Online-Spionage: Spitzeltechnik aus Almanya

Deutsche Spähsoftware wurde eingesetzt, um die türkische Opposition auszuspähen. Doch wer steckt dahinter?

Auf den ersten Blick hat die Twitter-Nutzerin @uysalnida59 nicht viel übrig für die türkische Regierungspartei AKP, außer Ablehnung. Am 1. Juli 2017 postet Nida Uysal einen Link zu einer Webseite. Interessierte sollen, so twitterte sie, "der AKP-Zensur zum Trotz" diese Seite besuchen, "um den aktuellen Stand unseres Marsches für Gerechtigkeit zu erfahren und wo wir uns gerade befinden".

Die Webseite selbst zeigt den Chef der größten Oppositionspartei CHP, Kemal Kılıçdaroğlu, mit einem Schild in der Hand, auf dem "Adalet" steht: Gerechtigkeit. 425 Kilometer lief Kılıçdaroğlu zwischen Mitte Juni und Juli 2017 zu Fuß, von der türkischen Hauptstadt Ankara bis in die Millionenstadt Istanbul. Es war von Beginn an ein Protestmarsch, anfangs noch gegen die Verurteilung eines Parteifreundes, am Ende längst eine Fundamentalkritik an der Regierungspartei.

Erdoğan warnte den CHP-Politiker, die Straße sei nicht der richtige Ort für die Kritik. Der Marsch aber wurde nicht gestoppt. Als Kılıçdaroğlu am 9. Juli in Istanbul ankam, feierten Hunderttausende. Uysal, das sollten zumindest ihre Tweets zeigen, gehörte zu den Unterstützern Kılıçdaroğlus.

Doch die Person Uysal Nida existiert wahrscheinlich gar nicht. Der Link zur Webseite, den sie verbreitete, war eine Falle. Denn dort wurden Nutzer von Android-Smartphones aufgefordert, sich eine Datei herunterzuladen. Und diese Datei enthielt eine mächtige Spionagesoftware, wie IT-Sicherheitsforscher von Access Now, einer Organisation für digitale Bürgerrechte, in einer Analyse herausgefunden haben. Die Forscher haben sich die Software besorgt und technisch geprüft. Nach Recherchen von Süddeutscher Zeitung, NDR und WDR wurde die Software maßgeblich von dem deutschen Unternehmen Finfisher mit Sitz in München entwickelt. Verkauft wird sie offenbar nicht nur von Finfisher selbst, sondern auch von einem Firmengeflecht rund um die britische Gamma Group. Beide Firmen arbeiteten in der Vergangenheit eng zusammen.

Finfisher

Die Münchner Firma Finfisher ist in der Vergangenheit wiederholt in die Schlagzeilen geraten, weil ihre Spähsoftware "Finspy" von autoritären Regimen gegen Oppositionelle eingesetzt wurde. Finspy kann laut Experten für IT-Sicherheit auf die Daten infizierter Smartphones und Computer komplett und sogar während der Nutzung zugreifen. Mit Spionage-Software lassen sich auch legitime Zwecke verfolgen, zum Beispiel das Abhören von Telefonaten von Terrorverdächtigen, unter rechtsstaatlichen Bedingungen. Das Bundesinnenministerium spricht von Quellen-Telekommunikationsüberwachung, in der Öffentlichkeit ist das Vorgehen als sogenannter Staatstrojaner bekannt. Die Software, die das Bundeskriminalamt dafür einsetzt, ist dieselbe, die nun offenbar in der Türkei auftauchte: Finspy von Finfisher. Hannes Munzinger

Das Produkt heißt Finspy. Das bedeutet: Deutsche Spähsoftware wurde eingesetzt, um die türkische Opposition auszuspionieren, und das in einer Zeit, in der das Land tief gespalten ist. Nach dem Putschversuch im Juli 2016 gilt in der Türkei der Ausnahmezustand, zwischenzeitlich waren bis zu 50 000 Menschen inhaftiert.

Sowohl die technische Analyse von Access Now als auch die Spähsoftware liegen Reportern von SZ, NDR und WDR vor. Im Bericht schreiben die Forscher, dass es sich um neue Varianten von Finfisher handelt. "Es gibt einige forensische Artefakte, die für uns als klares Anzeichen dafür dienen, dass wir es in unserer Analyse mit Finspy zu tun haben."

Der Trojaner könne die Kontrolle über das Handy übernehmen, sagt der IT-Experte Holz

Thorsten Holz, Professor für IT-Sicherheit an der Ruhr-Universität Bochum, überprüfte die Software auf Bitte der Reporter. "Der Trojaner ist in der Lage, eine komplette Kontrolle über das Handy zu haben", sagt er. Holz bestätigt, dass der Code "relativ ähnlich" zu vorherigen Versionen von Finfisher sei: "Es scheint sich um eine neue Version zu handeln." Und auch die IT-Sicherheitsexperten der Firma Cure53 gehen davon aus, dass es sich "sehr, sehr wahrscheinlich" um Finspy handelt. Weder Finfisher noch die Gamma Group antworteten auf Nachfragen.

Wie viele Twitter-Nutzer den Trojaner heruntergeladen haben, lässt sich nicht rekonstruieren. Klar ist, dass die Kampagne zur Verbreitung der Software auf Unterstützer und führende Politiker der Oppositionspartei CHP zielte.

Die Analysten von Access Now gehen davon aus, dass die Angreifer gezielt versuchten, die Software gegen "alle Twitter-Nutzer, die am Marsch teilnahmen" einzusetzen - "egal, ob diese viele Follower hatten oder was ihre Rolle bei den Protesten war." Ihr Bericht nennt neben Uysal Nida exemplarisch drei weitere fiktive Nutzer, die den Link verbreiteten. Diese Accounts folgten 181 Twitter-Nutzern, die sich zur CHP bekennen. Mindestens 39 von ihnen hielten die Tweets von Uysal Nida und den anderen fiktiven Nutzern offenbar für echt und folgten ihnen ebenfalls. Wer die Kampagne gegen die Opposition in Auftrag gab, ist unklar. Auf der eigenen Webseite verspricht Finfisher, "ausschließlich mit Strafverfolgungsbehörden und Geheimdiensten" zusammenzuarbeiten, um "Terror und Gewaltverbrechen zu verhindern und aufzuklären". Access Now weist darauf hin, dass Finfisher sich "auf eine Art vermarktet, die nahelegt, dass man die Produkte auch verwenden kann, um Ziele in fremden Ländern auszuspionieren".

Der CHP-Abgeordnete Sezgin Tan-rıkulu sagt, der Vorfall sei ein Indiz dafür, dass die Türkei von einer dunklen, autoritären Führung regiert werde und niemand im Land sicher sei. Die türkische Regierung ließ Fragen unbeantwortet.

Lucie Krahulcova von Access Now erklärt im Gespräch, dass ihre Gruppe Finspy über zwei Jahre lang beobachtet habe: "Wir haben fortlaufende Veränderungen an der Software gesehen. Neue Funktionen zum Beispiel." Solche Updates können nur dann erfolgen, wenn man Zugang zum ursprünglichen Programmiercode der Software hat und diesen ausbaut. Zwar gab es Leaks bei Finfisher, und ein Hacker veröffentlichte insgesamt 40 Gigabyte an internen Dokumenten, doch der Quellcode von Finspy war nicht dabei.

Dass es sich um neue Versionen der Software handelt, ist wichtig, weil diese unter eine EU-weit geltende Exportkontrolle fallen könnte. Seit 2015 werden Software und Geräte, mit denen sich Menschen ausspionieren lassen, als sogenannte Dual-Use-Produkte klassifiziert.

Bevor solche Güter in ein Nicht-EU-Land verkauft werden, müssen sie einer nationalen Prüfbehörde vorgelegt werden, die von Fall zu Fall entscheidet. Ob Finfisher eine solche Exportgenehmigung erhalten hatte, wollten weder das Bundeswirtschaftsministerium noch das Unternehmen selbst beantworten. Der Beauftragte für die Exportkontrolle im Auswärtigen Amt, Ernst Peter Fischer, sagte Ende März in Berlin: "Die innere Entwicklung in der Türkei gibt uns Anlass zur Sorge." Der türkische Rechtsstaat sei "insgesamt in einem kritischen Zustand", und daher müsse man sich eine Frage stellen: "Das ist die Frage nach der Beachtung der Menschenrechte und nach der inneren Repression." Konkret: Sollten deutsche Unternehmen Spionagesoftware in Länder importieren dürfen, in denen - nach der Ansicht der Bundesrepublik - Menschenrechte in Gefahr sein könnten? Hier setzt auch Lucie Krahulcova von Access Now an: "Unserer Ansicht nach ist es essenziell, dass man sich anschaut, wie es um die Rechtsstaatlichkeit im Zielland bestellt ist", in das die Software exportiert werden soll. "In der Türkei wird die Unabhängigkeit der Justiz infrage gestellt. Das sollte ein Warnsignal sein."