Überwachung

Wir stellen Strafanzeige! Zollkriminalamt ermittelt gegen FinFisher wegen illegalem Export des Staatstrojaners

Der Staatstrojaner FinFisher wird in München entwickelt und in die ganze Welt verkauft. Für den Export braucht die Firma eine Genehmigung der Bundesregierung, die gab es aber noch nie. Deshalb haben wir zusammen mit anderen NGOs Strafanzeige gestellt. Jetzt ermittelt das Zollkriminalamt, es drohen fünf Jahre Haft.

Bürogebäude mit Bayern-Himmel
In diesem Bürogebäude in München wird FinFisher entwickelt und verkauft. CC-BY 4.0 netzpolitik.org

There is also an english translation of this reporting.

Ägypten, Äthiopien, Bahrain: Diktaturen auf der ganzen Welt setzen auf Überwachungstechnologie „made in Germany“. Der Staatstrojaner FinFisher oder FinSpy wird in München entwickelt und an Polizei und Geheimdienste in dutzenden Ländern verkauft, auch an das deutsche Bundeskriminalamt.

Für den Export solcher Schadsoftware braucht FinFisher eine Genehmigung nach deutschen und europäischen Gesetzen. Die Bundesregierung hat aber keine solche Genehmigung erteilt. Der Export ohne Genehmigung ist eine Straftat. Deshalb haben wir Strafanzeige gegen die verantwortlichen Firmen und deren Geschäftsführer erstattet, die wir an dieser Stelle veröffentlichen.

Gemeinsam mit der Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen und dem Europäischen Zentrum für Verfassungs- und Menschenrechte haben wir die 21-seitige Strafanzeige und einen acht-seitigen technischen Anhang verfasst und am 5. Juli bei der Staatsanwaltschaft München eingereicht. Jetzt laufen die Ermittlungen.

Unsere Vorwürfe werden ernst genommen: Die Akte ist direkt beim Zollkriminalamt gelandet, das für Verstöße gegen das Außenwirtschaftsgesetz zuständig ist.

Von München über die Türkei ins Gefängnis?

Als Fall dient uns die Türkei. Nach dem Putschversuch 2016 ließ die türkische Regierung mehr als 77.000 Menschen verhaften, darunter auch 34 Journalisten. Gegen diese Repression organisierte sich vielfältiger Widerstand, unter anderem ein Gerechtigkeitsmarsch im Sommer 2017.

Damals erschien eine Webseite „Für Gerechtigkeit eintreten“, die in sozialen Medien beworben wurde. Die Seite bot eine Android-App zur Vernetzung der Protestbewegung an, die heute noch verfügbar ist. Doch die App ist ein getarnter Staatstrojaner: Nach der Installation übernimmt die Schadsoftware die vollständige Kontrolle über das Gerät, überwacht Kommunikation und leitet Daten aus.

In einer ausführlichen technischen Analyse und einem technischen Anhang weisen wir nach, dass dieser türkische Staatstrojaner das deutsche Produkt FinFisher/FinSpy ist. In einem weiteren Abschnitt analysieren wir die Firmen-Struktur von FinFisher und nennen verdächtige Einzelpersonen.

Für uns ist klar: FinFisher wird in München entwickelt und FinFisher wurde ohne Genehmigung in die Türkei verkauft. Das ist eine Straftat, es droht eine Freiheitsstrafe bis zu fünf Jahren. Wir hoffen, dass die Ermittlungsbehörden umfangreich ermitteln und unsere Vorwürfe bestätigen.

Bis dahin sollten deutsche Behörden aufhören, Werkzeuge für Diktatoren selbst einzusetzen und solche Firmen auch noch mit Steuergeldern zu subventionieren.


Datum: 5. Juli 2019
An: Staatsanwaltschaft München I

Hiermit erstatten

Strafanzeige

wegen Verstoßes gegen § 18 Abs. 2 Nr. 1 und § 18 Abs. 5 Nr. 1 des Außenwirtschaftsgesetzes

gegen

  1. Herrn Markus Meiler, Geschäftsführer der Elaman GmbH,
  2. Herrn Holger Rumscheidt, Geschäftsführer der Elaman GmbH,
  3. Herrn Carlos Gandini, Geschäftsführer der FinFisher GmbH,
  4. Herrn Lucian Hanga, Geschäftsführer der FinFisher Labs GmbH,
  5. Herrn Holger Tesche, Geschäftsführer der FinFisher Labs GmbH,
  6. weitere, namentlich nicht bekannte Mitarbeiter:innen der Elaman GmbH, der FinFisher GmbH und der FinFisher Labs GmbH,

alle geschäftsansässig in der Baierbrunner Straße 15, 81379 München.

Die Verdächtigen geben, soweit sie Angehörige der Firmen FinFisher GmbH und FinFisher Labs GmbH sind, postalisch als Geschäftssitz an: c/o Kanzlei hph, Sapporobogen 6-8, 80637 München.

Gliederung

  1. Einleitung und Zusammenfassung
  2. Verdächtige Einzelpersonen
  3. Verdächtige Firmen
  4. Produkt FinFisher/FinSpy
  5. Sachverhalt
    1. FinSpy auf der gefälschten Adalet-Website
    2. Zurechnung zu FinFisher
      1. Forensische Analyse der Malware
      2. Weitere Indizien
    3. Zeitpunkt der Software-Ausfuhr
    4. Keine Genehmigung der Ausfuhr
  6. Rechtliche Würdigung
    1. Genehmigungspflicht der Ausfuhr von FinSpy
      1. Genehmigungspflicht gemäß Außenwirtschaftsverordnung
      2. Genehmigungspflicht gemäß Dual-Use-Verordnung
    2. Ausfuhr ohne erforderliche Genehmigung
    3. Strafrechtliche Verantwortlichkeit der Verdächtigen
    4. Verjährung
  7. Mögliche Ermittlungsmaßnahmen
  8. Anhänge

A. Einleitung und Zusammenfassung

Es bestehen tatsächliche Anhaltspunkte dafür, dass sich die Verdächtigen, die zum anzeigerelevanten Zeitpunkt Geschäftsführer bzw. Mitarbeiter der Elaman GmbH, FinFisher GmbH bzw. FinFisher Labs GmbH waren, des vorsätzlichen Verstoßes gegen Genehmigungspflichten für Dual-Use-Software gemäß § 18 Abs. 2 Nr. 1 und § 18 Abs. 5 Nr. 1 Außenwirtschaftsgesetz strafbar gemacht haben, in dem sie die Überwachungssoftware FinSpy im Zeitraum zwischen Oktober 2016 und Juli 2017 in die Türkei exportierten, ohne zuvor die erforderliche Genehmigung der Bundesregierung einzuholen.

Der Strafanzeige liegt zusammengefasst folgender Sachverhalt zugrunde:

Am 29. Juni 2017 wurde auf einer an ein ausschließlich türkischsprachiges Publikum gerichteten Website der Auszug einer Überwachungssoftware gefunden, deren Quellcode dem Quellcode der Überwachungssoftware FinSpy in wesentlichen Punkten entspricht. Die Website war so gestaltet, dass sie ohne Weiteres für die von der türkischen Oppositionsbewegung zu Organisationszwecken genutzte Website – die sogenannte Adalet-Website – gehalten werden konnte.

Die gefälschte Adalet-Website dient ihrer Funktionalität nach einzig dem Zweck, Besucher davon zu überzeugen, eine Überwachungssoftware, getarnt als zur Vernetzung nutzbare Android-Anwendung, auf ihren mobilen Telekommunikationsgeräten zu installieren. Nach dem Herunterladen auf ein mobiles Gerät ermöglichte diese Android-Anwendung, bei der es sich um Malware handelt, dem Angreifer den Zugang zu Telefon- und VoIP-Gesprächen, Datensystemen, Screenshots und anderen Fotos, GPS-Daten, Mikrofonen und Verbindungsdaten sowie zu verschiedenen Anwendungen, u.a. Whatsapp, Line, Viber, Telegram, Skype, Facebook Messenger, Kakao und WeChat.

Von unabhängigen Experten bestätigten Software-Analysen zufolge ist der partiell auslesbare Quellcode der auf der Website gefundenen Malware praktisch identisch mit der von den Firmen FinFisher GmbH bzw. FinFisher Labs GmbH (im Folgenden vereinfachend: FinFisher) hergestellten Malware FinSpy. Auch ein Microsoft-Bericht aus dem Jahr 2016 vermeldet FinSpy Funde in der Türkei.

FinSpy wird von FinFisher hergestellt und gemeinsam mit der Elaman GmbH vertrieben. Von einzelnen, dieser Anzeige zugrunde liegenden und lediglich Teile des FinSpy-Codes abbildenden, Samples abgesehen, ist bis heute kein Daten-Leck („Leak“) des FinSpy-Codes bekannt geworden. Da jene Teile nicht ausreichend sind, um eine vollständige, FinSpy gleichende Malware herzustellen, ist davon auszugehen, dass niemand außer den genannten Unternehmen Zugriff auf den gesamten Quellcode von FinSpy hat.

Aufgrund seiner umfassenden Überwachungsfunktionen bedarf die Ausfuhr von FinSpy einer vorherigen Genehmigung durch die Bundesregierung, nach § 8 Abs. 1 Nr. 2 Außenwirtschaftsverordnung i.V.m. Teil I Abschnitt B, Code 5D902 lit. a) i.V.m. 5A902 der Ausfuhrliste sowie Art. 3 Abs. 1 der Dual-Use-Verordnung (428/2009) i.V.m. Anhang I Code 4A005.

Auf parlamentarische Anfragen hin, zuletzt noch am 19. Juni 2019, hat die Bundesregierung bestätigt, dass sie seit Januar 2015 keine solche Genehmigung erteilt hat.

Es ist davon auszugehen, dass die Verdächtigen als Geschäftsführer der mit Herstellung und Vertrieb von FinSpy befassten Unternehmen sowie weitere namentlich nicht bekannte Mitarbeiter:innen, die genehmigungslosen Ausfuhrvorgänge jedenfalls mit vorgenommen bzw. veranlasst haben. Damit haben sie sich gem. § 18 Abs. 2 Nr. 1 und § 18 Abs. 5 Nr. 1 Außenwirtschaftsgesetz strafbar gemacht.

Wir regen die Einleitung eines Ermittlungsverfahrens wegen des strafbaren Verhaltens der Verdächtigen an.

B. Verdächtige Einzelpersonen

Die Verdächtigen Markus Meiler und Holger Rumscheidt sind seit dem 23. Oktober 2013 Geschäftsführer der Elaman GmbH, der Verdächtige Carlos Gandini ist seit dem 12. August 2016 Geschäftsführer der FinFisher GmbH, die Verdächtigen Lucian Hanga und Holger Tesche sind seit dem 12. Februar 2014 Geschäftsführer der FinFisher Labs GmbH.

C. Verdächtige Firmen

Die Elaman GmbH, FinFisher Labs GmbH und FinFisher GmbH haben ihren Hauptsitz an derselben Firmenadresse in München und sind, soweit ersichtlich, auch personell und funktionell eng miteinander verflochten. Gemeinsam produzieren und vertreiben sie nach ihrem registrierten Geschäftszweck Sicherheitsprodukte und -systeme für Regierungsbehörden und regierungsnahe Organisationen.

Die Elaman GmbH ist ausweislich des Handelsregisterauszugs für den nationalen und internationalen Vertrieb und das Marketing zuständig. Die FinFisher Labs GmbH ersetzte mit Handelsregistereintrag vom 26. September 2013 die Gamma International GmbH und ist für Entwicklung, Produktion, Handel und Vertrieb, Forschung, sowie Durchführung von Schulungen im Bereich der Software- und Nachrichtentechnik verantwortlich. Die Tätigkeitsbeschreibung der FinFisher GmbH, die mit Handelsregistereintrag vom 13. Oktober 2013 die Gamma International Sales GmbH ersetzte, ist fast wortgleich und umfasst Handel und Vertrieb von Software- und Nachrichtensystemen, Forschung und Schulungen.

Nicht nur die Aktivitäten der verschiedenen Gesellschaften sind aufeinander bezogen, auch räumlich gibt es Überschneidungen. Die Baierbrunner Straße 15, 81379 München ist der offizielle Hauptsitz der Elaman GmbH, tatsächlich befinden sich dort auch die Büroräume der FinFisher GmbH und der FinFisher Labs GmbH.

Firmen-Schilder
Gemeinsame Firmen-Schilder von FinFisher und Elaman in München. CC0 netzpolitik.org

Die offizielle Anschrift der FinFisher GmbH und FinFisher Labs GmbH im Sapporobogen 6-8, c/o Kanzlei hph, 80637 München, ist nur ein Briefkasten bei einer Anwaltskanzlei.

Das Firmengeflecht hat in den letzten Jahren Überwachungssoftware an verschiedene autoritäre Regime verkauft. Von WikiLeaks veröffentlichte Geschäftsunterlagen deuten darauf hin, dass FinFisher/Elaman aktive Kundenbeziehungen mit den Regierungen Angolas, Ägyptens, Gabons, Jordaniens, Kasachstans, Kenias, des Libanons, Marokkos, Omans, Paraguays, Saudi-Arabiens, Taiwans, der Türkei und Venezuelas pflegen.

Die ersten Berichte über Lieferungen durch FinFisher an autoritäre Staaten bezogen sich auf Regierungen des Nahen Ostens während des „Arabischen Frühlings“. FinFishers Produkte wurden dort wiederholt eingesetzt, um die politische Opposition gezielt zu unterdrücken und zersetzen. Zwischen 2010 und 2012 setzte beispielsweise die Regierung Bahrains FinFisher ein, um Anwaltskanzleien, Journalisten, Aktivisten und politischen Führer der Opposition zu attackieren.

Der damalige Geschäftsführer des FinFisher-Vorgängers Gamma International Sales GmbH, Martin Münch, bestritt einen Export nach Bahrain zunächst, schließlich belegten von einer Nichtregierungsorganisation publizierte Archiv- und Lizenzunterlagen des hausinternen Kundensupports im August 2014 jedoch, dass die Gamma International Sales GmbH seit 2010 Geschäftsbeziehungen mit der bahrainischen Regierung unterhielt. Auch die Kommunikationstechnik äthiopischer Dissidenten wurden in der Vergangenheit mit der FinSpy Software infiziert.

D. Produkt FinFisher/FinSpy

FinSpy ist eine hochentwickelte Spähsoftware, die ausweislich der Eigendarstellung auf der Firmenwebsite ausschließlich an staatliche Regierungen zum Zwecke der strategischen Aufklärung und Strafverfolgung verkauft wird.

Die Malware wird hierbei vom FinFisher Unternehmensverbund hergestellt und vertrieben, am Vertrieb ist auch die Elaman GmbH beteiligt. FinSpy wird im Verbund mit Servern betrieben, an welche die erhobenen Daten gesendet werden. Diese Server können im Normalfall nicht ohne Zutun des Herstellers konfiguriert und betrieben werden.

Nach der Installation der FinSpy-Malware auf dem Endgerät eines Betroffenen ermöglicht FinSpy dem Kunden den verdeckten Zugriff auf Telefon- und VoIP-Gespräche, Dateninfrastrukturen, Screenshots und andere Fotos, GPS-Daten, Mikrofone, Verbindungsdaten sowie auf verschiedene Anwendungen, einschließlich Whatsapp, Line, Viber, Telegram, Skype, Facebook Messenger, Kakao und WeChat.

FinSpy ist hierbei besonders effektiv, da es für das ungeübte Auge praktisch unsichtbar bleibt: Nach der erstmaligen Ausführung löscht FinSpy das Symbol aus dem Hauptmenü des Smartphones. Die bislang bekannten FinSpy-Versionen wurden beim Starten des Systems ausgeführt, ohne dass sie dem Nutzer auffallen.

E. Sachverhalt

E.I. FinSpy auf der gefälschten Adalet-Website

Die Türkei ist das Land geworden, in dem im Verhältnis zur Bevölkerungszahl weltweit die meisten Journalisten inhaftiert sind. Zurzeit befinden sich mindestens 34 Journalisten in Gefangenschaft. Hunderte Zeitungen und andere Medienorgane wurden geschlossen. Nach dem gescheiterten Putschversuch vom 15. Juli 2016 wurden über 77.000 Menschen verhaftet und über 140.000 Staatsbedienstete entlassen.

Im Juni und Juli 2017 zogen die Mitglieder der türkischen Opposition, die noch nicht inhaftiert oder ins Exil gegangen waren, über einen Zeitraum von drei Wochen anlässlich eines „Marsches für Gerechtigkeit“ auf die Straße, um gegen die autoritäre Reaktion der Regierung nach dem gescheiterten Putschversuch vom Juli 2016 zu protestieren.

Soziale Medien haben sich weltweit und auch in der Türkei aufgrund ihrer Offenheit, Reichweite und der Möglichkeit zur geschützten Kommunikation zu einem wichtigen Kommunikationsmittel für Aktivist:innen, Menschenrechtsverteidiger:innen und politische Dissident:innen entwickelt. Entsprechend attraktiv ist das Eindringen in soziale Netzwerke und elektronische Kommunikationsbeziehungen für autoritäre Regierungen.

Die hier verfahrensgegenständliche Malware wurde auf einer Internetseite, welche sich ihrem Inhalt nach an die Teilnehmenden des „Marsches für Gerechtigkeit“ (sog. Adalet-Marsch) wandte, unter Vorspiegelung falscher Tatsachen zum Download angeboten. Bei dieser Website handelte es sich um eine gefälschte Kampagnenseite des Adalet-Marsches mit dem Namen „Adalet için yürü“ (Übersetzung aus dem Türkischen: „Für Gerechtigkeit eintreten“).

Nachrichten von mehreren gefälschten Twitter-Konten, die in erster Linie mit den Twitter-Profilen der oppositionellen Republikanischen Volkspartei (CHP) kommunizierten, wiesen die Zielgruppe des Angriffs auf die gefälschte Adalet-Website hin.

Screenshot von Twitter
Screenshots von Twitter-Profilen, die gefälschte Adalet-Website empfahlen.

Die Domain der gefälschten Adalet-Website adaleticinyuru.com wurde am 29. Juni 2017 registriert. Am nächsten Tag wurde jene Malware, die den Gegenstand dieser Anzeige darstellt (im Folgenden: „A-Malware“), auf diese Website hochgeladen. Die gefälschte Adalet-Website verfügte über die IP-Adresse 178.32.124.175.

Diese IP-Adresse wurde von einem kommerziellen Webhoster betrieben, bei dem Kunden u.a. dedizierte Server kaufen können. Da hinter dieser IP-Adresse ausschließlich türkische Websites lagen, liegt es nahe, dass der Server Dienstleistungen für Kunden in der Türkei bereitstellt. Daher liegt es nahe, dass die Website nicht aus dem Ausland, sondern aus der Türkei selbst geschaltet wurde.

Die gefälschte Adalet-Website tat den Besuchern in der Sache keinen Service, sondern warb nur dafür, eine Android-Anwendung auf ihren mobilen Geräten zu installieren. Diese Android-Anwendung wurde, wie auch bei seriösen Applikationen üblich, zentral platziert über einen vermeintlichen Google Play Link inseriert. Die Tweets und die Website selbst implizierten, dass die Software mit dem Dateinamen „KatilBizeV1.0.apk“ (Übersetzung aus dem Türkischen: „Schließ dich uns an!“) einen Cloud- und Kalenderdienst zu Zwecken der Vernetzung der türkischen Opposition bereithalte.

Screenshot der gefälschten Adalet-Website
Screenshot der gefälschten Adalet-Website. Über den in der Mitte der Ansicht befindlichen und täuschend echt aussehenden Google Play Link wurde die FinSpy-Malware heruntergeladen.

Nach der Installation erschien die verfahrensgegenständliche Anwendung auf dem Startbildschirm der Benutzer und wurde, gepaart mit einem vertrauenserweckenden Android-Symbol, als „Cloud Service“ angezeigt. Anstatt jedoch der türkischen Opposition organisatorische Cloud-Dienste anzubieten, steckte hinter der Anwendung ein getarnter Malware-Agent. Ausweislich dokumentierter Erfahrungen mit FinSpy-Einsätzen in anderen Ländern entspricht dies dem typischen Verhalten und der Standardkonfiguration von FinSpy.

Android Icon Cloud Service
So erschien die FinSpy-Malware in den Smartphone-Menüs der Betroffenen. Die Malware wurde als „Cloud-Dienst“ angezeigt.

Sobald der Benutzer dann versuchte, die Anwendung zu öffnen, oder wenn das Gerät zum ersten Mal nach dem Download neu gestartet wurde, entfernte sich das vermeintliche Android-Cloud-Symbol vom Startbildschirm. Die Malware wurde für den Nutzer unsichtbar.

Die gefälschte Adalet-Website ging kurz nach der Veröffentlichung des Berichts von Access Now vom Netz. Sie ist in der Wayback Machine archiviert und kann in ihrer damaligen Version vollständig abgerufen werden. Die dort befindliche Malware-Datei, die den Gegenstand der Anzeige bildet, kann dort bis heute heruntergeladen werden.

Einmal auf dem mobilen Endgerät installiert, konnte die Malware ihre Überwachungsfunktionen aufnehmen. Dazu gehört der Zugriff auf Adressbuchinformationen, Kalender- und Telefonanrufaufzeichnungen, Dateisystemen, Screenshots und andere Fotos, die Geolokalisierung, das heimliche Abhören des gesprochenen Wortes durch Aktivierung des gerätinternen Mikrofons, sogenannte „Spycalls“ (versteckte Anrufe zur Ermöglichung der Mikrofonüberwachung), das Sammeln von Kommunikations- und Mediendateien, sowie von Daten aus Messengern wie Line, WhatsApp, Viber, Telegram, Skype, Facebook Messenger, Kakao und WeChat.

E.II. Zurechnung zu FinFisher

E.II.1. Forensische Analyse der Malware

Informatiker der Nichtregierungsorganisation Access Now haben anhand ausführlicher forensischer Analysen der A-Malware und Vergleichen mit älteren bekannten Versionen von FinSpy herausgefunden, dass es sich hierbei aufgrund eklatanter Ähnlichkeiten im Quellcode und in den Metadaten mit an Sicherheit grenzender Wahrscheinlichkeit um FinSpy handeln muss. Verglichen wurden die verfügbaren Quellcode-Samples. Der vollständige Quellcode von FinSpy ist der Software nicht zu entnehmen und bis heute nur dem Hersteller bekannt. Das Quellcode-Sample von FinSpy, der als Vergleich genutzt wurde, stammt von einem Datenleck im Jahr 2014.

Folgende Ergebnisse der forensischen Malware-Analyse sprechen eindeutig für eine Identität der von der gefälschten Adalet-Website herunterladbaren A-Malware mit FinSpy. Eine ausführliche technische Analyse ist dem technischen Anhang zu entnehmen.

Identische Quellcodes: Die Konfigurationsoptionen beider Samples – also jene Teile des Quellcodes, die bestimmen, wie genau die Datei operiert, welche Informationen dem Benutzer des betroffenen Endgeräts verborgen werden, usw. – sind sich extrem ähnlich. Teilweise ist der Quellcode sogar vollständig identisch. Einzelne Funktionen, wie beispielsweise der Programmcode für die Überwachung von telefonischen Gesprächen, sind wortgleich (siehe Technischer Appendix, Teil 1).

Sprachliche Hinweise im Quellcode: Ebenfalls beachtlich sind sprachliche Hinweise im Quellcode der A-Malware. So finden sich im Quellcode mehrfach deutsche Wörter wie „einstellung.html„, was in der internationalisierten Programmiererszene ein eher ungewöhnliches Phänomen darstellt. Noch eindeutiger sind jedoch namentliche Hinweise auf FinFisher, so enthalten bestimmte Kommentare unzweideutige Textfragmente wie „FIN_GIFT“ (siehe Technischer Appendix, Teil 2).

Fortentwicklung entsprechend strategischer Ziele: Jene Unterschiede, die zwischen den Quellcodes der A-Malware und älteren Versionen FinSpy bestehen, entsprechen der seit den ersten Leaks von FinFisher verfolgten Strategie der Verbesserung von Geheimhaltung und Verschleierung. Die Veränderung dient gerade der Behebung jener Probleme, die zu dem damaligen Leak führen konnten.

Die Befunde der Informatiker von Access Now wurden von einem unabhängigen Expertenteam von Cure53, einem deutschen IT-Sicherheitsunternehmen, fachlich verifiziert (Anhang 6). Genauere forensische Analysen sind dem Technischen Appendix (Anhang 1) zu entnehmen und können bei Bedarf selbst anhand der Software-Samples (Anhang 2) durch Sachverständige überprüft werden.

E.II.2. Weitere Indizien

Darüber hinaus sprechen weitere Indizien dafür, dass FinSpy in die Türkei ausgeführt wurde:

FinSpy-Funde durch Microsoft: In seinem Security Intelligence Report für Januar bis Juni 2016 berichtete Microsoft, dass über eine systematische Schwachstelle viele Windows-Nutzer von Malware betroffen waren. Die Malware identifizierte Microsoft eindeutig als FinSpy. Die betroffenen Nutzer kamen zu 84 % aus der Türkei (siehe Technischer Appendix, Teil 3).

Weitere FinSpy Malware in der Türkei: Auch Access Now stellte neben der A-Malware zusätzliche FinSpy-Aktivität in der Türkei fest. Auf Virus Total, einem von Google betriebenen Online-Virenscanner-Werkzeug, wurde im Zuge des zugrundeliegenden Access Now Berichts aus dem Jahre 2018 eine weitere Malware-Kopie aufgefunden, die von als FinSpy identifiziert wurde (im Folgenden: „B-Malware“). Diese B-Malware zeichnet sich durch eindeutige Ähnlichkeiten mit der A-Malware aus (siehe Technischer Appendix, Teil 4).

Weitere FinSpy Malware in Libyen: Auch aus Libyen wurde Malware auf VirusTotal hochgeladen, die von dem Dienst eindeutig als FinSpy identifiziert wurde. Auch diese ist der A-Malware, der B-Malware und FinSpy sehr ähnlich. Weil nicht-kommerzielle Akteure in der Regel nicht dazu in der Lage sind, absolut gleichförmige Malware an verschiedensten Orten der Welt zu verteilen, spricht auch dieser Umstand dafür, dass hinter der gefundenen Malware ein professionellen Hersteller steckt (siehe Technischer Appendix, Teil 5).

Diese Anhaltspunkte zeichnen ein eindeutiges Bild: In der Türkei sowie an anderen Orten außerhalb der Europäischen Union tauchte über einen überschaubaren Zeitraum hinweg gleichförmige Malware auf, deren Quellcode weitestgehend den bisherigen Malware-Funden von FinSpy entspricht.

Es kann sich dabei nur um eine exportierte Version von FinSpy handeln. Denn es ist nicht nur höchst unwahrscheinlich, dass ein nicht-kommerzieller Akteur über die Ressourcen und Expertise verfügt, Malware mit einer Qualität wie FinSpy zu produzieren – der vollständige Quellcode von FinSpy wurde bisher nie außerhalb der Herstellerfirma weitergegeben bzw. gestohlen („geleakt“) – und diese dann weltweit erfolgreich zu vertreiben.

Ein solches Vorgehen wäre auch sinnlos. Für jeden kriminellen Akteur, der darauf abzielt, effektive Spionage-Software zu produzieren, wäre es wesentlich effizienter, diese einfach neu zu konzipieren, anstatt Schritt für Schritt ein hochkomplexes Industrieprodukt zu reproduzieren.

E.III. Zeitpunkt der Software-Ausfuhr

Diverse Charakteristika der A-Malware belegen in der forensischen Analyse, dass sie zwischen September und Oktober 2016 erstellt wurde, mithin nach der Einführung der Genehmigungspflichten in die Dual-Use-Verordnung zum 1. Januar 2015 und in die Außenwirtschaftsverordnung zum 18. Juli 2015.

Der erste Hinweis ist in der Datei „build-data.properties“ enthalten, die durch einfaches Entpacken der ursprünglichen Datei überprüft werden kann. Diese Datei enthält Metadaten zur Kompilierung der Androidanwendung, insbesondere einer von ihr verwendeten Bibliothek namens „GMSCore“. Dort lässt sich ablesen, dass die Systemkomponente „GMSCore“ aus der A-Malware nicht vor dem 23. September 2016 erstellt worden sein kann.

build.time=Fri Sep 23 14\:39\:54 2016 (1474666794)

Zwar ist es mit enormem technischen Aufwand möglich, zentrale Metadaten der Grundbestandteile der Malware zu verändern. Hierin läge aber für den Entwickler keinerlei operativer Vorteil. Vielmehr würde es für die Fortentwicklung der Software erhebliche Verwirrung stiften, wenn diese Bestandteile nicht mehr zeitlich zuordenbar wären.

Außerdem befindet sich in dem Dateibestandteil „META-INF/MANIFEST.MF“ ein Hinweis auf eine Android-Entwicklungssoftware namens „Gradle“ in der Version 2.2.1., mit der Android-Programme erstellt werden können.

Manifest-Version: 1.0
Built-By: Generated-by-ADT
Created-By: Android Gradle 2.2.1

Die Version 2.2.1 wurde jedoch erst im September 2016 veröffentlicht, so dass auch der FinFisher-Trojaner nicht vorher entwickelt worden sein kann,

Darüber hinaus wurde auch die digitale Signatur der A-Malware, ausweislich der hierin enthaltenen Informationen erst am 10. Oktober 2016 erstellt:

Owner: CN=RMS
Issuer: CN=RMS
Serial number: 36891ece
Valid from: Mon Oct 10 05:17:01 CEST 2016 until: Fri Oct 04 05:17:01 CEST 2041
Certificate fingerprints:
SHA1: 98:5D:08:CD:5F:1B:B3:30:28:CA:C6:20:AE:D1:93:2D:DD:26:91:E1
SHA256: 1E:62:1A:88:3B:CD:9D:1B:D6:D5:61:11:C4:88:EE:10:D4:67:1D:2C:A6:64:F7:27:FE:72:59:47:8A:68:79:67
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Somit kann die A-Malware nicht vor Oktober 2016 erstmalig exportiert worden sein. (vgl. Technischer Appendix, Teil 6)

Die unter E.II.2. beschriebene B-Malware indiziert zudem, dass die türkische Regierung auch weit nach Oktober 2016 mit FinSpy beliefert wurde. Die VirusTotal-Analyse zeigt, dass die B-Malware am 18. Juli 2017 erstellt und am 21. Juli 2017 auf die VirusTotal-Website hochgeladen wurde. Dies bedeutet, dass FinSpy-Versionen bis mindestens Juli 2017 in die Türkei exportiert wurden. (vgl. Technischer Appendix, Teil 4.)

E.IV. Keine Genehmigung der Ausfuhr

Weder die FinFisher GmbH, noch die die Elaman GmbH oder die FinFisher Labs GmbH haben eine Genehmigung zur Ausfuhr der Software in die Türkei oder irgendein anderes außereuropäisches Land erhalten.

Auf eine Kleine Anfrage sowie mehrere schriftliche Anfragen im Deutschen Bundestag zu dem oben beschriebenen Sachverhalt antwortete die Bundesregierung, dass sie seit Einführung der Software-Genehmigungspflicht im Jahre 2015 keinem Unternehmen eine Genehmigung zur Ausfuhr von Intrusion-Software wie FinSpy erteilt habe. Hinsichtlich strafrechtlicher Ermittlungen verwies sie auf die örtlich und sachlich zuständigen Staatsanwaltschaften.

Zuletzt bestätigte die Bundesregierung am 19. Juni 2019, dass sie zwar in 13 Fällen Exportgenehmigungen für Technologie zur Telekommunikationsüberwachung und in 15 Fällen für Ausrüstung für Überwachungszentren erteilt hat. Sie wies hingegen explizit darauf hin, nie eine Exportgenehmigung für „Intrusion Software“ (im Sinne der Güterlistennummer 4D004 der Dual-Use-Verordnung) erteilt zu haben.

Bei FinSpy handelt es sich um Intrusion-Software in diesem Sinne.

F. Rechtliche Würdigung

Es besteht danach der Verdacht, dass sich die Verdächtigen durch die Ausfuhr von FinSpy in die Türkei zwischen Oktober 2016 und Juni 2017 ohne die erforderliche Genehmigung nach § 18 Abs. 2 Nr. 1 sowie § 18 Abs. 5 Nr. 1 des Außenwirtschaftsgesetzes (AWG) strafbar gemacht haben:

Die Ausfuhr von FinSpy war zum Zeitpunkt der Ausfuhr genehmigungspflichtig (dazu unter F.I). Die Verdächtigen haben FinSpy ausgeführt, ohne die dafür erforderliche Genehmigung zu besitzen (dazu unter F.II). Es handelt sich dabei um eine, soweit ersichtlich, vorsätzlich begangene Straftat (dazu unter F.III), die Straftat ist nicht verjährt (dazu unter F.IV).

F.I. Genehmigungspflicht der Ausfuhr von FinSpy

Die Ausfuhr von FinSpy war zum Zeitpunkt der Ausfuhr genehmigungspflichtig. Die Genehmigungspflicht resultiert sowohl aus § 8 Abs. 1 Nr. 2 der Außenwirtschaftsverordnung (AWV) i.V.m. Teil I Abschnitt B, Code 5D902 lit. a) i.V.m. 5A902 der Ausfuhrliste (1.), als auch aus Art. 3 Abs. 1 i.V.m. Anhang I Code 4A005 der Dual-Use-Verordnung (2.).

F.I.1. Genehmigungspflicht gemäß Außenwirtschaftsverordnung

Gemäß § 8 Abs. 1 Nr. 2 AWV i.V.m. Teil I Abschnitt B, Code 5D902 lit. a) i.V.m. 5A902 der Ausfuhrliste ist die Ausfuhr von Software, die der Einrichtung von Überwachungssystemen der Kommunikations- und Informationstechnik dient, genehmigungspflichtig. Bei FinSpy handelt es sich um eine Software, die der Einrichtung von Überwachungssystemen der Kommunikations- und Informationstechnik dient. FinSpy ermöglicht den verdeckten Zugriff auf Telefon- und VoIP-Konversationen, Datensysteme, Bildschirm- und andere Fotos, Standortdaten, die Mikrofone und Verbindungsdaten der Mobiltelefone der Betroffenen sowie auf diverse Applikationen. Hierdurch können vielfältige vertrauliche Telekommunikationsdaten der Betroffenen von der Intrusion-Software abgefangen werden. (vgl. Abschnitt E.I)

FinSpy wird auch nicht von den Bereichsausnahmen der, der Ausfuhrliste vorangestellten, „Allgemeinen Software-Anmerkung“ erfasst, da sie weder frei erhältlich noch allgemein zugänglich im Sinne der Legaldefinitionen der Begriffsbestimmungen ist.

Soweit die A-Malware lediglich als Wartung oder Update einer früheren Fassung von FinSpy zu bewerten sein sollte, unterliegt auch dies der Genehmigungspflicht, da gem. Teil I Abschnitt B, Code 5D902 der Ausfuhrliste die Lieferung von Software zur „Verwendung“ von Überwachungseinrichtungen i.S.v. 5A902 auch Wartungsleistungen erfasst. In den Begriffsbestimmungen der Ausfuhrliste wird „Verwendung“ definiert als „Betrieb, Aufbau (einschließlich Vor-Ort-Aufbau), Wartung (Test), Reparatur, Überholung, Wiederaufarbeitung.“

Die Genehmigungspflicht besteht bereits seit dem 18. Juli 2015, und damit auch zum mutmaßlichen Zeitpunkt der Ausfuhr zwischen Oktober 2016 und Juni 2017.

Es existieren keine Übergangsvorschriften. Selbst etwaige bestehende Vertragspflichten, die bereits vor dem 18. Juli 2015 eingegangen wurden und zukünftige Updates oder Wartungen beinhalten könnten, stünden der Genehmigungspflicht nicht entgegen. § 1 Abs. 1 AWV differenziert zwischen genehmigungsbedürftigen Rechtsgeschäften und genehmigungsbedürftigen Handlungen. In § 2 Abs. 3 AWG wird die Ausfuhr als rein tatsächliche Handlung legaldefiniert.

F.I.2. Genehmigungspflicht gemäß Dual-Use-Verordnung

Die Genehmigungspflicht aus der Dual-Use-Verordnung resultiert aus Art. 3 Abs. 1 i.V.m. Anhang I Code 4A005. Bei FinSpy handelt es sich aufgrund der o.g. umfassenden Überwachungsfunktionen um „Intrusion-Software“, die im Sinne der Legaldefinition „besonders entwickelt oder geändert wurde, um die Erkennung durch ‚Überwachungsinstrumente‘ zu vermeiden, oder ‚Schutzmaßnahmen‘ eines Rechners oder eines netzfähigen Gerätes zu umgehen“ und die Operation der „Extraktion von Daten oder Informationen aus einem Rechner oder einem netzfähigen Gerät oder Veränderung von System- oder Benutzerdaten“ auszuführen.

Die Genehmigungspflicht für Intrusion-Software aus der Dual-Use-Verordnung bestand bereits zum mutmaßlichen Zeitpunkt der Ausfuhr zwischen Oktober 2016 und Juni 2017, denn sie wurde mit der Delegierten Verordnung (EU) Nr. 1382/2014 der Kommission mit Wirkung zum 1. Januar 2015 in die Dual-Use-Verordnung eingeführt. Übergangsvorschriften existieren nicht.

F.II. Ausfuhr ohne erforderliche Genehmigung

Die Verdächtigen haben FinSpy mutmaßlich zwischen Oktober 2016 und Juni 2017 in die Türkei ausgeführt.

Die Ausfuhr von Software ist in § 2 Abs. 3 Nr. 2 AWG legaldefiniert als:

die Übertragung von Software und Technologie aus dem Inland in ein Drittland einschließlich ihrer Bereitstellung auf elektronischem Weg für natürliche und juristische Personen in Drittländern.

Die Dual-Use-Verordnung versteht gemäß Art. 2 Nr. 2 lit. iii) unter Ausfuhr:

die Übertragung von Software oder Technologie mittels elektronischer Medien wie Telefax, Telefon, elektronischer Post oder sonstiger elektronischer Träger nach einem Bestimmungsziel außerhalb der Europäischen Gemeinschaft; dies beinhaltet auch das Bereitstellen solcher Software oder Technologie in elektronischer Form für juristische oder natürliche Personen oder Personenvereinigungen außerhalb der Gemeinschaft. Als Ausfuhr gilt auch die mündliche Weitergabe von Technologie, wenn die Technologie am Telefon beschrieben wird.

Wie unter Abschnitt E beschrieben liegen zahlreiche Belege für die Verwendung von FinSpy durch einen türkischen Abnehmer vor. Die auf der falschen Adalet-Website gefundene A-Malware ist mit an Sicherheit grenzender Wahrscheinlichkeit die FinSpy-Malware, wie sie von den Verdächtigen produziert und vertrieben wird. (vgl. Abschnitt E.II)

Eine Analyse der Software zeigt, dass die A-Malware frühestens im Oktober 2016 hergestellt wurde. (vgl. Abschnitt E.III)

Es spricht vieles dafür, dass die Entwicklung und der Vertrieb von FinSpy und anderen FinFisher-Produkten in München stattfindet.

Insbesondere wird FinSpy nicht mehr in England produziert und vertrieben. Im OECD-Verfahren gegen die Gamma International (UK) Limited, in dem die britische Kontaktstelle Verstöße gegen die OECD-Leitsätze für multinationale Unternehmen festgestellt hat, hat der Unternehmensvertreter von Gamma darauf hingewiesen, dass Exporte von FinFisher-Produkten aus Großbritannien im April 2012 eingestellt wurden:

Gamma hat es abgelehnt, der britischen Nationalen Kontaktstelle mitzuteilen, ob eine Lieferung erfolgt ist (aus Gründen der Kundenvertraulichkeit), aber der britischen Nationalen Kontaktstelle mitgeteilt, dass die Gamma International UK Limited im April 2012 alle Exporte von FinFisher-Software eingestellt hat und kurz darauf (etwa im Juli 2012) alle Exporte von Hardwarekomponenten des Systems eingestellt hat (einige Komponenten wurden später im Jahr 2012 weiterhin nach Deutschland geliefert, aber nicht als Exporte).

Die FinFisher Labs GmbH mit Sitz in München ersetzte mit Handelsregistereintrag vom 26. September 2013 die Gamma International GmbH. Die FinFisher GmbH mit Sitz in München ersetzte mit Handelsregistereintrag vom 13. Oktober 2013 die Gamma International Sales GmbH. Die FinFisher Limited mit Sitz in Winchester, Vereinigtes Königreich ist am 24. Februar 2014 aufgelöst worden.

Die Elaman GmbH, die FinFisher GmbH und die FinFisher Labs GmbH befassen sich nach den Einträgen im Handelsregister mit Handel und Vertrieb einschlägiger Softwareprodukte. Keines der drei Unternehmen besaß eine Genehmigung für eine Ausfuhr nach Januar 2015.

F.III. Strafrechtliche Verantwortlichkeit der Verdächtigen

Durch die ungenehmigte Ausfuhr von FinSpy zwischen Oktober 2016 und Juni 2017 haben sich die Verdächtigen gemäß § 18 Abs. 2 Nr. 1 AWG sowie § 18 Abs. 5 Nr. 1 Außenwirtschaftsgesetz strafbar gemacht. Der Sachverhalt legt nahe, dass die Verdächtigen vorsätzlich gegen die Ausfuhrbestimmungen verstoßen haben (und nicht lediglich eine Ordnungswidrigkeit gemäß § 19 Abs. 1 AWG begangen wurde).

Die Verdächtigen waren im besagten Zeitraum Geschäftsführer der Elaman GmbH, der FinFisher Labs GmbH bzw. der FinFisher GmbH. Da die Firmen nur an den überschaubaren Kundenkreis von Regierungen und regierungsnahe Organisationen liefern, besteht kein Zweifel, dass sie Kenntnis von allen laufenden Lieferbeziehungen mit ausländischen Regierungen – wie in diesem Fall der Türkei – haben müssen. Weder sind die Unternehmen so groß noch die Zahl der potentiellen Abnehmer von FinSpy so hoch, dass es naheliegend wäre, Ausfuhrentscheidungen ohne Kenntnis der Geschäftsführer zu treffen und durchzuführen.

Die Tatsache, dass die Bundesregierung, ausweislich ihrer Auskunft vom 19. Juni 2019, seit Januar 2015 keine Ausfuhrgenehmigung für genehmigungspflichtige Intrusion-Software erteilt hat, deutet zudem entweder darauf hin, dass die Ausfuhr von entsprechender Software kein alltägliches Geschäft ist, was umso mehr für eine Kenntnis der Geschäftsführer spräche, oder aber darauf, dass in den letzten Jahren über die Geschäfte mit der Türkei hinaus auch zahlreiche weitere Ausfuhren unter Verstoß gegen die Ausfuhrbestimmungen stattgefunden haben.

Der Tatverdacht richtet sich auch gegen die jeweiligen Verantwortlichen auf den ausführenden Ebenen im Unternehmen, die hier wegen fehlender Kenntnis der Unternehmensstrukturen nicht namentlich benannt werden können.

F.IV. Verjährung

Da nahe liegt, dass die Verdächtigen FinSpy bis Juli 2017 in die Türkei ausgeliefert haben, (vgl. Anhang 1, Teil 4) verjährt die Strafbarkeit gem. § 18 Abs. 2 Nr. 1 und § 18 Abs. 5 Nr. 1 AWG nicht vor Juli 2020 (§ 78 Abs. 3 Nr. 5 StGB).

G. Mögliche Ermittlungsmaßnahmen

Wir regen an, den Sachverhalt durch die nachfolgenden Ermittlungsmaßnahmen weiter aufzuklären:

Vernehmung folgender sachverständiger Zeugen:

Durchsuchungen und Beschlagnahmen:

Durchsuchung der Unternehmensräume der vorbezeichneten Unternehmen in München und Beschlagnahme von Unterlagen und Datenträgern, Sicherstellung von

  • Kopien der FinSpy Schadsoftware, dabei werden voraussichtlich Kopien aufgefunden werden können, die mit der verfahrensgegenständlichen A-Software identisch sind,
  • Kundenkorrespondenzen mit der türkischen Regierung oder anderen einschlägigen Akteuren sowie interne Korrespondenz, welche Aufschluss über die Handlungen und das Wissen der Verdächtigen und weiterer Unternehmensangehöriger geben,
  • andere Unterlagen, die auf den oben angeführten Sachverhalt hindeuten, insbesondere zu den Erlösen aus ungenehmigten Exporten, was für die Abschöpfung der so erzielten Vermögenswerte wesentlich sein dürfte.

Mit freundlichen Grüßen

  • Ulf Buermeyer, Gesellschaft für Freiheitsrechte (Vorsitzender)
  • Miriam Saage-Maaß, European Center for Constitutional and Human Rights (Vice Legal Director)
  • Christian Mihr, Reporter ohne Grenzen (Geschäftsführer)
  • Andre Meister, netzpolitik.org

H. Anhänge

  1. Technischer Appendix
  2. USB-Stick
  3. Handelsregisterauszüge
  4. Access Now: FinFisher changes tactics to hook critics (Mai 2018)
  5. Microsoft: Security Intelligence Report, Band 21 (Februar 2017)
  6. IT-Firma Cure53: Überprüfung der Aussagen des Access Now Berichts (März 2018)

Anhang 1: Technischer Appendix

A. Konfigurationsoptionen

Forensische Vergleiche einer im Jahr 2014 öffentlich gewordenen Version von FinSpy mit der A-Malware zeigen, dass die Quellcodes beider Malwares praktisch identisch sind, sodass es sich definitiv um verschiedene Versionen derselben Malware handelt (vgl. A-Malware in Anhang 1 und FinSpy 2014 in Anhang 2). So stimmen die Konfigurationsoptionen der A-Malware sowie der 2014 öffentlich gewordenen Version von FinSpy nahezu überein.

Dabei handelt es sich um jene Teile des Quellcodes, die maßgeblich bestimmen, wie genau die Malware arbeitet, beispielsweise welche Informationen des Benutzers des Endgeräts abgegriffen werden.

Dass es sich bei der A-Malware um exakt jene Malware handelt, mittels derer im Jahr 2017 auf der türkischen Adalet-Website Oppositionspolitiker angegriffen wurden, kann leicht nachvollzogen werden. Dazu muss lediglich die Datei, die dieser Anzeige beigefügt ist, mit der Datei verglichen werden, die von der auf archive.org archivierten Adalet-Website abrufbar ist. Hierbei wird deutlich, dass beide Dateien dieselbe kryptographische Prüfsumme (sog. Hash) aufweisen. Eine solche Prüfsumme ist ein eindeutiger digitaler Fingerabdruck einer Datei, sodass es sich bei Übereinstimmung zweier Prüfsummen wie hier um dieselbe Datei handelt.

Doch die A-Malware ist nicht nur mit der von Forschern im August 2014 veröffentlichten FinSpy-Stichprobe praktisch identisch. Auch zwischen ihr und einer neueren Version aus dem Juli 2015 teilt sie mehr als 90% ihres Quellcodes. Abgesehen von eher kosmetischen Unterschieden – nämlich Änderungen, die zur Verschleierung des Herstellers führen sollten – , verwendet die A-Malware den gleichen Code wie frühere FinSpy-Samples. So ist beispielsweise der Code, der für die Aufzeichnung von Telefonaten verwendet wird, praktisch identisch, bis hin zur Verwendung des gleichen Musters für die Dateinamen der aufgezeichneten Daten („tmp460“ + Zeitstempel in Millisekunden + „.dat„).

Quelltext
Links: Quelltext der FinSpy-Malware 2014. Rechts: Quelltext der A-Malware 2017.

Dass zwei unabhängig voneinander entwickelte Überwachungsprogramme rein zufällig exakt dieselbe Namenskonvention verwenden ist eine rein theoretische Möglichkeit und kann ausgeschlossen werden.

B. Textliche Hinweise

Im Code der A-Malware sind diverse Wörter in deutscher Sprache auffindbar. Diese treten vermehrt in Einstellungs-Dateien mit dem Namen „einstellung.xml“ auf.

Das spricht für eine Entwicklung durch einen deutschen Hersteller und jedenfalls gegen eine Eigenentwicklung durch türkische Stellen.

Darüber hinaus gibt es tief in den Code eingebettete Hinweise, die auf den ursprünglichen Titel der A-Malware hinweisen, wie z.B. der Text „FIN_GIFT„.

new StringBuilder("id_").append(Thread.currentThread().getId()).append("FIN_GIFT CheckRootFunctionality_Root_fG").toString();

Beide Indizien zusammengenommen verweisen eindeutig auf den in Deutschland ansässigen Hersteller FinFisher.

C. Microsoft Security Report

Aus dem Microsoft Security Intelligence Report für Januar bis Juni 2016 ergeben sich weitere Indizien für einen türkischen Kauf von FinSpy.

Im Dezember 2016 vermeldete Microsoft das Auftauchen eines Zero-Day-Exploits, also einer bisher unbekannten herstellerseitigen Sicherheitslücke im Windows-Betriebssystem. Angreifer nutzten hierbei den Adobe Flash Player, um die Windows-Sicherheitsarchitektur zu kompromittieren. Diese Sicherheitslücke wurde ausgenutzt, um eine Malware zu installieren, die Microsoft als FinSpy identifizierte. Microsoft benutzte hierbei das der Firma eigene Namensschema und nutzte „Neomydium“ als Bezeichnung für FinFisher und „Wingbird“ für FinSpy.

Darüber hinaus erklärte Microsoft, dass von der Sicherheitslücke Dutzende Opfer betroffen waren; die weit überwiegende Mehrheit hiervon befand sich in der Türkei.

Tortendiagramm
FinSpy-Opfer, durch Microsoft nach Ländern eingeteilt. Microsoft Security

Dass die Türkei als vorrangiges Ziel des Angriffs auserkoren war, schlussfolgerte Microsoft außerdem daraus, dass die Malware über Websites und Tweets in türkischer Sprache als Köder verbreitet wurde.

Ködernachricht
Die türkischsprachige Ködernachricht, mit der FinSpy laut Microsoft in der Türkei verbreitet wurde. Microsoft Security

Darüber hinaus bestätigen die Ergebnisse von Microsoft die unter 1. und 2. dargestellten forensischen Software-Analyse. Die von Microsoft identifizierte Version von FinSpy zeigt im Vergleich zur A-Malware ein zum Verwechseln ähnliches Verhalten, einschließlich der Verwendung desselben Domain-Dienstleisters.

Exploit-Kette
Exploit-Kette der von Microsoft identifizierten FinSpy-Version. Microsoft Security

D. Weitere FinSpy-Malware in der Türkei

Die hier als A-Malware bezeichnete FinSpy-Version war jedoch nicht die einzige, die in der Türkei eingesetzt wurde. Vielmehr wurde am 21. Juli 2017 auf die Website „VirusTotal“, einen Internet-Dienst zur Identifikation und Archivierung von Schadsoftware, eine Datei hochgeladen, die im Folgenden als B-Malware bezeichnet wird. Sie kann bis heute abgerufen werden.

Die Datei ist mittels des SHA-256-Hashes „23f154723213452634abe6063fd07bd3a38700a6b0ba4117db3224ae1411dada“ eindeutig zu identifizieren.

Sie wurde von VirusTotal als „FinSpy“ bzw. als „Belesak“ erkannt. Letzteres ist eine alternative, unter Antivirus-Experten gängige Bezeichnung für FinSpy. Da die B-Malware intern dieselben Zeichenketten verwendet wie die A-Malware muss sie zur gleichen Malware-Familie gehören. So bezeichnen beide eine Programmkomponente als org.customer.fu.S5tartVers10n und verwenden außerdem den Paketnamen org.tech.fu. Mithin erscheint es höchstwahrscheinlich, dass auch die B-Malware von FinFisher hergestellt wurde.

Die Virus-Identifikationsmechanismen von Virus Total sind höchst zuverlässig. Das von Google angebotene VirusTotal nutzt die sogenannte „YARA binary identification„, einen anerkannten Industriestandard. Dabei werden in der ausführbaren Datei bestimmte charakteristische Merkmale – beispielsweise Zeichenketten – gesucht und verglichen. Wenn also VirusTotal die hochgeladene Datei als FinSpy identifiziert, so muss gemäß Industriestandard davon ausgegangen werden.

An der B-Malware kann darüber hinaus abgelesen werden, dass die türkischen FinFisher-Kunden bis in den Juli 2017 hinein Zugriff auf FinSpy hatten, FinFisher die hauseigene Malware also bis dahin ausführte.

Denn die digitale Signatur der B-Malware belegt, dass die Datei erst am 18. Juli 2017 unterschrieben wurde. Da die Signatur seitens des in München ansässigen Herstellers angebracht wird, wie in den nächsten Abschnitten zu zeigen sein wird, kann die Software unmöglich vor diesem Datum exportiert worden sein.

Issuer: CN=e, OU=e, O=e, L=e, ST=e, C=e
Serial number: 5257eb4f
Valid from: Tue Jul 18 14:01:19 CEST 2017 until: Sat Dec 03 13:01:19 CET
2044
Certificate fingerprints:
SHA1: 35:D6:63:83:05:EB:5E:46:FB:FF:BE:17:AA:6A:27:3B:E9:9B:A6:3F
SHA256: EE:7B:3C:44:DB:67:5C:03:B3:FA:A2:18:93:27:69:63:FD:02:F9:9C:BA:D7:97:2A:FD:BE:OC:FA:1A:50:27:3D
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Alle analytischen Schritte können anhand einer Analyse der B-Malware, die dieser Anzeige angehängt ist, nachvollzogen werden.

E. FinSpy-Sample in Libyen

Der Vergleich zweier FinSpy-Versionen, die mit demselben Zertifikat digital signiert wurden, beweist, dass diese digitalen Unterschriften tatsächlich bereits vom Hersteller angebracht werden.

Zunächst belegt eine Analyse der Metadaten und Software-Eigenschaften jener Malware, die aus Libyen auf die VirusTotal-Website hochgeladen wurde, dass es sich auch hierbei um FinSpy handeln muss. Denn die libysche Malware wurde mit demselben kryptographischen Schlüssel und demselben Zertifikat wie die A-Malware unterschrieben.

Certificate Attributes
Valid From	03:17 AM 10/10/2016
Valid To	03:17 AM 10/04/2041
Serial Number	36891ece
Thumbprint	985d08cd5f1bb33028cac620aed1932ddd2691e1

Beide Dateien teilen das gleiche Zertifikat, das gleiche Erstellungsdatum und den gleichen Seriennamen.

Die Verwendung desselben Zertifikats zum Signieren von Software, die mit zwei verschiedenen Kommando-Servern kommunizieren sollen und in zwei verschiedenen Ländern verwendet wurden, belegt, dass diese Schlüssel von den ursprünglichen Entwicklern – also FinFisher – und nicht von den Endkunden oder Betreibern digital signiert wurden.

F. Zeitpunkt der Übermittlung

Die forensische Analyse der A-Malware zeigt außerdem, dass sie nach dem 1. Januar 2015, als die entsprechende Ergänzung der Dual-Use-Verordnung für Intrusion-Software in Kraft trat, ausgeführt sein worden muss. So weisen diverse Eigenschaften der A-Malware „Adaleticinyuru.apk“ auf September und Oktober 2016 als Erstellungszeitpunkte hin.

Der erste Beleg ist in der Datei „build-data.properties“ enthalten, die durch einfaches Entpacken der ursprünglichen APK-Datei (die im Wesentlichen nur ein Zip-Archiv ist) überprüft werden kann. Diese Datei enthält Metadaten zur Erstellung einer Bibliothek namens „GMSCore“, die in der A-Malware enthalten ist. Aus diesen Metadaten ergibt sich, dass zur Herstellung von „GSMCore“ das System „Blaze“ eingesetzt wurde. Die verwendete Version des „Blaze“-Systems wiederum wurde erst am 9. Juli 2016 veröffentlicht:

build.tool=Blaze, release blaze-2016.07.09-3 (mainline @126938038)

Daher kann die Komponente „GSMCore“ in der A-Malware nicht vor diesem Tag erstellt worden sein, mithin auch nicht die A-Malware selbst.

Zweitens ist in diesen Daten das Datum enthalten, an dem die Version von „GSMCore“ in der A-Malware erstellt wurde, nämlich der 23. September 2016:

build.time=Fri Sep 23 14\:39\:54 2016 (1474666794)

Da „GMSCore“ einen integralen Funktionsbestandteil der Malware darstellt, folgt daraus, dass die FinSpy-Version der A-Malware nicht vor dem 23. September 2016 erstellt und mithin auch nicht ausgeführt worden sein kann.

Dasselbe ergibt sich auch aus einer anderen Datei. Denn in dem Dateibestandteil „META-INF/MANIFEST.MF“ wird auf die Software „Android Gradle Version 2.2.1.“ verwiesen. Android Gradle ist eines der Software-Werkzeuge, die Programmierer beim Entwickeln von Android-Programmen verwenden. Die Android-Gradle-Version 2.2.1 wurde jedoch erst im September 2016 veröffentlicht.

Manifest-Version: 1.0
Built-By: Generated-by-ADT
Created-By: Android Gradle 2.2.1

Vor Veröffentlichung der Android-Gradle-Version 2.2.1 war eine Erstellung und Ausfuhr einer Software, die – wie die A-Malware – auf diese Version verweist, naturgemäß nicht möglich.

Außerdem beinhaltet die Datei „AndroidManifest.xml“ die folgenden Metadaten:

<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="1" android:versionName="1.0" package="org.tech.fu" platformBuildVersionCode="24" platformBuildVersionName="7.0">

Hieraus geht hervor, dass die A-Malware mittels der Version 24 des Android Entwicklungssystems übersetzt wurde. Version 24 bezieht sich auf Android 7.0 „Nougat“, das auch erst im September 2016 veröffentlicht wurde.

Darüber hinaus wurde auch die digitale Signatur der A-Malware ausweislich der hierin enthaltenen Informationen erst am 10. Oktober 2016 erstellt:

Owner: CN=RMS
Issuer: CN=RMS
Serial number: 36891ece
Valid from: Mon Oct 10 05:17:01 CEST 2016 until: Fri Oct 04 05:17:01 CEST 2041
Certificate fingerprints:
SHA1: 98:5D:08:CD:5F:1B:B3:30:28:CA:C6:20:AE:D1:93:2D:DD:26:91:E1
SHA256: 1E:62:1A:88:3B:CD:9D:1B:D6:D5:61:11:C4:88:EE:10:D4:67:1D:2C:A6:64:F7:27:FE:72:59:47:8A:68:79:67
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

All die oben genannten Elemente weisen also sämtlich darauf hin, dass die A-Malware nicht vor September oder Oktober 2016 erstellt und damit auch nicht vor diesem Zeitpunkt ausgeführt worden sein kann.

14 Ergänzungen
  1. Vielen Dank für diese tiefgehende Recherche durch euch. Ich denke das sollte doch mal als Anfangsverdacht reichen um eine umfangreiche Durchsuchung und Beschlagnahmung von Informationen bei dieser „Firma“ vornehmen zu lassen.

    Solche Staatstrojaner in den Händen Diktatorischer Länder sind für Menschen die sich für Demokratie einsetzen mindestens genau so gefährlich wie Waffen. Letzendlich hat der Export solcher Technologie zur Folge das unschuldige Menschen inhaftiert oder gar gefoltert werden. Existenzen zerstört sind. Entsprechend streng sollten daher auch die Export Vorschriften sein und durchgesetzt werden.

    Meiner Meinung nach sollten hier bei Verstößen die gleichen Strafen verhängt werden wie die beim illegalen Handel/Export von Militärtechnologie. Eine „Firma“ die sowas macht gehört zudem dicht gemacht und zwar dauerhaft und die verantwortlichen in den Knast.

  2. Es wäre ja auch denkbar daß diese Software eben von den Käufern, wenn es sich dabei um Diktaturen handelt auch gegen deutsche Staatsbürger oder gar staatliche Institutionen verwendet werden kann.

    Sollten hier illegale Exporte stattgefunden haben wäre das also im Grunde auch ein Fall für die Spionage Abwehr bzw. den Verfassungsschutz um zu prüfen ob die illegal exportierte Technik nicht auch möglicherweise gegen die Bundesrepublik verwendet wurden.

    Staatsaufträge sollten zudem besser nicht mehr an eine solch unzuverlässige Firma vergeben werden.

    1. Durch reverse Engineering kann eine Diktatur wie die Türkei auch die Funtkionsweise eines solchen Trojaners nachvollziehen. Dadurch könnten Sie dann die Sicherheitslücken finden welcher diese verwendet und Sie nutzen um eigene Spionagesoftware zu verwenden. Wenn diese Informationen z.B. an Cyber Kriminelle durchsickern könnten Sie auch für kommerzielle Hacks verwendet werden.

      Das entsprechende Wissen das hier illegal verkauft wurde kann also auch auf indirektem Wege sehr schädlich sein. Am Ende sind es dann wieder irgendwelche Krankenhäuser die mit Krypto Trojanern erpresst werden usw deren Technologie zum teil eben aus solchen Quellen stammt.

      Sehr wichtig wäre es nun die Sicherheitslücken die finfisher verwendet an Google und Microsoft zu melden, so das diese geschlossen werden können bevor dritte hier noch unsäglichen Schaden damit anrichten können.

    2. hi Horst Winzer

      Diese Software wurde und WIRD in Deutschland eingestzt. Es ist bekannt, dass die Geheimdienste allesamt Zugriff auf die Telekom-Netze und die Netze von anderen TKUE-Betreibern haben!!

      Siehe hier:

      https://www.tagesspiegel.de/politik/internetueberwachung-nsa-soll-zugriff-auf-telekom-netz-haben/10697856.html

      oder hier:

      https://www.sueddeutsche.de/digital/digitale-ueberwachung-die-schatzkarte-der-nsa-1.2128424

      Von daher: FinFisher wird auch ueber diesen Weg verschleudert und andere Staatstrojaner wie StrongPity2 ebenfalls (wurde bereits von ESET downgelegt).

  3. Gute Arbeit! Ich kenne mich mit dem Thema nicht besonders aus, aber kann es sein, dass die Software faktisch gar nicht in Deutschland gespeichert ist, sondern evtl. in einem Land mit laxen Ausfuhrbestimmungen? In Deutschland wird dann über eine Online-IDE an der Software gearbeitet, die aber praktisch sonst wo gespeichert ist, sodass es sich um keine Ausfuhr aus Deutschland handeln würde. Oder ist das unerheblich?

  4. Sehr gut! Ich denke allerdings, so einfach wird das Ganze nicht werden. Deren Argumentation dürfte sein, dass die Software gar nicht in D hergestellt wird, sondern nur nicht funktionsfähige Komponenten, die dann vor Ort von entsprechenden Tochtergesellschaften zusammengebaut und vertrieben werden. Würde mich sehr wundern, wenn es da direkte Geschäftsbeziehungen (aka Rechnungen) zwischen den dt. GmbHs und z.B. dem türkischen Innenministerium gibt. Soweit ich weiß, ist das ein gängiger Trick im Rüstungs- und Sicherheitsbereich.

  5. Äthiopien ist seit 1995 demokratisch und hat regelmäßige Wahlen. 2018 ist eine Frau ins Amt gewählt worden und ihr Vorgänger hat den Frieden mit Eritrea auf den Weg gebracht und die Grenze geöffnet was viele Familien nach über 40 Jahren wieder zusammengeführt hat. Das sind nicht gerade die merkmale einer Diktatur.

  6. Eine Frage: Hat es denn nun schon konkrete Maßnahmen gegen die angezeigten Personen und Firmen gegeben, zB Durchsuchungen, Sicherstellungen, etc.? Ich vermute, dass ja, denn andererseits wäre die Veröffentlichungen eurer Strafanzeige hier eine massive Vorwarnung an die Beschuldigten. – In der Presse habe ich jedenfalls noch nichts davon gelesen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.