ÜberwachungWie kam ein deutscher Staatstrojaner nach Bahrain?

Trovicor und Gamma sollen Überwachungstechnik an die Regierung von Bahrain verkauft haben. Menschenrechtler glauben, das beweisen zu können. Die OECD soll es überprüfen. von 

Demonstration in Bahrain 2011

Demonstration in Bahrain 2011  |  © JOSEPH EID/AFP/Getty Images

Während des Arabischen Frühlings hat die Regierung von Bahrain mehrere Oppositionelle ausgespäht, festgenommen und gefoltert. Geholfen hat dem Regime dabei eine Überwachungssoftware der deutsch-britischen Firma Gamma. Nun gibt es zwei Erklärungen dazu, wie die Technik nach Bahrain gelangt ist. Die eine stammt von Gamma selbst und lautet: Jemand hat eine Demoversion des Programms FinFisher/FinSpy auf einer Messe gestohlen, kopiert und modifiziert und dann in Bahrain eingesetzt. Die andere Erklärung lautet: Gamma hat die Software an das Regime in Bahrain verkauft.

Computerexperten glauben, belastbare Hinweise gefunden zu haben, dass die zweite Erklärung der Wahrheit entspricht. Die Menschenrechtsorganisationen Bahrain Watch, das Bahrain Center for Human Rights, Reporter ohne Grenzen, das European Center for Constitutional and Human Rights sowie Privacy International haben deshalb Beschwerde bei der OECD eingereicht. Ihr Vorwurf lautet, Gamma verletze die OECD-Leitsätze für multinationale Unternehmen. Diese besagen, dass Unternehmen nicht direkt oder indirekt zu Menschenrechtsverletzungen beitragen dürfen. 

Anzeige

Genau das soll durch den Einsatz der Überwachungstechnik geschehen sein. Maryam al-Khawaja vom Bahrain Center for Human Rights berichtet etwa von Bekannten in Bahrain, die nach ihrer Festnahme und Folter mit ihren persönlichen SMS-Botschaften konfrontiert worden seien. "Es gibt Belege für Menschenrechtsverletzungen auf breiter Front, bei denen auch mithilfe des Internets gegen Dissidenten vorgegangen wurde", sagte sie. Welche Rolle die Unternehmen Gamma und Trovicor dabei gespielt haben, soll die OECD nun klären.

Entdeckt wurde die Gamma-Software im Jahr 2012. Die in London lebende bahrainische Journalistin Ala'a Shehabi hatte eine E-Mail bekommen, mit der ihr Computer mit FinFisher/FinSpy infiziert werden sollte. Sie schöpfte Verdacht und leitete die Mail an die Sicherheitsexperten Morgan Marquis-Boire und Bill Marczak weiter. Deren Analyse ergab, dass Shehabi und andere mit FinFisher/FinSpy überwacht werden sollten.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

In den vergangenen Monaten fanden Marquis-Boire und Marczak nun mehrere Hinweise darauf, dass die Software und auch ein dazugehöriger Server in Bahrain aktualisiert worden sind. Das aber könne nur Gamma selbst getan haben, sagen die Sicherheitsforscher. Denn zeitgleich wurden auch Kunden in anderen Ländern mit denselben Updates versorgt. Die Erklärung, das Programm sei gestohlen worden, ist also nicht schlüssig, sagen die Aktivisten. Weitaus plausibler sei, dass Gamma durchaus Geschäftsbeziehungen zur Regierung von Bahrain unterhielt, auch als das Unternehmen längst über die gewaltsame Niederschlagung der Oppositionsproteste im Land Bescheid wusste.

Den gleichen Vorwurf machen die Menschenrechtler dem Unternehmen Trovicor aus München, das früher ein Geschäftsbereich des Siemens-Konzerns war und dann verkauft und umbenannt wurde. Trovicor wartet angeblich Software in Bahrain, mit deren Hilfe die dortigen Behörden "große Datenmengen aus Telefon- und Computerüberwachung abfangen, aufzeichnen und analysieren können". Außerdem gebe es "Indizien, dass Trovicors Technologie auf das Zusammenwirken mit sogenannten Trojanern ausgelegt ist, die eine noch umfassendere Überwachung bis hin zur Manipulation von Daten erlauben". Ein solcher Trojaner sei FinFisher/FinSpy von Gamma.

Nun liegt es an den zuständigen Kontaktstellen der OECD, die Beschwerden anzunehmen und mindestens ein Mediationsverfahren zwischen den Unternehmen und den Aktivisten einzuleiten. Die Beschwerde gegen Gamma ging an die Kontaktstelle in London, die gegen Trovicor an die Kontaktstelle beim Bundeswirtschaftsministerium in Berlin. Ob diese die Beschwerden annehmen, entscheide sich hoffentlich in wenigen Monaten, sagte Wolfgang Kaleck vom European Center for Constitutional and Human Rights.

Leserkommentare
  1. Seit Ihrem letzten Artikel trottet mir die Frage im Kopf herum, wie es wohl in Punkto Supportverträgen aussehen mag.

    NSN/trovicor haben ja ebenfalls umfangreiche Überwachungstechnologie an Syrien und den Iran verkauft.

    Keine verkaufte Hard- oder Software, erst recht keine Umfangreiche, kommt heutzutage ohne Modifikationen (auf Wunsch des Kunden) oder Updates durch den Hersteller aus.

    Es scheint mir zumindest naheliegend, daß es auch hier Supportverträge und entsprechende Lizenzen von europäischen Unternehmen für "Schurkenstaaten" gibt. Inwiefern wären diese mit EU- oder OECD-Richtlinien vereinbar?

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • Derdriu
    • 07. Februar 2013 11:27 Uhr

    Es gibt Supportverträge über 2 Jahre - so sagten es Menschenrechtler aus Bahrain während eines Vortrags vor ein paar Tagen.

    Es gibt sogar schon Andeutungen, dass die Software soweit weiter entwickelt wird, dass automatisch Profile erstellt werden. Damit könnten potenzielle Störer frühzeitig festgenommen werden- aufgrund von Facebook-Likes, Tweets, Bilder-Uploads, ...

    • Derdriu
    • 07. Februar 2013 11:27 Uhr

    Es gibt Supportverträge über 2 Jahre - so sagten es Menschenrechtler aus Bahrain während eines Vortrags vor ein paar Tagen.

    Es gibt sogar schon Andeutungen, dass die Software soweit weiter entwickelt wird, dass automatisch Profile erstellt werden. Damit könnten potenzielle Störer frühzeitig festgenommen werden- aufgrund von Facebook-Likes, Tweets, Bilder-Uploads, ...

    Eine Leserempfehlung

Bitte melden Sie sich an, um zu kommentieren

Service