Überwachungssoftware: Spuren eines Staatstrojaners

Bürgerrechtler in Bahrain bekamen Anfang Mai E-Mails zugeschickt, die angeblich von einer Journalistin stammten; in Wahrheit war jedoch ein Trojaner angehängt. Er sollte die Rechner der Aktivisten ausspionieren. Eine Gruppe von IT-Sicherheitsforschern hat das Schnüffelprogramm analysiert.

Das Forscherteam um Claudio Guarnieri hat unter anderem untersucht, wie der Trojaner mit Kommandoservern kommuniziert. Dabei fanden sie heraus, dass die Server auf Anfragen eigentümlich reagierten - unter anderem mit einem deutschen Satz: "Hallo Steffi".

Guarnieri und seine Kollegen haben nach diesen Antwortmustern in der Serverscan-Datenbank Critical.io gesucht. Erstes Ergebnis: Elf Server in der Datenbank zeigen dasselbe Antwortmuster wie der Kontrollrechner des untersuchten Schnüffelprogramms. Diese Server sind weltweit verteilt, sie stehen in Äthiopien, Australien, Dubai, Estland, Katar, Litauen, der Mongolei, der Tschechischen Republik und den Vereinigten Staaten.

Diese Entdeckung ist kein Beweis dafür, dass die gegen Aktivisten aus Bahrain eingesetzte Software auch in anderen Staaten genutzt wird. Es ist nur eine interessante Beobachtung, die Autoren der Analyse schreiben:

"Wir können nicht feststellen, ob die Server von staatlichen Stellen betrieben werden, ob sie vielleicht gar nichts mit der Software zu tun haben. Die Ergebnisse sind das Resultat einer Suche nach einem einzigartigen Verhalten, das wir für die FinFisher-Infrastruktur halten."

FinFisher ist der Markenname, unter dem die Gamma-Firmengruppe Software zu Überwachung und Fernsteuerung von Computern vertreibt.

Hinweise auf FinFisher hatten bereits Forscher der University of Toronto bei der ersten Analyse der betroffenen Rechner entdeckt, in der Software tauchte der Name FinSpy auf. Das ist kein sicherer Beleg dafür, dass ein Unternehmen aus der Gamma-Gruppe Software nach Bahrain geliefert hat, ausgeschlossen werden kann es aber nicht.

Auf Anfrage von SPIEGEL ONLINE antwortet Martin J. Münch, Geschäftsführer der Gamma International GmbH Anfang dieser Woche: "Die Natur unseres Geschäfts erlaubt es uns nicht, öffentlich über die Käufer unserer Produkte oder die mit diesen Produkten erzielten Ergebnisse zu sprechen."

Gamma: gegen Pädokriminelle, Terroristen, Menschenschmuggler

Hat Gamma Software nach Bahrain geliefert? Kann es sein, dass Gamma-Software gezielt genutzt wurde, um Computer von Menschenrechtsaktivisten zu überwachen?

Auf diese Fragen antwortet Münch ausweichend. Gamma International entwickele und verkaufe Software, die Regierungen dabei helfe, Kriminelle zu identifizieren und zu verurteilen, am häufigsten werde die Software gegen "Pädokriminelle, Terroristen, organisierte Kriminalität, Menschenschmuggler und Entführer" eingesetzt. Gamma International verkaufe Software nur an Regierungen und Ermittlungsbehörden und halte sich dabei an Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland.

Wird die FinFisher-Software in Deutschland entwickelt?

Es gibt Hinweise darauf, dass Gamma die Software auch in Deutschland entwickelt:

• GmbH-Geschäftsführer Martin J. Münch ist einer der Entwickler der Linux-Distribution BackTrack, die zur Sicherheitskontrolle von Rechnern und Netzwerken genutzt wird.
• Ein Teilnehmer einer Sicherheitskonferenz berichtet, Münch sei vor Ort bei einer Gelegenheit als ein FinFisher-Entwickler aufgetreten.
• In einem von WikiLeaks publizierten angeblichen FinFisher-Verkaufsprospekt von 2011 heißt es, der für Bug Fixes (Software-Reparaturen) zuständige Manager sei in Deutschland ansässig, man könne ihn werktags zwischen 9 und 17 Uhr mitteleuropäischer Zeit erreichen.

Auf die Frage, ob die FinFisher-Software in Deutschland entwickelt werde, antwortet Münch: "Wir erörtern nicht, wie, wo und von wem unsere Produkte entwickelt werden. Aber ich kann Ihnen sagen, dass alle Gamma-Produkte legal entwickelt und hergestellt werden."

Dem Autor auf Facebook folgen