Hacking Team: Was ist schon Wassenaar?

Interne Dokumente von Hacking Team zeigen, dass die Firma keine Bedenken hatte, im Geschäft mit ihren Kunden das Wassenaar-Abkommen über genehmigungspflichtige Exportgüter zu umgehen.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
Hacker

(Bild: dpa, Karl-Josef Hildenbrand/Symbol)

Lesezeit: 3 Min.
Von
  • Detlef Borchers

Die italienische Softwarefirma Hacking Team (HT) hat offenbar versucht, die Exportkontrolle für Waffentechnik und Angriffssoftware zu unterlaufen. Das geht aus E-Mails von HT-Chef David Vincenzetti hervor, die auf dem Whistleblower-Portal Wikileaks veröffentlicht wurden. Auch eine detaillierte Analyse der 0-Day-Käufe von Hacking Team zeigt, dass die Beschränkungen des Wassenaar-Abkommens nicht greifen. Anfang 2015 war dieses Abkommen über genehmigungspflichtige Exportgüter auf "Intrusion Software" ausgedehnt worden.

Die "Erfolgs-Geschichte" von Hacking Team begann im Jahre 2012, als Bürgerrechtsorganisationen damit begannen, die Nutzung von Überwachungssoftware zur Unterdrückung von Oppositionsbewegungen in Staaten wie Bahrain zu dokumentieren. Neben der deutsch-britischen Gamma Group wurde dabei auch Hacking Team erwähnt, was der Firma einen Auftragsboom bescherte. Dies zeigt eine systematische Analyse der 0-Days-Käufe von Hacking Team, die der Sicherheitsexperte Vlad Tsyrklevich vorgelegt hat. Anfragen aus Ländern wie Äthiopien und Pakistan bezogen sich direkt auf die Veröffentlichungen der Bürgerrechtler. Wie die pakistanische Zeitung Dawn berichtet, hat Hacking Team mit Mittelsmännern gearbeitet, die die Software für pakistanische und indische Geheimdienste anschaffen wollten.

Mit Veröffentlichungen von Citizen Lab über Hacking Team und Gamma begann eine internationale Diskussion, ob der Export von Überwachungssoftware nicht nach den Regeln des Wassenaar-Abkommens kontrolliert werden müsste. Das Abkommen wurde entsprechend modifiziert und umfasst seit Anfang 2015 jede Art von "Lawful Interception Software". Wie E-Mails von Hacking Team zeigen, versuchte das Unternehmen bei Anfragen von Journalisten zur Wassenaar-Problematik zunächst auf Zeit zu spielen. Später gab CEO Vincenzetti grünes Licht für die vom Pressesprecher vorgeschlagene Sprachregelung: "Wir können es weder bestätigen noch dementieren, aber wir entsprechen seit dem 1. Januar voll und ganz den Wassenaar-Bestimmungen." Gleichzeitig wies Vincenzetti seine Mitarbeiter in einer internen E-Mail an, sich nicht aktiv um Exportlizenzen zu kümmern und das Thema zu ignorieren.

Dass eine Exportkontrolle durchaus bedrohlich für das Geschäft mit Überwachungssoftware sein kann, zeigt das Beispiel der französischen Firma Vupen, die Ende 2014 angesichts der Wassenaar-Bestimmungen damit drohte, den Firmensitz zu verlegen. Wie Vlad Tsyrklevich in seiner Analyse des Geschäfts mit Zero-Day-Lücken zeigt, war Vupen bei Hacking Team zunächst der wichtigste Lieferant für Sicherheitslücken, lieferte aber nur mittelmäßige Exploits. Obendrein verkaufte Vupen diese Exploits an die deutsch-britische Gamma Group und die israelische NSO Group, beide direkte Konkurrenten von Hacking Team. Später unterhielten die Mailänder rege Geschäftsbeziehungen mit Firmen wie Netragard, Qavar und den "Exploit-Forscher" Vitaly Toropov. Mit der von Hacking Team beklagten Veröffentlichung ihrer Firmeninterna mussten diese Händler ihr Geschäft einstellen.

Als eine Art erste Hilfe hat die US-amerikanische Firma Rook Security in Zusammenarbeit mit dem FBI eine Software namens Milano veröffentlicht, die feststellen kann, ob ein Rechner mit Software von Hacking Team befallen ist. Rook veröffentlichte ein E-Book mit dem Titel: "Echte Sicherheit ist ein schmutziges Geschäft". Was der Fall Hacking Team zeigt. (vbr)