Spionage in der Türkei Falle mit deutscher Spitzeltechnik

Während im Juli in der Türkei der "Marsch der Gerechtigkeit" stattfand, demonstrierten auch in Deutschland Anhänger der Oppositionspartei CHP, so wie hier in Stuttgart.

(Foto: picture alliance / Christoph Sch)

Regierungsgegner, die es gar nicht gibt, Trojaner-Software und verseuchte Links: Wie türkische Oppositionelle Ziel einer Spionage-Kampagne wurden.

Von Svea Eckert, Boris Kartheuser, Hannes Munzinger und Hakan Tanriverdi

Auf den ersten Blick hat die Twitter-Nutzerin @uysalnida59 nicht viel übrig für die türkische Regierungspartei AKP, außer Ablehnung. Am 1. Juli 2017 postet Nida Uysal einen Link zu einer Webseite. Interessierte sollen, so twitterte sie, "der AKP-Zensur zum Trotz" diese Seite besuchen, "um den aktuellen Stand unseres Marsches für Gerechtigkeit zu erfahren und wo wir uns gerade befinden". Die Webseite selbst zeigt den Chef der größten Oppositionspartei CHP, Kemal Kılıçdaroğlu, mit einem Schild in der Hand, auf dem "Adalet" steht: Gerechtigkeit.

425 Kilometer lief Kılıçdaroğlu zwischen Mitte Juni und Juli 2017 zu Fuß, von der türkischen Hauptstadt Ankara bis in die Millionenstadt Istanbul. Es war von Beginn an ein Protestmarsch, anfangs noch gegen die Verurteilung eines Parteifreundes, am Ende längst eine Fundamentalkritik an der Regierungspartei. Erdoğan warnte den CHP-Politiker, die Straße sei nicht der richtige Ort für die Kritik. Der Marsch aber wurde nicht gestoppt. Als Kılıçdaroğlu am 9. Juli in Istanbul ankam, feierten Hunderttausende. Uysal, das sollten zumindest ihre Tweets zeigen, gehörte zu den Unterstützern Kılıçdaroğlus.

Die Spähsoftware wurde maßgeblich in Deutschland entwickelt

Doch die Person Uysal Nida existiert wahrscheinlich gar nicht. Der Link zur Webseite, den sie verbreitete, war eine Falle. Denn dort wurden Nutzer von Android-Smartphones aufgefordert, sich eine Datei herunterzuladen. Und diese Datei enthielt eine mächtige Spionagesoftware. IT-Sicherheitsforscher von Access Now, einer Organisation für digitale Bürgerrechte, haben sich die Software besorgt und sie technisch geprüft. Ihre Analyse zeigt, dass es sich bei dem Programm um eine Spionagesoftware handelt, die nach Recherchen von SZ, NDR und WDR maßgeblich vom deutschen Unternehmen Finfisher mit Sitz in München entwickelt wurde. Verkauft wird sie offenbar nicht nur von Finfisher selbst, sondern auch von einem Firmengeflecht rund um die britische Gamma Group. Beide Firmen arbeiteten in der Vergangenheit eng zusammen. Das Produkt heißt Finspy.

Das bedeutet: Deutsche Spähsoftware wurde eingesetzt, um die türkische Opposition auszuspionieren und das in einer Zeit, in der das Land tief gespalten ist. Nach dem Putschversuch im Juli 2016 gilt in der Türkei der Ausnahmezustand, zwischenzeitlich waren bis zu 50 000 Menschen inhaftiert.

"Der Trojaner ist in der Lage, eine komplette Kontrolle über das Handy zu haben"

Sowohl die technische Analyse von Access Now als auch die Spähsoftware liegen Reportern von Süddeutscher Zeitung, NDR und WDR vor. Im Bericht schreiben die Forscher, dass es sich um neue Varianten von Finfisher handelt. "Es gibt einige forensische Artefakte, die für uns als klares Anzeichen dafür dienen, dass wir es in unserer Analyse mit Finspy zu tun haben."

Thorsten Holz, Professor für IT-Sicherheit an der Ruhr-Universität Bochum, überprüfte die Software auf Bitte der Reporter. "Der Trojaner ist in der Lage, eine komplette Kontrolle über das Handy zu haben", sagt er. Holz bestätigt, dass der Code "relativ ähnlich" zu vorherigen Versionen von Finfisher sei: "Es scheint sich um eine neue Version zu handeln." Und auch die IT-Sicherheitsexperten der Firma Cure53 gehen davon aus, dass es sich "sehr, sehr wahrscheinlich" um Finspy handelt. Weder Finfisher noch die Gamma Group antworteten auf Nachfragen.