FinFisher ist ein Spionageprogramm, von dem auch Experten bislang nur wussten, dass es existiert und was es kann. Gesehen hat es außer den Käufern noch niemand – bis jetzt.

Aktivisten, die sich zur Pro-Demokratie-Bewegung in Bahrain zählen, haben Bloomberg News mehrere E-Mails geschickt , mit der Bitte, die verdächtigen Anhänge in diesen Mails untersuchen zu lassen. Bloomberg beauftragte daraufhin den Sicherheitsexperten Morgan Marquis-Boire vom Citizen Lab mit der Analyse. Marquis-Boire und sein Team fanden in den Mails etwas, das sie für FinSpy halten, einen Teil der Überwachungslösung FinFisher.

FinSpy ist ein Produkt der Firma Gamma International UK Limited, die zum britisch-deutschen Unternehmensverbund Gamma Group gehört. Ende Dezember 2011 hatte WikiLeaks Dokumente und Broschüren von Überwachungstechnologie-Herstellern veröffentlicht, aus denen auch hervorgeht, wozu FinSpy in der Lage ist . Die Spähsoftware kann demnach unter anderem eingesetzt werden, um Skype-Gespräche und -Chats mitzuschneiden, sie kann den Computernutzer über dessen Webcam und das Mikrofon im Rechner beobachten und alle Tastatureingaben – also auch Passwörter – aufzeichnen. Und sie ist für normale Antiviren-Programme unsichtbar.

Der Spion steckte in Foto-Anhängen

Marquis-Boire hat bei seinen Analysen weitere Details entdeckt, darunter auch den Weg, auf dem FinSpy auf dem Zielrechner landet: Die Pro-Demokratie-Aktivisten aus Bahrain hatten E-Mails mit Foto-Anhängen bekommen. Der vermeintliche Absender war eine Mitarbeiterin von Al Jazeera, die Fotos sollten zum Beispiel belegen, dass in Bahrain gefoltert wird.

Die einzelnen Dateien hatten Namen wie exe.Rajab1.jpg , doch mit einem Trick hatten die Absender dafür gesorgt, dass dieser Dateiname rückwärts dargestellt wurde. In Wahrheit handelte es sich um eine ausführbare Datei im .exe-Format. Wer sie anklickte, startete die Installation des FinSpy-Trojaners.

FinSpy verhindert auf zahlreichen, für die Analysten geradezu frustrierend intelligenten Wegen, entdeckt zu werden. Das Programm sammelt massenweise Daten des Computernutzers, verschlüsselt und versteckt sie. Die untersuchte Version nahm anschließend Kontakt zu einem Server auf, der von Bahrains größtem Telekommunikationsanbieter Batelco betrieben wird. Die Software überspielte den größten Teil der gespeicherten Daten an diesen Server.

Im Code der Software fanden die Sicherheitsexperten Abschnitte, die Buchstabenkombinationen wie "finspyv4.01" und "finspyv2" enthielten – ein erster Hinweis auf den Hersteller. Sie konnten außerdem eine Signatur der Software erstellen, die sie an andere Fachleute weiterleiteten, um sie mit bekannten Signaturen vergleichen zu lassen. Und tatsächlich gab es eine Übereinstimmung, und zwar mit einem Programm, bei dem es sich offenbar um eine Testversion eines FinFisher-Produkts handelt. Das jedenfalls lassen die Domains vermuten, mit denen sich diese Testversion verbindet: ff-demo.blogdns.org und tiger.gamma-international.de . Letztere ist registriert auf Martin Muench von der Gamma International GmbH in München , zuständig für das FinFisher-Produktportfolio .

Auch das BKA hat FinSpy schon getestet

Bloomberg bat Muench um eine Stellungnahme. Der schrieb in einer E-Mail, sein Unternehmen könne sich nicht zu einzelnen Kunden äußern und halte sich im Übrigen an die Exportregeln des Vereinigten Königreichs, der USA und Deutschlands. FinFisher sei ein Werkzeug zur Überwachung von Kriminellen, und um Missbrauch auszuschließen, werde es ausschließlich an Regierungen verkauft. Anders gesagt: FinFisher ist ein Staatstrojaner, so wie es auch der vom Chaos Computer Club enttarnte Trojaner der hessischen Firma DigiTask ist.

Eine Regierungssprecherin aus Bahrain sagte Bloomberg, das Land verfolge politische Aktivisten nicht mit Überwachungstechnologie.

FinFisher-Produkte wurden schon zuvor von Regierungen eingesetzt oder zumindest getestet. Das Mubarak-Regime in Ägypten hatte ein Angebot von Gamma sowie eine Testversion der Software vorliegen. Nach Angaben der Organisation Privacy International wurde FinFisher zudem in Turkmenistan eingesetzt, wo die Regierung mit Gewalt gegen Menschenrechtler vorgeht und die Presse zensiert .

Aber auch das Bundeskriminalamt kennt FinSpy gut. Im vergangenen Jahr hatte die Bundesregierung auf eine Anfrage des Grünen-Bundestagsabgeordneten Konstantin von Notz geantwortet, das BKA habe eine Testversion der Software erworben.