Niemand weiss, welcher Teufel den Zürcher Sicherheitsdirektor Mario Fehr geritten hat, als er im Herbst 2014 grünes Licht gab, einen Trojaner bei der italienischen IT-Firma Hacking Team zu kaufen. Aber ein Jahr, eine halbe Million Franken und Hunderte inzwischen gehackte E-Mails später ist klar, dass die heimliche Beschaffung der Überwachungssoftware ein höchst fragwürdiges, möglicherweise sogar illegales Geschäft war.

Anfang Juli hatte jemand die Rechner der Firma Hacking Team gehackt und 400 Gigabyte firmeninterner Dokumente veröffentlicht: E-Mails, Verträge, Kundenlisten. Unter den Kunden: die Zürcher Kantonspolizei. Sie hat für 486 500 Euro das sogenannte Remote Control System Galileo gekauft, einen Trojaner, mit dem die Polizei in fremde Computer und Smartphones eindringen kann.

Die Juso hat mittlerweile Strafanzeige gegen Fehr und unbekannt eingereicht. Der Staatsanwalt ermittelt. Und alles deutet darauf hin, dass auch die Geschäftsprüfungskommission des Zürcher Kantonsrats die Affäre aufklären will. Foutiert sich der Law-and-Order-Politiker Fehr um die Gesetze, wenn sie ihn selber betreffen?

Verfügung unter Verschluss

Im Fokus steht die Frage, ob der Kauf und der allfällige Einsatz des Trojaners rechtlich genügend abgestützt waren und ob die dafür nötige Bewilligung des Zwangsmassnahmengerichts juristisch korrekt war. Der mit den Ermittlungen beauftragte Staatsanwalt Hans Maurer schliesst gegenüber der WOZ nicht aus, dass er im Lauf des Verfahrens nicht nur gegen Fehr ermittelt, sondern auch die Handlungen der Kantonspolizei unter die Lupe nimmt und die Entscheide des Zwangsmassnahmengerichts zur Überprüfung beiziehen wird. Bevor es so weit kommt, muss Maurer ein Ermächtigungsgesuch an den Kantonsrat stellen, um die Immunität Fehrs aufheben zu lassen.

Fehr stritt die Vorwürfe im Juli in einem Interview mit dem «Landboten» ab: Man habe schon heute eine «klare gesetzliche Grundlage» für den Einsatz von Trojanern. Punkt. Seither hüllt sich der Magistrat in Schweigen. Die WOZ wollte die Verfügung einsehen, mit der Fehr den Kauf absegnete. Aber die Sicherheitsdirektion hält sie unter Verschluss. Fragen blockt sie mit Verweis auf die laufenden Untersuchungen ab. Auch die Kantonspolizei gibt derzeit keine Auskunft.

Schon einmal erwischt

Alles nimmt am 14. Oktober 2013 seinen Anfang, als der Zürcher Kriminalpolizist und diplomierte Elektroingenieur B. W. die italienische IT-Firma per Mail kontaktiert. Ein Kollege bei einer Spezialeinheit der italienischen Carabinieri hat ihm das Unternehmen empfohlen. Polizist W. bittet um Kontaktaufnahme, da sich die Kapo Zürich für «gewisse Lösungen» von Hacking Team interessiere.

Im Nachgang wirkt die rasche und kurze Antwort des Verkaufsmanagers von Hacking Team wie ein ironischer Kommentar zur ganzen Affäre: Er schickt dem Polizisten W. als Erstes ein Non-Disclosure Agreement, einen Geheimhaltungsvertrag.

Die Zürcher drängen auf ein Treffen, schliesslich hatte das Zwangsmassnahmengericht zuvor «in zwei Verfahren von schwerster Betäubungsmittelkriminalität und Geldwäscherei» die Überwachung verschlüsselter Internetkommunikation bewilligt. So schildert es wenigstens die Kantonspolizei in einer Medienmitteilung Anfang Juli 2015, unmittelbar nachdem die gehackten Daten von Hacking Team publik wurden.

Doch diese Darstellung ist nur teilweise richtig. Die Oberstaatsanwaltschaft schreibt, das Zwangsmassnahmengericht habe die zwei Anträge für einen Trojanereinsatz «im Winterhalbjahr 2013/2014» bewilligt.

Die bewusst schwammige Datierung (auf Anfrage gab es keine Präzisierung) lässt darauf schliessen, dass mindestens ein Verfahren erst 2014 abgesegnet wurde, also mindestens drei Monate nach der ersten Kontaktaufnahme der Kapo mit Hacking Team. Ein Detail? Vielleicht. Aber es zeigt, dass die Aussagen der Beteiligten mit Vorsicht zu geniessen sind.

Zwei Wochen nach dem ersten Mail, am 30. Oktober 2013, findet das erste Treffen in Zürich statt. Drei Vertreter von Hacking Team reisen mit dem Auto an, sie treffen auf drei Stadtpolizisten, drei Kantonspolizisten und einen Staatsanwalt.

Die Kapo behauptete in ihrer Stellungnahme vom Juli 2015 übereinstimmend mit Fehr, der Einsatz von Trojanern sei bereits gesetzlich geregelt. Dass ausgerechnet der leitende St. Galler Staatsanwalt und Überwachungsfanatiker Thomas Hansjakob dieser kühnen Behauptung gegenüber dem «Regionaljournal Zürich Schaffhausen» von Radio SRF widersprechen musste («Für ein solches Zwangsmittel fehlt die gesetzliche Grundlage»), spricht für sich. Und nicht umsonst befindet sich das entsprechende Überwachungsgesetz (Büpf) gerade in der parlamentarischen Revision.

Auch die Polizisten, die am 30. Oktober 2013 der Hacking-Team-Präsentation lauschen, sehen die Sache wohl nicht so locker wie ihre Chefs. Im Sitzungsprotokoll heisst es, die Polizei sei «in der Vergangenheit erwischt» worden, als sie das deutsche Trojanerprogramm Digitask benutzte.

Die Oberstaatsanwaltschaft bestätigt, dass das zuständige Gericht 2007 einen Trojanereinsatz bewilligte. Insgesamt seien in den letzten zehn Jahren vier Trojanereinsätze beantragt worden: einer 2007, zwei im Winterhalbjahr 2013/14 und einer im Juli 2015, der nach den Kapoleaks-Publikationen aber wieder zurückgezogen worden sei.

Kompromittierte Ermittlungen?

Beim Treffen im Oktober 2013 machen die Italiener eine erste Offerte: 250 000 Euro. Die Zürcher staunen über die Kosten: «Sie machten alle ein überraschtes Gesicht», heisst es im Protokoll. Bei Beschaffungen muss grundsätzlich das günstigste Angebot berücksichtigt werden. Doch obwohl Hacking Team «vielleicht ein paar Prozente teurer» als der deutsch-britische Konkurrent Gamma ist, laufen die Verhandlungen weiter. Es folgt ein Treffen im Dezember, Anfang 2014 reicht Hacking Team eine verbindliche Offerte ein, die fast doppelt so hoch ist: 486 500 Euro.

Dann wird die Sache kompliziert. Warum, ist aus den veröffentlichten Dokumenten nicht ersichtlich. Aber der Deal rückt in weite Ferne. Mehrmals verlangt die Kantonspolizei von den Italienern, dass sie die Frist für ihre Offerte verlängern. Bis Ende April, bis Ende Mai, bis Ende August. Die Mailänder werden ungeduldig, aber Polizist W. beschwichtigt: «Relax, in unserer Organisation dauert es ein bisschen länger.» Die Italiener finden die Verzögerungen «ein bisschen lächerlich», aber sie gehen auf die Wünsche ein. Auch dass die Kapo das Training aus Buchhaltungsgründen nicht als solches ausgewiesen haben will – das Geld müsste separat beantragt werden, was «das ganze Projekt gefährdete» –, akzeptieren die Mailänder.

Am 28. Oktober präsentiert Polizist W. das Geschäft dem «obersten Verantwortlichen». Der Deal wird besiegelt. Am 24. Dezember 2014 – rechtzeitig auf Weihnachten – schickt Hacking Team der Kapo Zürich den Trojaner.

Nach Installation und Training Mitte Januar sowie im März 2015 ist der Trojaner einsatzbereit – rund eineinhalb Jahre nach der ersten Kontaktaufnahme. Wurde er eingesetzt? Dazu schweigen die Behörden. Auch andere Fragen wollen sie nicht beantworten: Warum dauerte der Abschluss des Geschäfts so lange? Konnte der Trojaner nach eineinhalb Jahren überhaupt noch für die ursprünglichen Fälle eingesetzt werden? Weshalb durften die Trainings nicht als solche deklariert werden? Warum verdoppelte sich der Preis nach der ersten Offerte? Warum verbuchte Hacking Team die Kaufsumme von 486 500 Euro in drei Zahlungen: eine von 346 500 und je zwei Zahlungen von 70 000, fällig 2016 und 2017? Wer veranlasste die Stückelung? Klar ist heute nur: Die Affäre um den Staatstrojaner ist längst nicht ausgestanden. Am Montag reichten die Kantonsräte Markus Bischoff (AL), Beat Bloch (CSP) und Jörg Mäder (GLP) eine Interpellation ein, die Antworten von Mario Fehr verlangt.

Hacking Team hat Ende Juli angekündigt, ein Update für seine Produkte zu liefern, sodass sie wieder einsetzbar wären. Mario Fehr und seine Kantonspolizei werden sich hüten. Denn in den gehackten Daten gibt es Hinweise, dass sogar allfällig erfolgte Ermittlungen der Kapo hätten kompromittiert werden können: In der geleakten Datensammlung finden sich auch die Administrator-Passwörter der Kapo Zürich für das Überwachungssystem Galileo. Damit hätte – bis die Kapo reagierte – jedermann Daten verändern können.

Mitarbeit: Jan Jirát