Finfisher: Durchsuchungen bei Softwarelieferant der Bundesregierung

Die Staatsanwaltschaft München hat den Hersteller der Spionagesoftware Finfisher durchsuchen lassen. Das berichten die Fernsehsender NDR und BR. Finfisher steht im Verdacht, illegal Software exportiert zu haben. Ermittler des Zollkriminalamts hätten in der vergangenen Woche 15 Wohn- und Geschäftsräume im In- und Ausland durchsucht.

Die Staatsanwaltschaft ermittle wegen "des Verdachts des Verstoßes gegen das Außenwirtschaftsgesetz gegen Geschäftsführer und Beschäftigte von Finfisher und mindestens zweier weiterer Firmen", sagte eine Sprecherin auf Anfrage von BR und NDR. Es bestehe der Verdacht, dass die Firma Software ohne Genehmigung ins Ausland exportiert haben könnte.

In der Vergangenheit war immer wieder Spionagesoftware in Ländern aufgetaucht, für die die Bundesregierung keine Ausfuhrgenehmigung erteilt hatte, etwa in der Türkei. Experten hatten die Software untersucht und waren zu dem Ergebnis gekommen, dass es sich um Finspy gehandelt habe, die wichtigste Überwachungssoftware von Finfisher.

Finfisher äußerte sich auf Anfrage nicht. Unbestätigt ist derzeit deshalb auch, ob der Quellcode der Software bei den Durchsuchungen übergeben wurde, wie eine mit dem Fall vertraute Person NDR und BR berichtete. Die Staatsanwaltschaft kommentierte dies nicht.

Finspy: Quellcode übergeben?

Finspy könne Sicherheitsbehörden wie Polizei und Geheimdiensten "absolute Kontrolle" über ein Smartphone verschaffen, hatte die Nichtregierungsorganisation Reporter ohne Grenzen erklärt. Im Sommer 2017 sei die Software auf einer türkischen Webseite aufgetaucht, die als Mobilisierungswebseite der türkischen Oppositionsbewegung getarnt war. Die Webseite forderte Android-Nutzer auf, eine nicht näher benannte Datei herunterzuladen, die dann die Malware auf dem Smartphone installierte. Finfisher wirbt damit, dass zahlreiche private Informationen wie Chatverläufe, Telefonate und der Standort des Smartphones ausgelesen werden können.

Finspy wird auch von deutschen Behörden eingesetzt

In den vergangenen Jahren war bekannt geworden, dass Finspy auch von deutschen Behörden eingesetzt wird. Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, forderte die Bundesregierung dazu auf, die Zusammenarbeit mit Finfisher zu beenden. "Deutsche und europäische Überwachungs- und Zensursoftware trägt weltweit zu massiven Menschrechtsverletzungen bei", sagte er NDR und BR.

Deren Recherchen zeigten, dass Finfisher-Manager offenbar eine Art Parallelstruktur im Ausland aufgebaut haben könnten. Daten aus dem Handelsregister Malaysias belegten, dass Stephan Oelkers, einer der Geschäftsmänner bei Finfisher, im Jahr 2015 dort eine Firma mit dem Namen Raedarius M8 Limited gegründet hatte. Zum Geschäftszweck gehörten unter anderem "Lösungen im Bereich der Kommunikations- und Informationstechnologie" und "Vertrieb und Verkauf". Zu diesem Zeitpunkt war der Export von Spähsoftware in Deutschland deutlich weniger geregelt.

Im Jahr 2019 kaufte die Regierung von Brasiliens rechtem Staatspräsidenten Jair Bolsonaro Überwachungssoftware im Wert von 850.000 US-Dollar bei Raedarius M8. Das geht aus einer Aufstellung der brasilianischen Generalstaatsanwaltschaft hervor. In verschiedenen Firmendatenbanken finden sich laut den Recherchen Spuren zu weiteren Raedarius-M8-Firmen: eine gleichnamige Firma in Bulgarien, je eine mit leicht anderem Namen in Pakistan und Dubai.

Oelkers verstarb 2016 in einem Hotel in Indonesien, laut örtlichen Medien an einem Herzinfarkt. Die Anteile an Raedarius M8 gehören heute laut Handelsregister zu einem Viertel einem Finspy-Entwickler. Den Rest verwaltet ein Anwalt aus München, dessen Kanzleianschrift auch als Postadresse von Finfisher fungiert.

Reporter ohne Grenzen erstattete 2019 gemeinsam mit der Gesellschaft für Freiheitsrechte (GFF), dem European Center for Constitutional and Human Rights (ECCHR) und Netzpolitik.org Strafanzeige gegen das Firmenkonglomerat um Finfisher.

Christian Mihr, Geschäftsführer bei Reporter ohne Grenzen, sagte: "Eine Verurteilung der Geschäftsführer in München wäre ein längst überfälliges Signal an die gesamte Branche, dass sie die europäischen Exportvorgaben und unternehmenseigene Sorgfaltspflichten nicht länger ignorieren kann."

Zuletzt fand Amnesty International Hinweise für die Verwendung von Finspy durch eine Hackergruppe in Ägypten. Auf die Überwachung in Staaten wie der Türkei und Ägypten folgen oft Verhaftungen, Folter und andere schwere Menschenrechtsverletzungen.