36C3: Wie deutsche Staatstrojaner zur Unterdrückung im Ausland beitragen

Die Software FinFisher, entwickelt von einer Unternehmensgruppe gleichen Namens, ist ein Trojaner, der zumeist in staatlichem Auftrag zum Ausspähen von Computern und Smartphones genutzt wird. Kritisch an FinFisher ist, dass zu dessen Nutzern auch verschiedene repressive Regime zählen, die Minderheiten und Kritiker mit Hilfe der in Deutschland entwickelten Software ausspionieren. Der Chaos Computer Club hat FinFisher analysiert und die Ergebnisse vorgestellt.

Im Rahmen des 36C3 präsentierten der Anwalt und Präsident der Gesellschaft für Freiheitsrechte e.V. (GFF)Ulf Buermeyer und Thorsten Schröder vom CCC die Ergebnisse ihrer Analyse der Software von FinFisher. Zuvor wurde von der GFF, dem European Center for Constitutional and Human Rights (ECCHR) und netzpolitik.org Strafanzeige gegen die Geschäftsführer vonFinFisher GmbH, FinFisher Labs GmbH und Elaman GmbH gestellt. Grund dafür ist der dringende Verdacht, dass die Münchner Unternehmensgruppe die Variante der Software FinSpy unautorisiert an die türkische Regierung und andere repressive Regime verkauft hat, wo sie dazu genutzt wurde, regierungskritische Aktivisten und Journalisten zu überwachen.

Die Vorgeschichte

2011 stießen Mitglieder des CCC erstmals auf einen sogenannten Staatstrojaner, eine Software also, die von staatlichen Stellen genutzt wird, um private Computer zu infiltrieren. Die 2011 gefundene Software stammte von der Firma DigiTask, die verschiedene IT-Forensik-Produkte vertrieb. Eine besondere Fähigkeit der DigiTask-Software war, dass sie Komponenten nachladen und so ihre ursprünglichen Fähigkeiten erweitern konnte, eine Fähigkeit, die sie vom Gesetz her nicht hätte haben dürfen. Die gesetzliche Grundlage hierfür ist ein Urteil des Bundesverfassungsgerichts von 2008 zur Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

2012 dann stieß der CCC auf erste Varianten der FinFisher-Software und hat diese über einen Zeitraum von sieben Jahren analysiert.

Illegale Softwareexporte

FinFisher ist keine statische Software, viel mehr wurden im Laufe der Jahre unzählige Varianten identifiziert. Diese waren jeweils auf den Verwendungszweck zugeschnitten. FinFisher beziehungsweise die Variante FinSpy wurde für PC, Android, aber auch iOS und macOS angepasst. Die Erstellung eines Trojaners allein ist jedoch nicht verboten. Auch die Ausfuhr ist in vielen Fällen kein Problem, die Software darf etwa ohne weitere bürokratische Schritte in der EU und in einige weitere Länder ausgeführt werden. Für Exporte in den Rest der Welt müsste die Bundesregierung aber eine Genehmigung ausstellen, was sie aber im Fall von FinFisher nie tat.

In der Folge sehen der CCC und die anderen an der Strafanzeige beteiligten Organisationen in den mutmaßlichen Exporten einen Verstoß gegen das Außenwirtschaftsgesetz.

FinFisher beziehungsweise FinSpy wird so vermutlich seit Juni 2017 in der Türkei eingesetzt, die sich seit des gescheiterten Putschversuchs mehr und mehr in ein repressives regime verwandelt hat. So hat der türkische Geheimdienst nach Erkenntnissen der Hacker eine Website im Stil der Opposition aufgesetzt, auf der ein Button zum Download einer App im Play Store einlädt. Statt aber eine Software zu installieren, die den Oppositionellen hilft, holten sie sich den Trojaner aufs Telefon, der aller Wahrscheinlichkeit nach aus Deutschland stammt.

Schwierige Beweisführung

Die Herausforderung besteht nun darin, diesen Vorgang der Firma FinFisher auch nachweisen zu können. Dazu musste der CCC zunächst nachweisen, dass die Software tatsächlich aus dem Münchner Softwarehaus stammt. Bei dieser äußerst langwierigen und kleinteiligen Arbeit helfen bestimmte Anhaltspunkte wie der Programmierstil, Muster bei der Nutzung von Variablen oder die Muttersprache der Entwickler. Auf diese können etwa in den Code eingebettete Kommentare oder Zeichenfolgen hinweisen, die so nur in einem bestimmten Sprachraum vorkommen. Im vorliegenden Fall wurde etwa die Formulierung der SMS beziehungsweise des „Simsens“ gefunden, die so wohl nur ein deutscher Muttersprachler nutzt.
Auf Basis dieser Hinweise sind die IT-Aktivisten optimistisch, dass die Staatsanwaltschaft München I den Vorfall ernsthaft untersuchen wird.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!