Überwachung : Der nächste Staatstrojaner ist enttarnt

Mit einem deutsch-britischen Spionageprogramm sollten offenbar Oppositionelle aus Bahrain überwacht werden. Jetzt wurde die Software der Gamma Group erstmals analysiert.
Screenshot der Software-Analyse von Morgan Marquis-Boire

FinFisher ist ein Spionageprogramm, von dem auch Experten bislang nur wussten, dass es existiert und was es kann. Gesehen hat es außer den Käufern noch niemand – bis jetzt.

Aktivisten, die sich zur Pro-Demokratie-Bewegung in Bahrain zählen, haben Bloomberg News mehrere E-Mails geschickt , mit der Bitte, die verdächtigen Anhänge in diesen Mails untersuchen zu lassen. Bloomberg beauftragte daraufhin den Sicherheitsexperten Morgan Marquis-Boire vom Citizen Lab mit der Analyse. Marquis-Boire und sein Team fanden in den Mails etwas, das sie für FinSpy halten, einen Teil der Überwachungslösung FinFisher.

FinSpy ist ein Produkt der Firma Gamma International UK Limited, die zum britisch-deutschen Unternehmensverbund Gamma Group gehört. Ende Dezember 2011 hatte WikiLeaks Dokumente und Broschüren von Überwachungstechnologie-Herstellern veröffentlicht, aus denen auch hervorgeht, wozu FinSpy in der Lage ist . Die Spähsoftware kann demnach unter anderem eingesetzt werden, um Skype-Gespräche und -Chats mitzuschneiden, sie kann den Computernutzer über dessen Webcam und das Mikrofon im Rechner beobachten und alle Tastatureingaben – also auch Passwörter – aufzeichnen. Und sie ist für normale Antiviren-Programme unsichtbar.

Der Spion steckte in Foto-Anhängen

Marquis-Boire hat bei seinen Analysen weitere Details entdeckt, darunter auch den Weg, auf dem FinSpy auf dem Zielrechner landet: Die Pro-Demokratie-Aktivisten aus Bahrain hatten E-Mails mit Foto-Anhängen bekommen. Der vermeintliche Absender war eine Mitarbeiterin von Al Jazeera, die Fotos sollten zum Beispiel belegen, dass in Bahrain gefoltert wird.

Die einzelnen Dateien hatten Namen wie exe.Rajab1.jpg , doch mit einem Trick hatten die Absender dafür gesorgt, dass dieser Dateiname rückwärts dargestellt wurde. In Wahrheit handelte es sich um eine ausführbare Datei im .exe-Format. Wer sie anklickte, startete die Installation des FinSpy-Trojaners.

Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

FinSpy verhindert auf zahlreichen, für die Analysten geradezu frustrierend intelligenten Wegen, entdeckt zu werden. Das Programm sammelt massenweise Daten des Computernutzers, verschlüsselt und versteckt sie. Die untersuchte Version nahm anschließend Kontakt zu einem Server auf, der von Bahrains größtem Telekommunikationsanbieter Batelco betrieben wird. Die Software überspielte den größten Teil der gespeicherten Daten an diesen Server.

Im Code der Software fanden die Sicherheitsexperten Abschnitte, die Buchstabenkombinationen wie "finspyv4.01" und "finspyv2" enthielten – ein erster Hinweis auf den Hersteller. Sie konnten außerdem eine Signatur der Software erstellen, die sie an andere Fachleute weiterleiteten, um sie mit bekannten Signaturen vergleichen zu lassen. Und tatsächlich gab es eine Übereinstimmung, und zwar mit einem Programm, bei dem es sich offenbar um eine Testversion eines FinFisher-Produkts handelt. Das jedenfalls lassen die Domains vermuten, mit denen sich diese Testversion verbindet: ff-demo.blogdns.org und tiger.gamma-international.de . Letztere ist registriert auf Martin Muench von der Gamma International GmbH in München , zuständig für das FinFisher-Produktportfolio .

Auch das BKA hat FinSpy schon getestet

Bloomberg bat Muench um eine Stellungnahme. Der schrieb in einer E-Mail, sein Unternehmen könne sich nicht zu einzelnen Kunden äußern und halte sich im Übrigen an die Exportregeln des Vereinigten Königreichs, der USA und Deutschlands. FinFisher sei ein Werkzeug zur Überwachung von Kriminellen, und um Missbrauch auszuschließen, werde es ausschließlich an Regierungen verkauft. Anders gesagt: FinFisher ist ein Staatstrojaner, so wie es auch der vom Chaos Computer Club enttarnte Trojaner der hessischen Firma DigiTask ist.

Eine Regierungssprecherin aus Bahrain sagte Bloomberg, das Land verfolge politische Aktivisten nicht mit Überwachungstechnologie.

FinFisher-Produkte wurden schon zuvor von Regierungen eingesetzt oder zumindest getestet. Das Mubarak-Regime in Ägypten hatte ein Angebot von Gamma sowie eine Testversion der Software vorliegen. Nach Angaben der Organisation Privacy International wurde FinFisher zudem in Turkmenistan eingesetzt, wo die Regierung mit Gewalt gegen Menschenrechtler vorgeht und die Presse zensiert .

Aber auch das Bundeskriminalamt kennt FinSpy gut. Im vergangenen Jahr hatte die Bundesregierung auf eine Anfrage des Grünen-Bundestagsabgeordneten Konstantin von Notz geantwortet, das BKA habe eine Testversion der Software erworben.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

44 Kommentare Seite 1 von 5 Kommentieren

Das Problem liegt in der Frage: Wer

Wer entscheidet ob Jemand ein Radikaler ist den man bekämpfen muss?

Wir reden hier von Diktaturen.

Da mag das Rosenwasser noch so lustig von RTL kommentiert werden, während wir uns die Analyse des Niki Laudas anhören, werden ein paar Kilometer weiter Menschen gefoltert/ermordet.

Mir geht es hier nicht um die Frage ob man da Rennen fahren darf oder nicht, mir geht es darum das wir nicht von einem Sportevent auf das Land schliessen. Bahrain ist eine Diktatur, die können sich hundert mal Monarchie nennen, es bleibt eine Diktatur.

In der bestimmt der Diktator wer ein Radikaler (er nennt das dann Staatsfeind) ist, wer zu verhaften, wer zu foltern und wer zu liquidieren ist.

Bevor das zu trocken wird, Volker Pispers:

http://www.youtube.com/wa...

So unterhaltsam das ist, die Fakten sind alle richtig. Über den ein oder anderen Rückschluß kann man streiten nur ändert es nichts daran, wie mit den Menschen verfahren wird.

Die Software wurde hier entwickelt und für "gutes" Geld verkauft. Unsere Behörden wissen das nicht nur, sie befördern es auch und hier liegt doch das Problem.

Wir helfen bewusst dabei das Diktatoren ihre Bevölkerung unterdrücken können und wenn sie das nicht mehr hinbekommen, dann stellen wir sie in Den Haag vor den internationalen Gerichtshof für Menschenrechte.

Okay, kein Problem, Doppelmoral ist nichts Neues und wenn wir nicht liefern, liefert ein Anderer.

Soll er, mir wäre lieber wir würden die Antivirsoftware liefern.

Wie jetzt?

"Bahrain ist eine Diktatur, die können sich hundert mal Monarchie nennen, es bleibt eine Diktatur."

Wo ist der Widerspruch? Eine Monarchie ist per Definition eine Diktatur (konstitutionelle Monarchien, in denen der Monarch auf Wunsch der gewählten Vertreter Aufgaben übernimmt mal ausgenommen).

Aus dem Artikel:
"FinFisher sei ein Werkzeug zur Überwachung von Kriminellen, und um Missbrauch auszuschließen, werde es ausschließlich an Regierungen verkauft."

Hä? Das verstehe jetzt wer will. Der Verkauf solcher Software an Regierungen (und ganz besonders diktatorische) ist doch praktisch die Garantie für Missbrauch.

@Demetrios I. Poliorketes

Interessant, Sie können hier kein Problem erkennen. Die eher gewaltfreie Opposition in Bahrain ist also kriminell ihrer Meinung nach und darf entsprechend ausgeforscht werden. Was meinen Sie wohl was diesen Leuten im nicht demokratischen Bahrain danach zustoßen wird?

In ihren anderen Kommentaren kann ich hingegen immer bewundern wie sie für die gewalttätigen Rebellen (Terroristen) in Syrien sprechen. Wie sie die dortige nicht demokratische Regierung Regime nennen und damit jedwede Gewalt der Rebellen rechtfertigen oder leugnen.

Ihre Logik bleibt mir verschlossen.

Ich möchte auch anmerken dass es in Bahrain im Gegensatz zu Syrien keinerlei Reformen gibt! Und das man in Bahrain gerne mal das Militär des Nachbarn Saudi Arabien auf seine Demonstranten losgehen lässt!

@ KlausFuchs

"die Zeit durchaus versucht ausgewogen zu berichten"

Medien sind immer selektiv und haben und die Zeit hat Ihre eigenen Interessen und sind alles andere als ausgewogen:

Ihre politische Haltung gilt als liberal.

http://de.wikipedia.org/w...

Bei kontroversen Themen werden zur unabhängigen Meinungsbildung des Lesers zuweilen auch unterschiedliche Positionen gegenübergestellt.

Ist Ihnen das Wort "zuweilen" aufgefallen?

Kontrovers wird aber nicht diskutiert, ein Existensrecht Israels, Israel, Amerikanische Präsenz in Nahost wegen Israel oer sonst irgendetwas was gegen die Interesen Israels wäre. Deshalb erstaunt ja auch obiger Artikel.

Cyberwar

Die Experten sind sich meines Wissens nach noch sehr uneins, ob man schon von Cyberwar sprechen kann, und ob das einer vernünftigen Diskussion dienlich wäre. Mit meinem mässigen Wissen in der Materie hätte ich bisher behauptet, wir seien noch weit vom Cyberwar entfernt. Dieser Artikel scheint aber das Gegenteil zu zeigen - es gibt Proliferation, und je eher Staaten Cyberwar wie "echten" Krieg behandeln, desto eher wird es Sanktionen, Regulierungen, Meldepflichten etc. geben. Vielleicht ist das das kleinere Übel... vielleicht ist der Schritt, solche Programme wie ein Waffensystem zu verstehen längst überfällig.