Überwachungsexporte: Die Bangladesch-Connection
Eine Todesschwadron aus Bangladesch will Überwachungstechnologie von einer Zürcher Firma kaufen. Das bestätigt ein Geschäftspartner. Die Behörden verschärfen aufgrund von Nachforschungen der WOZ die Exportkontrollen.
Freitag, 29. August 2014, 17.30 Uhr in Zürich: Zehn Männer aus Bangladesch warten vor einem Gebäude im Binz-Quartier. Es ist der Sitz einer Schweizer Informatikfirma. In der Poststelle nebenan decken sie sich mit Migros-Budget-Handys ein, dann steigen sie in einen dunkelgrauen Minivan mit Zürcher Nummernschild, der sie in ein Hotel in Zürich-West fährt.
Seit dem 22. August 2014 logieren sie dort, eingecheckt unter dem Namen der Informatikfirma, auf die auch der Minivan registriert ist. Das Firmenlogo ziert auch die Unterlagen, die die Männer an diesem Abend in der Hotellobby studieren. Eine Frau mit zwei Kindern kommt hinzu, man plaudert auf Bengali. Dann steigen die ausländischen Hotelgäste in mehrere Taxis und fahren davon in die anbrechende Nacht.
IMSI-Catcher für Bangladesch?
Was aussieht wie ein Ausflug einer harmlosen Touristengruppe, könnte einen ganz anderen Hintergrund haben. Jedenfalls haben die WOZ-Recherchen zur bangladeschischen Delegation die Schweizer Behörden auf den Plan gerufen. Bei der IT-Firma handelt es sich nämlich um die Neosoft AG. Sie taucht in den im September 2013 veröffentlichten «Spy Files» von Wikileaks auf, als eine der wenigen Firmen in der Schweiz, die qualitativ hochstehende Überwachungstechnologie herstellen und verkaufen. Darunter befindet sich auch der sogenannte IMSI-Catcher, ein Gerät, das Handys im Umkreis von 300 Metern erkennt und deren BenutzerInnen identifizieren kann (vgl. «Was ist ein IMSI-Catcher?» im Anschluss an diesen Text).
Dieses Gerät ist offenbar attraktiv für die Besucher aus Bangladesch: Bei den zehn Männern soll es sich um Mitglieder des Rapid Action Battalion handeln, einer paramilitärischen Spezialeinheit. Menschenrechtsgruppen wie Amnesty International und Human Rights Watch nennen das RAB eine Todesschwadron – seit 2004 sei das Battalion für über 700 Morde und die Entführung unzähliger oppositioneller AktivistInnen verantwortlich. Das Rapid Action Battalion, schrieb der Asienchef von Human Rights Watch im Juli, «läuft regelrecht Amok».
Ein Amoklauf mit System: Im Frühling 2014 hatte die britische NGO Privacy International mit Sitz in London ein Dokument publik gemacht, in dem das Rapid Action Batallion die Bedingungen für Lieferanten eines IMSI-Catchers ausschrieb. Unter anderem müsse es in einem Rollkoffer Platz haben und in einem Auto mobil einsatzfähig sein.
«Wir haben zuverlässige Informationen erhalten, die darauf hindeuten, dass es sich bei der Delegation in Zürich um Mitglieder des Rapid Action Battalion handelt», sagt Edin Omanovic, Researcher von Privacy International. Es sei wahrscheinlich, dass diese Personen in der Schweiz seien, um vom Zulieferer ausgebildet zu werden.
Denn in der Ausschreibung des Rapid Action Batallion, die der WOZ vorliegt, wird auch verlangt, dass der Lieferant dem RAB ein Training am Herstellungsort («factory site») anzubieten hat – «für zehn Offiziere während zehn Arbeitstagen». Das Training beinhaltet gemäss den Dokumenten eine Ausbildung für Systemadministratoren. So soll der Wissenstransfer sichergestellt werden. Die Offiziere des RAB lernen bei der Schulung, wie sie Softwareprobleme beheben und das System unterhalten.
Für die NGO ist der Besuch der bangladeschischen Delegation in Zürich kein Zufall. Sie vermutet seit längerem, dass eine Schweizer Firma den Zuschlag des RAB erhalten haben könnte. Im Juli 2013 hatte das «St. Galler Tagblatt» berichtet, Neosoft habe ein Exportgesuch für Überwachungstechnologie gestellt. Später soll die Firma dieses aber wieder zurückgezogen haben.
Seco ergreift Massnahmen
Handelt es sich bei den zehn Bangladeschern in Zürich um Mitglieder des Rapid Action Battalion? Kamen sie nach Zürich, um sich von Neosoft ausbilden zu lassen? Weshalb war die Delegation aus Bangladesch im Hotel unter dem Namen der Firma eingecheckt? Warum wurden sie in einem Neosoft-Minibus von den Büros zum Hotel gefahren? Als die WOZ die bangladeschische Delegation am Montag mit diesen Fragen konfrontieren will, ist sie abgereist. Auch von der Firma Neosoft gibt es dazu keinen Kommentar. Das Unternehmen versichert, dass seine «Geschäftstätigkeit immer unter Beachtung der gesetzlichen Vorgaben erfolgt».
Beim Staatssekretariat für Wirtschaft (Seco) sieht man den Besuch der bangladeschischen Delegation nicht so entspannt. Aufgrund der Recherchen der WOZ und den Hinweisen von Privacy International hat das Seco «Abklärungen» eingeleitet, so lautet die offizielle Terminologie. «Es stehen Befürchtungen im Raum, dass ohne Bewilligung Überwachungstechnologie ausgeführt werden könnte», sagt Jürgen Böhler, Leiter der Exportkontrollen für Dual-Use-Güter beim Seco. Die Bundesbehörde hat Anfang Woche Massnahmen ergriffen, um widerrechtliche Ausfuhren bewilligungspflichtiger Güter zu verhindern. Gemäss Gesetz obliegt die Kontrolle an der Grenze dem Zoll. Falls der IMSI-Catcher über eine Firma in Deutschland ausgeführt würde, müssten nach internationalen Verpflichtungen die deutschen Kontrollbehörden aktiv werden.
Beim Besuch der bangladeschischen Delegation in Zürich sei in erster Linie das allfällige Training in der Schweiz juristisch heikel, sagt Böhler. «Wenn eine Technologie bewilligungspflichtig ist, ist dies auch die dazu gehörige Schulung, sie gilt gemäss Gesetz als Technologietransfer», sagt Böhler. Liegt diese Bewilligung vor? «Ich kann das im Moment nicht kommentieren. Wenn wir Grund zur Annahme haben, dass die Bewilligungspflicht verletzt wurde, sind wir verpflichtet, die mutmassliche Zuwiderhandlung bei der Bundesanwaltschaft anzuzeigen», sagt Böhler weiter.
Wurde hier gegen die Exportgesetze verstossen? Oder ist alles bloss eine Frage der Moral?
RAB: «Das Training verpasst?»
Privacy International hält einen Export von IMSI-Catchern an das RAB aus menschenrechtlichen Gründen ohnehin für bedenklich: «Der Export dieser Technologie würde die Menschenrechte in Bangladesch weiter unterminieren.» Der Handel mit derartigen Technologien spiele sich oft im Dunkeln ab, ohne die nötige Rechenschaftspflicht: «Dieses Geschäft lebt von unzähligen Schlupflöchern. Es fehlt ein klarer gesetzlicher Rahmen», sagt Omanovic. «Die internationalen Standards müssen dringend angepasst werden.»
In Bangladesch will man zu diesem Fall keine Auskunft geben. Eine telefonische Anfrage beim RAB-Hauptquartier in Dhaka bringt wenig Klarheit. Zuerst hält uns der Mediensprecher aufgrund der Sprachbarriere für einen Geschäftspartner: «Was? Unsere Leute haben ihr Training verpasst? Sie wissen nicht, wo sie sich aufhalten? Was ist bloss los?» Als er realisiert, dass er es mit Journalisten zu tun hat, will er allerdings auf keinen Fall bestätigen, dass RAB-Offiziere in die Schweiz gereist seien. Dann legt er mitten im Gespräch den Hörer auf. Eine schriftliche Anfrage an das RAB blieb bis Redaktionsschluss unbeantwortet.
Kurz vor Redaktionsschluss bestätigt ein Geschäftspartner von Neosoft am Telefon: Die Neosoft-Besucher in Zürich gehörten dem Rapid Action Battalion an. Der Deal sei aber noch nicht abgeschlossen.
Die WOZ bleibt dran.
Was ist ein IMSI-Catcher?
IMSI-Catcher sind Überwachungsgeräte, die simulieren, eine Handyantenne zu sein, um die International Mobile Subscriber Identity (IMSI) von Handys erkennen und so die registrierten HandynutzerInnen identifizieren zu können. IMSI-Catcher sind ein beliebtes Überwachungstool von Strafverfolgungsbehörden und Geheimdiensten. Auch die Bundeskriminalpolizei verfügt seit 2007 über diese Technologie. Die Anschaffung eines IMSI-Catchers kostet je nach Gerätetyp und Leistung mehrere Hunderttausend Franken.
In demokratiefernen Staaten werden IMSI-Catcher auch als Repressionsinstrument genutzt. Deshalb ist der Export von IMSI-Catchern umstritten. Seit 2012 wurden aus der Schweiz insgesamt 34 IMSI-Catcher im Wert von 18,7 Millionen Franken ins Ausland geliefert. Wohin, will das Seco aber nicht bekannt geben (siehe WOZ Nr. 25/14 ). Die grüne Nationalrätin Aline Trede hat deshalb kürzlich eine Anfrage an den Bundesrat gestellt. Die Liste der Empfängerstaaten wurde ihr allerdings nur vertraulich und persönlich zugestellt.