RCIS, FinFisher, Pegasus – Polizei und Geheimdienste in Deutschland besitzen eine ganze Reihe an Staatstrojanern, mit denen sie Geräte hacken und überwachen. Die Liste gekaufter Schadsoftware könnte wohl noch länger sein, aber Bundesregierung und Behörden verweigern fast jede substantielle Auskunft. Möglicherweise kommt ein bisher wenig beachteter Staatstrojaner hinzu: Candiru.
Im Amazonas gibt es einen parasitären Fisch, dem nachgesagt wird, dass er in die Harnröhre von Männern schwimmen kann und dort Blut saugt. Deshalb wird er Harnröhrenwels oder Penisfisch genannt. Der lokale und englische Name ist „Candiru“. Diesen Namen hat sich eine israelische Staatstrojaner-Firma gegeben, wohl in Anlehnung an ihr Produkt.
Keine Webseite, über hundert Opfer
Vor zwei Jahren enthüllte der israelische Journalist Amitai Ziv die Existenz der 2015 gegründeten Firma in der Tageszeitung Haaretz. Ein Eigentümer von Candiru hat zudem die Pegasus-Firma NSO gegründet: Isaac Zack. Wie NSO und andere israelische Hacking-Firmen rekrutiert Candiru viele Mitarbeiter vom Militär-Geheimdienst. Die Firma hat keine Webseite, scheut die Öffentlichkeit und ändert öfter den Namen.
Während andere Trojaner vor allem Smartphones angreifen, hat sich Candiru zunächst darauf spezialisiert, „Computer und Server“ zu hacken. Mittlerweile kann Candiru alle möglichen Systeme infizieren: iPhones, Androids, Macs, Windows-PCs und Cloud-Accounts. Als Einfallstor dienen unter anderem den Herstellern unbekannte Schwachstellen – ein Kernproblem von Staatstrojanern.
Im Juli haben Citizen Lab und Microsoft über hundert Opfer der Candiru-Schadsoftware in der ganzen Welt gefunden, darunter Menschenrechtler:innen, Dissident:innen, Journalist:innen, Aktivist:innen und Politiker:innen. Ein Opfer war eine politisch aktive Person in Westeuropa, auf deren Windows-Computer sie den Trojaner nachweisen konnten.
Die Angreifer nutzten für ihre Infrastruktur auch Namen und Domains anderer Organisationen, darunter NGOs wie Amnesty International, politische Bewegungen wie Black Lives Matter, Medien wie Deutsche Welle und France 24, internationale Organisationen wie Vereinte Nationen und Weltgesundheitsorganisation, aber auch die großen Tech-Firmen und Social-Media-Plattformen.
Deutschland kauft israelische Trojaner
Ob Polizei oder Geheimdienste in Deutschland diesen Staatstrojaner gekauft haben, will die Bundesregierung nicht sagen. Bis vor ein paar Jahren haben sich zumindest Polizeibehörden schwer getan mit Staatstrojanern aus Israel. Mit dem Kauf von NSO Pegasus ist diese Beschränkung vorbei.
Bereits im Januar 2019 zitierte Haaretz eine ungenannte Quelle mit einem Hinweis in diese Richtung: „Wenn beispielsweise Deutschland offensive Cyber-Tools für eine Angelegenheit nationaler Sicherheit benötigt, entwickelt es diese definitiv selbst. Wenn Deutschland aber beispielsweise Menschenhandel aus der Türkei verfolgt, kauft es Cyber-Tools von außerhalb, wo das Thema weniger sensibel ist.“
Die linke Bundestagsabgeordnete Martina Renner hat die Bundesregierung gefragt, ob Bundesbehörden wie Bundeskriminalamt oder Bundesamt für Verfassungsschutz Staatstrojaner von Candiru nutzen. Das Innenministerium verweigert erneut jede Auskunft und beruft sich dabei auf das „Staatswohl“.
Sicherheit durch Unklarheit
In seiner Antwort behauptet Bundes-CIO und Innenministerium-Staatssekretär Markus Richter, dass sich Kriminelle und Terroristen gegen Staatstrojaner schützen könnten, wenn die Namen der Staatstrojaner-Firmen öffentlich werden. Deshalb müsse die Kontrolle von Parlament und Medien unterbleiben. Wir veröffentlichen die Antwort des Innenministeriums in Volltext.
Martina Renner kritisiert diese Geheimhaltung. Gegenüber netzpolitik.org sagt sie:
Die Bundesregierung hat bereits im Falle der Spähsoftware Pegasus der Firma NSO wie nunmehr auch im Fall von Candiru alle Auskünfte verweigert. Nachdem inzwischen eingeräumt wurde, dass Pegasus vom BKA eingesetzt wird, gehe ich davon aus, dass dies auch bei Candiru der Fall ist. Angesichts dieser Intransparenz muss das Vorgehen der Bundesregierung und der Behörden als unkontrollierbar bezeichnet werden.
Hier das Dokument in Volltext:
- Datum: 7. September 2021
- Behörde: Bundesministerium des Innern, für Bau und Heimat
- Absender: Dr. Markus Richter
- Abgeordnete: Martina Renner
- Art: Schriftliche Frage
- Arbeits-Nr.: 9/117
- Drucksache: 19/32490
Frage
Nutzen nach Kenntnis der Bundesregierung Bundesbehörden Software oder andere Leistungen des Unternehmens „Candiru Limited“ bzw. „Saito Tech Limited“ (Golem), und wenn ja, welche?
Antwort
Im Kontext der Fragestellung geht die Bundesregierung davon aus, dass sich die Frage auf Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, einschließlich der Nachrichtendienste des Bundes, bezieht. Dementsprechend werden ausschließlich diese in die Beantwortung einbezogen.
Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.
Im vorliegenden Fall ist die Bundesregierung zu der Einschätzung gelangt, dass eine Antwort nicht erfolgen kann.
Bezüglich der erbetenen Informationen hinsichtlich der inzident angefragten technischen Fähigkeiten der Sicherheitsbehörden im Bereich der Informationstechnischen Überwachung, mit Bezug auf den Einsatz von Software oder anderer Leistungen der Unternehmen „Candiru Limited“ bzw. „Saito Tech Limited“ stehen überwiegende Belange des Staatswohls einer Beantwortung entgegen. Mit Auskünften zu den zur Verfügung stehenden kriminaltaktischen und nachrichtendienstlichen Vorgehensweisen und damit zu konkreten Maßnahmen oder künftigen Beschaffungen würde die Bundesregierung polizeiliche und nachrichtendienstliche Vorgehensweisen zur Gefahrenabwehr oder zur Verhinderung und Aufklärung von Straftaten offenlegen oder Rückschlüsse darauf ermöglichen und damit die Arbeitsfähigkeit und Aufgabenerfüllung der Sicherheits- und Strafverfolgungsbehörden sowie der Nachrichtendienste gefährden, weil Täter oder potentielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln könnten. Eine Preisgabe dieser sensiblen Informationen würde sich auf die staatliche Aufgabenwahrnehmung im Gefahrenabwehrbereich wie auch auf die Durchsetzung des Strafverfolgungsanspruchs und die nachrichtendienstliche Informationsbeschaffung außerordentlich nachteilig auswirken.
Eine VS-Einstufung und Weiterleitung der angefragten Informationen an die Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden. Die angefragten Inhalte beschreiben die technischen Fähigkeiten der Sicherheitsbehörden des Bundes in einem durch den Bezug auf bestimmte Produkte derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen kann.
Eine Bekanntgabe von Einzelheiten der bei diesen Behörden zur Bekämpfung von Kriminalität und Terrorismus im Rahmen ihrer jeweiligen Zuständigkeit eingesetzten Softwareprodukte für die Bearbeitung und Auswertung von Ermittlungsverfahren würde weitgehende Rückschlüsse auf die technischen Fähigkeiten sowie die taktischen Einzelheiten bzw. Arbeitsabläufe und damit mittelbar auch sowohl auf die derzeitige als auch die geplante technische Ausstattung sowie das Strafverfolgungs- und Gefahrenabwehrpotenzial dieser Behörden zulassen.
Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftige evidente Geheimhaltungsinteressen berühren, dass auch ein geringfügiges Risiko des Bekanntwerdens, wie es auch bei einer Übermittlung dieser Informationen an die Geheimschutzstelle des Deutschen Bundestags nicht ausgeschlossen werden kann, aus Staatswohlgründen unter keinen Umständen hingenommen werden kann. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen.
Großartige Recherche – und einmal mehr der Beweis, dass unsere derzeitige Regierung mit ziemlicher Sicherheit in schmutzigere Geschäfte (Tarnname „Staatswohl“) verwickelt ist, als sie zugibt.
Wer derartige Spyware einkauft und damit diejenigen unterstützt, die – wie in dem „Hooking Candiru“-Bericht von citizenlab bewiesen – mit solcher Software unsere Zivilgesellschaft systematisch und mittelfristig ruinieren, und dies auch noch mit absoluter Intransparenz gutheisst und verschleiert, führt den Status“ demokratisch handelnd“ ad absurdum und wird am 26.9. sowohl von mir als auch hoffentlich vielen Wählern mit einer „Nein-Stimme“ abgewählt!
In der Antwort scheint es so, dass die gesamte Regierung der Auffassung ist, dass man alles geheimhalten muss. Jetzt scheint es ziemlich ausgeschlossen, dass sowohl CDU als auch SPD nicht Teil der nächsten Regierung werden. Das heißt, um hier Transparenz zu schaffen, müsste die SPD sich von ihrem bisherigen Handeln distanzieren.
Auch kann ich mir nicht vorstellen, dass z.B. im Falle von Rot-Grün-Rot mit SPD-Innenminister die Linke mit den Grünen zusammen diese Information vom Innenministerium freifordern wird. Wenn man soetwas macht, ist man ja „nicht regierungsfähig“.
Dein Optimismus in allen Ehren, aber die SPD ist hier definitv Teil des Problems und das werden wir so schnell nicht los.
Ist auch Toka im Einsatz?
https://uncutnews.ch/treffen-sie-toka-die-gefaehrlichste-israelische-spyware-firma-von-der-sie-noch-nie-gehoert-haben/
Auch interessant:
https://www.dimse.info/candiru/
https://www.dimse.info/about/