Anrufe, Chats, Textdateien, Fotos: All das liegt offen für denjenigen, der Spionagesoftware heimlich in ein Handy einschleust. Die Staatsanwaltschaft München I ermittelt nun gegen einen der bekanntesten deutschen Hersteller solcher Programme: die Finfisher GmbH, die in München sitzt. Das bestätigte eine Sprecherin der Staatsanwaltschaft auf Anfrage von Süddeutscher Zeitung, NDR und WDR sowie dem BR. Es geht darum, ob Finfisher-Software illegal exportiert worden ist - ohne Erlaubnis der zuständigen Behörde, des Bundesamtes für Wirtschaft und Ausfuhrkontrolle. Die Sprecherin teilte mit, man gehe dem Verdacht des "Verstoßes gegen bestimmte Ausfuhrbestimmungen" nach. Ermittelt werde gegen "die verantwortlichen Geschäftsführer und Mitarbeiter der FinFisher GmbH und zweier weiterer GmbHs". Auslöser sind demnach Medienberichte von 2018 und eine Anzeige durch die Organisationen Reporter ohne Grenzen, Netzpolitik.org, Gesellschaft für Freiheitsrechte und European Center for Constitutional and Human Rights, die sich gegen Überwachung engagieren. Das Unternehmen wollte sich auf Nachfrage zu dem Vorgang nicht äußern.
Spähsoftware gilt zwar nicht als Waffe, wird aber als so heikel eingestuft, dass ihr Export nur unter bestimmten Bedingungen erlaubt ist. Seit 2015 werden Software und Geräte, mit denen sich Menschen ausspionieren lassen, als sogenannte Dual-Use-Produkte klassifiziert, die zivilen wie militärischen Zwecken dienen können. Ähnliche Regeln gelten etwa für Chemikalien, die sowohl für Gift als auch für Antriebstechnik benutzt werden könnten. Um Missbrauch zu vermeiden, müssen die Güter einer nationalen Behörde vorgelegt werden, bevor sie in ein Nicht-EU-Land verkauft werden. Laut der Anzeige wurde die Finfisher-Software "Finspy" in der Türkei gegen die größte Oppositionspartei CHP eingesetzt. Offenbar wurde versucht, Oppositionelle im Umfeld des "Marsches der Gerechtigkeit" auszuspähen, wie 2018 bekannt wurde. Der Marsch von Ankara nach Istanbul ein Jahr zuvor war eine Protestaktion der CHP gegen Präsident Erdoğan.
Zugriff auf GPS-Daten, Mikrofone sowie Whatsapp und Skype
Damals wurde über soziale Netzwerke eine Webseite beworben, die vermeintlich von Sympathisanten des Marsches betrieben wurde. Die Verbreiter nutzten den Hashtag, den die Demonstranten und ihre Unterstützer verwendeten. Tatsächlich befand sich auf der Webseite Schadsoftware zum Download. Die Anzeigesteller beschreiben diese so: "Nach dem Herunterladen auf ein mobiles Gerät ermöglichte diese Android-Anwendung, bei der es sich um Malware handelt, dem Angreifer den Zugang zu Telefon-und VoIP-Gesprächen, Datensystemen, Screenshots und anderen Fotos, GPS-Daten, Mikrofonen und Verbindungsdaten sowie zu verschiedenen Anwendungen, unter anderem Whatsapp, Line, Viber, Telegram, Skype, Facebook Messenger". Nach erfolgreicher Infektion hätten die digitalen Angreifer das Handy praktisch komplett überwachen können. "Mit an Sicherheit grenzender Wahrscheinlichkeit" handele sich um Finspy.
Die eingesetzte Software soll von 2016 sein. Das legt eine Quellcodeanalyse der Organisation Access Now nahe, die der Anzeige zugrunde liegt. Demnach verwendet die Spähsoftware digitale Werkzeuge, die es erst seit 2016 gibt. Sie enthalte zudem digitale Signaturen, die erst nach 2015 ausgestellt wurden. Thorsten Holz, Professor für IT-Sicherheit an der Ruhr-Universität Bochum, bestätigt die Analyse. Ein Sprecher des Wirtschaftsministeriums gibt allerdings an, von solchen Exporten nichts zu wissen. "Die Bundesregierung hat keine solchen Einzelgenehmigungen für die Ausfuhr von Intrusion-Software erteilt." Den Anzeigestellern zufolge muss der Export also illegal stattgefunden haben, zwischen Oktober 2016 und Juli 2017.
Auf der Firmenseite verspricht Finfisher, "ausschließlich mit Strafverfolgungsbehörden und Geheimdiensten" zusammenzuarbeiten, um "Terror und Gewaltverbrechen zu verhindern und aufzuklären". Doch die Software ist auch berüchtigt, weil sie von undemokratischen Systemen eingesetzt wurde. Fachleuten zufolge haben sie Dutzende Staaten gegen ihre Bürger eingesetzt, darunter Bahrain und Äthiopien. In Deutschland soll das Unternehmen die Bundestrojanersoftware entwickeln. Mit der soll das Bundeskriminalamt - wenn ein Richter es erlaubt - die Handys Verdächtiger überwachen.
