Screenshot des gehackten und umbenannten Twitter-Kontos von Hacking Team © Screenshot ZEIT ONLINE

Nichts bereitet Menschen, die sich mit IT-Sicherheit beschäftigen, so viel Schadenfreude wie gehackte Hacker. Vor allem, wenn sie einen so miesen Ruf haben wie die italienische Firma Hacking Team. Die wird gerade von Unbekannten im Internet bloßgestellt, und Sicherheitsexperten sparen nicht mit Spott.

Hacking Team verkauft Überwachungstechnik an Polizeibehörden und Geheimdienste und wurde von der Organisation Reporter ohne Grenzen zu einem der "Feinde des Internets" erklärt. Seit Jahren gilt als sicher, dass Hacking Team keine Hemmungen hat, auch mit Regimen Geschäfte zu machen, die Oppositionelle und Dissidenten überwachen und verfolgen. Nun haben die Unbekannten haufenweise interne Dokumente von Hacking Team veröffentlicht, die das offiziell belegen sollen. Nebenbei haben sie auch angebliche Passwörter von Hacking-Team-Mitarbeitern im Netz verbreitet, die vor allem eines sind: peinlich schlecht. Sie lauten zum Beispiel "Passw0rd" und "Passw0rd!81".

Mehr als 400 Gigabyte soll der Datensatz umfassen, der seit dem vergangenen Wochenende als Torrent-Datei kursiert. Verschiedene Twitter-Nutzer haben einzelne Dokumente daraus veröffentlicht, vor allem aber haben die Unbekannten das Twitter-Konto von Hacking Team übernommen, um die mutmaßlichen Interna dort zu verbreiten.

Hacking Team wies Vorwürfe immer zurück

Darunter sind Rechnungen, E-Mails, Verzeichnisse und andere Dateien, die Aufschluss darüber geben, an wen Hacking Team seine Werkzeuge zur Überwachung von Skype-Chats, zum Abfangen von Passwörtern, zum heimlichen Durchsuchen von Festplatten oder zum unbemerkten Aktivieren von Webcam und Mikrofon eines Computers aus der Ferne verkauft hat.

Unter anderem geht aus verschiedenen Dokumenten hervor, dass auch Behörden im Sudan zu den Kunden gehören. Eine E-Mail vom 24. Juni 2014 etwa deutet darauf hin, dass der sudanesische Geheimdienst Niss die italienische Überwachungstechnik gekauft hat. Sicherheitsforscher am kanadischen Citizen Lab hatten das bereits im Februar 2014 vermutet, auf Basis ihrer IT-forensischen Analyse.

Im Sudan werden laut Amnesty International und Human Rights Watch Regierungskritiker vom Niss verfolgt und willkürlich inhaftiert. Hacking Team aber beteuerte in der Vergangenheit wiederholt, man verkaufe nichts an repressive Regime und nichts in Länder, die auf irgendwelchen schwarzen Listen der EU, der USA oder der Nato stehen.

Andere Kunden von Hacking Team sind einem weiteren Dokument zufolge unter anderem Behörden in Ägypten, Kasachstan, Usbekistan und Saudi-Arabien, aber auch in Deutschland und den USA. Weitere Details zu den teils fragwürdigen Geschäften der Italiener dürften in den kommenden Tagen ans Licht kommen.

Hacking Team und vergleichbare Unternehmen wie Trovicor, Gamma und Vupen betonen immer wieder, dass ihre Produkte helfen, Kriminelle und Terroristen zu fassen. Wer aber als kriminell gilt, entscheiden die Käufer, und deren Definitionen beinhalten manchmal auch Journalisten, Oppositionelle und Regierungskritiker.

Ausfuhrbestimmungen sollen verschärft werden

Deshalb benötigen europäische Unternehmen wie Hacking Team eine Ausfuhrgenehmigung für den Export. Geregelt ist das in der Dual-Use-Verordnung Nr. 428/2009, die im Oktober 2014 aktualisiert wurde. Die Bundesregierung setzt sich derzeit laut Medienberichten für eine weitere Verschärfung in der Außenwirtschaftsverordnung ein.

Schon lange verdächtigen Sicherheitsforscher die Unternehmen, solche Beschränkungen systematisch zu unterlaufen, zum Beispiel durch den Verkauf an Mittelsmänner. Einige der Dokumente, die nun auf illegalem Wege in die Öffentlichkeit gelangt sind, scheinen diesen Verdacht zu erhärten. Hacking Team wollte eine Anfrage nicht telefonisch beantworten, per E-Mail ist das Unternehmen derzeit nicht erreichbar.