Hacking Team: Eine Spionagesoftware außer Kontrolle

Sieben Zero-Days und mindestens ein Rootkit: Der Datenfundus des Hacking Teams deckt ein erschreckendes Software-Arsenal auf. Verwerflich ist dabei nicht nur, dass das Hacking Team Sicherheitslücken bei dubiosen Quellen einkauft. Noch beunruhigender ist, dass die Hersteller von Spionagesoftware eine eigene Entwicklungsabteilung besonders für Flash-Exploits und Rootkits betreiben - und das unter dem Schutz der italienischen Behörden.

Einige der jetzt bekanntgewordenen Zero-Day-Lücken hat der Hersteller von Spionagesoftware aber eingekauft. Das bedeutet: Sie waren in einschlägigen Kreisen längst bekannt und haben Millionen Nutzer gefährdet. Geradezu zynisch klingt vor diesem Hintergrund nicht nur das Motto des Unternehmens, es betreibe ethisches Hacking. Auch seine Mitteilungen nach dem Leak lassen ein erschreckendes Weltbild erkennen: Jetzt könnten Terroristen und Menschenhändler ungehindert ihre Software und die Zero-Days nutzen. Wild West im Internet. Dabei stehen die selbsternannten "ethischen Hacker" den Bösen, die sie bekämpfen wollen, offenbar in nichts nach.

Der dubiose Handel mit gefährlichen Waffen

Nach dem 2013 beschlossenen internationalen Wassenaar-Abkommen gilt für Spionagesoftware die EU-Verordnung (EG) Nr. 428/2009 (Dual Use). Sie lässt sich demnach sowohl für zivile als auch für militärische Zwecke nutzen und fällt somit unter Exportkontrollen.

Aus den E-Mails des Hacking Team geht hervor, dass das Unternehmen die Öffentlichkeit schlichtweg belogen hat, als es versicherte, dass seine Spionagesoftware nicht in Länder verkauft werde, in die es nicht exportiert werden darf. Quittungen belegen, dass die Republik Sudan noch Ende 2014 Geld für das RCS von Hacking Team bezahlte, als längst Exportverbote gegen das Land beschlossen waren.

Keinerlei staatliche Kontrollen

Im Herbst 2014 stoppte die italienische Regierung plötzlich alle Exporte des Hacking Teams in Länder, die im Verdacht standen, Menschenrechte zu verletzen. Nachdem das Hacking Team intensives Lobbying bei seinen italienischen Kunden betrieben hatte - unter anderem mit Briefen an die Carabinieri und hochrangige italienische Militärs - hob das Ministerium für wirtschaftliche Entwicklung das Verbot im Dezember 2014 aber nicht nur auf, sondern erteilte eine umfassende Exportgenehmigung für die Länder, die das Wassenaar-Abkommen akzeptieren.

Auf einzelne Prüfung verzichtete die italienische Regierung fortan. Stattdessen wird gegen diejenigen ermittelt, die möglicherweise die internen Dokumente des Hacking Teams in die Öffentlichkeit gebracht haben.