Candiru

22. September 2021

Die Bundesregierung will nicht sagen, ob deutsche Behörden den Staatstrojaner Candiru nutzen. Die Antwort könnte das Staatswohl gefährden. CitizenLab und Microsoft haben über hundert Opfer der israelischen Schadsoftware gefunden, darunter eine politisch aktive Person in Westeuropa.

Büro mit Catering
Büro des Staatstrojaner-Herstellers „Candiru“ mit Logo. – Alle Rechte vorbehalten Catering-Firma

RCIS, FinFisher, Pegasus – Polizei und Geheimdienste in Deutschland besitzen eine ganze Reihe an Staatstrojanern, mit denen sie Geräte hacken und überwachen. Die Liste gekaufter Schadsoftware könnte wohl noch länger sein, aber Bundesregierung und Behörden verweigern fast jede substantielle Auskunft. Möglicherweise kommt ein bisher wenig beachteter Staatstrojaner hinzu: Candiru.

Im Amazonas gibt es einen parasitären Fisch, dem nachgesagt wird, dass er in die Harnröhre von Männern schwimmen kann und dort Blut saugt. Deshalb wird er Harnröhrenwels oder Penisfisch genannt. Der lokale und englische Name ist „Candiru“. Diesen Namen hat sich eine israelische Staatstrojaner-Firma gegeben, wohl in Anlehnung an ihr Produkt.

Vor zwei Jahren enthüllte der israelische Journalist Amitai Ziv die Existenz der 2015 gegründeten Firma in der Tageszeitung Haaretz. Ein Eigentümer von Candiru hat zudem die Pegasus-Firma NSO gegründet: Isaac Zack. Wie NSO und andere israelische Hacking-Firmen rekrutiert Candiru viele Mitarbeiter vom Militär-Geheimdienst. Die Firma hat keine Webseite, scheut die Öffentlichkeit und ändert öfter den Namen.

Während andere Trojaner vor allem Smartphones angreifen, hat sich Candiru zunächst darauf spezialisiert, „Computer und Server“ zu hacken. Mittlerweile kann Candiru alle möglichen Systeme infizieren: iPhones, Androids, Macs, Windows-PCs und Cloud-Accounts. Als Einfallstor dienen unter anderem den Herstellern unbekannte Schwachstellen – ein Kernproblem von Staatstrojanern.

Im Juli haben CitizenLab und Microsoft über hundert Opfer der Candiru-Schadsoftware in der ganzen Welt gefunden, darunter Menschenrechtler:innen, Dissident:innen, Journalist:innen, Aktivist:innen und Politiker:innen. Ein Opfer war eine politisch aktive Person in Westeuropa, auf dessen Windows-Computer sie den Trojaner nachweisen konnten.

Die Angreifer nutzten für ihre Infrastruktur auch Namen und Domains anderer Organisationen, darunter NGOs wie Amnesty International, politische Bewegungen wie Black Lives Matter, Medien wie Deutsche Welle und France 24, internationale Organisationen wie Vereinte Nationen und Weltgesundheitsorganisation, aber auch die großen Tech-Firmen und Social-Media-Plattformen.

Ob Polizei oder Geheimdienste in Deutschland diesen Staatstrojaner gekauft haben, will die Bundesregierung nicht sagen. Bis vor ein paar Jahren haben sich zumindest Polizeibehörden schwer getan mit Staatstrojanern aus Israel. Mit dem Kauf von NSO Pegasus ist diese Beschränkung vorbei.

Bereits im Januar 2019 zitierte Haaretz eine ungenannte Quelle mit einem Hinweis in diese Richtung: „Wenn beispielsweise Deutschland offensive Cyber-Tools für eine Angelegenheit nationaler Sicherheit benötigt, entwickelt es diese definitiv selbst. Wenn Deutschland aber beispielsweise Menschenhandel aus der Türkei verfolgt, kauft es Cyber-Tools von außerhalb, wo das Thema weniger sensibel ist.“

Die linke Bundestagsabgeordnete hat Martina Renner hat die Bundesregierung gefragt, ob Bundesbehörden wie Bundeskriminalamt oder Bundesamt für Verfassungsschutz Staatstrojaner von Candiru nutzen. Das Innenministerium verweigert erneut jede Auskunft und beruft sich dabei auf das „Staatswohl“.

In seiner Antwort behauptet Bundes-CIO und Innenministerium-Staatssekretär Markus Richter, dass sich Kriminelle und Terroristen gegen Staatstrojaner schützen könnten, wenn die Namen der Statstrojaner-Firmen öffentlich werden. Deshalb müsse die Kontrolle von Parlament und Medien unterbleiben. Netzpolitik.org veröffentlicht die Antwort des Innenministeriums in Volltext.

Martina Renner (Die Linke) kritisiert diese Geheimhaltung. Gegenüber netzpolitik.org sagt sie:

„Die Bundesregierung hat bereits im Falle der Spähsoftware Pegasus der Firma NSO wie nunmehr auch im Fall von Candiru alle Auskünfte verweigert. Nachdem inzwischen eingeräumt wurde, dass Pegasus vom BKA eingesetzt wird, gehe ich davon aus, dass dies auch bei Candiru der Fall ist. Angesichts dieser Intransparenz muss das Vorgehen der Bundesregierung und der Behörden als unkontrollierbar bezeichnet werden.“


Quelle: Netzpolitk.org / Andre Meister, Creative Commons BY-NC-SA 4.0.