Chats mitschneiden, Nutzer per Smartphone-Kamera beobachten oder ihnen über das Mikrofon zuhören, ihren Standort übermitteln – all das beherrscht die Späh-Software Finspy. Das kann für den Staat bei der Verbrechensbekämpfung nützlich sein, weswegen auch das Bundeskriminalamt die Software eingekauft hat – auch wenn nicht klar ist, inwieweit das BKA sie tatsächlich in der Praxis verwendet hat. Finspy ist einer der bekanntesten Staatstrojaner. Ein Staatstrojaner made in Bayern, denn der Hersteller, die Finfisher GmbH kommt aus München.
Finfisher ist insolvent
Nun muss man sagen: Kam aus München. Wie am Montag bekannt wurde, sind die Finfisher Gmbh und die mit ihr verbundenen Finfisher Labs GmbH und raedarius m8 GmbH insolvent. Arbeitnehmer sind dort nicht mehr beschäftigt, die Geschäftsräume in der Baierbrunner Straße in München aufgelöst, wie der Insolvenzverwalter dem Fachblog Netzpolitik.org mitteilte. Finfisher existiert nicht mehr.
Das Aus für den Staatstrojaner-Hersteller steht in direktem Zusammenhang mit einer Strafanzeige, die Netzpolitik.org sowie die NGOs Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen und das European Center for Constitutional and Human Rights 2019 gegen die Geschäftsführung und Mitarbeiter von Finfisher gestellt hatten – wegen Verstoßes gegen das Außenwirtschaftsgesetz.
Export von Späh-Software in Nicht-EU-Länder ist genehmigungspflichtig
2015 hatte die Bundesregierung eine Genehmigungspflicht für den Export von Überwachungssoftware in Länder außerhalb der EU eingeführt – und seither nach eigenem Bekunden keine solche Genehmigung erteilt.
Die vier Kläger konnten aber nachweisen, dass Finspy 2017 in der Türkei auf einer gefälschten Website, die den Anschein erweckte, als sei sie von der oppositionellen Bewegung, zum Download angeboten wurde – getarnt als Cloud- und Kalenderdienst, mit dem sich die türkischen Opposition vernetzen könne. Wer diese App auf sein Smartphone runterlud, hatte sich Finspy installiert.
Der türkischen Regierung unter Präsident Erdogan wird immer wieder vorgeworfen, Oppositionelle aber auch ungenehme Journalisten mit konstruierten Vorwürfen (etwa "Terrorpropaganda") anzuklagen und zu inhaftieren. Die Finfisher GmbH beteuerte immer, dass die Software nur zur Kriminalitätsbekämpfung verwendet wird.
Staatstrojaner Finspy wird in 34 Ländern verwendet
Dem Global Spyware Market Index von 2021 zufolge war Finfisher Spyware-Marktführer: Finspy wird in 34 Ländern eingesetzt – wovon nur sechs EU-Staaten sind.
Die Strafanzeige der drei NGOs und von Netzpolitik.org führte dazu, dass die Staatsanwaltschaft München zu ermitteln begann und 2020 eine Durchsuchung der Geschäftsräume von FinFisher anordnete, Ende 2021 wollte sie Vermögen der Firmengruppe pfänden. "Das kann die Staatsanwaltschaft machen, wenn sie davon ausgeht, dass es später zu einer Gewinnabschöpfung kommen wird, also, wenn der begründete Verdacht besteht, dass Gewinne illegal erwirtschaftet wurden – wie in diesem Fall durch den illegalen Verkauf und Export von Überwachungssoftware", sagt Sarah Lincoln, Juristin und Verfahrenskoordinatorin der GFF, im Gespräch mit BR24.
Durch die Eröffnung des Insolvenzverfahrens ist die Pfändung allerdings ungültig. Nun kommen alle Vermögenswerte der Finfisher GmbH in die Insolvenzmasse. Dazu zählen auch Softwarelizenzen und Patente, die bisherige Finfisher-Konkurrenten nun erwerben können.
Freiheitsrechte-NGO: Bundesregierung soll keine Trojaner kaufen
Die GFF lehnt den Einsatz von Überwachungs-Software von Privatunternehmen wie FinFisher generell ab, "weil das ein sehr weitreichender Eingriff in die Privatsphäre ist", sagt Lincoln. Deswegen solle die Bundesregierung auch in Deutschland komplett auf den Einsatz von Spähsoftware wie Finspy verzichten. Denn mit dem Kauf "stützt man Unternehmen und ein System, das eben weltweit dazu beiträgt, Menschenrechtler, Journalisten, Aktivisten zu überwachen. Und das kann Deutschland meines Erachtens nicht verantworten", so Lincoln.
Deutschland solle sich darüber hinaus dafür einsetzen, dass es "weltweit wirksame Regeln für den Vertrieb und die Nutzung von Überwachungs-Software gibt".
Von Notz: Finfisher stellte Geschäft vor den Schutz von Menschenrechten
Konstantin von Notz, stellvertretender Vorsitzender der Grünen-Bundestagsfraktion, sieht in dem Aus für FinFisher einen "Paukenschlag", dem Unternehmen solle man aber keine Träne nachweinen: "Finfisher hat über Jahre in dem Wissen agiert, dass die eigene Technik von zahlreichen Diktatoren dieser Welt eingesetzt wurde. Trotz dieses Wissens hat man die eigenen Geschäfte sehr bewusst vor den Schutz von Grund- und Menschenrechten gestellt", schreibt von Notz auf BR24-Anfrage.
Finfisher stehe sinnbildlich für eine Kooperation staatlicher und privater Stellen in einem verfassungsrechtlich extrem heiklen Feld, die durchaus Fragen aufwerfe. "Als Rechtsstaat und Demokratie müssen wir sehr genau prüfen, ob wir uns derartig mit dubiosen IT-Sicherheitsfirmen wie Finfisher gemein machen sollten", schreibt von Notz weiter. Neben Finfisher erwähnt er auch die israelische Firma NSO, die die Überwachungs-Software Pegasus herstellt, die auch der Bundesnachrichtendienst und das Bundeskriminalamt verwenden.
BKA stuft Finfisher als "Verschlusssache" ein
Von Notz zufolge müsse nun "schnellstmöglich" geklärt werden, welche genauen Auswirkungen die Finfisher-Insolvenz hat, "ob es überhaupt noch Verträge mit deutschen Sicherheitsbehörden auf Bundes- und Landesebene gibt".
Presseanfragen zum Einsatz der Finfisher-Software hat das BKA bislang nicht beantwortet, weil der "angefragte Vorgang als Verschlusssache eingestuft ist".
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!