Hacker: Spion gegen Spion

Sie sah sehr verdächtig aus", sagt die Journalistin Mary May über eine anonyme E-Mail, die sie Ende 2014 erhielt. Versprochen wurden darin exklusive Informationen über einen Regierungsskandal, aber irgendetwas schien nicht zu stimmen. Bald darauf begannen merkwürdige Dinge auf ihrem Computer zu passieren. "Ich weiß noch genau, wie ich mich nicht bei Skype anmelden konnte, um ein Interview über Folter zu geben", berichtet May. "Es gab angeblich eine Störung, und ich musste mir von jemandem ein Telefon leihen."

Nachdem sie die an die E-Mail angehängte Datei an Sicherheitsexperten übergeben hatte, erfuhr May, dass sie – wie auch einige ihrer Kollegen – mit einer Software namens Remote Control System (RCS) angegriffen wurde. Das ist eine Spionagesoftware, die von dem kleinen italienischen Unternehmen Hacking Team entwickelt wurde. Später fand sie heraus, dass die Software von ihrer eigenen Regierung gegen sie eingesetzt worden war, die sich vermutlich an ihrer Berichterstattung störte. May ist nicht der richtige Name der Journalistin. Sie wollte sich nur anonym äußern, weil sie weitere Repressalien fürchtet.

Hacking Team entstand im Jahr 2003 als Dienstleister im Bereich Cybersicherheit. Der Gründer und CEO David Vincenzetti stammt aus der Community von Verschlüsselungsexperten und Krypto-Enthusiasten, aus der auch Wikileaks-Gründer Julian Assange hervorgegangen ist. Das Unternehmen beschäftigte sich unter anderem damit, die Computernetze seiner Klienten auf Schwächen abzuklopfen. Zu den frühen Kunden zählten unter anderem die Deutsche Bank und Barclays. Nach einigen Jahren aber schaltete Vincenzetti von Verteidigung auf Angriff um. Hacking Team begann Software zu verkaufen, die fremde Computer infiltriert und Daten abgreift, ohne dass ihre Besitzer davon etwas mitbekommen. RCS entwickelte sich im Laufe der Zeit zum wichtigsten Produkt.

Die Software kann sowohl PCs als auch Mobilgeräte infizieren. Sie kann Dateien von der Festplatte kopieren, Skype-Telefonate und Chat-Nachrichten abhören, E-Mails lesen, bevor sie verschlüsselt werden, im Webbrowser eingegebene Passwörter mitschneiden und das Mikrofon sowie die Kamera einschalten. Zum Eindringen nutzt das Programm Sicherheitslücken in Betriebssystemen und anderer Software, die Hacking Team entweder selbst entdeckt oder gegen Bezahlung von anderen Unternehmen bekommt.

Zu den ersten Kunden für RCS zählten die italienischen Behörden, zu den ersten Zielen Mafia-Anführer. Dann jedoch folgte schnell eine Expansion auf den internationalen Markt. 2006 griff der spanische Geheimdienst zu, zwei Jahre später gefolgt von seinen Pendants in Singapur und Ungarn. Bald hatten Saudi-Arabien, Mexiko, Ägypten, Sudan, Russland und Kasachstan für ihre Sicherheitsdienste ebenfalls Werkzeuge von Hacking Team gekauft. Und auch das FBI und einige andere US-Behörden sicherten sich Lizenzen für RCS.

Dass einige dieser Kunden die Software auf beunruhigende Weise nutzten – und das wahrscheinlich auch heute noch tun –, deckte das Citizen Lab der University of Toronto bereits 2012 auf. Die dortigen Forscher beschäftigen sich mit den Auswirkungen von Fragen der Computersicherheit auf Menschenrechte. Nach ihren Erkenntnissen nutzte die Regierung der Vereinigten Arabischen Emirate Software des Unternehmens, um den PC eines politischen Dissidenten anzuzapfen. Die äthiopische Regierung brach damit in die Computer von Journalisten ein, die in den USA arbeiteten. "Wir haben ganz schön übles Zeug gefunden", sagt Claudio Guarnieri, ein Sicherheitsforscher, der bei einigen Berichten mit dem Citizen Lab zusammengearbeitet hat.

Viele Details über Hacking Team und seine Kunden wurden jedoch erst durch Dokumente bekannt, die an die Öffentlichkeit gelangten, nachdem das Unternehmen im Juli 2015 selbst zum Ziel eines Cyberangriffs geworden war. Eine interne Tabelle, datiert auf Mai 2015, lässt erkennen, dass seit 2008 insgesamt 6550 Telefone oder Computer mit RCS infiziert wurden. Insgesamt hatte Hacking Team rund 70 unterschiedliche Kunden und machte mehr als 40 Millionen Euro Umsatz.

Dass seine schmutzige Wäsche an die Öffentlichkeit gelangte, schien dem Geschäft von Hacking Team nicht allzu sehr zu schaden. Kein Kunde distanzierte sich öffentlich. "Die Kunden sind uns treu geblieben, denn ich denke, sie erkennen den Wert von dem, was wir tun, und die Überlegenheit unseres Produkts", sagt Unternehmenssprecher Eric Rabe. CEO Vincenzetti wollte sich für diesen Artikel nicht äußern.

Mit seinen zweifelhaften Geschäften steht das Unternehmen allerdings nicht allein. Gamma International beispielsweise, ein Unternehmen mit Büros in Deutschland und Großbritannien, bietet mit FinFisher ein Werkzeug an, das Ähnlichkeiten mit RCS hat. Gekauft haben es Regierungs- und Polizeibehörden in Australien, Belgien und Finnland. Die Regierung Bahrains nutzte FinFisher, um Aktivisten auszuspähen. Die Regierung von Uganda erpresste damit laut der Menschenrechtsorganisation Privacy International politische Gegner. Gamma wurde 2014 gehackt, und wie bei Hacking Team gelangten vergangenes Jahr interne Dokumente ins Internet. Und wieder richteten sie keinen großen Schaden an. Dem Citizen Lab zufolge gewinnt das Unternehmen weiter Kunden.

Edin Omanovic, der sich als Forschungsmitarbeiter bei Privacy International mit der Überwachungsindustrie beschäftigt, kennt nach eigener Aussage 16 Unternehmen, die ähnliche Produkte verkaufen wie Hacking Team. Zwei Wochen vor unserem Gespräch hatte er einen weiteren Anbieter in Israel gefunden, zwei Monate zuvor einen neuen in Südafrika. Citizen-Lab-Forscher Guarnieri geht sogar davon aus, dass es noch deutlich mehr gibt. "Ich glaube, dass die in Bezug auf Geschäftsvolumen und Kundenbasis wichtigsten noch gar nicht bekannt sind", sagt er. "Sie bekommen nicht besonders viel Aufmerksamkeit, weil sie besser darin geworden sind, nicht aufzufliegen."

Nach den jüngsten Angriffen des Islamischen Staats und seiner Sympathisanten nimmt das Interesse der Geheimdienste und Strafverfolger an Spionagesoftware nun noch weiter zu. Zugleich ist ein Versuch, den Verkauf von Werkzeugen wie RCS an Regierungen mit einer schlechten Menschenrechtsbilanz zu begrenzen, in den USA vorerst gescheitert. Denn das überarbeitete Wassenaar-Abkommen, eine von den USA und 40 weiteren Ländern unterzeichnete Vereinbarung über die Kontrolle von Waffenexporten, listet zwar erstmals auch Software als Rüstungsgüter auf.

Ausgerechnet Sicherheitsforscher und Software-Hersteller kritisieren das Abkommen aber als zu allgemein. Dringend benötigte Arbeit zur Absicherung des Internets würde so unmöglich gemacht. Die Umsetzung des Abkommens in nationale US-Gesetze steht daher noch immer aus.

Die enge Beziehung zwischen den Anbietern von Hacking-Werkzeugen und nationalen Geheimdiensten und Kriminalitätsbekämpfern bringt zudem in anderen Ländern eine gewisse Immunität gegen Regulierung mit sich. Interne E-Mails von Hacking Team zeigen, dass sich Vertreter des Unternehmens mit Militärs trafen, nachdem die italienische Regierung Exporte von RCS aus Menschenrechtsgründen gestoppt hatte. Bald darauf wurde das Verbot aufgehoben. Unternehmenssprecher Rabe will darin kein Problem erkennen.

"Hacking Team bietet Werkzeuge ausschließlich für Unternehmen an, die – unter Beachtung der entsprechenden Sicherheitsvorkehrungen – Verschlüsselung umgehen können, wie sie routinemäßig von den Kriminellen und Terroristen eingesetzt wird, um uns anzugreifen", teilte er mit.

Sicherheitsforscher aber überzeugt das nicht. "Ich denke, dass man durchaus auch ein politisch verantwortliches Unternehmen gründen könnte, das Lösungen zum Eindringen in fremde Computer verkauft", sagt Bill Marczak, Senior Research Fellow am Citizen Lab. "Aber würde ein solches Unternehmen auch Kunden haben? Ich weiß es nicht." (bsc)