Utimaco aus AachenDeutsche Abhörtechnik könnte Putschregierung in Myanmar stärken

Mit dem Rückzug des norwegischen Telefondienstleisters Telenor aus Myanmar droht deutsche Überwachungstechnik in die Hände der Militärjunta zu gelangen. Dies könnte gegen EU-Sanktionen und die Datenschutz-Grundverordnung verstoßen.

Die Zeichnung zeigt ein dunkelhaariges Mädchen vor grünem Hintergrund mit einem schwarzen T-Shirt und der Aufschrift "Everything will be ok".
Kyal Sin wurde am 3. März 2021 bei einer Anti-Putsch-Demonstration erschossen. Der Slogan „Alles wird gut“ auf ihrem T-Shirt wurde zu einem Symbol des Widerstands gegen das Regime. – Alle Rechte vorbehalten Fortify Rights

Das auf Telekommunikation spezialisierte norwegische Unternehmen Telenor verkauft sein Geschäft in Myanmar, berichtete netzpolitik.org bereits vor zwei Wochen. Wie nun bekannt wurde, könnte damit auch ein Überwachungssystem der IT-Firma Utimaco aus Aachen in die Hände der Militärjunta gelangen. Davor warnt die in Myanmars Hauptstadt ansässige Nachrichtenagentur Myanmar Now. Durch die Hintertür würden damit EU-Sanktionen umgangen und 18 Millionen Kund:innen in Gefahr gebracht – das ist etwa ein Drittel der Bevölkerung des Landes.

Am 1. Februar 2021 hat das Militär gegen die demokratisch gewählte Regierung unter Aung San Suu Kyi geputscht, das Parlament aufgelöst und einen Ausnahmezustand ausgerufen. Die anschließenden Proteste wurden gewaltsam niedergeschlagen, hunderte Menschen wurden getötet, tausende festgenommen. Wegen „Gräueltaten und schweren Menschenrechtsverletzungen“ gegen die Bevölkerungsgruppe der Rohingya hat die EU ihr Sanktionsregime sogar noch ausgeweitet.

Utimaco lobt sich als Marktführer für Abhörtechnik

Die Generäle hatten unter anderem die Abschaltung des Internet und der Telefonie angeordnet und Telekommunikationsanbieter wie Telenor zur Kooperation aufgefordert. Bei der dabei genutzten Technik handelt es sich unter anderem um ein sogenanntes „Lawful Interception System“ (LIMS), mit dem Behörden jede paketgebundene Telekommunikation in Echtzeit überwachen können.

Für das LIMS werden die Anbieter verpflichtet, eine technische Schnittstelle einzurichten. Polizeien und Geheimdienste können bestimmte Personen oder Anschlüsse zum Abhören in das System einspeisen. Darüber können im Rahmen einer Vorratsdatenspeicherung entweder historische Verkehrsdaten oder, im Falle einer Abhörmaßnahme in Echtzeit, auch Inhaltsdaten an die Behörden ausgeleitet werden.

Utimaco gehört nach eigenen Angaben zu den Marktführern für LIMS und verkauft diese als Komplettpaket. Regelmäßig nimmt die Firma an einschlägigen Verkaufsmessen für Abhörtechnik teil oder sponsort diese sogar.

Behörden fordern dauerhaften Zugang

Die beiden Journalistinnen Naomi Conrad und Julia Bayer haben die Meldungen von Myanmar Now aufgegriffen und für die Deutsche Welle weiter recherchiert. Ihre Arbeit basiert auf geleakten Dokumenten und Aussagen von Telenor-Mitarbeiter:innen. Demnach zieht sich die norwegische Firma aus Myanmar zurück, weil die Regierung den Druck auf die Telekommunikationsbetreiber zur Durchführung von Abhörmaßnahmen erhöht.

Wie in den meisten Ländern weltweit üblich hat auch die Regierung in Myanmar alle Betreiber von Telekommunikation angewiesen, ein LIMS zu installieren. Die Deutsche Welle zitiert aus einer Lizenz, die auch Telenor die Befolgung von Anordnungen „zur Bereitstellung oder Erleichterung der rechtmäßigen Überwachung von Telekommunikation“ vorschreibt. Die Technik stammt von Utimaco und wurde 2017 „über einen Dritten“ geliefert, schreibt die Deutsche Welle.

Bislang will Telenor den Behörden aber keinen Zugang über das LIMS gewährt haben, in einer Erklärung spricht die Firma hierzu von einem „Dilemma“. Schon vor dem Staatsstreich sei die Firma nach eigenen Angaben „unter Druck“ der damaligen Regierung unter Aung San Suu Kyi gestanden. Myanmars Behörden forderten zudem, ohne Einzelfallgenehmigung von Polizei- oder Justizbehörden direkt auf die Systeme zugreifen zu können. „Ohne ausreichende rechtliche Garantien schafft dies die Möglichkeit des Missbrauchs und der Verletzung der Menschenrechte der Kunden“, wird Telenor von der Deutschen Welle zitiert.

Verbot der Lieferung von Ausrüstung zur Kommunikationsüberwachung

Gegenüber Conrad und Bayer hat ein Mitarbeiter der in Myanmar tätigen Nichtregierungsorganisation Fortify Rights dies bestätigt; Telenor habe im Gegensatz zu den anderen Betreibern „eine der besten Menschenrechtspraktiken“. Die norwegische Firma hat auf Fragen der Journalistinnen zur deutschen Abhörtechnik nicht reagiert, bekräftigt aber, dass der Rückzug aus Myanmar wegen der Vorschrift zum Abhören erfolgt.

Allerdings könnte Telenor dennoch die Verfolgung von Oppositionellen begünstigen. Denn mit dem Verkauf seiner eigenen Anlagen würde auch die vorhandene Überwachungstechnik von Utimaco in andere Hände übergeben. Damit verstieße Telenor aber gegen die EU-Sanktionen von 2018, in denen direkte Verkäufe von Ausrüstung zur Kommunikationsüberwachung, „die zur internen Repression verwendet werden könnte, untersagt werden. Bei dem LIMS handelt es sich um eine solche Dual-Use-Technologie.

Utimaco untersagt angeblich Wiederverkäufe durch Kund:innen

Der Aachener Überwachungshersteller behauptete gegenüber der Deutschen Welle, man* habe sich bei Geschäften „mit Partnern in Asien“ vor 2018 an alle Exportbestimmungen gehalten. Der Menschenrechtsgruppe Justice for Myanmar hatte Utimaco gesagt, „niemals direkte Geschäfte mit einem der Mobilfunknetzbetreiber in Mynamar gemacht“ zu haben. 2018 habe die Firma ihre internationalen Geschäftspartner darüber informiert, dass alle Aktivitäten in Bezug zu Myanmar beendet worden seien.

Die Aussagen von Utimaco lassen die Frage offen, ob die jetzt durch Telenor beabsichtigte Weitergabe einen Bruch der 2018 erlassenen EU-Sanktionen durch die Hintertür darstellt. Denn Utimaco habe Justice for Myanmar auch mitgeteilt, „dass es von allen seinen Wiederverkäufern und Kunden die strikte Einhaltung der genannten Gesetze und Vorschriften verlangt“, schreiben Conrad und Bayer. Dies müsste auch für Telenor gelten.

Neue Eigner mit guten Kontakten zum Militär

Soweit bekannt, erfolgt der Verkauf von Telenor Myanmar an die M1 Group mit Sitz in Beirut. Nach Recherchen von Reuters gehört zu dem Konglomerat auch die auf den Abbau von Edelmetallen und Diamanten spezialisierte Shwe Byain Phyu Group (SBPG). Für die Übernahme haben die beiden Anteilseigner die neue Firma Investcom Pt. Ltd. gegründet.

Die M1 Group wollte gegenüber den Journalistinnen Welle keine Details zu den von Telenor Myanmar installierten Technologien und Systemen offenlegen, „da der Verkauf noch abgeschlossen werden muss“. Nachdem dies jedoch erfolgt ist, würden die Fähigkeiten der Militärregierung zur Verfolgung von Dissens jedenfalls deutlich gestärkt, befürchten Aktivist:innen.

Dass die SBPG aus Myanmar oder die M1 Group aus dem Libanon hierzu wie ihr Vorgänger Telenor moralische Bedenken hätten, ist kaum zu erwarten. Beiden Firmen werden gute Kontakte zum Militär nachgesagt, die M1 Group exportiert außerdem in den Sudan und den Jemen, warnt ein Zusammenschluss myanmarischer Bürgerrechtsgruppen. Einer der Geschäftsführer soll gute Beziehungen zum Regime in Syrien unterhalten.

Beschwerde bei der norwegischen Datenschutzbehörde

Die Recherche der Deutschen Welle erschien vorgestern, zu diesem Zeitpunkt sei Telenor immer noch bereit gewesen, den Verkauf zu vollziehen. Vor einigen Wochen hat jedoch die norwegische Anwaltskanzlei Sands für eine anonyme Staatsangehörige aus Myanmar eine Beschwerde gegen Telenor bei der norwegischen Datenschutzbehörde eingereicht. Die Firma soll sicherstellen, dass bei dem Verkauf keine sensiblen Daten ihrer Nutzer:innen weitergegeben werden.

Dies würde die Privatsphäre der Betroffenen verletzen und gegen die Datenschutz-Grundverordnung der Europäischen Union verstoßen, an die auch Norwegen als Nicht-EU-Mitglied gebunden ist. Justice for Myanmar fordert von der norwegischen Regierung den Verkauf auf einen Bruch internationaler Konventionen zu untersuchen. Ob auch in Deutschland eine Beschwerde oder Untersuchung wegen der Weitergabe der Utimaco-Technik an die Militärjunta oder ihr loyalen Unternehmen erfolgt, ist bislang nicht bekannt.

Eine Ergänzung

  1. In der Regel sind die Netzbetreiber Landesgesellschaften und unterliegen damit lokalem Recht (oder in dem Fall Unrecht).

    Ein amerikanischer Kunde der T-Mobile kann sich auch nicht auf die DSGVO beziehen, obwohl die T-Mobile US der Deutschen Telekom gehört (zu 2/3).

    Es ist leider ein unlösbares Dilemma, was mit rechtstaatlichen Eingriffen in Netze passiert, wenn der Rechtsstaat verschwindet. Man kann nur hoffen, das die letzten Telenor Leute die die Anlage verlassen und besenrein übergeben, versehentlich ein Backup vom ersten Betriebstag einspielen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.