Überwachungstechnologie : Handyspione aus dem Binzquartier

Die Firma, die Überwachung zu ihrem Geschäftsmodell gemacht hat, gibt sich online hochseriös. «Wir liefern Regierungen wertvolle Informationen und tragen somit zu einer sicheren Zukunft bei», steht in grossen Lettern auf der Website der Neosoft AG. Im Hintergrund laufen Videoaufnahmen: von riesigen Funkantennen über dem Wolkenmeer, von Helikoptern auf Rettungsmission vor einem Alpenpanorama und von Einsatzkräften, die schwer bewaffnet aus einem Polizeiauto steigen.

Die Überwachung des Mobilfunknetzes kann Leben retten, Verbrechen aufklären – das ist die Botschaft, die das Stadtzürcher Telekommunikationsunternehmen vermitteln will. Neosoft, so die Message, stehe auf der Seite der Guten.

Doch nun zeigen gemeinsame Recherchen der WOZ und des WAV-Recherchekollektivs, dass sich hinter dem glatten Werbeauftritt Risse auftun. Ein uns vorliegender Datensatz deutet darauf hin, dass Neosoft Sicherheitsbehörden repressiver Regimes hofierte und fragwürdige Verbindungen nach Russland unterhielt. Weiter zeigen uns vorliegende interne Dokumente auf, dass die Überwachungstools der Zürcher Firma deutlich stärker und invasiver sind als bislang angenommen. Das ist die erste Ebene dieser Geschichte. Aber es gibt noch eine zweite: Sie erzählt von einer weitgehend zahnlosen Schweizer Exportkontrolle, die zahlreiche heikle Ausfuhren von missbrauchsanfälliger Überwachungstechnologie freigibt.

Ein Datensatz öffnet die Dunkelkammer

Neosoft ist ein relevanter Hersteller von Technik zur Mobilfunküberwachung. Allein in den letzten zehn Jahren erhielt die 2009 gegründete Firma Bewilligungen für Ausfuhren an ausländische Behörden im Umfang von 31 Millionen Franken für ihren Exportschlager: den IMSI-Catcher. Das Gerät ist eine Art Staubsauger, doch statt Schmutz saugt es Mobilfunkdaten ab – in einem Umkreis von mehreren Hundert Metern. Eine Behörde sieht auf diese Weise, welche Mobiltelefone zu einem bestimmten Zeitpunkt in einem eingegrenzten Raum aktiviert sind. Im Katastrophenfall kann der Einsatz von IMSI-Catchern lebensrettend sein, weil mögliche Überlebende so geortet werden können. Aber die Geräte können auch ganz anders genutzt werden: als repressives Überwachungsinstrument gegen Demonstrierende und Oppositionelle.

Neosoft geriet aus diesem Grund bereits vor elf Jahren in die Schlagzeilen. Damals deckte die WOZ auf, dass die Zürcher Firma ihre IMSI-Catcher an das Rapid Action Battalion (RAB) in Bangladesch verkaufen wollte – eine Spezialeinheit der Polizei für Verbrechens- und Terrorismusbekämpfung, die für Hunderte Ermordungen und politische Entführungen von oppositionellen Aktivist:innen verantwortlich ist (siehe WOZ Nr. 36/14). Das Geschäft scheiterte letztlich, aber der Vorfall hatte Folgen: Im Mai 2015 verschärfte der Bundesrat die Regeln für die Ausfuhr von «Gütern zur Internet- und Mobilfunküberwachung». Seither kann der Export solcher Güter verweigert werden, wenn Grund zur Annahme besteht, dass diese für repressive Zwecke eingesetzt werden.

In den darauffolgenden Jahren blieb es ruhig um die Zürcher Überwachungsfirma und das entsprechende Exportgeschäftsfeld. Doch vor kurzem sind die WOZ und das WAV-Recherchekollektiv auf einen Datensatz gestossen, der mehrere Hundert Dokumente umfasst, die Neosoft betreffen: Geschäfts- und Exportvereinbarungen, End-User-Zertifikate, detaillierte Beschreibungen der Überwachungstools sowie Chatprotokolle, Passkopien leitender Mitarbeiter:innen oder Rechnungen. Die Dokumente betreffen den Zeitraum von 2014 bis zum Sommer 2022. Ihre Auswertung zeigt, dass Neosoft auch nach dem Bangladeschskandal weiter Beziehungen zu heiklen Kund:innen pflegte – und die 2015 beschlossenen Verschärfungen der Exportbestimmungen offenbar kaum wirken.

Verbreitet wurden die Dokumente von einem Account mit dem Namen «EmBEARassment Disclosures» auf Twitter (heute X) und Telegram. Versuche, die Betreibenden des Social-Media-Kontos zu kontaktieren und mehr über die Quelle des Datensatzes zu erfahren, scheiterten. Wir haben das Material aber über einen längeren Zeitraum hinweg geprüft, kategorisiert und analysiert, gemeinsam mit der britischen Non-Profit-Organisation «FIND.ngo», die darauf spezialisiert ist, Anwaltskanzleien, NGOs oder Medien bei komplexen Recherchen zu unterstützen. Mittels öffentlich verfügbarer Informationen zu Personen, Unternehmen, Produkten und Exportgenehmigungen konnten zahlreiche Angaben in den Dokumenten verifiziert werden. Die WOZ hält den Datensatz deshalb für echt.

Neosoft-Gründer als Schlüsselfigur

Wer sich durch die Hunderte von Dokumenten wühlt, dem sticht rasch ins Auge: Neosoft hat in den vergangenen Jahren mehrere staatliche und private Interessent:innen an seinen Standort in Zürich eingeladen, um diese mit seinen Produkten vertraut zu machen und Geschäfte einzugehen. Dabei handelt es sich nicht nur um unproblematische Akteure. Unter den Eingeladenen war 2017 etwa eine Delegation aus der Militärdiktatur Ägypten. Im selben Jahr erhielten auch Vertreter der Internal Security Forces (ISF) aus dem Libanon ein Einladungsschreiben zu einem «Trainingsworkshop» in Zürich. Der nationalen Polizeieinheit werfen Menschenrechtsorganisationen seit Jahren vor, äusserst brutal gegen Demonstrant:innen vorzugehen. Werden im Zürcher Binzquartier also auch nach dem Bangladeschvorfall repressive Polizei- und Sicherheitsbehörden im Umgang mit Überwachungstechnik geschult? In jedem Fall erhielt Neosoft 2018, ein Jahr nach der Einladung an die ISF, vom Seco eine Exportbewilligung für den Libanon: für IMSI-Catcher im Wert von über zwei Millionen Franken. Ob der Export tatsächlich stattgefunden hat und der Endabnehmer die ISF waren, wollen weder die Firma selbst noch das Seco bestätigen, das sich nicht zu einzelnen Firmen äussert.

Auch nach Russland pflegte Neosoft anscheinend gute Kontakte: Gleich mehrere der Einladungen nach Zürich gingen an russische Geschäftsleute, etwa an einen Mitarbeiter des russischen Überwachungsunternehmens Suritel. Auf seiner Website präsentiert sich das Unternehmen als verlässlicher Zulieferer für Staatsbetriebe und Behörden, es besitzt zahlreiche Lizenzen des russischen Inlandsgeheimdiensts FSB – unter anderem für die Entwicklung, die Herstellung und den Vertrieb von Überwachungstechnologie. Neosofts Verbindung zu dem besagten Mitarbeiter scheint besonders eng zu sein. So eng, dass dessen Name sogar auf dem offiziellen Briefkasten der Zürcher Firma angeschrieben ist. Worüber tauschten sich Neosoft und der Suritel-Mann aus? Ging es um mögliche Exportgeschäfte? Oder gar um Produktionskooperationen? Neosoft ist auf entsprechende Fragen nicht eingegangen. Die Firma bestätigte lediglich, dass es sich beim Namen auf dem Briefkasten tatsächlich um einen ehemaligen Suritel-Mitarbeiter handelt. Dieser sei der Schwiegervater des Neosoft-Firmengründers, die Nutzung des Briefkastens privater Natur.

Dies ist bei weitem nicht die einzige Spur, die im vorliegenden Datensatz zum Gründer von Neosoft führt, der zum Schutz seiner Privatsphäre hier nur K. B. genannt wird. Vielmehr erweist sich dieser demnach als Schlüsselfigur eines ganzes Netzwerks von Unternehmen, über das Neosoft seine Geschäfte teils abzuwickeln scheint.

Spuren nach Dubai und Kursk

Offiziell ist K. B. bei Neosoft vor fünf Jahren als Geschäftsführer und Verwaltungsrat ausgetreten. Seine Ehefrau sitzt gemäss Handelsregister hingegen weiter im Verwaltungsrat. Und die uns vorliegenden Dokumente vermitteln den Eindruck, als sei K. B. auch weiterhin in Neosofts geschäftliche Angelegenheiten eingebunden.

Etwa über die Firma GM Soft aus Dubai. Das Unternehmen, das K. B. mitkontrolliert, vertreibt auf seiner Website Produkte von Neosoft – allerdings keine IMSI-Catcher – und bewirbt diese mit Screenshots aus dem Zürcher Binzquartier, inklusive der Logos von Schweizer Netzbetreibern wie Salt, Sunrise oder Swisscom. Im Datensatz finden sich selbst Neosoft-Mitarbeitende, die auch eine GM-Soft-Mailadresse haben. Auch gibt es Hinweise auf Finanztransaktionen wegen «Softwareentwicklung» zwischen GM Soft und einer Firma aus Russland: Viatoris.

Viatoris teilt mit GM Soft eine Gemeinsamkeit: Auch an ihr war K. B. bis vor wenigen Monaten beteiligt. Die Firma entwickelt Software in der Stadt Kursk ganz im Westen Russlands. Im Datensatz findet sich eine ganze Sammlung von auf Russisch geführten Chatprotokollen. Diese stammen wie mutmasslich alle vorliegenden Dokumente von einer IT-Sicherheitslücke bei Viatoris. In diesen Protokollen geht es häufig um Neosoft-Geschäfte: Mitarbeitende diskutieren über Kundensupport in Indonesien für die Zürcher Firma, über Neosoft-Offerten an Kasachstan oder einen Firmenstand an einer Branchenmesse. Wieso wiesen die Chatprotokolle einer russischen Softwarefirma so viele interne, teils vertrauliche Bezüge zu Neosoft auf? Wie eng sind die Firmen über die Chats hinaus verknüpft? Liess Neosoft allenfalls für ihre Produkte Software in Kursk entwickeln? Weil die Überwachungsindustrie in Russland unter starker staatlicher Kontrolle steht, wäre das potenziell ein Problem.

Und es gibt noch eine weitere Verbindung im Firmennetz, die hellhörig macht: 2016, nur zwei Jahre nachdem die Schweiz für Neosoft eine Exportbewilligung nach Bangladesch abgelehnt hat und damit den Deal mit dem verbrecherischen Rapid Action Battalion platzen liess, erhält die Polizeieinheit aus Bangladesch eine Einladung nach Moskau – von einer Firma aus Dubai mit dem Namen Annex SW Engineering. Der Einladungszweck: Training an IMSI-Catchern. Das Interessante daran: Annex und Neosoft scheinen eng miteinander verknüpft. Uns vorliegende Dokumente beinhalten Lieferscheine für Produktkataloge und Werbematerial von Neosoft an Annex, aber auch «Proforma-Rechnungen» – so die interne Bezeichnung – für technische Komponenten an den Manager von Annex mit Zielort Moskau. Zudem führen unsere Recherchen zu Geschäftsnummern, die sowohl mit Neosoft- wie auch mit Annex-Mitarbeitenden verknüpft sind.

Kann es also sein, dass Neosoft versucht hat, den über die Schweiz gescheiterten Verkauf seiner IMSI-Catcher an die Todesschwadronen aus Bangladesch über die Firma aus Dubai, Annex, abzuwickeln?

Keine zitierbaren Antworten

Ende November 2024 konfrontieren die WOZ und das WAV-Recherchekollektiv die Verantwortlichen von Neosoft erstmals mit den beschriebenen Erkenntnissen und Verbindungen. Darauf folgt ein monatelanger zäher Austausch, bei dem Neosoft auch einen Anwalt einschaltet und in dessen Verlauf wir Dutzende von Dokumenten vorlegen. Diese seien, so Neosoft, grösstenteils gefälscht und würden dazu dienen, der Firma und ihren Mitarbeitenden zu schaden. Die Firma bestreitet überdies jegliche Verbindungen zu den Gesprächen zwischen den Todesschwadronen aus Bangladesch und der Firma Annex.

Im Juli legt die WOZ erneut einen umfangreichen Fragebogen vor und bittet zum wiederholten Mal um direkten Kontakt zur Schlüsselfigur K. B. Statt zitierbarer Antworten schickt Neosoft einen Brief, aus dem wir nicht zitieren dürfen. Darin hält die Firma nochmals an ihren Positionen fest. Und erklärt, dass sie sich an jegliche Exportregelungen halten und eng mit dem Seco zusammenarbeiten würde. Zudem gebe es absolut keine geschäftlichen Beziehungen nach Russland. Mehr noch: Viele Mitarbeitende, darunter der aktuelle Direktor und der Firmengründer, seien in der heutigen Ukraine geboren. Sie hätten, wie so viele, nach dem Zusammenbruch der Sowjetunion russische Pässe erhalten. In der aktuellen Lage seien behauptete Verbindungen nach Russland lebensgefährlich. Es ist ein Bedenken, das die WOZ sehr ernst nimmt. Das ist auch der Grund, warum in diesem Text Personen nicht namentlich genannt werden.

Viel potenter als angenommen

Abgesehen von den undurchsichtigen Firmenverwicklungen und Neosofts Geschäften mit problematischen Akteuren zeigt der uns vorliegende Datensatz noch etwas anderes: Die Überwachungssysteme der Zürcher Firma sind viel potenter und invasiver als bisher bekannt. Insbesondere das «Active Monitoring System», das IMSI-Catching mit zusätzlichen Überwachungsanwendungen kombiniert. Gemäss internen Produktbeschreibungen umfasst dieses System: «Selektives Blockieren von Anrufen, SMS und Datenpaketen, Ändern von SMS-Inhalten im laufenden Betrieb, Generieren von Anrufen und SMS an ein Ziel oder heimlich im Namen des Ziels an beliebige Nummern und vieles mehr!» Ebenfalls kann aus der Distanz das Mikrofon ein- und ausgeschaltet werden. Das geht deutlich weiter als Standardanwendungen von IMSI-Catchern.

Das bestätigt der renommierte deutsche Telekommunikationsexperte Harald Welte gegenüber der WOZ: «Das Gerät schaltet sich zwischen das echte Mobilfunknetz und das Zielhandy, um Daten, die zwischen dem Netzwerk und dem Handynutzer oder umgekehrt übertragen werden, abzuhören.» Gemäss Welte könne der IMSI-Catcher von Neosoft so praktisch alle Sprachanrufe, SMS und Internetdaten erfassen, es sei denn, diese Daten seien auf Anwendungsebene verschlüsselt. «Dies geht eindeutig über die Möglichkeiten eines klassischen IMSI-Catchers hinaus», sagt Welte. Das bestätigt auch eine Quelle aus der Industrie, die anonym bleiben möchte: Neosoft biete offensive Überwachungslösungen an, die viel weiter reichten als das Lokalisieren von Standortdaten. «Das System ist darauf ausgerichtet, Kommunikation abzufangen und zu manipulieren.»

Gerade vor diesem Hintergrund erstaunt ein Blick in die offiziell erteilten Exportbewilligungen: Die Schweiz hat auch nach 2015 Exporte von Schweizer Überwachungstechnologie in fragwürdige Länder bewilligt. Allein Neosoft hat im letzten Jahrzehnt Bewilligungen für Länder erhalten, in denen die Sicherheitsbehörden gegen Oppositionelle, Demonstrierende oder Journalist:innen vorgehen: Serbien, Mexiko, Marokko, die Philippinen und vor allem Indonesien. Dorthin bewilligte das Seco in den letzten sieben Jahren IMSI-Catcher-Exporte im Umfang von über 18 Millionen Franken.

Und Neosoft ist nur einer von einem halben Dutzend Schweizer Herstellern von Überwachungsgütern für staatliche Anwender:innen. Rund um Zürich existiert ein richtiges Cluster von Unternehmen, die IMSI-Catcher und ähnliche Produkte anbieten: Wavecom, Polus oder Atecs sind neben Neosoft die grössten Anbieter. Das Seco bewilligte der gesamten Branche seit 2015 die Ausfuhr von Überwachungstechnologie im Umfang von 140 Millionen Franken – neben den bereits erwähnten Empfängern in Länder wie Ungarn, Malaysia, Indien, Pakistan, China, den Oman oder Jordanien.

Schweiz gibt Export nach Mexiko frei

Bei Menschenrechts- und Fachorganisationen stösst die Schweizer Exportpraxis für Überwachungsgüter jedenfalls auf Unverständnis. Amnesty International etwa kritisiert die Bewilligung von Ausfuhren in Länder, in denen «ein ernsthaftes Risiko besteht, dass solche Instrumente zur unrechtmässigen Überwachung der Zivilgesellschaft» eingesetzt werden. Die NGO hat im letzten Frühjahr ein umfangreiches Angebot invasiver Spionage- und Überwachungssoftware identifiziert, das an verschiedene staatliche Stellen in Indonesien geliefert wurde (siehe WOZ Nr. 18/24). In diesem Bericht unterstreicht Amnesty die Gefahr von missbräuchlichen Einsätzen in dem Land.

Wie so ein Einsatz aussehen kann, hat der investigative Techjournalist Jack Poulson im Herbst 2023 aufgezeigt, als er ein Überwachungsprojekt der indonesischen Regierung unter dem Namen «Project Alpha» enthüllte. Dessen Ziel sei es, «den Standort jeder beliebigen Person im Land ganz genau ermitteln» zu können. «Project Alpha» offeriere «vollen, uneingeschränkten Zugang» zu Handystandortdaten indonesischer Nutzer:innen, insbesondere in Westpapua, wo staatliche Sicherheitskräfte immer wieder brutal gegen die dortige Unabhängigkeitsbewegung vorgehen. Wichtigster lokaler Partner des Projekts sei das IT-Unternehmen Grandrich. Wie ein Screenshot im Bericht zeigt, listet die Firma auch Neosoft als «Partner» auf.

Bemerkenswert ist auch eine Neosoft-Exportbewilligung aus dem Jahr 2023 im Umfang von rund einer Million Franken nach Mexiko. Auch dort ist der missbräuchliche Einsatz von Überwachungstechnologie hinreichend dokumentiert – unter anderem gegen feministische und indigene Aktivist:innen, aber auch gegen Anwälte oder Journalistinnen, wie ein Bericht der kanadischen Organisation The Citizen Lab bereits im Jahr 2017 offenbarte. Diese hatte davor zu Korruption oder Massakern sowie zu mutmasslichen Verbindungen in die Politik und zu Sicherheitskräften recherchiert.

«Da wirds dann dystopisch»

In erster Linie ist das Seco für Bewilligung und Kontrolle der Exporte von Überwachungsgütern verantwortlich, aber es fällt die Entscheide nicht allein, sondern innerhalb einer interdepartementalen Gruppe, in der auch das Aussen-, das Verteidigungs- und das Kommunikationsdepartement vertreten sind. Hinzu kommt eine Anhörung des Geheimdiensts. Dem Aussendepartement komme dabei eine Schlüsselrolle zu, erklärt das Seco auf Anfrage. Verweigert werden kann ein Export, «wenn insbesondere Grund zur Annahme besteht, dass die Güter von der Endempfängerin oder dem Endempfänger zur Repression verwendet werden». So steht es in Artikel 3 der entsprechenden Verordnung.

Es ist offensichtlich, dass im Entscheidungsprozess ein Zielkonflikt zwischen aussenpolitischen Interessen und grundrechtlichen Überlegungen besteht: Eine Ablehnung von Exporten sendet immer auch ein Signal an die Empfängerländer, dass man das dortige Klima als repressiv einstuft. Exportiert die Schweiz demnach Überwachungsprodukte an risikobehaftete Endempfänger, um die aussenpolitischen Beziehungen nicht zu gefährden? Die Fachliteratur zur Gesetzgebung stellt jedenfalls fest, dass es aufgrund der vagen Formulierung in der Verordnung eine überdurchschnittlich hohe Wahrscheinlichkeit brauche, um einen Export aus Repressionsgründen abzulehnen. Die Empfängerländer müssen beim Seco zwar angeben, für welche Behörde die Überwachungsgüter beschafft werden, aber nach der Auslieferung verliert das Staatssekretariat jegliche Kontrolle über den Einsatz der Güter vor Ort. In Abklärung mit anderen Departementen wird zudem klar: Eine weiterführende Aufsicht der Überwachungsgüterbranche – beispielsweise über die Herstellungsprozesse oder die Finanzen – gibt es nicht.

Wird diese Praxis dem Missbrauchspotenzial der mächtigen und invasiven Überwachungsgüter gerecht? Balthasar Glättli, ehemaliger Präsident der Grünen und profilierter Digitalpolitiker, ist derzeit Mitglied der nationalrätlichen Sicherheitskommission. Er sagt mit Blick auf die Ausfuhrbewilligungen von Neosoft: «Da sind zahlreiche Empfängerländer dabei, in die man Überwachungstechnologie nicht hätte liefern sollen. Gerade IMSI-Catcher sind besonders heikel, weil sie registrieren können, wer an einer Demo oder Versammlung teilnimmt», sagt Glättli. Wenn eine überwachende Behörde wissen wolle, wer sein Recht wahrnehme, in der Öffentlichkeit für irgendeinen Inhalt einzustehen, dann brauche sie einen IMSI-Catcher, weil ja alle ein Handy dabeihätten. Für den grünen Digitalpolitiker ist ein IMSI-Catcher ein mächtiges Tool mit «heftigem Chilling-Effekt», einer abschreckenden Wirkung also: «Du kannst damit auch allen Personen in einem gewissen Umkreis eine Nachricht schicken, nach dem Motto ‹Wir wissen, dass du da bist›, und da wirds dann dystopisch.»

Es könne nicht im Interesse der Schweiz sein, dass von hier exportierte Güter anderswo das Recht auf Protest, auf freie Meinungsäusserung und Versammlungsfreiheit abwürgten, ohne die nötige Kontrolle darüber zu haben, wie diese Schweizer Güter wirklich eingesetzt würden. Auch Amnesty International fordert seit Jahren einen fundamentalen Wandel: «Die mangelnde Transparenz und Kontrolle beim Verkauf von IMSI-Catchern ist symptomatisch für die mangelnde Rechenschaftspflicht im gesamten Überwachungssystem.» Es brauche ein weltweites Moratorium, um einen angemessenen, menschenrechtskonformen Rechtsrahmen zu schaffen. Bis es so weit ist, gehen die Geschäfte weiter, wie die im Rahmen des WOZ-Rüstungsreports analysierten Daten beweisen: Neosoft beantragte auch 2024 beim Seco wieder eine Bewilligung für einen Export, diesmal ins zunehmend repressive Malaysia, im Umfang von knapp 700 000 Franken.

* Die beiden Co-Autoren sind Teil des WAV-Recherchekollektivs