SWR2 Wissen

Spionage-Trojaner im Staatsdienst

STAND
AUTOR/IN
ONLINEFASSUNG

Europäische Firmen liefern Überwachungssoftware an autoritäre Regime in der ganzen Welt. Eine Reportage aus IT-Laboren in Zürich, London, Berlin und Bahrain.

Audio herunterladen (26 MB | MP3)

Cyber-Spione, sogenannte Trojaner, verkauft von privaten Unternehmen: Sie können mitlesen, -hören oder -sehen, was User auf ihren Computern, Tablets und Smartphones tun. Werden sie von Regierungen, Regimes oder Regierungsorganen eingesetzt, spricht man von Staats-Trojanern.

FinFisher - Trojaner mit neuer Qualität

Im Herbst 2017 entdecken auf Computerviren spezialisierte Wissenschaftler aus Deutschland, der Schweiz und der Slowakei fast gleichzeitig eine neue Version des Trojaners "Finfisher", der von einer gleichnamigen GmbH aus München verkauft wird.

Dieser Trojaner ist von neuer Qualität: Bislang mussten Nutzer selbst einen Fehler machen, um sich einen Trojaner auf ihrem Smartphone oder Computer einzufangen – zum Beispiel eine verseuchte PDF-Datei oder ein angehängtes Foto öffnen.

Update der Trojaner-Strategie

Die neue Finfisher-Version kommt nun noch heimtückischer daher: ganz ohne klickbare Anhänge. Sondern in ganz gewöhnlicher Software, die täglich heruntergeladen wird und später immer wieder aktualisiert werden muss. Sie dient als Einfallstor für den Finfisher-Trojaner.

Kurz nach seiner Entdeckung meldet sich die Konkurrenz aus Bratislava: Dort finden die Forscher des Unternehmens ESET manipulierte Download-Links, ebenfalls für weitverbreitete Programme: Videotelefonie per Skype, Schutzsoftware wie Avast, Dateienpackprogramme wie WinRAR oder der VLC Player, mit dem sich Videos und Musik abspielen lassen.

Wer Updates dieser Programme laden möchte, kann von Finfisher auf eine gefälschte Webseite weitergeleitet werden, die dem Original täuschend ähnlich sieht. Dort wartet zwar das gewünschte Update, aber mit Finfisher als heimlicher Zugabe.

Ein Handy wird zur ferngesteuerten Wanze

Zu den Opfern früherer Finfisher-Versionen gehören Bürgerrechtler aus Bahrain. Das dortige Regime wird von Organisationen wie Amnesty International beschuldigt, willkürlich Menschen zu inhaftieren und sogar Kinder zu foltern. Dort setzte sich die Aktivistin Ala'a Shehabi für die Menschenrechte ein – und wurde deshalb mit einem Finfisher-Trojaner angegriffen.

Die IT-Experten von "Privacy International" sowie des "Citizen Lab" der Universität von Toronto isolierten den Trojaner zuerst in einer sicheren Computerumgebung. Als sie ihn dort auspackten und loslaufen ließen, breitete er sich rasend schnell aus. Dabei verwischte er seine Spuren, indem er Namen von Ordnern und Dateien mehrfach änderte.

Dann drang er in Systemdateien ein. Schritt für Schritt dokumentierten die Forscher mit Screenshots, wie Finfisher das Betriebssystem des Smartphones zu manipulieren begann: Der Trojaner erklärte vorhandene Systemdateien für gelöscht oder neu beschreibbar und überschrieb sie anschließend mit eigenen Dateien. Am Ende hatte er das Smartphone der Bürgerrechtlerin zu einer Wanze umfunktioniert, die von einem externen Server gesteuert wurde.

"Gegen das organisierte Verbrechen"

Auf Shehabis Smartphone waren die IT-Experten zuletzt in dessen "Gedächtnis" vorgestoßen: das "memory dump". In dem Datenwust war wiederholt eine bestimmte Signatur aufgetaucht: "Finspy", also: Fin-Spion.

In München wirbt heute die FinFisher GmbH für ihre, Zitat: "erstklassigen Cyber-Lösungen für erfolgreiche Operationen gegen das organisierte Verbrechen". Allerdings fehlt der Gesellschaft mit beschränkter Haftung jegliche Hoheitsfunktion über das Produkt, wenn es einmal verkauft ist.

Behörden wie die des Unrechtsstaates Bahrain können Finfisher zuerst kaufen und dann nach eigenem Belieben einsetzen: zum Beispiel, um Regimekritiker zu überwachen, zu verhaften und zu foltern. Zu diesen und anderen Gefahren äußert sich die FinFisher GmbH nicht: Von 2013 bis heute blieben zahlreiche journalistische Anfragen unbeantwortet.

Ausspionieren ist ein lukratives Geschäft

Staatstrojaner haben sich zu einem Verkaufsschlager entwickelt. Seit etwa fünf Jahren breiten sie sich immer weiter aus: Finfisher ist der bekannteste, aber keinesfalls der Einzige.

Die renommierte Nichtregierungsorganisation Privacy International in London veröffentlichte bereits vor zwei Jahren einen „Index der Überwachungsindustrie“ mit 528 Unternehmen. Die meisten von ihnen haben ihren Sitz in den USA, England, Frankreich, Israel und Deutschland.

Nach jüngsten Meldungen drang bereits 2016 ein Trojaner ins deutsche Regierungsnetz ein. Erst ein Jahr später wurde er von außen aktiviert und infizierte Computer des Auswärtigen Amtes. Wer die Angreifer waren, welcher Trojaner zum Einsatz kam und welche Dokumente gestohlen wurden, bleibt bis heute letztlich unklar. So erging es Anfang 2018 erneut der deutschen Bundesregierung mit ihrem eigentlich speziell geschützten Regierungsnetz.

Gesetze greifen nicht

Gegen die Ausfuhr von Trojanern wie Finfisher in Diktaturen stimmte Anfang 2018 das Europäische Parlament: Sie soll durch striktere Exportkontrollen behördlich gesteuert und Missbrauch so verhindert werden. Bis dahin scheint es noch ein langer Weg zu sein.

Denn wenige Monate zuvor musste die Bundesregierung noch einräumen, dass nach jüngsten Zahlen in den Jahren 2014 bis 2016 der Export von "Überwachungsausrüstungen" und "Netzwerk-Überwachungssystemen" in Länder wie Äthiopien, Iran, Saudi-Arabien und Turkmenistan offiziell genehmigt worden war.

Diese Technologie kann in Einzelfällen problematischer sein als eine Waffenlieferung. Sie ermöglicht nicht demokratischen Herrschern eine Unterdrückungsmöglichkeit, wie man sie bisher nicht kannte.

Und: Ein einmal gehackter Computer steht offen und ist auch von außen manipulierbar: Deshalb können auch gesetzestreue Strafverfolgungsbehörden oft nicht mehr feststellen, wer dort belastendes Material abgelegt hat.

BKA setzt selbst Trojaner ein

Deshalb mag man auch fragen, warum das deutsche Bundeskriminalamt zu den Kunden der Finfisher GmbH zählt: Bereits 2011 investierte das BKA stolze 150.000 Euro in eine frühe Finfisher-Lizenz, obwohl dieser Trojaner lange Zeit gar nicht eingesetzt werden durfte: weil er mehr kann, als der deutschen Polizei erlaubt ist.

Anfang 2018 meldeten dann WDR, NDR und die Süddeutsche Zeitung, dass das Bundesinnenministerium Finfisher zum Einsatz freigegeben habe: vor allem die Nutzung verschlüsselter Messenger-Dienste solle damit zukünftig bei verdächtigen Personen überwacht werden dürfen.

Warum Finfisher plötzlich deutschen Gesetzen entsprechen soll – dazu verweigert das BKA bis heute jeglichen Kommentar. Constanze Kurz ist Informatikerin und Datenschützerin beim Chaos Computer Club, einer unabhängigen Hackervereinigung, die sich mit Computersicherheit und Datenschutz beschäftigt.

Sie geht davon aus, dass die politisch und polizeilich Verantwortlichen bis heute nicht mal den Quellcode, also den in Programmiersprache geschriebenen Text des Programmes von Finfisher kennen, und dessen Eigenschaften deshalb gar nicht lückenlos einschätzen können.

Finfisher ist damit aktuell vermutlich der gefährlichste Trojaner weltweit.

Kriminalität V-Leute – Die zwielichtigen Helfer des Rechtsstaats

V-Leute helfen dem Verfassungssschutz, islamistische, linksextreme oder Neonazi-Milieus zu beobachten. Doch immer wieder verfolgen sie eigene Ziele und treiben ein doppeltes Spiel.  mehr...

SWR2 Wissen SWR2

Aula Lug und Trug im Internet – Die Mechanik der Täuschung

In den Zeiten der Digital-Pioniere galt das Internet einmal als Ermöglichung weltweiter Transparenz, einer Welt ohne Grenzen. Und heute: Das sind nur noch Utopien, das Internet zeigt sein anderes Gesicht: Fakes, Datenklau, Manipulation, Cybergrooming. Meint Dr. Marco Wehr, Physiker, Philosoph, Autor und Gründer
des Philosophischen Labors in Tübingen.  mehr...

SWR2 Wissen: Aula SWR2

Internet Zuflucht im Darknet. Wie Journalisten der Zensur entgehen

Das Darknet gilt als die "dunkle Seite des Internets". Doch auch viele Whistleblower und Menschenrechtler nutzen die Anonymität, um unbehelligt über Missstände zu berichten.  mehr...

SWR2 Wissen SWR2

Technik Digitale Identität aller Menschen – Fortschritt oder globale Überwachung?

250 Millionen Kinder haben keine Geburtsurkunde, viele Flüchtlinge keine Papiere. Wie wäre es, wenn wir alle per Irisscan beweisen könnten, wer wir sind – weltweit? Pläne dazu gibt es schon.  mehr...

SWR2 Wissen SWR2

Neue Technologien Die Blockchain-Technologie – Bitcoin, Libra und andere Versprechen

Facebook will eine eigene Internet-Währung schaffen: „Libra“. Grundlage ist die Blockchain-Technik, bekannt durch die „Bitcoins“. Auch die Deutsche Bahn interessiert sich für sie.  mehr...

SWR2 Wissen SWR2

STAND
AUTOR/IN
ONLINEFASSUNG