Spähsoftware Deutsche Technik für Despoten

Handyfoto im nächtlichen Teheran: Oft wissen die Nutzer nicht, was für Software auf ihren Geräten ist.

(Foto: AFP)

Wenn fragwürdige Regimes ihre Bürger bespitzeln, nutzen sie oft Spähsoftware "made in Germany". Deutsche Firmen zählen zu den führenden Anbietern solcher Überwachungstechnik. Geht es nach Wirtschaftsminister Gabriel, wird es mit diesem Geschäft bald vorbei sein. Das wäre eine radikale Wende in der Exportpolitik.

Von Georg Mascolo und Frederik Obermaier

Der Betreff der E-Mail ließ Schreckliches erahnen: "torture report", las Ala'a Shehabi. Ein weiterer Bericht also über gefolterte Oppositionelle im Königreich Bahrain. Im Anhang seien die Beweisfotos. Shehabi - Bahrainerin, Aktivistin, Menschenrechtlerin - klickte auf die Datei. Doch auf ihrem Smartphone ließ sie sich nicht öffnen. Es war ihr Glück. IT-Spezialisten entdeckten in der Datei später gefährliche Software, einen sogenannten Trojaner, programmiert auf die "aggressive Übernahme" von Computern, wie es in einem Gutachten hieß. Shehabi war nur knapp einem Angriff mit Spähsoftware entgangen, dessen Spuren sich in die Bundesrepublik nachverfolgen lassen. Wie so oft.

Deutsche Firmen zählen zu den führenden Anbietern von solcher Überwachungstechnik. Geliefert wird an die Sicherheitsbehörden in unverdächtigen Ländern wie Frankreich und Österreich. Dort machen Polizisten und Geheimdienste damit Jagd auf Kinderschänder und Terroristen. Ein großer Teil der Abnehmer sind aber fragwürdige Regime wie Iran, Syrien, Libyen und Äthiopien. Länder also, die in Demokratievergleichen stets die hintersten Plätze belegen, dort jagen Despoten mit Hilfe der Software gerne mal Oppositionelle. Deutschlands Firmen werden - wissentlich oder fahrlässig - zu ihren Komplizen.

Das Bundeswirtschaftsministerium will dem heiklen Geschäft nun nach Informationen von SZ, NDR und WDR ein Ende setzen. "Wer die Freiheit des Internets verteidigen will, darf solchen Regimes keine Technologien an die Hand geben, um die Internetnutzer rücksichtslos auszuspionieren und dabei ohne Grund ihre elementaren Grundrechte zu verletzen", sagt Wirtschaftsminister Sigmar Gabriel (SPD). Bereits im April hat er die führenden Hersteller nach Berlin geladen. Gesprächsteilnehmer berichten, das Wirtschaftsministerium habe den Unternehmen klargemacht, dass die Zeit der zügellosen Exporte vorbei sei. Wer sich nicht freiwillig zurückhalte, werde im Zweifel gezwungen.

Eine Firma bewirbt ihr Produkt als bestens geeignet, Oppositionelle aufzuspüren

Sollte das Ministerium diesen Kurs beibehalten, wäre es eine radikale Wende. Nach Jahren des Wegschauens und Wegduckens würden einer in Verruf geratenen Branche Zügel angelegt. Lange sah das Wirtschaftsministerium Späh-IT als Zukunftsmarkt, der Export von Überwachungsprodukten wurde qua Exportbürgschaften sogar staatlich gefördert. Mit Unterstützung aus Berlin belieferten Firmen aus Aachen, Bad Homburg, Leipzig oder Bexbach die Welt mit Werkzeugen für den Überwachungsstaat. Der Trojaner, den die bahrainische Aktivistin Shehabi zugeschickt bekam, wurde beispielsweise offenbar in München programmiert - in den Büros der Gamma Group. Das deutsch-britische Unternehmen beharrte darauf, ihm sei eine Demoversion gestohlen worden. Dass ihre Software in Bahrain eingesetzt wurde, bestreitet die Firma nicht. Alles andere wäre auch wenig glaubwürdig, denn Shehabi war nicht die einzige Bahrainerin, der E-Mails mit Schadsoftware made in Germany geschickt wurde.

Die Software heißt Finspy. Ist ein Handy oder ein PC erst einmal damit infiziert, können Skype-Gespräche mitgehört und die PC-Kamera ferngesteuert werden. Auch was der Nutzer auf der Tastatur tippt, ist lesbar. Es ist in etwa so, als würde jemand dem Computernutzer über die Schulter gucken. Der Besitzer merkt davon meist nichts - denn aufgespielt wird die Software getarnt als Update oder per E-Mail, wie bei Shehabi. Der Computer wird damit zur Wanze, das Handy zum Sender - und im schlimmsten Fall zur "digitalen Waffe", wie Kritiker warnen.

Die deutschen Unternehmen verteidigen sich damit, dass sie Produkte liefern, die man zur Polizeiarbeit braucht. In der Branche jedoch eilt ihnen ein anderer Ruf voraus. "Die meisten Produkte aus Deutschland zielen darauf ab, die Bevölkerung eines ganzen Landes zu überwachen, nicht nur einen einzelnen Verdächtigen", sagt ein Programmierer, der auch für Firmen in der Bundesrepublik gearbeitet hat. Im Prospekt eines deutschen Unternehmens heißt es, das Produkt sei bestens geeignet, "political opponents", also Oppositionelle, aufzuspüren. Und was ein Autokrat mit Oppositionellen macht, wenn er sie gefunden hat, kann man sich denken.

Export von Spähtechnologie ist ein Geschäft im juristischen wie moralischen Graubereich. Im Kern geht es um die Frage, wie weit Unternehmen dafür verantwortlich sind, was mit ihren Produkten passiert. Dual-Use-Güter werden Produkte genannt, die man als Werkzeug oder Waffe, zivil oder militärisch, nutzen kann. Auch Schwertransporter gehören dazu. Sie können zum Transport von Brückenteilen verwendet werden - oder zur Raketenabschussrampe umfunktioniert werden. Wer sie aus Deutschland ausführen will, braucht daher eine Genehmigung des Bundesamts für Wirtschaft und Ausfuhrkontrolle in Eschborn.

Das Dual-Use-Gut Überwachungstechnologie war davon jedoch bislang weitgehend ausgenommen. Lediglich für Syrien und Iran galt ein generelles Exportverbot. Ob sie nach Bahrain, Oman oder Ägypten liefern, konnten die Unternehmen selbst entscheiden. Und im Zweifel entschieden sie sich offenbar für den Profit.

Weltweit werden nach Schätzung der Firma Telestrategies, die die größte Messe für Spähprodukte organisiert, jährlich mehr als drei Milliarden Dollar mit Überwachungstechnik umgesetzt - zu einem großen Teil von deutschen Unternehmen. So half die finnisch-deutsche Firma Nokia Siemens Networks 2008, in Iran ein Kontrollzentrum zur Überwachung der Bürger aufzubauen. Produkte der Münchner Trovicor GmbH wurden in Syrien und Bahrain gefunden. Zu einem "Feind des Internets" erklärte die Organisation Reporter ohne Grenzen die Firma daher 2013. Auch die Software der Aachener Firma Utimaco landete in Syrien. In Libyen sollen beim Geheimdienstchef Angebotsunterlagen von Syborg aus dem saarländischen Bexbach gefunden worden sein. Die Firma wirbt mit dem Slogan "Einfach besser überwachen" für ihre Produkte; genau daran hatte das Gaddafi-Regime Interesse. Atis-Uher brüstete sich in Broschüren, mit seiner Überwachungssoftware im Nahen Osten einen Marktanteil von 50 Prozent zu haben.

Der Arabische Frühling offenbarte schließlich, was man eigentlich schon vorher ahnen konnte: dass autokratische Regimes Software nicht nur gegen Kriminelle einsetzten, sondern auch gegen die Opposition. In Ägypten fanden Demonstranten in Büros der Staatssicherheit 2011 auch Software der Firma Gamma, dazu ein Angebot zur Installation, Training von Personal und Wartung. Mubaraks Schergen waren offenbar auf Einkaufstour. Gamma erklärte, der Deal sei nie abgeschlossen worden. Forscher des kanadischen Forschungszentrums Citizen Lab entdeckten in Ägypten allerdings kurz darauf Spuren der Software. "Offenbar wurde die Software trotz gegenteiliger Aussagen von Gamma in mehreren Fällen eingesetzt, um Ägypter in Ägypten ins Visier zu nehmen", sagt Citizen-Lab-Analyst Morgan Marquis-Boire. Gamma äußerte sich auf Anfrage am Montag nicht dazu. Wie so oft steht das Schweigen einer Firma gegen digitale Spuren im Internet. Und Ägypten ist nur eines von vielen dubiosen Ländern, in denen deutsche Produkte zum Einsatz kommen. Auch auf Servern in Brunei, Äthiopien, Katar, der Mongolei, Turkmenistan und Äthiopien wurden Spuren gefunden.

Wo deutsche Firmen überall ihre Produkte an den Mann bringen wollen, lassen Daten erahnen, welche die Enthüllungsplattform Wikileaks 2013 veröffentlichte: Es waren die Reiserouten von Außendienstlern, Programmierern und Managern der deutschen Branchenriesen Trovicor, Utimaco, Elaman und Gamma. Sie reisten nach Äquatorial-Guinea, Äthiopien, Nigeria, Uganda, Katar, Turkmenistan und Bahrain. Alles Länder, die es mit Menschenrechten nicht ganz so genau nehmen.

Für die Bundesregierung wurde die einstige Vorzeige-Branche zum Problem. Demokratie-Bewegungen im Nahen Osten zu unterstützen und gleichzeitig zuzuschauen, wie das Werkzeug zur Unterdrückung eben dieser Aktivisten aus Deutschland geliefert wird, passte nicht zusammen. "Solchen Regimes sollten die technischen Instrumente, um ihre Bürger auszuspionieren, nicht überlassen werden", sagte der damalige Außenminister Guido Westerwelle 2012. Dennoch geschah lange Zeit nichts. Eine Verschärfung der Exportregeln müsse im sogenannten Wassenaar-Abkommen verankert werden, erklärte die Bundesregierung. Die 41 Unterzeichnerstaaten dieses Abkommens treffen sich regelmäßig, um zu beschließen, für welche Waffen oder Dual-Use-Güter strengere Exportkontrollen gelten sollen. 2012 setzten sie IMSI-Catcher auf die Liste, mit denen Handygespräche abgehört werden können. Ein Jahr später, im Dezember 2013, folgten Staatstrojaner und Kontrollsysteme für ganze Netzwerke. Es hatte aber einen Haken: Das Wassenaar-Abkommen ist für deutsche Unternehmen nicht bindend. Erst muss die EU die Beschlüsse umsetzen - und dass soll im Falle der Überwachungstechnik noch mindestens bis Ende 2014 dauern.

Wirtschaftsminister Gabriel ist das zu spät. Er versucht derzeit, sich als eine Art Internetfreiheitsminister zu profilieren. Erst vergangene Woche schrieb er in einem Aufsatz in der FAZ: "Entweder wir verteidigen unsere Freiheit und ändern unsere Politik, oder wir werden zu digital hypnotisierten Mündeln der Datenherrschaft." Gabriel hat die Zolldienststellen in der Bundesrepublik jüngst angewiesen, nach Lieferungen von Überwachungstechnologie zu suchen. Gehen sie in Unrechtsstaaten, will das Ministerium sie per "Einzeleingriff" stoppen, bis es auf EU-Ebene strengere Exportkontrollen gibt. Mehrere Lieferungen sollen bereits aufgehalten worden sein.

Noch ist allerdings unklar, an welche Länder in Zukunft keine Spähtechnologie mehr geliefert werden darf. Was ist zum Beispiel mit der Türkei? Was mit Russland? Gabriel sagt, er könne sich keine Exporte in diese Länder mehr vorstellen. Christian Mihr, Geschäftsführer von Reporter ohne Grenzen, fordert: "Solche Technik sollte an kein einziges Land geliefert werden, in dem Menschenrechte systematisch verletzt werden."

Die Vorschrift, in welche Länder geliefert werden darf, macht für Deutschlands Industrie am Ende den Unterschied zwischen Geschäft und Nicht-Geschäft. Für Aktivistinnen wie Ala'a Shehabi hingegen kann sie den Unterschied machen zwischen Freiheit oder Unterdrückung - und im schlimmsten Fall zwischen Leben und Tod.