Spyware: Eine Schweizer Firma bietet ihre Dienste zum Ausspionieren von Handys im Nahen Osten und in Afrika an Die Schweiz lobbyiert international gegen Spionagesoftware. Dabei sitzt im Tessin eine Firma mit fragwürdigen Angeboten. Reporter ohne Grenzen zählt sie zu den zwanzig «Feinden des Internets».
Die Schweiz lobbyiert international gegen Spionagesoftware. Dabei sitzt im Tessin eine Firma mit fragwürdigen Angeboten. Reporter ohne Grenzen zählt sie zu den zwanzig «Feinden des Internets».
Seit Mitte Februar erhalten Unternehmen im Tessin Hilfe, wenn sie Opfer eines Cyberangriffs werden. Sie können sich bei der Hotline von SOS Cyber melden, einer Initiative des Kantons und privater Firmen. Bei der Abwehr eines akuten Cyberangriffs zum Beispiel helfen die Spezialisten von In The Cyber. Das ist ein lokales Unternehmen mit «ausgewiesener internationaler Erfahrung», wie SOS Cyber schreibt.
Doch In The Cyber hilft nicht nur, Cyberangriffe abzuwehren. Die Firma mit Sitz in Lugano ist auch beim Eindringen in Computer und Handys aktiv. Ihre Tochterfirma Memento Labs in Mailand entwickelt und verkauft Spionagesoftware für Strafverfolgungsbehörden und Nachrichtendienste. Was heute Memento Labs heisst, war früher Hacking Team, die ehemals führende italienische Herstellerin von Spyware. In The Cyber hat die Firma aufgekauft und umbenannt.
Dass die Spyware-Herstellerin Memento Labs einer Schweizer Firma gehört, ist politisch brisant. Die Schweiz hat sich kürzlich einer internationalen Initiative angeschlossen, welche dem Missbrauch von Spionagesoftware den Kampf ansagt. Denn in den letzten Jahren sind zahlreiche Fälle bekanntgeworden, in denen Staaten Überwachungstools missbräuchlich eingesetzt haben. Memento Labs gehört möglicherweise zu den problematischen Herstellern. Die Nichtregierungsorganisation Reporter ohne Grenzen zählt die Firma wegen ihrer Spyware zu den zwanzig «Feinden des Internets».
Pegasus diente weltweit zur Bespitzelung von Aktivisten
Kommerzielle Spyware hat in den letzten Jahren einen grossen Aufschwung erhalten. Die Kommunikation auch von Kriminellen läuft immer häufiger verschlüsselt über das Smartphone. Ermittler oder Nachrichtendienste brauchen digitale Werkzeuge, um Smartphones oder Computer verdächtiger Personen ausspionieren zu können. Weil die Entwicklung komplex und teuer ist, greifen sie häufig auf kommerzielle Überwachungstools zurück.
Spionagesoftware hat teilweise umfangreiche Funktionen: Man kann mit ihr Chat-Verläufe lesen und verschlüsselte Gespräche mithören oder auch Passwörter abfangen und Dokumente von einem Smartphone oder einem Computer kopieren. Teilweise ist es gar möglich, die Kamera oder das Mikrofon des Geräts aus der Ferne einzuschalten. Das Handy wird zur Wanze.
In diesem Geschäft spielt auch Hacking Team beziehungsweise Memento Labs mit. Viel bekannter ist aber ein Produkt der Konkurrenz: Pegasus. Die Spyware der israelischen Firma NSO Group hat vor zwei Jahren weltweit für Schlagzeilen gesorgt, weil sie für missbräuchliche Überwachungen verwendet wurde. Insbesondere autoritäre Staaten, aber auch einzelne EU-Mitglieder haben die Spionagesoftware eingesetzt, um Oppositionelle, Menschenrechtsaktivisten, Journalisten oder Geschäftsleute zu bespitzeln.
Die NSO Group verkauft ihre Produkte grundsätzlich nur an staatliche Behörden wie Polizeien oder Armeen. Diese Kunden dürfen Pegasus gemäss Vorgabe der Herstellerfirma nur für Überwachungen einsetzen, wenn dafür eine gesetzliche Grundlage besteht, also zum Beispiel bei schweren Straftaten. Doch an diese offizielle Vorgabe halten sich nicht alle – und die NSO Group nimmt es möglicherweise mit der Aufsicht nicht so genau.
Das zeigt der Fall des Oppositionellen Jamal Khashoggi aus Saudiarabien, der 2008 im saudischen Konsulat in Istanbul ermordet wurde. Auf den Smartphones von Personen in Khashoggis Umfeld wurden Spuren von Pegasus gefunden, etwa auf dem Telefon seiner Verlobten. Saudiarabien hat möglicherweise Pegasus benutzt, um den Mord vorzubereiten.
Hacking Team wird selbst gehackt – und dann verkauft
Die Geschichte von Hacking Team und ihrer Spionagesoftware reicht bis in die 2000er Jahre zurück – und ist ähnlich problembehaftet wie bei Pegasus. Die kommerzielle Spyware wurde zum Beispiel dazu verwendet, den Menschenrechtsaktivisten Ahmed Mansur aus den Vereinigten Arabischen Emiraten zu überwachen. Hacking Team verkaufte ihre Produkte 2012 zudem an das autoritäre Regime im Sudan – trotz internationalen Sanktionen.
In der Schweiz ist Hacking Team bekannt, weil die Kantonspolizei Zürich 2015 die Überwachungssoftware der Firma beschafft hatte – trotz umstrittener Rechtslage. Als der Kauf später bekanntwurde, sorgte er für grossen politischen Wirbel und löste gar eine Untersuchung der Geschäftsprüfungskommission aus.
Bekannt wurde der Kauf durch die Zürcher Kantonspolizei nur, weil Hacking Team mutmasslich selbst Opfer eines Hackerangriffs wurde. Im Sommer 2015 publizierten Unbekannte interne Dokumente und E-Mails der italienischen Firma im grossen Umfang. Damit wurde nicht nur die Kundenliste der Spyware-Firma bekannt, sondern auch technische Details ihrer Software.
In der Folge des Datenlecks verlor Hacking Team an Bedeutung. Es wurde ruhiger um die Firma. Im Fokus der Öffentlichkeit standen in den letzten Jahren israelische Hersteller wie die NSO Group oder Candiru.
Schliesslich kam es 2019 zum Verkauf: Die Firma In The Cyber mit Sitz im Tessin übernahm Hacking Team und benannte sie in Memento Lab um. Die Firma bekam eine neue Geschäftsleitung und kämpfte mit personellen Problemen, wie der neue Besitzer Paolo Lezzi, ein italienischer Unternehmer mit Wohnsitz im Tessin, dem Magazin «Vice» sagte.
An der Pariser Messe für Überwachungstechnologie Milipol Ende 2019 gab Memento Labs einen Einblick in ihre Angebote. Der «neue Spitzenreiter im Geheimdienstbereich», wie sich Memento Labs im Prospekt selbst bezeichnet, verkauft mehrere Produkte zur Überwachung von Computern und Smartphones, wie die «MIT Technology Review» damals berichtete.
Mit der Spyware KRAIT lasse sich etwa «jedes Android-Gerät» angreifen, «ohne Spuren zu hinterlassen», so das Versprechen im Prospekt. RCS X ist eine Plattform zur Fernüberwachung, die Zugriff auf praktisch alle Funktionen von Computern und Smartphones erlaubt, inklusive Mikrofon und Kamera, Standort oder Tastatureingaben.
Paolo Lezzi, der CEO und Inhaber von In The Cyber, will gegenüber der NZZ keine Auskunft über die Aktivitäten seiner Spyware-Firma geben. Mehrere Anfragen auf verschiedenen Kanälen bleiben unbeantwortet.
In früheren Äusserungen betonte Lezzi, dass sich seine Firma strikte an die gesetzlichen Vorgaben der Exportkontrolle in Italien, der EU und der Schweiz halte. Memento Labs verkaufe seine Überwachungswerkzeuge ausschliesslich an Regierungen und Strafverfolgungsbehörden, nicht an private Firmen. Ausserdem treffe die Firma technische Vorkehrungen gegen eine massenhafte Überwachung, indem die Anzahl und die Dauer von Spionageaktionen begrenzt würden.
Wie das Beispiel Pegasus zeigt, nützen solche Einschränkungen nur minim. Auch staatliche Behörden können ihre Spyware in einer problematischen oder missbräuchlichen Weise einsetzen, um Einzelpersonen zu überwachen. Da Memento Labs ihre Spionagesoftware beim Kunden installiert hat und dann keinen Zugriff mehr darauf hat, kann sie eine missbräuchliche Verwendung nicht kontrollieren.
Memento Labs wirbt um problematische Kunden
Die Missbrauchsgefahr ist gerade bei autoritären Staaten hoch. Und solche Länder hat Memento Labs offensichtlich als mögliche Kunden im Visier. Das zeigt die mehrmalige Teilnahme an der führenden Messe für Überwachungstechnologie, der ISS World in Dubai und Singapur, seit 2019. Diese Messen richten sich an Ermittler und Geheimdienste aus Ländern in Asien, Afrika und dem Nahen Osten.
Memento Labs war mehrmals Sponsor der Messe und präsentierte ihre Produkte im offiziellen Programmteil, letztmals vor anderthalb Monaten in Dubai. In den Präsentationen ging es um «360°-Fernüberwachung», das «Abfangen von mobiler Kommunikation» oder die «erweiterte Überwachung von Zielen», wie dem offiziellen Programm der ISS World zu entnehmen ist. Eine Live-Demo führte das «Aufbrechen von Zugriffskontrollen für Forensik und aktive Überwachung» vor – also das unbemerkte Eindringen in Computer und Smartphones.
Für die Schweiz könnte es Folgen haben, dass mit In The Cyber eine Tessiner Firma im Spyware-Sektor tätig ist – und dabei auch vor problematischen Kunden nicht zurückzuschrecken scheint. Denn die Schweiz gehört zu jenen elf Staaten, welche Ende März in einer bisher einmaligen Aktion gemeinsam den Missbrauch von kommerzieller Spionagesoftware verurteilten.
Diese Haltung entspreche dem bisherigen Engagement der Schweiz, sich für die Einhaltung des Völkerrechts im Cyberraum starkzumachen, teilt das Aussendepartement in Bern auf Anfrage mit. Die Schweiz kenne heute bereits sehr strenge Exportkontrollen im Bereich der Überwachungstechnologien.
Doch die gemeinsame Erklärung der elf Staaten spricht auch die Geschäftspraktiken der Firmen an. Die Länder wollen die Herstellerfirmen insbesondere zur Berücksichtigung der Menschenrechte drängen.
Ob die Schweizer Bundesverwaltung nun bei In The Cyber vorstellig werden und auf ethische Geschäftspraktiken pochen wird, will das EDA nicht sagen. Man äussere sich nicht zu Kontakten oder Massnahmen gegenüber einzelnen Firmen. Zu vermuten ist: Die schweizerisch-italienische Firma Memento Labs wird wohl nicht so rasch von der Liste der zwanzig «Feinde des Internets» verschwinden.
