Spionagesoftware: OECD rügt Gamma wegen Finfisher

Gegen das deutsch-britische Unternehmen Gamma International hat das britische Wirtschaftsministerium eine Rüge ausgesprochen. Seine Software Finfisher, beziehungsweise Finspy, verstoße gegen die Menschenrechte, wie sie in den OECD-Richtlinien festgelegt seien. Das Wirtschaftsministerium fungierte in dem Fall als nationale Kontaktstelle (NKS) der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung) in Großbritannien und übernahm die Untersuchung.

Die Beschwerde gegen Gamma International hatten unter anderem die Organisationen Reporter ohne Grenzen und das Europäische Zentrum für Verfassungs- und Menschenrechte (European Center for Constitutional and Human Rights, ECCHR) eingereicht. Als Beschwerdeführer wird Privacy International genannt.

Spionagesoftware bei Aktivisten installiert

Die Organisationen hatten zusammen mit dem Zentrum für Menschenrechte in Bahrain sowie Bahrain Watch im Februar 2013 beklagt, dass die Spionagesoftware Finfisher auf Rechnern von drei Aktivisten in Bahrain gefunden wurde und damit deren Privatsphäre verletzt worden sei. Alle drei Oppositionellen seien mit Hilfe der von Finfisher gesammelten Informationen verhaftet und misshandelt worden.

Gamma International habe gegen mehrere Richtlinien verstoßen, heißt es in der Begründung. Es gebe zwar keinen nachweisbaren Zusammenhang zwischen der Spionagesoftware und den Verhaftungen, die Indizien sprächen jedoch dafür, dass der Einsatz der Software zu einem Informationsfluss an die Behörden in Bahrain geführt habe. Gegen die technische Analyse der Beschwerdeführer und deren Ergebnisse habe Gamma International keinen Einspruch eingelegt.

Rüge wegen mangelnder Kooperation

Die Behauptung von Gamma International, die in Bahrain eingesetzte Software sei raubkopiert gewesen, habe deshalb nicht belegt werden können, weil das Unternehmen mit Hinweis auf seine Geheimhaltungspflichten gegenüber Kunden dem NKS keinen Zugang zu seinen Unterlagen gewährt habe. Deshalb gab die NKS in diesem Punkt keine Wertung ab.

Allerdings rügte die NKS das Unternehmen wegen seiner mangelnden Kooperation. Seine rechtliche Beihilfe habe die Ermittlungen behindert und außerdem nicht genügend Informationen geliefert, um eine faire und objektive Untersuchung zu ermöglichen. Außerdem habe Gamma International gegen die in den OECD-Richtlinien festgelegte Sorgfaltspflicht verstoßen und es versäumt, seine Geschäftspartner von dieser Sorgfaltspflicht zu unterrichten.

Lob für die Briten, Kritik an den Deutschen

Außerdem gebe es keine Hinweise auf ein Regelwerk für Menschenrechte bei Gamma International. Den Einwand, das Unternehmen habe in Zusammenarbeit mit der Electronic Frontier Foundation versucht, eines zu erarbeiten, lässt die OECD nicht gelten, weil es darauf keine Hinweise auf der Webseite des Unternehmens gegeben habe.

Das an der Beschwerde beteiligte Europäische Zentrum für Verfassungs- und Menschenrechte wertet die Rüge als Erfolg und kritisiert gleichzeitig die NKS am deutschen Bundeswirtschaftsministerium. Dort hatte man 2013 eine ähnliche Beschwerde gegen das Unternehmen abgelehnt. Die von den Briten ausgesprochene Rüge gelte indes auch für die Münchner Niederlassung der Gamma Gruppe. Die jetzt erfolgte Rüge zeige jedoch Mängel im deutschen Beschwerdeverfahren auf, sagte die Leiterin der juristischen Abteilung des ECCHR Miriam Saage-Maaß.

Bundesstaatsanwalt prüft Einsatz gegen Ziele in Deutschland

Aktuell prüft der Generalbundesanwalt den Einsatz der Spionagesoftware Finfisher gegen Ziele in Deutschland. In einem Datenpaket, das bei einem Hack auf die Server von Gamma International erbeutet worden war, fand sich unter anderem eine Liste von 77 Computern, die infiziert worden sein sollen. Die Liste enthielt den Namen des infizierten Computers, den Nutzernamen, die IP-Adresse, den Zeitpunkt der Infektion und das Betriebssystem des Rechners. Bahrain Watch geht davon aus, dass es sich bei dem Finfisher-Kunden um eine Regierungsstelle des Inselstaates im Persischen Golf handele. Von den rund 2.500 IP-Adressen, die von Bahrain aus ausgespäht wurden, sind 15 in Deutschland verortet. Von diesen ließen sich 13 Adressen in der Region um das hessische Wetzlar lokalisieren.