Während des Arabischen Frühlings hat die Regierung von Bahrain mehrere Oppositionelle ausgespäht, festgenommen und gefoltert. Geholfen hat dem Regime dabei eine Überwachungssoftware der deutsch-britischen Firma Gamma. Nun gibt es zwei Erklärungen dazu, wie die Technik nach Bahrain gelangt ist. Die eine stammt von Gamma selbst und lautet: Jemand hat eine Demoversion des Programms FinFisher/FinSpy auf einer Messe gestohlen, kopiert und modifiziert und dann in Bahrain eingesetzt. Die andere Erklärung lautet: Gamma hat die Software an das Regime in Bahrain verkauft.

Computerexperten glauben, belastbare Hinweise gefunden zu haben, dass die zweite Erklärung der Wahrheit entspricht. Die Menschenrechtsorganisationen Bahrain Watch, das Bahrain Center for Human Rights, Reporter ohne Grenzen, das European Center for Constitutional and Human Rights sowie Privacy International haben deshalb Beschwerde bei der OECD eingereicht. Ihr Vorwurf lautet, Gamma verletze die OECD-Leitsätze für multinationale Unternehmen. Diese besagen, dass Unternehmen nicht direkt oder indirekt zu Menschenrechtsverletzungen beitragen dürfen. 

Genau das soll durch den Einsatz der Überwachungstechnik geschehen sein. Maryam al-Khawaja vom Bahrain Center for Human Rights berichtet etwa von Bekannten in Bahrain, die nach ihrer Festnahme und Folter mit ihren persönlichen SMS-Botschaften konfrontiert worden seien. "Es gibt Belege für Menschenrechtsverletzungen auf breiter Front, bei denen auch mithilfe des Internets gegen Dissidenten vorgegangen wurde", sagte sie. Welche Rolle die Unternehmen Gamma und Trovicor dabei gespielt haben, soll die OECD nun klären.

Entdeckt wurde die Gamma-Software im Jahr 2012. Die in London lebende bahrainische Journalistin Ala'a Shehabi hatte eine E-Mail bekommen, mit der ihr Computer mit FinFisher/FinSpy infiziert werden sollte. Sie schöpfte Verdacht und leitete die Mail an die Sicherheitsexperten Morgan Marquis-Boire und Bill Marczak weiter. Deren Analyse ergab, dass Shehabi und andere mit FinFisher/FinSpy überwacht werden sollten.

In den vergangenen Monaten fanden Marquis-Boire und Marczak nun mehrere Hinweise darauf, dass die Software und auch ein dazugehöriger Server in Bahrain aktualisiert worden sind. Das aber könne nur Gamma selbst getan haben, sagen die Sicherheitsforscher. Denn zeitgleich wurden auch Kunden in anderen Ländern mit denselben Updates versorgt. Die Erklärung, das Programm sei gestohlen worden, ist also nicht schlüssig, sagen die Aktivisten. Weitaus plausibler sei, dass Gamma durchaus Geschäftsbeziehungen zur Regierung von Bahrain unterhielt, auch als das Unternehmen längst über die gewaltsame Niederschlagung der Oppositionsproteste im Land Bescheid wusste.

Den gleichen Vorwurf machen die Menschenrechtler dem Unternehmen Trovicor aus München, das früher ein Geschäftsbereich des Siemens-Konzerns war und dann verkauft und umbenannt wurde. Trovicor wartet angeblich Software in Bahrain, mit deren Hilfe die dortigen Behörden "große Datenmengen aus Telefon- und Computerüberwachung abfangen, aufzeichnen und analysieren können". Außerdem gebe es "Indizien, dass Trovicors Technologie auf das Zusammenwirken mit sogenannten Trojanern ausgelegt ist, die eine noch umfassendere Überwachung bis hin zur Manipulation von Daten erlauben". Ein solcher Trojaner sei FinFisher/FinSpy von Gamma.

Nun liegt es an den zuständigen Kontaktstellen der OECD, die Beschwerden anzunehmen und mindestens ein Mediationsverfahren zwischen den Unternehmen und den Aktivisten einzuleiten. Die Beschwerde gegen Gamma ging an die Kontaktstelle in London, die gegen Trovicor an die Kontaktstelle beim Bundeswirtschaftsministerium in Berlin. Ob diese die Beschwerden annehmen, entscheide sich hoffentlich in wenigen Monaten, sagte Wolfgang Kaleck vom European Center for Constitutional and Human Rights.