digitales Rüstzeug hat die kurdische Autonomiebehörde schon 2010 aus Deutschland erhalten: Die deutsche Firma Intech-Solutions mit Sitz in Neufahrn bei Freising lieferte 2010 den Hacking-Team-Trojaner an das "Security and Intelligence Department" in Arbil, für die Simon T. als freier Mitarbeiter arbeitet. Gerade ist der Vertrag mit der kurdischen Regionalregierung um ein weiteres Jahr verlängert worden. Insgesamt haben sie bisher rund 500 000 Euro in die Überwachung investiert.

Wie Überwachungsexporte geregelt sind Experten schätzen den Markt für Überwachungstechnologie auf mehr als fünf Milliarden US-Dollar jährlich. Ungefähr ein Dutzend Firmen weltweit stellt sogenannte offensive Spähsoftware her, Programme also, die sich tief in die Rechner von Überwachungszielen fräsen. Die Firmen drängen sich auf dem kleinen, aber sehr lukrativen Markt staatlicher Überwachung, der bis Anfang 2015 vollkommen unreguliert war. In Deutschland gab es außer einem Exportverbot für Syrien und Iran keine gesetzlichen Beschränkungen für die Ausfuhr von Spähsoftware, die Bundesregierung hatte zunächst Exportbürgschaften für einzelne Firmen übernommen. Bundeswirtschaftsminister Sigmar Gabriel hatte 2014 allerdings einen faktischen Exportstopp durch Einzeleingriffe hergestellt. Seit Januar 2015 gilt eine neue EU-Verordnung, laut der auch Spähsoftware als Dual-Use-Güter gilt, wie sie im Wassenaar-Abkommen für Exportkontrollen geregelt ist. Außerhalb der EU ist die Ausfuhr von Spähsoftware nun genehmigungspflichtig. Am vergangenen Donnerstag führte die Bundesregierung zusätzliche Änderungen in der Außenwirtschaftsverordnung ein. Die technische Unterstützung von Spähsoftware soll nun ebenfalls kontrolliert werden.

Die Ausfuhr der Software in den Irak wurde von keiner Behörde kontrolliert - bis Anfang des Jahres war der Markt für Überwachungsprogramme vollkommen unreguliert (siehe Info-Kasten). Heute habe man eine "globale" Ausfuhrgenehmigung, sagt Hacking-Team-Sprecher Eric Rabe. Auf Anfrage bestätigt das italienische Ministerium für wirtschaftliche Zusammenarbeit, dass es eine Genehmigung für "nicht sensitive Länder" gebe, allerdings ohne diese zu spezifizieren.

Heftige Kritik von Menschenrechtsgruppen

Jahrelang haben Menschenrechtsgruppen kritisiert, dass Hacking Team die Spähsoftware auch an repressive und diktatorische Regime verkauft. Die Firma hat das bislang abgestritten. Man habe "keine Gesetze gebrochen" und sich "komplett ethisch verhalten", sagte der Sprecher Eric Rabe in einem Interview nach der Veröffentlichung der Unterlagen. Die Firma geriert sich weiterhin als Dienstleister der Guten.

In dem Leak finden sich allerdings Verträge mit Geheimdiensten und Polizeibehörden aus Ländern wie Ägypten, Äthiopien, Honduras, Russland und Kasachstan. Staaten, in denen regimekritische Äußerungen ein Verbrechen sein können und in denen die Hacking-Team Trojaner wohl auch Computer und Telefone von Demokratieaktivisten infizieren. Eine Gefahr, die Hacking Team offenbar bewusst in Kauf nahm: "Eine gute Geschäftsgelegenheit in Bahrain", kommentierte 2012 ein Hacking Team Mitarbeiter ironisch die Vorwürfe bahrainischer Aktivisten gegen den deutschen Konkurrenten Finfisher, dass dessen Software gezielt zur Ausspähung der Demokratiebewegung genutzt werde. 2013 kaufte das Bahrainische Verteidigungsministerium dann tatsächlich in Mailand ein, Hacking Team berechnete 210 000 Euro.

"Der Ferrari der Cyberangriffe"

Die 2003 gegründete Firma, an der die italienische Region Lombardei 26 Prozent der Anteile hält, hatte zunächst anderen geholfen, die eigene IT-Infrastruktur zu sichern. Die Mailänder hackten die Systeme ihrer Kunden, um die Schwachstellen herauszufinden. Unter den Kunden große Namen wie etwa die Allianz. Die Abrechnungen zeigen, dass die Firma sich wohl seit 2011 auf das deutlich lukrativere Geschäft mit der staatlichen Angriffssoftware spezialisierte. Hacking Team avancierte schnell zu einem wichtigen Akteur, mit einem Jahresumsatz von 7,73 Millionen Euro in 2014.

"Ihr habt es hier mit dem Ferrari der Cyberangriffe zu tun", schreibt Geschäftsführer David Vincenzetti in einer Email von 2012, als Kunden verunsichert auf die anhaltende Kritik an dem sogenannten Bundestrojaner in Deutschland reagieren. "Wir sind sicher berüchtigt, vielleicht der berüchtigste Name im Markt der Angriffssoftware. Das ist großartig", schreibt David Vincenzetti im Februar 2015. Sich selbst bezeichnet er einmal als "Kriegsmaschine, arbeitsmäßig".

Allianz gegen die Feinde des Internets

Deutsche Spezialfirmen exportieren fleißig Abhörtechnik ins Ausland - auch in Länder, die damit die eigenen Bürger drangsalieren. Die Verkäufe werden praktisch nicht kontrolliert. Ein neues Bündnis will das ändern. Von Thorsten Denkler, Berlin mehr ...