Die Veröffentlichung geheimer Unterlagen des ägyptischen Geheimdienstes auf Facebook im Rahmen der „Amn Dawla Leaks“ wirft ein Schlaglicht auf eine Grauzone der IT-Industrie: hoch spezialisierte Software-Firmen aus Deutschland und anderen westlichen Staaten, die als Spionageausrüster Regierungen und Geheimdienste in aller Welt mit Produkten und Know-how versorgen. Ein zweischneidiges Schwert, denn neben der Überwachung der Bevölkerung des jeweiligen Käuferlandes lassen sich diese Produkte auch hervorragend zur Wirtschaftsspionage einsetzen.

Der 5. März 2011 war kein guter Tag für die Gamma-Firmengruppe, mit der auch die Münchner Elaman GmbH verbunden ist. Bei der Erstürmung der ägyptischen Behörde für Staatsicherheit erbeuteten Demonstranten unter anderem ein Angebot der britischen Tochtergesellschaft Gamma International UK Ltd., in dem verschiedene Produkte zur Überwachung und zum Einbruch in Computersystemen angeboten wurden – inklusive Vor-Ort-Einweisung und Training in der Anwendung. Die Angebotsunterlagen wurden zusammen mit anderem Material im Internet veröffentlicht, wo sie schnell reges öffentliches Interesse hervorriefen. Selbst das rasche Einschalten mehrerer Anwaltskanzleien konnte nicht verhindern, dass verschiedene Medien ausführlich darüber berichteten.

In den folgenden Fachdiskussionen unter Sicherheitsexperten rückte schnell ein Thema in den Brennpunkt: Die Existenz eines „regulären“ Marktes für Einbruch- und Spionagesoftware bringt die Hersteller klassischer IT-Sicherheitsprodukte in eine ethische Zwickmühle. Einerseits bewerben sie ihre Produkte bei Kunden mit der Eigenschaft, diese vor den Gefahren jeglicher Schadsoftware zu schützen, andererseits haben die verschiedenen Behörden vermutlich ein großes Interesse daran, ihre Überwachungswerkzeuge möglichst unentdeckt einsetzen zu können. Und staatliche Organisationen stellen traditionell einen sehr lukrativen Kundenkreis für Hersteller von IT-Sicherheitsprodukten dar.

Auf dieses Dilemma angesprochen, erhält man beispielsweise von den großen Herstellern von Antiviren-Software recht interessante Aussagen. Während die einen sich eher ausweichend dazu äußern, verweisen andere auf entsprechende Ethik-Richtlinien, mit denen sie sich dazu verpflichten, auch „Government Malware“ in ihren Erkennungsroutinen zu berücksichtigen. Meist folgt danach jedoch sofort der Hinweis, dass „regierungsunterstützte Malware“ ja meist strenger Geheimhaltung unterliege, und man bisher leider noch kein Exemplar auftreiben konnte, anhand dessen man entsprechende Signaturen hätte erstellen können.

Dass dies eine reelle Gefahr darstellt, konnte man Ende Februar in der Presse lesen: Im Rahmen einer Gepäckkontrolle am Münchner Flughafen installierten Beamte des bayerischen Landeskriminalamts auf dem Laptop eines Geschäftsmanns eine Spionagesoftware, die fortan im Abstand von 30 Sekunden Fotos vom Bildschirminhalt des Geräts erzeugte und diese per Internet verdeckt an die Beamten weiterleitete – rund 60.000 Aufnahmen in einem Zeitraum von drei Monaten.

All dies zeigt nach Ansicht der Corporate Trust Business Risk & Crisis Management GmbH eines recht deutlich, dass man sich beim Schutz vertraulicher Informationen auf technische Maßnahmen alleine nicht verlassen kann. Ein angemessenes Sicherheitsniveau setzt ein ganzheitliches Informationsschutzkonzept voraus, das technische Funktionalität durch entsprechende organisatorische Maßnahmen ergänzt, gepaart mit einer auf den Schutzbedarf der jeweiligen Daten angepassten Strategie.