Chaos Computer Club: Deutsche Spionagesoftware in der Türkei
Die CCC-Sicherheitsforscher Linus Neumann und Thorsten Schröder hatten eine Android-Spionagesoftware analysiert, die 2017 gegen türkische Oppositionelle eingesetzt worden war. Das Ergebnis: Es handelt sich zweifelsfrei um die Software “FinSpy” der deutschen Firma FinFisher. Damit bestätigt der CCC zwei Analysen aus dem Jahr 2018.
Mit der Software lassen sich beispielsweise Adressbücher auf Smartphones auslesen, aber auch Telefongespräche und Chats mitschneiden. In der Türkei wurde die Überwachungssoftware über eine Webseite verteilt, die sich vermeintlich an Teilnehmer eines Protestmarsches richtete. Auch Journalisten sollen mit der Software überwacht worden sein.
Die Sicherheitsexperten haben insgesamt 28 Proben der Software aus den Jahren 2012 bis 2019 auf Herkunft und Erstellungsdatum untersucht. Das Ergebnis der Analyse ist brisant: Seit 2015 müssen Exporte von Überwachungssoftware in Länder außerhalb der EU genehmigt werden, ähnlich wie Waffenexporte. Die in der Türkei eingesetzte Version stammt jedoch frühestens aus dem Jahr 2016. Sie hätte also nicht ohne Genehmigung exportiert werden dürfen. Durch den Vergleich von über zwanzig Exemplaren der Software konnte der CCC die Kontinuität der Weiterentwicklung aufzeigen. Dies sei ein starker Hinweis, dass es sich um “FinSpy” handelt. Zudem finden sich im Quellcode der Spionagesoftware Hinweise auf deutsche Entwickler.
Keine Exportgenehmigung
Im Sommer dieses Jahres hatte die Bundesregierung erklärt, keine Exportgenehmigungen für sogenannte “Intrusion Software”, wie FinSpy, erteilt zu haben. FinFisher hätte die Software demnach illegal exportiert. Das ist strafbar.
“Unsere Analyse zeigt, dass eine ursprünglich aus Deutschland stammende Überwachungssoftware offenbar gegen demokratische Dissidenten eingesetzt wurde”, sagte Linus Neumann vom CCC. “Wie es dazu kommen konnte, müssen Staatsanwaltschaft und Zollkriminalamt nun aufklären.”
FinFisher stellt auch den sogenannten Staatstrojaner für das Bundeskriminalamt her. “Wir fordern die Ermittlungsbehörden auf, unsere Analyse an ihren Exemplaren der Spionagesoftware nachzuvollziehen”, sagte CCC-Sicherheitsforscher Thorsten Schröder.
NGOs stellten Strafanzeige
Hintergrund der CCC-Analyse ist eine im Juli 2019 gestellte Strafanzeige durch die Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen, das European Center for Constitutional and Human Rights und Netzpolitik.org gegen die Geschäftsführer der Unternehmensgruppe FinFisher. Die Gesellschaft für Freiheitsrechte hatte den CCC um die Analyse gebeten.
Schon 2018 hatten Analysen der Organisation Access Now und der Ruhr-Universität Bochum gezeigt, dass es sich bei dem in der Türkei eingesetzten Trojaner um “FinSpy” handelt. Die aktuelle Untersuchung des CCC untermauert diese Vorwürfe. Aufgrund der Strafanzeige ermitteln die Staatsanwaltschaft München I und das Zollkriminalamt seit September gegen FinFisher.
Der CCC hat neben der Analyse auch die genutzten Werkzeuge, eine Dokumentation und die “FinSpy”-Proben veröffentlicht. Zum Teil sollen diese erstmals öffentlich zugänglich sein. Der CCC lädt andere Sicherheitsforscher ein, die Ergebnisse zu prüfen, zu ergänzen und gegebenenfalls zu korrigieren.
FinFisher hat sich seit den ersten Berichten 2018 nicht zu den Vorwürfen geäußert, allerdings Netzpolitik.org aufgrund der Berichterstattung über die Anzeige abgemahnt.
FinFisher war in der Vergangenheit wiederholt in der Kritik. Unter anderem, da die Überwachungsprodukte des Unternehmens während des Arabischen Frühlings in Ägypten und Bahrain gegen Oppositionelle eingesetzt worden waren. (js)