Internet: Spionage-Spam vom Staat

22. Februar 2013 – Süddeutsche Zeitung (München)

Er gilt als der böseste Deutsche im Internet: Martin Münch liefert Polizei und Geheimdiensten Überwachungs-Software. Auch Diktatoren drangsalieren mit den Programmen ihre Bürger.

Im Disney-Film „Mulan“ ist alles so einfach. Die Heldin kämpft zusammen mit lauter Männern im chinesischen Militär gegen die Hunnen. Der Film zeichnet Mulans Gegner als schattige, gesichtslose Wesen. Gut gegen Böse – ein Klassiker.

Martin Münch lebt in einem Disney-Film. Er weiß, wer die Bösen sind. Er weiß, dass er zu den Guten gehört. Es gibt nur ein Problem: Alle anderen wissen es nicht.

Spionage-Virus für das digitale Gedächtnis

Für sie steht Münch auf der falschen Seite des arabischen Frühlings, auf der Seite der Unterdrücker. Menschenrechtler prangern an, er liefere Überwachungssoftware an Diktaturen, willentlich oder leichtfertig.

Münch, 31, entwickelt Spähsoftware für Computer und Handys. Sie infiziert das digitale Gedächtnis, sie schnüffelt in der virtuellen Intimsphäre. Der Trojaner, der das alles kann, heißt Finfisher. Trojaner wird diese Art Software genannt, weil die Spionagefunktionen eingeschmuggelt werden in einer harmlosen Hülle.

Auf sein Produkt ist Münch stolz. Zum ersten Mal zeigte er jetzt deutschen Journalisten.

Auf den Glastüren seines Büros in München steht der Firmenname: Gamma Group.

Münch kann technisches Spielzeug gut erklären. Vielleicht, weil er sich das alles selbst beigebracht hat. Er hat keine Fachausbildung, er hat nicht Informatik studiert, nur drei Semester Jazzklavier und Gitarre.

Für die Ermittler ist Münch ein bisschen wie Mushu, der kleine Drache aus „Mulan“. Er ist der coole Helfer, der Mulan im Kampf beisteht. Münch hat eine Firma, über die er 15 Prozent der Anteile der Gamma International GmbH hält.

Er hat sie Mushun genannt, nach dem Drachen aus dem Film, nur mit einem zusätzlichen „n“ am Ende, sagt er. Dann lacht er verlegen. Er ist auch Geschäftsführer bei Gamma.

Gammas Bestseller aus der Finfisher-Familie heißt Finspy. Münch beugt sich über den Apple-Laptop und zeigt, was das Programm kann. Zuerst wählt der Nutzer das Betriebssystem aus, das er angreifen will: ein iPhone von Apple, ein Handy mit Googles Betriebssystem Android oder einen PC mit Windows oder dem kostenlosen System Linux?

Digitaler Angriff wie im Action-Film

Der Ermittler kann eingeben, über wie viele Server in verschiedenen Ländern der Trojaner Haken schlägt, bis auch technisch versierte Opfer nicht mehr nachvollziehen können, wer sie da eigentlich überwacht.

Dann darf der Ermittler auswählen, wie fies der Trojaner werden soll, was er können darf: das Mikrofon als Wanze benutzen. Gespeicherte Dateien sichten und sichern, wenn sie gelöscht oder geändert werden. Mitlesen, welche Buchstaben der Nutzer auf der Tastatur drückt. Skype-Telefonate mitschneiden.

Die Kamera des Rechners anschalten und sehen, wo das Gerät steht. Handys über die GPS-Ortungsfunktion zum Peilsender machen. Doch die meisten Funktionen von Finspy sind in Deutschland illegal.

Und Finspy kostet. Der Preis geht bei etwa 150.000 Euro los und kann ins siebenstellige gehen, sagt Münch. Denn Gamma baut für jeden Kunden eine eigene Version des Trojaners, die mit dem Recht des Landes konform sein soll.

„Ziel sind einzelne Straftäter.“ Ein „mutmaßlich“ benutzt er nicht, im Gespräch verwendet er die Worte „Kriminelle“ und „Straftäter“, als seien es Synonyme für „Verdächtige“ und „Zielperson“.

Zielhilfe für Despoten

Alaa Shehabi ist so eine Zielperson. Ihr Vergehen: Sie kritisierte die Regierung ihres Landes. Die junge Frau ist in Bahrain geboren, einem Inselstaat im Persischen Golf. Ein Königreich – und ein Polizeistaat. Der sunnitische Regent Hamad Ben Isa al-Khalifa herrscht über eine schiitische Bevölkerungsmehrheit.

Als der arabische Frühling vor zwei Jahren auch in sein Land schwappte und Shehabi mit Tausend anderen Reformen forderte, rief der König die Armee von Saudi-Arabien zur Hilfe. Fotos und Videos im Internet zeigen von Tränengas verätzte Augen und von Schrotkugeln durchlöcherte Leiber.

Die Formel-1-Veranstalter sahen darin kein Problem und luden vergangenen April zum Großen Preis von Manama. Die Opposition versuchte, einigen angereisten Journalisten die Wahrheit zu berichten.

Auch Shehabi, die ihre dunklen Haare unter einem Schleier verbirgt, traf sich mit Reportern. Sie erzählte von der Polizeigewalt, von den Verletzten, den Toten. Sie brach ein Tabu.

Shehabi war vorsichtig, achtete darauf, dass niemand sie beobachtete, schaltete während des Interviews ihr Handy aus. Trotzdem besuchten Polizisten sie wenig später. Die Beamten ließen sie laufen, doch dann kam die erste E-Mail. Im Betreff stand „torture report on Nabeel Rajab“, im Anhang angeblich Fotos des gefolterten Rajab.

Er ist ein Freund Shehabis, ein Oppositioneller wie sie. Shehabi versuchte, die Datei zu öffnen. Es ging nicht. Gut für sie: Denn im Anhang war ein Trojaner von Gamma versteckt. Der Polizeistaat Bahrain hatte sie im Visier, und Martin Münchs Software half dabei.

Ungesehene Geschäfte der Transparenzindustrie

Schnüffelsoftware für einen Polizeistaat? Auf die Vorwürfe reagiert Gamma merkwürdig. Eine klare Aussage zu Bahrain gibt es nicht. Münch sagt nicht, wer Gammas Kunden sind. Er sagt auch nicht, wer nicht Kunde ist.

So muss die Firma damit leben, dass Reporter ohne Grenzen und andere Menschenrechtsaktivisten eine offizielle Beschwerde beim Bundeswirtschaftsministerium einlegten.

Sie verlangen schärfere Kontrollen, wohin Gamma exportiert, und berufen sich dabei auf – allerdings freiwillige – Empfehlungen der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).

Münch wiederholt bei jeder Gelegenheit, dass seine Firma die Exportgesetze in Deutschland einhält. Verschickt werden die Finfisher-Produkte aber von England aus.

In Großbritannien und Deutschland gilt dieselbe EU-Verordnung über den Export von Überwachungstechnik.

Überwachungstechnologien sind im Sinne dieses Gesetzes keine Waffen, sondern Güter, die sowohl zivil als auch militärisch genutzt werden können.

Fachwort: dual use. Dementsprechend sind die Auflagen deutlich harmloser als für Panzerverkäufe. Am Ende läuft es darauf hinaus, dass Gamma vom Kunden ein Zertifikat bekommt, demzufolge Finfisher wirklich beim richtigen Adressaten installiert wurde, gestempelt vom Staat selbst. Das Papier heftet Gamma ab.

In der ungeliebten Öffentlichkeit steht Gamma seit dem arabischen Frühling. Ägyptische Protestler fanden in einer Behörde ein Angebot der Firma an ihre gestürzte Regierung, einen Kostenvoranschlag für Software, Hardware, Training, 287.137 Euro. Eine Lieferung habe es nie gegeben, behauptet Münch.

Unverständnis statt Selbstkritik

Spricht Münch über seine Kritiker, klingt er ehrlich entrüstet: „Wir haben immer dieses Bad-Boy-Image. Ist aber kein schönes Gefühl.“ Zumal es unverdient sei: „Manche Leute sagen: ,Das mag ich nicht, das geht ins Privatleben.' Aber die Tatsache, dass sie es nicht mögen, heißt nicht, dass wir etwas Illegales machen.“

Trotzdem verspricht Münch nun eine Wende, mehr Transparenz, echte Konsequenzen. Im Gamma-Vorstand solle es demnächst einen Menschenrechtsbeauftragten geben. Den Titel werde wohl er selbst bekommen, sagt Münch.

Das ist heikel. Nach einem mehrstündigen Gespräch bleibt der Eindruck, dass der moralische Kompass des Martin Münch keine Nadel hat.

Doch immerhin lässt er einen Verhaltenskodex schreiben, der den Export in Länder ausschließen soll, die Menschenrechte verletzen. Gamma sei mit zwei Menschenrechtsgruppen in Kontakt. In Grenzfällen sollen sie als Berater mitarbeiten.

Denn er selbst traut sich eine klare Unterscheidung nicht zu: Schließlich folterten auch die USA in Guantanamo – seien sie deshalb ein Unrechtsstaat?

Der Skandal, sagt Münch, habe ihn unglaublich überrascht: „Software foltert keine Leute.“ Er könne die Aufregung nicht verstehen. „Ich finde es gut, dass die Polizei ihren Job macht.“ Die Bösen jagen. In Bahrain heißt das: politische Gegner.

Factual or translation error? Tell us.