Wer sich schon immer gefragt hat, wie man auf bestimmte Überwachungssysteme aufmerksam wird, dem werden nun Antworten gegeben: Privacy International hat gestern den Surveillance Industry Index (SII) veröffentlicht. Die Datenbank enthält 1203 Dokumente, die 97 verschiedene Überwachungstechnologien von insgesamt 338 Anbietern bewerben.
Die Daten bauen auf den Wikileaks SpyFiles auf, die Dokumente wie Handbücher und Präsentationen von Überwachungsfirmen auf der ganzen Welt umfassen. Über eine Weltkarte lassen sich die Unternehmensunterlagen nach Kategorien geordnet durchsuchen.
Im Rahmen des Big Brother Inc. Projekts haben Privacy International und befreundete Organisationen diese Daten ergänzt. Dazu haben die Aktivisten über vier Jahre hinweg Daten gesammelt, die zeigen, wie Überwachungswerkzeuge angepriesen und beworben wurden, was diese Technologien zu leisten im Stande sind und zum Teil auch, an welche Regierungen sie verkauft wurden.
Die Dokumente demonstrieren, dass Programme wie Tempora und Prism keine alleinstehenden Entwicklungen von GCHQ und NSA sind, sondern dass mehrere, ähnlich leistungsfähige Lösungen auf dem Markt existieren. Grund dafür, dass diese Techniken nicht öffentlich bekannt sind, ist die Funktionsweise des Überwachungsindustrie-Sektors. Vieles passiert im Geheimen auf speziellen Verkaufsmessen und die Mitglieder mussten sich als potentielle Käufer ausgeben, um überhaupt an Werbematerialien oder technische Daten zu gelangen. Die meisten der Firmen betreiben zwar auch Webseiten für ihre Produkte, diese sind aber meist wenig aussagekräftig.
Ein gutes Beispiel dafür ist die Seite von FinFisher, der Spionagesoftware des deutsch-britischen Unternehmens Gamma Group. Letztlich lässt sich darüber kaum mehr erfahren als die Existenz der Software, die einzige Beschreibung deren Funktion ist:
Die Produkte aus dem Bereich Fernüberwachung und Software-Installation ermöglichen aktiven Zugriff auf Zielsysteme (Computer und Telefon), wobei diese ferngesteuert, Daten analysiert sowie verschlüsselte Kommunikation und Daten gesammelt werden können.
Mehr Aufschluss geben die Dokumente aus dem SII. Dort findet sich zum Beispiel eine Reihe von Schulungsangeboten (S. 40) zum Profilen von Webseiten und Personen, zum Rückverfolgen anonymer Mails, zum Fernzugriff auf Mailaccounts, zur Sicherheitseinschätzung von Werbservern- und Services, zu angewandten Softwareexploits, Wireless IT Intrusion, Attacken auf kritische Infrastrukturen, zum Ausschnüffeln von Daten und Nutzer-Credentials in Netzwerken, zur Überwachung von Hotspots, zur Anrufüberwachung und -aufzeichnung und zum Passwordcracking.
Außerdem wirbt man an vielen Stellen mit der eigenen Benutzerfreundlichkeit. FinFly Web preist im selben Dokument (S. 27) eine Point-and-Click-Software zum Erstellen individueller Infektionswebseiten an. Die infiziert den Zielrechner beispielsweise wenn der Nutzer ein Java Applet ausführt, eine fehlende Komponente wie den Flash-Player oder ein Firefox-Plugin installiert.
Benutzerfreundlich ist auch die FinUSB Suite (S. 7), die es erlaubt, Benutzernamen und Passwörter, Dateien sowie Netzwerk- und Systeminformationen von Rechnern zu extrahieren, „ohne dass man IT-geschulte Agenten benötigt“. Und zwar in nur 8 Schritten:
- Nimm den FinUSB-Dongle [16GB Stick – im Lieferumfang enthalten]
- Konfiguriere die gewünschten Funktionen/Module und aktualisiere den Dongle mit FinUSB HQ
- Gehe zum Zielsystem
- Stecke den FinUSB-Dongle ein
- Warte, bis alle Daten übertragen wurden
- Gehe zurück zu deinem FinUSB HQ
- Importiere alle Daten von dem FinUSB-Dongle
- Erstelle einen Bericht
Fazit: Jeder kann das.
Aber neben den beunruhigenden technischen Möglichkeiten verdeutlichen die Dokumente auch, welche Missbrauchsmöglichkeiten sich daraus ergeben. Nicht nur hier, sondern vor allem auch in repressiven Drittstaaten. Dadurch, dass es diesen Ländern möglich ist, technologisch fortgeschrittene Spähsoftware von der Stange zu kaufen, ohne dass es wirksame Exportbeschränkungen oder -verbote gibt, wird die Niederschlagung politischen Widerstands, die Verhinderung von kritischem Journalismus und die Unterdrückung aufkeimender demokratischer Bewegungen ermöglicht. Das Problem liegt nicht nur darin, dass die Unternehmen dies aus ökonomischen Interessen in Kauf nehmen, sondern auch in dem Versagen der Regierung, wirksame Ausfuhrregelungen für Technologien zur Massenüberwachung zu schaffen.
Wo kann man den Dongle denn kaufen und was kostet sowas ?