Überwachung: Die Predator Files

Nr. 40 –

Eine Welt ohne Skrupel: Wie die Intellexa-Allianz um den israelischen Exgeheimdienstler Tal Dilian Überwachungstrojaner an Despoten verkauft – und die Schweiz als sicheren Hafen zur Verschleierung ihrer Geschäfte nutzt. Die grosse internationale Recherche.

Illustration von Marcel Bamert
Illustration von Marcel Bamert
Illustration von Marcel Bamert
Illustration: Marcel Bamert

1. Aiman Nur, das Opfer

Bis Aiman Nurs Leben keine Geheimnisse mehr birgt, dauert es zwei Minuten. Es ist der 22. Juni 2021. Um 14.33 Uhr klickt der ägyptische Politiker auf einen Link, den er über Whatsapp erhalten hat. 120 Sekunden später ist «Predator» in sein Smartphone eingedrungen. Still und heimlich verschafft sich die Software Zugang zu allen Inhalten, greift auf Fotos und Kontakte zu, aktiviert Kamera und Mikrofon – und verwandelt das Gerät in einen mächtigen Spion.

Nurs Fehler: Er ist auf einen falschen Presseartikel hereingefallen, verschickt von einer ägyptischen Nummer. Der Bericht ist auf Nur zugeschnitten: «Türkei ruft ägyptische Oppositionssender auf, Ägypten nicht mehr zu kritisieren», so die Schlagzeile. Nur, der für seinen Einsatz für Menschenrechte bekannt ist, lebt seit Jahren in Istanbul. Nachdem er 2005 den ägyptischen Machthaber Hosni Mubarak als Präsidentschaftskandidat herausgefordert hatte, musste er für vier Jahre ins Gefängnis. Anschliessend floh er ausser Landes. In der Türkei betreibt Aiman Nur einen TV-Sender, der regelmässig Kritik am ägyptischen Regime übt.

Nach dem 22. Juni bemerkt Nur auf seinem Handy Fehlfunktionen. Als ein regierungsnaher ägyptischer Sender private Nachrichten und Fotos von ihm veröffentlicht, beginnt er um sein Leben zu fürchten. Nur lässt sein Telefon vom Citizen Lab überprüfen. Die Expert:innen des auf Cybersicherheit spezialisierten Instituts der Universität Toronto finden auf dem Gerät zwei Trojaner. Einer davon heisst «Predator». Zu Deutsch: Raubtier.

Die Verwendung von Spionagesoftware, die innert weniger Minuten sämtliche Chats, Gespräche, Fotos und Videos auf einem Smartphone abgreifen kann, ist streng reguliert. In der EU und in der Schweiz fällt sie in die Kategorie sogenannter Dual-Use-Güter, ihr Verkauf unterliegt Exportgesetzen. Landet die Technologie in den falschen Händen, wird sie zur Waffe. Aber wie gelangte sie auf Aiman Nurs Handy?

Gemeinsam mit internationalen Partnermedien und unter Koordination des Rechercheverbunds European Investigative Collaborations (EIC) hat sich die WOZ auf die Spur von Predator begeben – und geleakte Daten, Gerichtsdokumente und Verhörprotokolle, Transkripte von abgehörten Telefongesprächen, Verträge und Produktofferten ausgewertet, die «Mediapart» und «Der Spiegel» erhalten haben. Was dabei ans Licht kommt, ist eine Welt ohne Skrupel, in der für den eigenen Profit alle Mittel recht sind. Die EU und die Schweiz dienen dabei als sicherer Hafen für dubiose Geschäfte. Unter dem Radar oder gar unter dem nachsichtigen Blick der Behörden.

Vor zwei Jahren haben bereits die Enthüllungen rund um die «Pegasus»-Software der israelischen Firma NSO Group deutlich gemacht, wie Oppositionelle, Regimekritiker oder Journalistinnen mithilfe eines gehackten Smartphones ausspioniert werden. Die «Predator Files» zeigen nun umfassend, wie eine Gruppe umtriebiger Geschäftsleute Überwachungsprodukte an Despoten und Unrechtsstaaten verkauft – nach Ägypten und Libyen, Madagaskar und Vietnam. Die Verkäufe koordinieren sie über zahlreiche Whatsapp-Chats; dort planen sie auch die Präsentationen der Produkte, tauschen sich über technische Details aus und diskutieren Vertragsverhandlungen.

Die «Predator Files» sind die Geschichte eines Netzwerks, gegründet, um der marktführenden NSO Group und der Konkurrenz aus den USA die Stirn zu bieten: der «Intellexa-Allianz». Die Spuren dieser Allianz führen auch mitten in die Schweiz, zu einem Chalet im Wallis und einem Finanzdienstleister in Lugano.

Internationale Kooperation: Zur Recherche

Gemeinsam mit internationalen Partnern recherchierte die WOZ während über einem Jahr zu den Geschäften der sogenannten Intellexa-Allianz – eines führenden Anbieters von höchst umstrittener Überwachungstechnologie wie zum Beispiel der Spionagesoftware Predator.

Ausgangspunkt für die Recherche waren vertrauliche Dokumente, die das französische Portal «Mediapart» und das deutsche Nachrichtenmagazin «Der Spiegel» erhielten. Dabei handelt es sich um Akten aus französischen Ermittlungen sowie um Unterlagen zum deutschen Rüstungskonzern Hensoldt mit Hinweisen auf Intellexa.

Die internationale Recherche hat das Mediennetzwerk European Investigative Collaborations (EIC) koordiniert. Folgende EIC-Mitglieder waren beteiligt: «Mediapart» (Frankreich), «Der Spiegel» (Deutschland), «NRC» (Niederlande), «Politiken» (Dänemark), «Expresso» (Portugal), «Le Soir» (Belgien), «De Standaard» (Belgien), «VG» (Norwegen), «infolibre» (Spanien) und «Domani» (Italien). Für diese Recherche hinzu kamen «Shomrin» (Israel), «Reporters United» (Griechenland), «Daraj Media» (Libanon), die «Washington Post» (USA) und die WOZ. Unterstützt wurden sie fachlich vom Security Lab von Amnesty International.

Die Publikation erfolgt zeitgleich in den beteiligten Medien. Die Partner werden in den kommenden Tagen weitere Berichte veröffentlichen. Auch auf www.woz.ch und in der nächsten Ausgabe folgen zusätzliche Beiträge.

Predator Files Logo

2. Tal Dilian, der umtriebige Cyberunternehmer

Von Aigle aus führen kurvige Strassen hinauf nach Champéry, der noch heissen Septembersonne entgegen. Die Einfahrt ins Walliser Dorf ist malerisch, vor den Balkonen hängen säuberlich gepflegte Geranien. Je weiter es den Berg hoch geht, desto vornehmer wird die Gegend. Links am Strassenrand taucht ein roter Briefkasten auf.

Die Aufschrift «Famille Dilian Hamou» bestätigt: Hier wohnt Tal Dilian. Der Israeli ist einer der mächtigsten Händler von Cyberwaffen. Und der Kopf der Intellexa-Allianz – eines Netzes aus Überwachungstechnologie-Firmen. Sara Hamou ist Dilians Partnerin; laut Geschäftsunterlagen bekleidet sie in zahlreichen seiner Firmen entscheidende Funktionen. Vom Briefkasten führt ein schmaler Weg zur Hausnummer 11A. «Chez Dilian» steht neben der Eingangstür in schwungvoller Schrift.

Das Chalet ist in einen steilen Hang hineingebaut und hat mindestens drei Stockwerke. Die Fensterläden sind geschlossen, Zäune und eine Hecke schützen das Anwesen vor neugierigen Blicken. Offenbar ist niemand zu Hause, auf mehrfaches Klingeln folgt keine Reaktion. «Dilia­­­­­­n ist immer wieder da, oft im Winter», bestätigt eine Nachbarin. Ähnlich äussert sich auch der Betreiber eines nahe gelegenen Restaurants. Im Winter sei Dilian viel in Champéry, im Sommer «meistens auf Zypern, in seinem Haus mit Pool».

 Illustration von Marcel Bamert
Die Schweizer Connection: Tal Dilian, Gründer der Intellexa-Allianz (oben), und der Tessiner Treuhänder Andrea Gambazzi. Illustration: Marcel Bamert

Tal Dilians Geschichte beginnt in der israelischen Armee, wo er 25 Jahre lang dient. Unter anderem ist er dort Kommandant der berüchtigten Cybereinheit «Unit 81», in der die Elitehacker:innen des militärischen Nachrichtendiensts Equipment für Spezialoperationen entwickeln. 2002 muss Dilian die Einheit nach Veruntreuungsvorwürfen verlassen. So beginnt seine Karriere als Unternehmer: Das Geschäft mit der Spionage wird für ihn zum Lebenswerk.

Um den israelischen Exportkontrollen zu entgehen, lässt sich Dilian in der EU nieder, genauer: auf Zypern. Die Insel gilt als Labor für Überwachungsunternehmen – und als Einfallstor in den arabischen Markt. Von Zypern aus steigt Dilian 2009 bei der Firma Circles ein – und hilft bei der Entwicklung einer für die damalige Zeit revolutionären Software, die Handys innert Sekunden lokalisieren kann. 2014 wird Circles für 130 Millionen US-Dollar an einen US-Fonds verkauft, der auch Mehrheitsanteile am Branchenriesen NSO Group besitzt. Damit beginnt für Dilian der Wettbewerb mit dem Konkurrenten.

2016 gründet er die Aliada-Gruppe. Laut israelischen Gerichtsdokumenten, die der WOZ vorliegen, handelt es sich dabei um eine auf den britischen Virgin Islands registrierte Holding, zu der zahlreiche Produzenten von Cyberwaffen in Europa und Israel gehören.

2018 investiert Dilians Aliada-Gruppe in ein Start-up namens Cytrox. Dessen Spezialgebiet ist das Hacken von Telefonen. Zu dieser Zeit ist Cytrox praktisch bankrott, wie die israelischen Gerichtsdokumente zeigen. Ausgestattet mit neuem Kapital, bringt Cytrox Predator auf den Markt – damals noch ein sogenannter Ein-Klick-Trojaner, der ein Handy infiziert, sobald die Zielperson auf einen ihr zugesandten Link klickt. Zu einer Infektion völlig ohne Zutun des Opfers ist die Software – im Gegensatz zum grossen Konkurrenten Pegasus – noch nicht in der Lage. Doch das soll sich bald ändern.

3. Die Intellexa- Allianz – gekommen, um zu bleiben

Das grosse Selbstbewusstsein des Cyberunternehmers Tal Dilian zeigt sich in einem Videointerview, das er im Jahr 2019 dem US-Wirtschaftsmagazin «Forbes» in seiner Wahlheimat Zypern gibt. Dilian, Jeans, gestreiftes Hemd, sitzt in einem schwarzen Minivan mit abgedunkelten Scheiben. «Wir werden sie verfolgen, abfangen und infizieren», sagt er mit nonchalanter Stimme über zwei Mitarbeiter, die als Zielpersonen dienen. Es ist der Moment, der dem einstigen Offizier des israelischen Militärs weltweit zu Bekanntheit verhilft.

Das Interview mit «Forbes» dient der Livedemonstration der eigenen Hackingkünste. Der Van, ein früherer Ambulanzwagen, wurde zum Spionagefahrzeug hochgerüstet. Sein Preis: zwischen 3,5 und 9 Millionen US-Dollar, je nach den Ausstattungswünschen. Vor laufender Kamera dringt Dilian im Fonds seines Wagens ins Telefon der Zielpersonen ein, installiert dort – völlig unbemerkt – seine Überwachungssoftware. Wenige Sekunden später erscheinen sämtliche Whatsapp-Nachrichten, Fotos und Kontakte auf seinem Monitor. Er könne dies mit jedem beliebigen Telefon im Umkreis von 500 Metern tun, sagt Dilian. Selten spricht jemand so offen über ein Business, dessen Erfolgsrezept die Verschwiegenheit ist.

Wenige Monate nach der Ausstrahlung beschlagnahmen die zypriotischen Behörden den Van, nehmen Mitarbeiter:innen zur Befragung fest – für Dilian eine «Hexenjagd», wie er in einem Pressestatement schreibt. Die Ermittlungen dauern zwei Jahre und enden mit einer Busse von 925 000 Euro für das illegale Abfangen persönlicher Daten. Zu dieser Zeit ist der umtriebige Unternehmer allerdings längst nicht mehr auf Zypern. Bereits kurz nach Beginn der Untersuchung stiehlt er sich davon – und schlägt seine geschäftlichen Zelte unter anderem in Griechenland und Irland auf. In beiden Ländern werden wenige Monate später Intellexa-Firmen gegründet.

Produktebroschüre von Intellexa
Unauffälliger Koffer mit mächtiger Spionagewaffe: Aus einer Produktebroschüre von Intellexa.

Für Dilian laufen die Geschäfte damals ziemlich gut. Ein paar Monate zuvor, im Februar 2019, hat er die Gründung der Intellexa-Allianz bekannt gegeben. Dem Zusammenschluss gehören neben Firmen aus Dilians Unternehmensgruppe auch der französische Konzern Nexa und dessen Schwesterfirma Advanced Middle East Systems (Ames) aus Dubai an. Über Beteiligungen an Nexa und Ames war auch die Plath-Gruppe aus Deutschland samt ihrer Tochterfirma im bernischen Ostermundigen involviert. Auf Nachfrage behauptet diese jedoch, bis zu ihrem Ausstieg Ende 2020 an keinen operativen Projekten teilgenommen zu haben. Gemeinsam bilden die Unternehmen eine Dachorganisation, in der sich neben den Sortimenten auch die Kund:innen kombinieren lassen. Intellexa ist dabei nicht bloss eine Allianz, sondern auch eine Marke mit eigenen Produkten wie der Spy-Software Predator (vgl. Diagramm am Schluss dieses Textes).

Der Zeitpunkt, um ein Gegengewicht zur NSO Group zu bilden und so zum europäischen Leader auf dem Überwachungsmarkt aufzusteigen, ist gut gewählt: Der Branchenprimus ist in Negativschlagzeilen geraten, weil seine Spyware Pegasus im Umfeld von Jamal Khashoggi gefunden wurde – jenem regimekritischen Journalisten, den ein saudi-arabisches Killerkommando 2018 in Istanbul umgebracht hatte. Den Imageschaden des grossen Konkurrenten sieht Dilian als Chance. Er träume davon, dass seine Allianz mittelfristig einen Jahresumsatz von bis zu 500 Millionen US-Dollar erzielen könne, sagt er gegenüber «Forbes».

Einen besonders zuverlässigen Partner für seine ambitionierten Ziele hat Dilian in Nexa und deren Schwesterfirma Ames gefunden. Eines ihrer Aushängeschilder, die Software «Cerebro», dient der Massenüberwachung. Oder wie es die Firma selbst formuliert: Sie kann «den gesamten Internetverkehr in der Grössenordnung eines ganzen Landes» überwachen. Doch weil immer mehr Kommunikation verschlüsselt stattfindet, wird das Produkt über kurz oder lang seiner Wirkung beraubt. Zudem fehlt Nexa das auf dem Markt gerade begehrteste Tool: die Technologie, mit der sich Smartphones infizieren lassen. Hinzu kommt, dass führende Nexa-Köpfe, darunter die beiden Gründer Stéphane Salies und Olivier Bohbot sowie deren Stellvertreter Renaud Roques, in zahlreiche Skandale verwickelt sind. Derzeit laufen etwa Strafverfahren wegen «Beihilfe zu Folter» und «zwangsweisen Verschwindenlassens». Mit Nexa-Technologie sollen Oppositionelle aufgespürt und verhaftet worden sein. Salies und Bohbot bestreiten die Vorwürfe, für sie gilt die Unschuldsvermutung (vgl. «Heisser Draht ins Elysée»).

Mit den Geschäften des französischen Unternehmens geht es bergab; innert eines Jahres bricht der Umsatz von 23 auf 8 Millionen Euro ein. Für Dilian ist das allerdings kein Grund, auf den Schulterschluss zwischen seinen Unternehmen und der Nexa-Gruppe zu verzichten. Im Gegenteil: Für den Angriff auf die Grossen der Branche ist die Firma unverzichtbar.

Nexa und Dilian spannten schon 2018 zusammen, wie der WOZ vorliegende Dokumente zeigen – kurz nachdem der Israeli in Cytrox investiert hatte. Gemeinsam fertigen sie «AlphaSpear», jenen millionenschweren Hackingvan, den Dilian später dem «Forbes»-Magazin präsentiert. Und sie entwickeln den Predator-Trojaner entscheidend weiter: Die neue «Null-Klick-Spionagesoftware» braucht zum Infizieren von Smartphones nicht einmal mehr ein Anklicken von Links. Stattdessen lässt sich aufs Zielgerät still und leise ein Spion laden – während das Gerät in der Hosentasche schlummert (vgl. «Der Spion in der Hosentasche»).

Die Produkte stossen auf Anklang; diverse Regierungsaufträge im Gesamtwert von mehreren Millionen Euro trudeln ein. Zu verdanken ist der Erfolg nicht zuletzt dem riesigen Kundenstamm von Nexa und Ames: Sie öffnen ihr Adressbuch, um Predator in Länder verkaufen zu können, in denen Tal Dilian bisher nicht über die nötigen Kontakte verfügte.

Nach aussen betont die Intellexa-Allianz ihr sauberes Image: Das Label «EU-based and regulated» dient dazu, die Geschäfte als besonders gut kontrolliert anzupreisen. Daran, dass er in seiner Arbeit einen gesellschaftlichen Nutzen sieht, lässt Tal Dilian beim «Forbes»-Interview keinen Zweifel: Regierungen und die Justiz bräuchten seine Technologie zum Schutz vor Terrorismus, Drogenhandel und organisiertem Verbrechen.

Dilian behauptet gegenüber «Forbes», sich stets an das Gesetz zu halten; geschehe ein Missbrauch, liege das nicht in der Verantwortung der Hersteller. «Wir sind nicht die Richter und nicht die Polizei der Welt.» Niemand suche aktiv nach einer Lücke, um die Produkte an Länder zu verkaufen, die keine legitimen Empfänger seien. «Wir arbeiten mit den Guten zusammen, aber manchmal benehmen sich die Guten nicht», sagt der Cyberunternehmer. Eine Logik, die an die Argumentation der Hersteller klassischer Waffen erinnert.

Dass die Zusammenarbeit sich keineswegs nur auf die «Guten» beschränkt, zeigt nicht zuletzt der Fall des prominenten ägyptischen Oppositionspolitiker­s und Predator-Opfers Aiman Nur.

Jetzt die WOZ abonnieren!

Ohne Abonnement:innen wären uns Recherchen wie #PredatorFiles unmöglich. Ab 25 Fr. (Probeabo) sind auch Sie mit dabei. Jetzt abonnieren!

Die WOZ auf Papier, als App, im Web und als PDF-Datei

4. Deals mit dem Teufel

Die Geschichte des fragwürdigen Deals mit Ägypten nimmt ihren Anfang im September 2020. Zu diesem Zeitpunkt bereiten führende Exponenten von Intellexa per Whatsapp eine Vorführung ihrer Spyware in Kairo vor. Nexa-Chef Salies spricht von einem «äusserst fordernden Kunden mit spezifischen Kenntnissen».

Am Morgen des 31. Dezember hat Tal Dilian allen Grund zum Feiern. «Grossartig!!!! Frohes neues Jahr», schreibt er nur wenige Stunden bevor zu Silvester die Korken knallen in einen Whatsapp-Chat. Dieser liegt der WOZ vor, weil die französischen Ermittlungsbehörden zu der Zeit die führenden Nexa-Köpfe überwachen. Eben haben die Männer erfahren, dass der Vertrag unter dem Codenamen «Gemini» vom Kunden unterzeichnet wurde. Dieser Kunde ist das Sisi-Regime, genauer: eine Einheit des ägyptischen Geheimdiensts mit dem Namen Technical Research Department (TRD); so schreibt es Nexa-Geschäftsführer Roques seinen Kollegen. Gemäss internen Dokumenten lief der Deal über die Nexa-Schwesterfirma Ames in Dubai. Der Gesamtumfang: fast 9,4 Millionen Euro, davon allein über ein Drittel für die Lieferung für siebzig Infektionen mit dem Predator-Trojaner.

Der Millionenbetrag lässt Intellexa offenbar auch darüber hinwegsehen, was für eine Behörde das TRD ist: Schon 2016 berichtet die NGO Privacy International, dass die Cybereinheit, die direkt dem ägyptischen Präsidenten unterstehe, der Überwachung Oppositioneller diene – Menschen wie Aiman Nur also. Privacy International spricht in einem damaligen Bericht von einem «schwerwiegenden Menschenrechtsproblem» und fordert ein Verbot des Exports von Überwachungstechnologie nach Ägypten.

Als Aiman Nur durch einen Anruf des Citizen Lab von der Überwachung seines Smartphones erfährt, ist er keineswegs überrascht. «Ich bin Journalist, Autor, Parlamentarier, Politiker und Präsidentschaftskandidat. Ich habe also genug Qualifikationen, um mit vier verschiedenen Spionageprogrammen überwacht zu werden.» Auf die leichte Schulter nimmt er die Information aber nicht – schliesslich war der ermordete Jamal Khashoggi ein enger Freund von ihm. «Dass auf meinem Handy mehr als eine Spyware gefunden wurde, bedeutet mehr als einen Kunden – also mehr als eine Seite, die es auf mich abgesehen hat.»

Aiman Nur, ägyptisches Predator-Opfer im Exil in Istanbul, spricht über den Spyware-Angriff auf sein Handy. Projekt Illustration: Simon Toupet @Mediapart; Video Animation und Illustration: Studio Accronym

Welchen Schaden Predator anrichten kann, ist den Verkäufern bewusst. Sollte der Verkauf ans Sisi-Regime an die Öffentlichkeit kommen, «sind wir tot», sagt Nexa-Chef Salies im Juni 2021 in einem von französischen Ermittlungsbeamt:innen abgehörten Telefonat mit einem Mitarbeiter, dessen Gesprächsprotokoll der WOZ vorliegt.

Die «Predator Files» beweisen: Nexa und Ames haben Intellexa-Produkte an zahlreiche Länder mit problematischer Menschenrechtslage verkauft – neben Ägypten beispielsweise an Madagaskar oder Sambia. Und die feucht-fröhliche Whatsapp-Unterhaltung der Intellexa-Kaderleute kurz vor Silvester verweist auf einen weiteren Deal. Nur ein paar Stunden nach der Freude über den Ägyptenhandel ist auch vom bevorstehenden Abschluss eines Projekts mit dem Regime in Vietnam unter dem Namen «Khmer Rouge» die Rede.

Intellexa schliesst aber nicht nur mit autoritären Regimes Handelsverträge ab. Für Aufsehen hat auch ein Überwachungsskandal mitten in Europa gesorgt: Im April 2022 enthüllen Journalist:innen, dass der griechische Geheimdienst Telefone abgehört hat – und dabei auf Predator setzte. Zu den Opfern zählen auch der Investigativjournalist Thanasis Koukakis und der sozialdemokratische Oppositionsführer Nikos Androulakis (vgl. «Einsatz in der Wiege der Demokratie»). Der als «Predatorgate» bekannt gewordene Skandal zeigt, dass Spionagesoftware nicht nur in autoritären Staaten zum Einsatz kommt. Zudem belegt er, dass europäische Regierungen sich mit den Herstellern nachsichtig zeigen, wenn es um die Vergabe von Exportlizenzen geht. So hat Athen Intellexa im November 2021 zwei Lizenzen für Predator ausgestellt. Das Zielland: Madagaskar (mehr dazu nächste Woche in der WOZ).

Tal Dilian, der israelische Exgeheimdienstler und umtriebige Cyberunternehmer, steht bei vielen Geschäften im Zentrum. So etwa ist er Administrator von Whatsapp-Gruppen, in denen die Deals verhandelt werden – teilweise nutzt er dabei eine Schweizer Handynummer. Offiziell hält er allerdings keine Anteile an Intellexa mehr und bezeichnet sich auf Linkedin nur noch als «Berater» der Firma, nachdem er früher öffentlich als CEO auftrat.

Konfrontiert mit Fragen des Rechercheverbunds EIC, wollen die beiden französischen Partner, Salies und Bohbot, auch nichts mehr mit Intellexa zu tun haben. Die eigentliche Allianz sei bereits 2020 Geschichte gewesen: Damals habe «eine Person ausserhalb von Nexa» ein eigenes Intellexa-Unternehmen gegründet, was zum Ende der Allianz geführt habe. Nexa habe ab dann nur noch kurz mit Intellexa zusammengearbeitet, um ihnen «beim Vermarkten ihrer Produkte zu helfen». Zudem hätten sie 2021 alle bestehenden Verträge gekündigt, weil sie den Einsatz der Produkte für zu umstritten gehalten hätten. Der Einblick in die Kommunikation der Männer zeichnet ein anderes Bild: Noch im Juni 2021 diskutierten Salies und Dilian ein Exportgeschäft.

Die Aussagen von Tal Dilians Partnern lassen aufhorchen: Anfang 2020 wurden tatsächlich mehrere Intellexa-Firmen gegründet. Hat Dilian seine ehemaligen Geschäftspartner hinters Licht geführt und unter dem gemeinsamen Namen seine eigene Firma lanciert? Wer das herausfinden will, muss sich durch ein komplexes Geflecht von Firmen und Namen wühlen, das darauf abzielt, Hintermänner und Eigentumsverhältnisse zu verschleiern. Am Ende führen die Recherchen zu einem unscheinbaren Schweizer Treuhänder.

5. Andrea Gambazzi – Architekt oder Strohmann?

Die Via Ferruccio Pelli 10 ist ein gewöhnliches graues Bürogebäude im Zentrum von Lugano. Auf der Säule mit der Auflistung der Mieter:innen findet sich auch die Lexfin AG: eine von mehreren Treuhandfirmen von Andrea Gambazzi. An diesem regnerischen Tag Mitte September ist der Hausherr glücklicherweise vor Ort. «Kommt herein», tönt es aus der Gegensprechanlage. Im ersten Stock steht Gambazzi mit einer Regenjacke im Türrahmen: gross gewachsen und schlank, elegantes Hemd und Brille. Fragen beantworten will er «so spontan» dann aber doch nicht. Er stellt aber in Aussicht, später für ein Gespräch zur Verfügung zu stehen.

In der Schweizer Öffentlichkeit war es um Gambazzi bisher eher ruhig. Von sich reden machte sein Vater: Der weitherum bekannte Tessiner Wirtschaftsanwalt stand immer wieder im Rampenlicht – wegen umstrittener Finanzgeschäfte, der Verwaltung italienischer Steuerfluchtgelder und sogar mutmasslich illegalen Waffenhandels mit dem Irak und Libyen. Über den Sohn weiss man bloss, dass er jahrelang für die UBS arbeitete und sich Anfang der nuller Jahre selbstständig machte. Über Firmen wie Oakwood oder eben Lexfin bietet er seither Finanzdienstleistungen an. Doch das dürfte nicht alles sein, was Gambazzi in den letzten Jahren trieb.

Nachdem Tal Dilian wegen der Probleme mit der zypriotischen Justiz seine Zelte auf der Mittelmeerinsel abgebrochen hat, unternimmt er einige Anstrengungen, um seine Spuren zu verwischen: Im Sommer 2020 werden sämtliche Geschäftseinheiten der Aliada-Gruppe (laut israelischen Gerichtsdokumenten auch die Intellexa-Gründungsfirma Cytrox und damit auch Predator) in einer Reihe von Transaktionen an eine Firma in Irland übertragen: die Thalestris Limited. So entsteht ein undurchsichtiges Firmenkonstrukt als Mutterkonzern der Intellexa-Allianz, hinzu kommen zahlreiche Tochterfirmen: auf den britischen Virgin Islands, auf Zypern, in Griechenland – und in der Schweiz: Im Mai 2020 wird die Thalestris Switzerland SA gegründet.

Hauptanteilseigner der irischen Mutterholding ist dabei nicht etwa Intellexa-Kopf Dilian, sondern Andrea Gambazzi: Dieser hält 51,4 Prozent der Stimmrechte, wie der Jahresabschluss 2021 zeigt; die restlichen 48,6 Prozent verwaltet er treuhänderisch für verschiedene Personen. Damit übt Gambazzi als wirtschaftlich Berechtigter – zumindest auf dem Papier – die Kontrolle über den zentralen Teil der Intellexa-Unternehmensstruktur aus und somit auch über Predator. Geschäftsführerin der Holding wiederum ist die Anwältin Sara Hamou, die Frau, deren Name auch auf dem Briefkasten von Dilians Chalet im Wallis steht.

Doch ist Gambazzi wirklich nur ein Strohmann? Im Namen von Intellexa schliesst er nachweislich auch Verträge ab: Der WOZ liegt eine Verschwiegenheitserklärung zwischen der Thalestris Switzerland SA und dem deutschen Rüstungskonzern Hensoldt aus dem Juni 2021 vor, die künftige Geschäftsmöglichkeiten und die gegenseitige Integration von Produkten regelt. Unterzeichnet hat die Erklärung aber der Treuhänder Gambazzi – mit Firmenadresse in Lugano. Schiedsgerichtsstandort ist Zürich. In der Abmachung steht, dass die Thalestris Switzerland SA eine Firma unter Schweizer Recht sei, die den Markennamen Intellexa verwende.

Gemäss Hensoldt kamen zwar keine Geschäfte zustande. Der Vertrag zeigt aber zweierlei: auf der einen Seite, wie Intellexa seine Geschäfte verschleiert; auf der anderen, dass Gambazzi und die Thalestris Switzerland SA entscheidend an Vertragsabschlüssen für Intellexa mitwirken. In Zoll- und Handelsdatenbanken finden sich zudem weitere Spuren zu operativen Tätigkeiten, die über die Schweizer Intellexa-Infrastruktur liefen: Die Thalestris Switzerland SA hat demnach auch 2022 Softwareprodukte im Umfang von fast zwei Millionen Franken nach Kasachstan exportiert.

Und was sagt Gambazzi zu alldem? Er will plötzlich doch kein Gespräch mehr mit der WOZ führen, und auf einen mehrseitigen Fragenkatalog antwortet er bloss: «Ich weise darauf hin, dass ich an das Gesetz über die Ausübung von Treuhandberufen des Kantons Tessin gebunden bin.»

6. Zahnlose Regulierung, machtlose Behörden

Die Worte, die Sophie in t’ Veld wählt, sind drastisch. Von einem «deal made in hell» spricht die 60-jährige EU-Parlamentarierin in ihrem Brüsseler Büro. Für die Politikerin der liberalen Volt-Partei ist klar: Die Produkte von Unternehmen wie Intellexa seien auch bei europäischen Regierungen so begehrt, dass diese die skrupellosen Firmen weitgehend in Ruhe lassen würden.

Sophie in t’ Veld weiss, wovon sie spricht. Die Niederländerin ist Berichterstatterin des Pega-Komitees – eines vom EU-Parlament im Frühjahr 2022 mandatierten Gremiums, das Einsatz und Handel von Spionagetechnologien wie Predator und Pegasus untersuchen sollte. Monatelang kontaktierte in t’ Veld diverse EU-Staaten – und stiess bloss auf verschlossene Türen. Ein Schreiben an die griechische Regierung zum Einsatz von Predator blieb unbeantwortet. Auch Intellexa-Kopf Tal Dilian, den die Politikerin aufforderte, Aktivitäten und Struktur seiner Firma offenzulegen, meldete sich nicht zurück. Dafür hetzte er den Mitgliedern des Komitees seine Anwält:innen auf den Hals.

Die EU-Verordnung für Dual-Use-Güter, unter die auch Infektionstechnologie fällt, sieht bei Verdacht auf Einsatz zu Repressions- oder Verfolgungszwecken oder potenziellen Verstössen gegen die Menschenrechte ein Exportverbot vor. Ähnlich ist die Gesetzeslage in der Schweiz, wo der Export durch die «Verordnung über die Ausfuhr und Vermittlung von Gütern zur Internet- und Mobilfunküberwachung» (VIM) geregelt ist. Doch was das genau bedeutet, scheint keinen klaren Kriterien zu unterliegen. Vielmehr wird es jeweils im Einzelfall abgewogen.

In den Augen der Lausanner Völkerrechtsprofessorin Evelyne Schmid ist das Problem strukturell: «Die Branche ist sehr mobil, die Akteure sind in verschiedenen Jurisdiktionen gleichzeitig verstreut, was die Kontrolle erschwert.» Einige Akteure verschleierten mithilfe von Anwältinnen und Treuhändern auch ihre Firmenstrukturen. Produziere eine Firma Kriegsmaterial, brauche sie eine Fabrik und liefere physische Güter über den Zoll, führt Schmid aus. Für VIM-Güter gilt das naturgemäss nicht: Ob auf einem deklarierten PC Infektionssoftware versteckt ist, lässt sich kaum überprüfen.

Dieses Problem bestätigt auch das für die Exportkontrolle zuständige Staatssekretariat für Wirtschaft (Seco): Bei Zweifeln würden die Gesuche abgelehnt, teilt es auf Anfrage mit. Bisher seien im Bereich der Infektionstechnologie keine Bewilligungen erteilt worden. Die Überprüfung allerdings gestalte sich schwierig: Denn eigentlich wäre das Bundesamt für Zoll und Grenzschutz (BAZG) für die Kontrolle zuständig – da Softwaretransfers aber nicht physisch erfolgten, könnten diese auch nicht durch das BAZG kontrolliert werden, so das Seco in einer gemeinsamen Stellungnahme mit dem Bundesamt.

Dokumente und Folgeartikel auf woz.ch

Demnächst folgt ein Einblick in die Welt der Intellexa-Produkte inklusive der Veröffentlichung von Produktbroschüren. Etwas später gehen wir dann dem Verkauf von Predator nach Vietnam nach. Weitere Artikel gibt es am nächsten Donnerstag in der gedruckten Ausgabe. 

Mehrere Expert:innen, mit denen die WOZ sprach, bestätigen: Sowohl die Verschwiegenheitserklärung von Gambazzi mit dem deutschen Rüstungskonzern Hensoldt wie auch Dilians potenzielle Geschäftstätigkeit in der Schweiz zählen wohl als Vermittlung von Exportgeschäften – und hätten dem Seco entsprechend gemeldet werden müssen. Die Behörden hätten von sich aus kaum Möglichkeiten, entsprechende Akteure aufzuspüren, sagt Schmid. Das Seco stellt sich derweil auf den Standpunkt, dass eine Verschwiegenheitserklärung allein noch kein Vermittlungsgeschäft darstelle.

Doch auch der behördliche Umgang mit der Intellexa-Allianz wirft Fragen auf: Niemand will für irgendetwas zuständig sein. Antworten «zu einzelnen Firmen» wollen weder das Seco noch das Aussendepartement EDA, die Bundespolizei Fedpol oder der Nachrichtendienst NDB geben. Auf die Frage, ob Thalestris Switzerland SA oder Dilian nicht einer aktiven Meldepflicht unterstünden, weicht das EDA aus. Fedpol und NDB wiederum bestreiten zwar nicht, von den französischen Behörden schon 2018 während der Ermittlungen zu Nexa kontaktiert worden zu sein – dazu äussern wollen sie sich aber nicht. Die kürzeste, aber wohl ehrlichste Antwort schickt Armasuisse, die Beschaffungsagentur der Armee: «Ihre spezifische Frage nach möglichen Geschäftsverbindungen von Unternehmen, deren Systemen und/oder Software betrifft ‹eins zu eins› die Nationale Sicherheit der Schweiz, weshalb wir mit dieser Begründung keine detaillierte Antwort auf Ihre Fragen geben können.»

In den Augen von Völkerrechtlerin Schmid ist ein solches Verhalten nicht haltbar. «Wegschauen ist völkerrechtswidrig», sagt sie. Die Schweiz habe eine Sorgfaltspflicht: Sie müsse verhindern, dass von ihrem Gebiet Handlungen ausgingen, die anderen Staaten schadeten. Hinzu komme, dass Produkte wie Predator Journalistinnen, Menschenrechtler oder Politiker:innen in der Schweiz gefährden könnten – Menschen, gegenüber denen der Staat eine besondere Schutzpflicht habe. In Technologien wie Predator sieht Schmid aber auch eine grundsätzliche Gefahr für die Demokratie: «Wenn Akteure im Verborgenen auch Amtsträger:innen überwachen, mit dubioser Software auf sozialen Medien Desinformationen verbreiten oder Wahlen beeinflussen können, untergräbt das die Voraussetzungen des Gesellschaftsvertrags.»

Klar fällt auch das Urteil von Amnesty International (AI) aus. Dessen Security Lab hat an zahlreichen Enthüllungen im Überwachungsbereich mitgearbeitet und eine forensische Methode zum Aufspüren von Trojanern entwickelt. Auch die Recherche zu den «Predator Files» hat die NGO begleitet. Die analysierten Produkte und Angriffe deuteten auf eine «Weiterentwicklung früherer Technologien» hin, schreibt AI in einem noch unveröffentlichten Report, den der Rechercheverbund einsehen konnte. «Beide Arten von Technologien – hochgradig invasive Spionagesoftware wie wahllose Massenüberwachung – sind grundsätzlich mit den Menschenrechten unvereinbar und können niemals in einer Weise eingesetzt werden, die die Rechte achten würde.»

Wir hätten für seine Sicht der Dinge gerne auch mit Tal Dilian gesprochen. Doch der Exgeheimdienstler tauchte ab. Gewisse E-Mail-Adressen erwiesen sich als ungültig, Mails an andere Adressen blieben schlicht unbeantwortet. Auch über Anwaltskanzleien und PR-Agenturen, die früher in seinem Namen agierten, kam keine Antwort. Mit einer Ausnahme: Auf einer zypriotischen Handynummer, die Dilian zugewiesen wird, antwortete eine Person mit einem starken israelischen Akzent. Der Unbekannte bestritt, Dilian zu sein. Er wünschte aber mit sarkastischem Unterton viel Glück bei der Suche.

7. Wie weiter?

Bisher deutet wenig darauf hin, dass sich an den Missständen bald etwas ändern wird. In Griechenland hat die Polizei im Dezember 2022 die Büros von Intellexa durchsucht, die Justiz hat eine Untersuchung eingeleitet. Doch bisher erhielt die Firma – wegen «mangelnder Kooperation im Verfahren» – lediglich eine 50 000-Euro-Busse von der Datenschutzbehörde aufgebrummt. Und im Juni wurde der griechische Premierminister Kyriakos Mitsotakis trotz des Abhörskandals mit einem Glanzresultat wiedergewählt.

Ermittlungen gegen Intellexa aufgenommen hat laut dem Nachrichtenportal «Euractiv» auch die Europäische Staatsanwaltschaft. Untersucht werde dabei auch, ob Griechenland mit der Erteilung von Lizenzen an Intellexa gegen die Dual-Use-Verordnung der EU verstossen hat. Auf Anfrage will die Behörde das weder bestätigen noch dementieren. Die USA indes setzten im Juli vier Intellexa-Unternehmen auf eine Blacklist, was es US-amerikanischen Firmen und dem Staat verbietet, mit diesen Geschäfte zu machen.

Intellexa-Kopf Tal Dilian soll laut dem auf Geheimdienste spezialisierten Portal «Intelligence Online» bereits den nächsten Coup planen: eine neue Firma in Tel Aviv, die eine breite Palette von Überwachungstools anbiete.

Und Aiman Nur? Der ägyptische Oppositionsführer, der 2021 durch einen Predator-Trojaner überwacht wurde und heute im Istanbuler Exil lebt, sieht auch jene Staaten in der Verantwortung, die Intellexa-Produkte nutzen: «Wenn diese Firmen keine Käufer gefunden hätten, wären sie längst bankrott.» Die Unternehmen wiederum seien «in organisiertes Verbrechen verwickelt», weil sie «des Profits wegen mit Regimes zusammenarbeiten, die ihre Bürger ausspionieren».

Immerhin scheinen die Recherchen der WOZ und ihrer Partnermedien schon vor der Publikation Wirkung zu entfalten: Am Mittwoch vermeldete Donncha Ó Cearbhaill, Leiter des Security Lab von Amnesty International, dass «mehr als siebzig Prozent der getrackten Predator-Infektionsserver von Intellexa seit Mitte September offline gegangen sind».

* Lorenz Naegeli ist Teil des WAV-Recherchekollektivs: www.wav.info

Spuren in die Schweiz : Nutzt das Fedpol Predator?

Welche Überwachungssoftware verwenden die Schweizer Behörden? Auf eine Anfrage, gestützt auf das Öffentlichkeitsgesetz (BGÖ), verweigern das Bundesamt für Polizei (Fedpol), der Nachrichtendienst des Bundes (NDB) sowie die Rüstungsbeschaffungsbehörde Armasuisse zuerst jegliche Auskunft mit Verweis auf die innere und äussere Sicherheit der Schweiz. Nach einer Schlichtungsverhandlung beim Eidgenössischen Datenschutzbeauftragten (EDÖB) gibt das Fedpol dann aber zu, dass es sich laufend über neue Produkte und Hersteller von Überwachungstechnologien informiere. Dazu gehörten auch «unverbindliche Treffen», an denen Produkte präsentiert würden. «Solche haben auch mit der Firma Intellexa und der NSO Group stattgefunden.» So ist klar: Das Fedpol interessierte sich zumindest für die umstrittenen Intellexa-Produkte. Bei der Frage, ob es den Predator-Trojaner am Ende auch gekauft hat, mauert das Bundesamt für Polizei dann wieder.

Auch in den «Predator Files» finden sich Spuren in die Schweiz. Unter dem Projektnamen «Suchard» führt Nexa einen Vertrag mit einem nicht genannten Schweizer Kunden. Gemäss internen Dokumenten und Aussagen leitender Nexa-Mitarbeiter:innen gegenüber französischen Ermittlungsbeamt:innen verwendet der Kunde – mutmasslich eine Behörde – Cerebro, das Nexa-Produkt für Internetmassenüberwachung. Sämtliche angefragten Behörden verweigern Angaben zu möglichen Geschäftsbeziehungen mit der französischen Firma.

In den ausgewerteten Daten taucht dafür der Name einer Schweizer Firma auf: Sunrise. Auf Nachfrage, ob das Unternehmen mit Nexa-Produkten Kund:innen ausspioniere, präzisiert ein Sprecher: Sunrise sei keine Nexa-Kundin, sie nutze lediglich ein Angebot der Firma Datafusion, die zur Nexa-Unternehmensgruppe gehöre. Die verwendete Applikation ermögliche es, Gespräche aufzuzeichnen oder Textmitteilungen wiederzugeben. Das Angebot richte sich an Finanzinstitute, der Einsatz sei auf Vorgaben der Finma zurückzuführen.

Infografik: Wichtigste Firmen und Personen der Intellexa-Allianz
(grosse Ansicht der Infografik) Infografik: Lorenz Naegeli, Marcel Bamert; Mitarbeit: Olivier Christe
Illustration von Marcel Bamert
Illustration: Marcel Bamert
Illustration von Marcel Bamert
Illustration von Marcel Bamert

Recherchierfonds

Dieser Artikel wurde ermöglicht durch den Recherchierfonds des Fördervereins ProWOZ. Dieser Fonds unterstützt Recherchen und Reportagen, die die finanziellen Möglichkeiten der WOZ übersteigen. Er speist sich aus Spenden der WOZ-Leser:innen.

Förderverein ProWOZ unterstützen