Wie Cyber-Spione zu Werke gehen

Wettlauf der Bug-Jäger

Auch Muenchs Unternehmen Gamma wurde daher von Menschenrechtlern im abgelaufenen Jahr heftig kritisiert: Denn die Deutschen sollen ihre Spionagesoftware auch an die Regierungen in Ägypten und Bahrain verkauft haben. In Bahrain wurde FinFisher, in Bilddateien versteckt, an politische Aktivisten verschickt, berichten Forscher des Citizen Lab an der Universität von Toronto. Gamma bestreitet das.

Er handle nur mit autorisierten Regierungs- und Strafverfolgungsbehörden und halte sich an deutsche und englische Exportvorschriften, sagt Muench. Kritiker wie Datenschützer Soghoian halten das für Vernebelungstaktik. Der Handel mit Zero-Day-Exploits unterliege in keinem der Länder einer Regulierung.

Auch Vupen-Gründer Bekrar bemüht sich um eine weiße Weste. Sein Unternehmen arbeite nur mit Kunden aus Staaten der Bündnisse NATO, ANZUS (Australia, New Zealand, United States) und dem Verband Südostasiatischer Nationen ASEAN. Dass Letzterem auch weniger lupenreine Demokratien wie Kambodscha, Brunei oder Myanmar angehören, unterschlägt der Schwachstellen-Dealer.

Unklar bleibt zudem, wie Gamma und Vupen verhindern wollen, dass ihre digitalen Waffen in die Hände Dritter gelangen. Denn anders als Panzer oder Raketen lässt sich ein Programmcode unbemerkt verteilen: Selbst auf kleinste USB-Sticks passen Zehntausende Exploits.

Und so ist ein Wettlauf entbrannt zwischen den Profiteuren der Lücken - und den Softwareproduzenten, die sie zu schließen versuchen.