Der Chaos Computer Club (CCC) hat weitere Beweise vorgelegt, dass deutsche Überwachungssoftware von FinFisher seit Jahren weltweit im Umlauf ist. Mit solchen Spähtrojanern können Journalistinnen und Journalisten digital durchleuchtet werden, was gravierende Folgen für ihre Sicherheit haben kann. Reporter ohne Grenzen (ROG) fordert endlich eine Strafverfolgung derjenigen, die trotz Exportkontrollen mit den Diktatoren dieser Welt ihre Geschäfte machen. ROG hatte im Juli gemeinsam mit drei weiteren Organisationen eine Strafanzeige gegen die FinFisher GmbH, die Finfisher Labs GmbH und die Elaman GmbH erstattet, weil das Münchener Firmenkonglomerat die Spionagesoftware FinSpy ohne Genehmigung der Bundesregierung an die Türkei verkauft haben soll.

„Der CCC bestätigt die Analysen von ROG und legt noch einmal Beweise nach: Es ist ein Skandal, dass seit Jahren FinFisher-Produkte im Umlauf sind, um damit Journalistinnen und Journalisten bei ihrer Arbeit zu überwachen“, sagte Christian Mihr, Geschäftsführer von Reporter ohne Grenzen. Er forderte, dass Bewegung in die Ermittlungen gegen das Münchener Firmenkonglomerat kommen müsse: „Strafverfolgungsbehörden müssen endlich aufklären, wie eine offensichtlich deutsche Spionagesoftware trotz Exportkontrollen in die Hände des türkischen Regimes fallen kann.“

Erdrückende Beweise gegen FinFisher

Der Chaos Computer Club hat im Rahmen seines jährlichen Congress in Leipzig ein neues Gutachten präsentiert, in dem 26 Versionen von FinFisher-Trojanern aus den Jahren 2012 bis 2019 untersucht wurden. Die IT-Experten Linus Neumann und Thorsten Schröder zeichnen dabei detailliert nach, wie es sich dabei meist um Weiterentwicklungen derselben Software handelt, die offensichtlich in Deutschland produziert und weltweit eingesetzt wird – obwohl es spätestens seit 2015 einer Genehmigung dafür bedürfte.

Die Hacker haben auch frei verfügbare Tools entwickelt, mit denen sich FinSpy-Software analysieren lässt, und ihr Vorgehen ausführlich dokumentiert. Damit könnten zum Beispiel auch deutsche Strafermittlungsbehörden die Ergebnisse der Gutachter nachvollziehen und für ihre eigenen Ermittlungen nutzen. Nachdem ROG im Juli die Strafanzeige gemeinsam mit der Gesellschaft für Freiheitsrechte (GFF), dem European Center for Constitutional and Human Rights (ECCHR) und netzpolitik.org eingereicht hatte, leitete die Münchener Staatsanwaltschaft einem Bericht von Süddeutscher Zeitung, NDR, WDR, BR und SZ zufolge ein Ermittlungsverfahren ein.

Export muss nach Einführung der Kontrollen stattgefunden haben

Kern der Strafanzeige ist die Frage, ob es sich bei einem Trojaner, der 2017 in der Türkei gegen die Opposition eingesetzt worden ist, um ein Produkt von FinFisher handelt, und wann dieses Produkt mutmaßlich exportiert worden ist. Seit 2015 benötigen Unternehmen für den Export solcher Software eine Genehmigung, welche die Bundesregierung nach eigener Auskunft jedoch noch nie erteilt habe.

Den Analysen der Strafanzeige zufolge handelt es sich beim sogenannten „Adalet-Trojaner“ um eine FinSpy-Version, die erst 2016 hergestellt wurde – und folglich auch erst dann exportiert worden sein kann. Beide Tatsachen belegt der CCC in seinem IT-forensischen Gutachten und untermauert den Eindruck mit weiteren Fakten. Nun können nur noch Ermittlungsbehörden klären, wie die Software in die Türkei gekommen ist. Die Umgehung von Exportkontrollvorgaben wäre eine Straftat.

Löchrige Exportkontrolle reformieren

Der Skandal um FinFisher wirft auch ein Schlaglicht auf aktuelle Reformbemühungen der EU. 2016 legte die EU-Kommission einen Entwurf vor, mit dem die sogenannte Dual-Use-Regulierung erneuert werden sollte. Es war das ausdrückliche Ziel dieses Projektes, endlich eine wirksame Kontrolle für den Handel mit Überwachungssoftware einzuführen. Doch insbesondere die Mitgliedstaaten verwässerten die Entwürfe auf Druck der EU.

Ein Leak geheimer Verhandlungsprotokolle durch Reporter ohne Grenzen und netzpolitik.org zeigte, dass auch die Bundesregierung zuvorderst Industrieinteressen folgte. Im Falle von FinFisher sagte die Bundesregierung nur, dass sie keine Genehmigung erteilt habe – wollte aber nicht in Erfahrung bringen, wie ein offensichtliches Umgehen der Exportkontrolle möglich ist. Auch nach über drei Jahren sind die Verhandlungen in Brüssel nicht abgeschlossen.