Der Staatstrojaner „made in Germany“ Gamma FinFisher wurde ohne Lizenz aus Deutschland exportiert. Das geht aus Analysen der kürzlichen geleakten Dokumente und einer parlamentarischen Anfrage hervor. Deutsche Unternehmen verdienen Millionen damit, Überwachungstechnologien an Menschenrechtsverletzer auf der ganzen Welt zu exportieren.

Dies ist ein Gastbeitrag von Ben Wagner und Claudio Guarnieri von der Forschungsstelle Internet & Menschenrechte an der Europa-Universität Viadrina. Der Beitrag erschien auch auf englisch bei Global Voices.

Von Mexiko über Mosambik bis Pakistan gibt es umfangreiche Beweise dafür, dass Regierungen auf aller Welt Überwachungstechnologien, wie FinFisher verwenden, um ihre Bürger auszuspionieren. Das hat Forscher wie uns veranlasst, die Quellen zu betrachten: Wer stellt diese Technologien her? Wer profitiert vom Verkauf?

Deutschland ist ein Hauptexporteur dieser Technologien und, da die Privatsphäre der digitalen Kommunikation ein heißes Eisen der deutschen Öffentlichkeit ist, ist das Land als Akteur in diesem Bereich noch weiter ins Zentrum gerückt.

Aufgrund eines Abgleichs von Informationen eines massiven Datenlecks Mitte August mit den Ergebnissen einer aktuellen Parlamentarischen Anfrage in Deutschland, ergibt sich der Verdacht, dass die Mehrheit der von deutschen Unternehmen hergestellten Überwachungstechnologien unter dem Tisch – das heißt ohne Lizenz – gekauft und verkauft wurden. Die deutsche Regierung verlangt Lizenzen für den Verkauf von Gütern, die als „Dual-Use-Güter“ betrachtet werden, also für Güter, die sowohl im zivilen als auch im militärischen Bereich verwendet werden können.

Im Zentrum der Untersuchung steht das britisch-deutsche Unternehmen Gamma International, Hersteller der FinFisher Überwachungswerkzeuge. Ahnungslose Überwachungsziele laden FinFisher in der Regel herunter ohne es zu wissen, indem sie auf einen vermeintlich harmlosen Link oder E‑Mail-Anhang klicken. Einmal installiert, erlaubt es dem Nutzer, auf alle gespeicherten Informationen zuzugreifen und selbst verschlüsselte Kommunikation zu überwachen. Tastenanschläge werden aufgezeichnet, Skype-Unterhaltungen aufgenommen und Kameras und Mikrofone können aus der Ferne aktiviert werden.

Kürzlich stellten Bundestagsmitglieder eine parlamentarische Anfrage bezüglich des Verkaufs von Überwachungstechnologien an ausländische Regierungen. In der Antwort stellte die Regierung fest, dass sie deutschen Unternehmen in den letzten zehn Jahren Ausfuhrlizenzen für Überwachungstechnologien an mindestens 25 Länder genehmigt hat – viele davon mit Vorgeschichten voller Menschenrechtsverletzungen. Zwischen 2003 und 2013 wurde Überwachungstechnik in folgende Länder exportiert: Albanien, Argentinien, Chile, Indien, Indonesien, Katar, Kosovo, Kuwait, Libanon, Malaysia, Marokko, Mexiko, Norwegen, Oman, Pakistan, Russland, Saudi-Arabien, Schweiz, Singapur, Taiwan, Türkei, Turkmenistan, USA und Vereinigten Arabischen Emirate. Die Grünen-Abgeordnete Agnieszka Brugger veröffentlichte sämtliche Fragen und die offiziellen Regierungsantworten auf ihrer Website.

Der deutsche Exportmarkt

Die Antworten der Bundesregierung sind schwer zu interpretieren, da die Unterlagen jedes IT-System erwähnen, welches „Bestandteile“ von Überwachungstechnologien enthält. Zum Beispiel ein komplettes nationales Telefonsystem, das für insgesamt 10 Millionen US-Dollar verkauft wird, kann einen Überwachungsbestandteil zum Preis von zwei Millionen US-Dollar enthalten, aber das Produkt wird in den öffentlichen Unterlagen als exportiertes Produkt, welches lizenzierte Überwachungstechnologien enthält, im Wert von zehn Millionen Dollar aufgeführt.

Auf der Basis von Gesprächen mit zuständigen Regierungsbeamten und Individuen des Privatsektors sowie den zahlreichen geleakten Dokumenten ist es möglich, einen relativ genauen Wert des Anteils dieser Technologien zu erhalten, der tatsächlich Überwachungstechnologien entspricht. Eine vorsichtige Schätzung geht davon aus, dass ein Fünftel der IT-Gesamtsysteme genau genommen Überwachungstechnologien sind und der Rest sind typische IT-Systeme. Zum Beispiel hat Deutschland im Jahr 2010 IT-Systeme, die Überwachungssysteme enthalten, im Wert von fast zwölf Millionen Euro exportiert. Wir schätzen also, dass von diesen aufgeführten IT-Systemen genau genommen nur knapp 2,5 Millionen Euro Exporte von Überwachungstechnologien sind, während der Rest typische IT- oder Telekommunikationssysteme sind.

Diese Zahlen ermöglichen das folgende Diagramm der deutschen Exporte der Überwachungstechnologie von 2010 bis 2013:

Wichtig ist, dass die deutsche Regierung ausdrücklich bestreitet, von Gamma einen Exportlizenzantrag für deren Produkt FinFisher nach Bahrain oder Äthiopien erhalten zu haben. Die offiziellen Angaben der Bundesregierung enthalten auch keine Exporte in Länder wie Bangladesch, die Niederlande, Estland, Australien, die Mongolei, Bahrain oder Nigeria, obwohl es zahlreiche Belege gibt, dass FinFisher in diese Länder verkauft wurde.

Auf der Grundlage der geleakten FinFisher-Daten und der Analyse von Privacy International gehen wir davon aus, dass Gamma diese Überwachungstechnologien ohne Lizenz exportiert hat. Diese Behauptung beruht auf zahlreichen Dokumenten, wie Gamma mit Technologien handelt, und der aktuellen Erklärung der britischen Regierung, dass sie von Gamma per Gesetz fordert, eine Lizenz für FinFisher zu erlangen, wenn das Unternehmen es von Großbritannien aus exportieren wolle. Bestehende Kenntnisse und Recherchen ergeben, dass Gamma aus Großbritannien und Deutschland heraus operiert, und erhärten den Verdacht, dass diese Technologien aus Deutschland exportiert wurden. Und Deutschland hat wiederholt abgestritten, dass es Gamma eine Lizenz ausgestellt hat für den Verkauf in verschiedene Länder, von denen wir wissen, dass FinFisher dort genutzt wird. Das führt uns zu der Schlussfolgerung, dass FinFisher ohne Lizenz aus Deutschland exportiert wurde.

Was bedeutet das für den deutschen Handel mit Überwachungstechnologien? Nun, die lizenzierten Überwachungstechnologieexporte erscheinen geradezu winzig im Vergleich zu den nicht-lizenzierten Exporten von FinFisher, von anderen Überwachungsprodukten gar nicht zu reden. Gamma verkauft im Moment mehr Überwachungstechnologie, als alle lizenzierten Exporte zusammen. Nachfolgend ein Vergleich von lizenzierten und nicht-lizenzierten deutschen Überwachungsexporten:

Und das ist nur ein einziges Unternehmen – es gibt in Deutschland wahrscheinlich weitere, die dieser Geschäftsstrategie folgen. Obwohl eine exakte Summe der nicht-lizenzierten deutschen Überwachungsexporte schwer zu berechnen ist, sollte es nicht überraschen, da Experten des Branchenführers ISS World ihre globale Industrie auf drei bis fünf Milliarden Dollar schätzen. Die deutliche Lücke zwischen den lizenzierten und nicht-lizenzierten Teilen der Überwachungstechnik-Industrie zeigt die Notwendigkeit einer zügigen und klaren internationalen Regulierung.

Bestehende deutschen Regelung für Überwachungstechnikexporte

Die deutsche Regierung schreibt in ihren Antworten auf die parlamentarische Anfrage auch, dass sie weiter darauf hinwirken will, Überwachungstechnologien, die Menschenrechte gefährden, stärker zu regulieren. Das ist eine positive Entwicklung, die ein Verständnis für die Ernsthaftigkeit des Themas widerspiegelt. Angesichts dieser neuen Informationen und dem Wunsch einiger Parteien, dieses Thema mit Priorität zu behandeln, können wir hoffen, dass weitere Änderungen vorgenommen werden, die die Lieferung von noch mehr gefährlichen Technologien an repressive Regime verhindern können.

Die Lage ist jedoch nicht völlig einseitig, so hat Deutschland etwa die Ausfuhr von „Interception Management System“-Software (IMS), vergleichbar mit LIMS der deutschen Firma Utimaco, in den Iran im Jahr 2008 verhindert und vor kurzem vorgeschlagen, dass auch in die Türkei keine Überwachungstechnik mehr exportiert werden soll.

Die Antworten der Bundesregierung zeigen, dass der Markt stark von Großaufträgen mit einzelnen Ländern abhängig ist, Saudi-Arabien und die Türkei waren 2006 und 2007 die größten Einzeldeals. Es ist schwer zu erahnen, auf welche Verträge sich diese Exporte genau beziehen, aber sie passen in das generelle Muster der zunehmenden Internetüberwachung, die seit 2005 kontinuierlich ausgebaut wird um mit größeren Datenmengen umgehen zu können. Zum Beispiel hatte Tunesien Probleme, worauf hin dort 2007 die Überwachungstechnik Deep Paket Inspection (DPI) eingeführt wurde.

Die Politik der Überwachungsregulierung

Interessanterweise sehen SPD und Grüne in Deutschland die Regulierung von Überwachungstechnologien als wichtiges politisches Thema an, für das es sich zu kämpfen lohnt. Sowohl die Grünen als auch die Sozialdemokraten wollen das Thema besetzen, was wohl der Grund dafür war, dass die parlamentarische Anfrage gestellt wurde. Obwohl die Politisierung von Menschenrechtsfragen sich nicht immer als hilfreich herausgestellt hat, ist es interessant zu beobachten, dass es einen politischen Wettbewerb zwischen deutschen Parteien über die Frage gibt, wer Überwachungstechnik besser regulieren kann.

In jedem Fall zeigen die FinFisher-Dokumente, dass der Hersteller Gamma aktuell davon ausgeht, dass ihm jetzt oder in naher Zukunft Ausfuhrkontrollen in Deutschland auferlegt werden und bittet seine Kunden daher um zusätzliche Informationen. Dies deutet darauf hin, dass offenbar Ausfuhrbestimmungen für Überwachungstechnologien wirksam geworden sind, bevor sie gesetzlich verankert wurden, da sogar einige der berüchtigtesten Unternehmen bereits reagieren, um sicherzustellen, dass sie die Auflagen erfüllen.

Lobbyarbeit für Veränderungen

Es wird eindeutig noch weitere Änderungen in diesem Bereich geben. Die Bundesregierung erkennt die Notwendigkeit, weitere Überwachungstechnologien, die Menschenrechte verletzen, zu regulieren, die bisher noch nicht in Wassenaar-Abkommen aufgeführt sind. Zum Beispiel nennt sie explizit „Überwachungsbeobachtungszentralen“, die die Überwachung von E‑Mails, SMS, Internetverbindungen und VoIP-Anrufen in einer Zentrale bündeln, da diese Technologie missbraucht werden kann und zusätzliche Regulierung benötigt.

Der bevorzugte Ansatzpunkt zur Verhandlung dieser Änderungen der Ausfuhrbestimmungen ist das Wassenaar-Abkommen, ein nicht-bindendes Abkommen zwischen Staaten, das bestimmte „Dual-Use-Technologien“ international reguliert. Wassenaar enthält im Grunde eine lange „Kontrollliste“ der Technologien, von denen alle Mitgliedsstaaten glauben, sie könnten missbraucht werden. Jeder einzelne Mitgliedsstaat in der EU implementiert diese Entscheidung dann in seinen nationalen Exportbestimmungen. Diese Listen werden jährlich bei einer großen Mitgliederkonferenz aktualisiert. Es dauert in der Regel ein Jahr, bis diese Änderungen innerhalb der nationalen Gesetze der verschiedenen Wassenaar-Mitgliedsstaaten in Kraft treten.

Wie viele andere Menschenrechtsverteidiger glauben wir, dass das Wassenaar-Abkommen die stärkste Plattform für die deutsche Regierung bietet, sich für diese Änderungen einzusetzen und sie hat gegenüber dem Bundestag wiederholt bestätigt, dies umfassend zu tun. Die bessere Regulierung von Überwachungstechnologien sei „von hoher politischer Bedeutung“ für die Wassenaar-Mitgliedsstaaten, genauso wie für die Europäische Kommission, die diesen Bereich mit „hoher Priorität“ einstuft.

Deutschland drängt darauf, so schnell wie möglich ein neues Wassenaar-Abkommen auf EU-Ebene umzusetzen. „Herbst 2014“ ist eine eher optimistische Prognose, auch wenn die Bundesregierung auf verschiedenen Ebenen Schritte eingeleitet hat, um den Prozess zu beschleunigen. Wie glaubwürdig dieser Zeitplan ist, bleibt abzuwarten, nach Jahren der Untätigkeit ist er aber zumindest ein deutliches politisches Signal der Bundesregierung.

Der Gesamtzusammenhang

Über Überwachungstechnologien hinaus, hat SPD-Chef und Wirtschaftsminister Sigmar Gabriel erklärt, er wolle das Exportkontrollrecht in allen Bereichen strenger interpretieren. Die Werkzeuge dafür existieren seit einiger Zeit in Form der „Politische Grundsätze der Bundesregierung“, die von der rot-grünen Regierung im Jahr 2000 entwickelt, aber selten strikt durchgesetzt wurden. SPD-Minister Gabriel hat diese Prinzipien nun einfach strikter interpretiert um eine Vielzahl an Waffenexporten aus Deutschland zu stoppen. Zusätzliche Vorschriften für missbrauchsanfällige Überwachungstechnologien passen also sehr gut in seine Agenda. Gleichzeitig wurde Gabriel in der Presse und von der Grünen Partei kritisiert, weil er nicht dokumentieren konnte, dass er tatsächlich einen konkreten Antrag auf Export von Überwachungstechnologien abgelehnt hat.

Hier, wie in anderen Fällen auch, ist der Kampf ist in erster Linie eher politisch als inhaltlich. Es ist zu begrüßen, dass nun zwei politische Parteien beim Thema Regulierung von Überwachungstechnik miteinander konkurrieren. Beide haben klare, konkrete Absichten verkündet, die SPD als Regierungspartei war jedoch noch nicht in der Lage, diese vollständig zu dokumentieren. Was vielleicht am bemerkenswertesten ist: Die deutsche Regierung verfolgt weiterhin den Anspruch, eine führende Stimme in den internationalen Debatten über die Regulierung von Überwachungstechnologien zu werden. Es wird sich zeigen, ob sie tatsächlich in der Lage sind dieses Versprechen zu erfüllen, aber die aktuellen Anzeichen sind vielversprechend.