Der Münchner Staatstrojaner-Exporteur FinFisher ist pleite. Über ein Jahrzehnt haben unterschiedlichste internationale Gruppen, darunter der CCC, auf dessen Ende hingearbeitet.
Seit der CCC im Jahr 2011 den ersten deutschen Staatstrojaner analysierte ist viel passiert. Die internationale Community entdeckte FinFisher FinSpy und NSO Pegasus. Unzählige Analysen, Hacks und Recherchen exponierten die international tätigen Exporteure von Trojaner-Software.
Gegen eines der beiden Unternehmen ist nun ein Etappensieg gelungen: Das FinFisher-Unternehmenskonglomerat ist insolvent, der Geschäftsbetrieb wurde vollständig eingestellt. Anlass ist die Pfändung im Rahmen eines Strafverfahrens wegen der Umgehung von Exportkontrollen: Die Schadsoftware FinFisher/FinSpy wurde in der Türkei gegen die Opposition eingesetzt. Eine Ausfuhrgenehmigung bestand nicht.
Auch in Ländern wie Bahrain, Bangladesch, Brunei, Äthiopien, Ungarn, Malaysia, Mexiko, Katar und den Vereinigten Arabischen Emiraten wurde die Software im Einsatz entdeckt. Doch auch deutsche Behörden waren selbstverständlich Kunde des Unternehmens. Auf die Strafanzeige vom Juli 2019 folgten zunächst keine nennenswerten Ermittlungsmaßnahmen. Die Gesellschaft für Freiheitsrechte bat den CCC daher, die vorgelegten Beweise zu erhärten und zu erweitern.
Ende 2019 veröffentlichten wir daraufhin unsere Analyse von 28 Versionen der Schadsoftware (Bericht als PDF), die analysierten Samples und die Analyse-Tools zur Untersuchung weiterer Versionen. Dabei bestätigten wir die Befunde von Access Now und brachten neue Beweise vor. Nachdem wir diese Ergebnisse beim 36. Chaos Communication Congress präsentiert hatten, erläuterten wir diese auch noch einmal persönlich dem Zollkriminalamt und der Münchener Staatsanwaltschaft. Im Oktober 2020 fanden dann endlich Durchsuchungen an über 15 geschäftlichen und privaten Adressen statt.
Offenbar erhärtete sich der Verdacht weiter: Durch einen Vermögensarrest wollte die Staatsanwaltschaft das potenziell aus einer rechtswidrigen Tat erlangte Vermögen sichern, um es ggf. einziehen zu können. Der Pfändung entging die Unternehmensgruppe durch Insolvenz. Das Strafverfahren hingegen läuft selbstverständlich weiter und wir können auf das Ergebnis gespannt sein.
„Das Ende von FinFisher ist nicht das Ende des Marktes für Staatstrojaner”, sagt Thorsten Schröder, der die CCC-Analyse der FinSpy-Samples zusammen mit Linus Neumann durchgeführt hat. „Die nun entlassenen Angestellten werden sich neue Jobs suchen – vermutlich bei der Konkurrenz, die wohl auch die Kunden übernehmen wird.”
Wichtiger als die Pleite des Unternehmens ist daher ein Abschluss des Strafverfahrens. „Wir alle hoffen, dass das Ende von FinFisher nur der Anfang ist und auch die Konkurrenz endlich juristische und finanzielle Konsequenzen zu spüren bekommt”, sagt Linus Neumann.
Staatstrojaner werden von großen internationalen Konzernen vertrieben und weiterentwickelt. Dass Unternehmen wie FinFisher, NSO und Co. überhaupt zu Leibe gerückt wird, ist einer kleinen, exzellenten Community von internationalen Aktivistinnen, Hackerinnen und Forscherinnen zu verdanken:
Es ist vor allem der technischen Expertise dieser Community zu verdanken, dass Vertreter der Branche es schwer haben, gesellschaftlich und politisch akzeptiert zu werden. Diesen unermüdlichen Kampf gegen die digitale Hydra möchten wir an dieser Stelle hervorheben und uns bei allen Forscherinnen und Forschern dafür bedanken, Erkenntnisse und Werkzeuge zu teilen.
Wir haben noch viel zu tun.