Die Iran-Connection von Meerbusch

Eine iranische IT-Firma mit Sitz nahe Düsseldorf hilft dem islamistischen Regime in Teheran bei der Abschottung des Internets. Unsere Recherchen zeigen, wie unbehelligt die Firma agiert – und etwa US-Sanktionen umgeht

  Illustration: Oliver Sperl

Aus Berlin Jean-Philipp Baeck
(Text) und Oliver Sperl (Illustration)

Das Reihenhaus in der Sackgasse der betuchten Wohngegend Meerbusch bei Düsseldorf könnte kaum unscheinbarer sein. Grau-beiger Klinker, vor den Fenstern Jalousien, die das Innere vor Blicken abschirmen. Auf dem Briefkasten zeigt ein weißes Schild vier Nachnamen und drei GmbH-Firmentitel. Bis vor einem Jahr hatte hier noch ein weiteres Unternehmen seinen Sitz, die Firma Softqloud. Mittlerweile ist sie umgezogen, in einen Bürokomplex, ein paar Ecken die Straße runter. Ein klobiger Bau mit allerlei Logos, wie er so oder so ähnlich in vielen Gewerbegebieten aus dem Boden gestampft wird. Jedoch funktioniert Softqloud nicht wie jedes andere Unternehmen. Und auch die ansässigen Firmen in der Meerbuscher Sackgasse sind keine zufällige Anhäufung.

Wie eine gemeinsame Recherche von Correctiv, netzpolitik.org und der taz zeigt, ist Softqloud ein Ableger des iranischen IT-Dienstleisters Arvancloud. Das Unternehmen hilft dem islamistischen Regime in Teheran dabei, eine eigene nationale Internet-Struktur aufzubauen. Somit wird die Abschottung des Irans vom internationalen Netz erleichtert. Zahlungen für IT-Dienstleitungen an Arvancloud landen bei der deutschen Firma in Meerbusch. Softqloud ist quasi Arvanclouds Brückenkopf in Europa. Die Server der Firma in Meerbusch sind für den Iran von Bedeutung. Die gemeinsame Recherche zeigt: Sie bilden eine von insgesamt nur vier digitalen Verbindungsbrücken, die aus dem iranischen Netz ins Ausland führen.

Ein Geflecht aus Tarnfirmen im Düsseldorfer Nobelvorort

Für unsere Recherche haben wir firmeneigene Unterlagen eingesehen, Netzwerke und Serverdaten analysiert, Zahlungen nachvollzogen und mit zahlreichen Ex­per­t*in­nen gesprochen. Der Blick nach Meerbusch, auf die Firma Softqloud, ihre Verbindungen und die beteiligten Personen offenbart: In dem Düsseldorfer Nobelvorort und seiner Umgebung sitzt ein Geflecht aus Unternehmen und Tarnfirmen, die mindestens indirekt mit dem islamistischen Regime in Teheran, den Revolutionsgarden und dem iranischen Geheimdienst verbunden sind. Von hieraus umgehen sie US-Sanktionen. Sie sind verstrickt in den Aufbau eines abgeschotteten nationalen Internets im Iran. Und: Sie agieren bis heute unbehelligt in Deutschland.

Anders als die USA, die seit ihrem einseitigen Rückzug aus dem Atomabkommen mit dem Iran 2018 umfangreiche Sanktionen eingeführt und die Revolutionsgarden auf eine Terrorliste gestellt haben, zeigt sich die EU toleranter, was den Iran und Firmen mit Verbindungen zu seinem autoritären Machtapparat angeht. Deutschland ist Irans wichtigster Handelspartner in der Europäischen Union. Erst, seitdem sich im Iran die Menschen unter der Parole „Frauen, Leben, Freiheit“ jeden Tag aufs Neue auf den Straßen versammeln, wird die Kritik an dem Regime auch hierzulande immer lauter.

Auslöser der aktuellen Proteste ist der Tod der 22-jährigen Mahsa Amini. Die Sittenpolizei hatte sie festgenommen, weil sie ihr Kopftuch angeblich nicht richtig trug. In Gewahrsam wurde sie laut Zeugen geschlagen und misshandelt. Sie starb am 16. September. Im ganzen Land kommt es seither zu Demonstrationen gegen das islamische Regime. Sicherheitskräfte gehen brutal gegen Kri­ti­ke­r*in­nen vor. Es gibt zahlreiche Tote.

Als Reaktion verhängte die EU Anfang der Woche eine Reihe von Sanktionen, unter anderem gegen die Sittenpolizei sowie das Cyber-Abwehrkommando der Revolutionsgarde. Ebenfalls auf der Sanktions-Liste der EU steht jetzt der Iranische Minister für Informations- und Kommunikationstechnologie – wegen der durch ihn verantworteten Abschaltung des Internets.

Denn so hatte das iranische Regime auf die Proteste auch mit einer massiven Blockade des Netzes reagiert, etwa um die weitere Organisation von Demonstrationen zu unterbinden. Gesperrt wurden Social-Media-Netzwerke wie Instagram sowie Messengerdienste wie Whatsapp oder Signal. Neben der weitreichenden Zensur kam es zu Drosselungen des Internets, in einigen Regionen teilweise sogar zur kompletten Abschaltung. Wer versuchte, internationale Webseiten zu besuchen oder zu chatten, kam nicht voran.

Ak­ti­vis­t*in­nen im Iran behalfen sich gegen die Zensur mit technischen Umgehungen – mit sogenannten Proxy-Servern, VPN-Tunneln oder dem anonymen Tor-Netzwerk. Mit der Infrastruktur für solche digitalen Umwege wurden sie weltweit aus der Zivilgesellschaft unterstützt, auch durch die taz. Doch sollen künftig solche technischen Umgehungen der Zensur unmöglich gemacht werden. Der Iran arbeitet seit Jahren am Aufbau eines eigenen unabhängigen Nationalen Informationsnetzwerks. Und hier kommen die Firma Arvancloud und ihr deutscher Ableger Softqloud ins Spiel.

Auf ihrer Webseite präsentiert sich die deutsche Firma Softqloud wie jedes andere IT-Unternehmen im Netz. Ein Bild von Serverschränken, ein Bild von Computern, ein paar Zeilen oberflächliche Werbesprache. Mehrfach wechselte der Firmensitz, blieb jedoch immer in der Nobelgegend Meerbusch bei Düsseldorf. Schaut man genauer hin, eröffnet sich dem Betrachter ein Geflecht aus Firmen, die mindestens indirekt mit dem iranischen Regime, Geheimdiensten oder den Revolutionsgarden in Verbindung stehen.

Da ist etwa der Unternehmer aus Dubai. Als Softqloud am 24. Februar 2019 im Handelsregister des Amtsgerichts angemeldet wird, tritt ein Mann als Gründer in das Büro eines Düsseldorfer Notars ein, der in Dubai wohnt, einen pakistanischen Pass vorlegt und persisch spricht. Er ist der Chef einer IT-Firma, mit Ablegern in Dubai und Pakistan, die unter anderem die Webseiten der Pasargad Bank hosten. Das iranische Finanzinstitut wurde wegen Verbindungen zu den Iranischen Revolutionsgarden im Oktober 2020 von den USA mit Sanktionen belegt. Von der Pasargad Bank gibt es auch eine Verbindung zu Arvancloud: Die mit der Bank assoziierte IT-Firma Fanap ist Investor bei dem Cloud-Anbieter.

Da ist auch der Helfer mit Geheimdienstkontakten. Bei der Gründung von Softqloud befindet sich ein Mann im Raum, der ebenfalls in Meerbusch wohnt, rund 500 Meter entfernt von Softqlouds erstem Firmensitz. Er ist kein unbeschriebenes Blatt. Sein Name taucht in einer Auskunft des Bundesamtes für Verfassungsschutz von 1993 auf, in der es um das Mykonos-Attentat geht. Bei dem Mordanschlag wurden im Auftrag des iranischen Geheimdienstes am 17. September 1992 vier kurdisch-iranische Exilpolitiker im Berliner Lokal „Mykonos“ erschossen.

Die Schriftstücke des Verfassungsschutzes sind dem Abschlussbericht eines Untersuchungsausschusses des Berliner Abgeordnetenhauses angehängt, der mögliche Versäumnisse der Sicherheitsbehörden bei dem Mordfall ergründete. Zwei weitere Informationen erfährt man darin über die Vergangenheit des Mannes: Anfang der 1990er Jahre steht er mit dem iranischen Geheimdienst in Verbindung und zählt zu den engsten Freunden des Drahtziehers des Mykonos-Attentats.

Arvancloud hilft der iranischen Regierung, ein eigenes Informationsnetz aufzubauen

Heute leitet er ebenfalls ein Unternehmen in Düsseldorf. Dies gehört einem großen iranischen Konzern, den die USA mit Sanktionen belegt haben, weil sie ihm vorwerfen, Teil des iranischen Netzwerks zur Terror-Unterstützung zu sein. Seit Juni 2020 treffen die US-Sanktionen auch diese Düsseldorfer Firma. Der Mann bestreitet auf Nachfrage der taz über seinen Anwalt jedweden Kontakt zu Geheimdiensten. Mit der Geschäftstätigkeit von Softqloud habe er auch nichts zu tun.

Und da ist die Geschäftsführerin: Sie leitet Softqloud und ist gleichzeitig Chefin weiterer Unternehmen, von denen eines ebenfalls auf dem Briefkastenschild in der Sackgasse des Düsseldorfer Nobelviertels Meerbusch steht. Bis 2020 war ein Geschäftsmann aus dem Iran mit Nähe zum Regime Geschäftsführer. Auch für dieses Unternehmen gibt es Hinweise, dass es für die Abwicklung von Zahlungsverkehr aus dem Iran benutzt wird.

Anders als die Firmen in Meerbusch, steht Arvancloud im Iran deutlich stärker in der Öffentlichkeit. Arvancloud ist laut deutsch-iranischer Handelskammer der größte Cloud-Service-Anbieter im Iran und sehr aktiv in der iranischen Start-up-Szene. Die Firma präsentiert sich im Netz und auf Konferenzen gern als modernes, aufstrebendes Unternehmen – ein Start-up mit jungen Männern, die Kicker spielen und Frauen, die mit Kopftuch lächelnd an Computern sitzen. Bei Youtube ist – anscheinend auf den deutschen Markt zielend – von Arvancloud gar eine Art Imagevideo zu finden: Unterlegt mit Choralmusik reitet eine Figur mit Deutschlandfahne auf einer Brezel. Dazu der Slogan: „Riding the clouds“, auf Deutsch: „Auf den Wolken reiten“.

Doch das ist nur die eine, scheinbar gute Seite des Unternehmens: Denn Arvancloud hilft der iranischen Regierung dabei, ein eigenes nationales Informationsnetz aufzubauen. Seit 2013 arbeitet das Regime mit Hochdruck daran, die Pläne dafür gab es schon Jahre zuvor. Alle Verbindungen aus dem Iran nach außen sollen abgeschaltet werden können. Vorbild für diese Idee ist China mit seiner „Great Firewall“, auch Russland hat mittlerweile ähnliche Pläne.

Derzeit ist es für die iranische Wirtschaft ziemlich teuer, wenn das Internet komplett abgeschaltet wird. Laut iranischer Handelskammer kostet das etwa 1,5 Millionen Euro pro Stunde. Um sich in Zukunft besser abschotten zu können und dabei die Kosten für den Iran geringer zu halten, arbeitet Arvancloud unter anderem an einer nationalen Cloud-Struktur, der sogenannten IranCloud. Die staatliche Nachrichtenagentur Irna nennt dies ein „nationales Projekt“, das „im Einklang mit der Entwicklung des nationalen Informationsnetzwerks“ betrieben werde.

Bei einer sogenannten Cloud geht es um ein bestimmtes System, mit dem Server und Datenspeicher dezentral miteinander vernetzt sind. Das Ziel ist es, möglichst viele Unternehmen mit ihren Diensten auf diese nationale Struktur zu holen. Werden die internationalen Verbindungen gekappt, würden diese Dienste im Iran weiterlaufen und die Auswirkungen für die Wirtschaft und den Alltag wären geringer. Sollte beispielsweise eine Person in Teheran online eine Lieferbestellung aufgeben, würde dies weiterhin funktionieren, solange der Bringdienst seine Webseite zuvor in die nationale Cloud verlegt hat. Jedoch nur dann.

Derzeit sind zahlreiche Firmen Partner von Arvancloud und hosten dort ihre Webseiten, darunter der im Iran weit verbreitete Taxidienstleister Snapp. Auch viele Regierungsinstitutionen haben ihre Webseiten bei Arvancloud – etwa das Innen- und das Außenministerium. Arvancloud nutzt dafür auch die Infrastruktur von Softqloud in Meerbusch. Mehrere Webseiten iranischer Botschaften, etwa der in Tunesien, liegen auf Servern der deutschen Firma. Auch die Webseite des iranischen Agrarministeriums.

Für das Projekt der iranischen Cloud-Infrastruktur räumt Arvancloud dem Regime weitreichende Kontroll-Befugnisse ein. Das geht aus einem Vertrag aus dem Jahr 2020 hervor, der uns vorliegt. Geschlossen hat ihn die Firma mit dem iranischen Kommunikationsministerium – eben jenem Ministerium, dessen aktueller Minister wegen der Internetabschottung durch die EU sanktioniert wurde. Die Kopie des Vertrages wurde, wie andere Unterlagen zu Arvancloud, von Kri­ti­ke­r*in­nen des islamischen Regimes bei Twitter veröffentlicht. Die tatsächliche Herkunft des Dokuments lässt sich nicht endgültig verifizieren, es soll aus einer iranischen Informationsfreiheitsanfrage stammen. Auch die BBC bezieht sich in einem Bericht auf diesen Vertrag.

In dem Dokument heißt es unter Artikel 4, dass die Vertragsparteien verpflichtet seien, sich im Rahmen der Nationalen Verteidigung und allgemeinen Sicherheit „vor jeder Entscheidung und jedem Vorgehen erst mit dem Führungsausschuss abzustimmen bzw. das Handeln genehmigen zu lassen“. Genannt wird dabei wenige Zeilen später:„B) Durchführung der Unterbrechung, Verbindung oder Einschränkung der [Internet-]Verbindung, Ausübung kurz- oder langfristiger Maßnahmen, Umsetzen der Sicherheitsmaßnahmen sowie Nutzung jeglicher im Netz vorhandenen Datenbanken.“

Weiter heißt es, dass Arvancloud verpflichtet sei, auf Verlangen des Ministeriums „ohne Verzögerung bezüglich der Sicherheits- und Schutzmaßnahmen mit den zuständigen Organisationen zu kooperieren.“

Meerbusch-Verbindung hat bedeutende Rolle bei der Kontrolle des iranischen Netzes

Für die Abschottung des iranischen Netzes ist es relevant, alle digitalen Verbindungen ins internationale Internet zu unterbinden. Wie die Recherche zeigt, sind diese im Iran durchaus überschaubar. Netzwerkspezialisten, die anonym bleiben wollen, haben sowohl die Netze von Softqloud, Arvancloud wie auch das gesamte iranische Internet gescannt und analysiert. Correctiv, netzpolitik.org und die taz konnten die Ergebnisse einsehen.

Aus diesen Untersuchungen geht hervor, dass das iranische Netz nur vier „Brücken“ nach außen in das internationale Internet hat. Fachlich korrekt ausgedrückt, werden diese Brücken über das „Peering von Autonomen Systemen“ geschlagen. Solche Autonomen Systeme sind im Internet üblich, beispielsweise bei Universitäten und großen Unternehmen. Verbundene Autonome Systeme sind der Grundaufbau des Internets.

Die wichtigste Brücke aus dem Iran ins internationale Netz ist das Autonome System AS 49666, worüber die überwiegende Anzahl der Routen nach außen führen. Es wird von der Telecommunication Infrastructure Company kontrolliert, die direkt dem iranischen Staat untersteht. Ein weiterer Link nach außen ist das iranische Wissenschaftsnetz, das seine Route über Ungarn nach außen leitet. Eine dritte, recht kleine Verbindung besteht über den großen Telekommunikationsdienstleister Shatel nach Frankfurt. Und die vierte Brücke? Sie führt von Arvancloud direkt in das System der Meerbuscher Softqloud GmbH – auf Server in Deutschland und den Niederlanden. Somit kommt der Meerbusch-Verbindung eine bedeutende Rolle bei der Kontrolle des iranischen Netzes zu. Das bedeutet, dass Arvancloud an seiner Brücke das weltweite Internet aussperren und zugleich ausgewählte Verbindungen per „Whitelisting“ zulassen könnte – etwa zum Netzwerk von Softqloud, auf dem iranische Webseiten laufen.

Doch hat Softqloud für Arvancloud noch einen weiteren Nutzen. Unter anderem wickelt Arvancloud Zahlungen über den deutschen Ableger ab. Wer sich etwa Server bei der iranischen Firma kaufen wollte, konnte das über den Online-Bezahldienst Stripe erledigen. Der sitzt in den USA und unterliegt eigentlich den zahlreichen US-Regularien, die Transaktionen mit dem Iran weitreichend sanktionieren und einen Zugang des Irans zum US-Finanzsystem verbieten. Der Online-Bezahldienst Stripe selbst erklärt auf seiner Webseite, dass er die Nutzung seiner Dienste für Geschäfte verbietet, die direkt oder indirekt mit Ländern verbunden sind, die der Bezahldienst als hochriskant einstuft – darunter Iran.

Das handhaben auch andere Finanzdienstleister so. Schickt man sich beispielsweise in Deutschland unter Freunden auf deutschen Konten Geld zu, gehen beim US-Bezahldienstleister Paypal sogleich die Alarmglocken an, wenn nur das Wort „Iran“ im Verwendungszweck vorkommt. „Ihre Zahlung wird derzeit einbehalten und aus Sicherheitsgründen überprüft“, heißt es dann sofort.

Anders jedoch beim Serverkauf von Arvancloud. Dort funktioniert die Bezahlung beim Kauf eines Servers im Iran über den US-Dienst Stripe reibungslos. Ein Blick auf die Abrechnung offenbart, dass der Account der iranischen Firma mit Softqloud zusammenhängt, deren deutsche Telefonnummer angegeben ist.

Auf Anfrage erklärt die US-Firma Stripe, sie gebe grundsätzlich keine Stellungnahmen zu einzelnen Nutzern ab. Jedoch: Kurz nachdem wir unsere Anfrage gestellt haben, ist die Bezahlung von Servern von Arvancloud im Iran über den Online-Bezahldienst Stripe nicht mehr möglich.

Zu den Vorwürfen gegen Softqloud erklärte die Geschäftsführerin: Arvancloud sei ein gemeinsames Projekt der iranischen Firma Abr Arvan und Softqloud gewesen, um internationalen Kunden eine Cloud-Infrastruktur bereitzustellen. Die Verträge seien gekündigt. Das iranische Unternehmen habe keinerlei Einfluss auf das Unternehmen Softqloud. Dieses sei nicht daran beteiligt, das Internet für den Iran abzuschotten. „Wir umgehen keine Sanktionen und handeln als deutsches Unternehmen nach deutschem Recht. Es gibt keinerlei Einfluss iranischer Geheimdienste auf die Softqloud GmbH.“

Auch Arvancloud kennt die Vorwürfe, die vor allem iranische Internet-Aktivist*innen gegen die Firma vorbringen. Pouya Pirhosseinloo, Chef von Arvancloud, wies die Vorwürfe auf Nachfrage des Rechercheteams zurück. Seine Firma werde zu Unrecht ins Visier genommen und verleumdet. „Ein Anbieter von Cloud-Diensten kann weder bei der Struktur noch bei der Zensur des Internets eine Rolle spielen, nicht nur im Iran, sondern auch in jedem anderen Land der Erde“, so Pirhosseinloo. Cloud-Anbieter seien Verbraucher und nicht Anbieter des Internets. „Folglich können diese Unternehmen keinen Einfluss auf die Qualität des Internets, Störungen oder Ausfälle nehmen.“

In Bezug auf die deutsche Firma Softqloud bestätigte Pirhosseinloo, dass diese ein „internationaler Partner“ von Arvancloud war. Auch er sagt, Softqloud habe den Vertrag zum 30. September 2022 gekündigt.

Nach unseren Recherchen wurden Zahlungen an Arvancloud allerdings noch bis Mitte Oktober über die Firma Softqloud abgewickelt. Auch die Arvancloud-Server in Europa laufen bis heute über das deutsche Unternehmen.

Geändert hat sich bislang nur das gemeinsame öffentliche Auftreten: In den letzten Tagen sind jegliche Hinweise auf eine Beziehungen zwischen den Unternehmen Arvancloud und Softqloud von den Webseiten verschwunden. Noch am 10. Oktober war für den deutschsprachigen Bereich der Arvancloud-Webseite Softqcloud im Impressum angegeben. So führte die angegebene E-Mail-Adresse in den Kontaktdaten zu Arvancloud.

Zudem hindert Arvancloud das gemeinnützige Internet „Archive“ daran, alte Versionen seiner Webseiten zu sichern. Diese Archivierungen aktiv zu verhindern, ist sehr unüblich – gerade für ein Unternehmen in der IT-Branche.

Miriam Saage-Maaß, Expertin für juristische Verantwortung von Unternehmen bei Menschenrechtsverletzungen und Legal Director beim European Center for Constitutional and Human Rights (ECCHR) sagt zur Verbindung von Arvancloud und Softqloud: Internationale Standards wie die UN-Leitprinzipien für Wirtschaft und Menschenrechte würden Unternehmen wie Softqloud dazu verpflichten, genau zu prüfen, ob ihre Geschäftstätigkeit die Menschenrechtsverletzungen von Regierungen ermöglicht, fördert oder unterstützt. „Wer der iranischen Regierung Technologien zur Verfügung stellt, die es dieser ermöglichen, den Zugang zum Internet der iranischen Bürger zu kontrollieren, verletzt diese Standards möglicherweise.“

Dazu passt: Zu den neuen Sanktionen der EU gegen den Iran, die Außenministerin Annalena Baer­bock (Grüne) am Montag bekanntgab, gehört im Bereich der Menschenrechte auch ein Verbot der Ausrüstung, die im Iran zur Repression und zur Überwachung der Telekommunikation verwendet werden könnte.

Annalena Baerbock war am Donnerstagabend in der Caroline Kebekus-Show im Interview zu sehen. Angesprochen auf unsere Recherchen, sagte die grüne Außenministerin: „Das ist dramatisch, wenn eine deutsche Firma bei solchen Verbrechen helfen sollte“. Auch das Außenministerium habe den Hinweis bekommen und die entsprechenden Sicherheitsbehörden darauf angesprochen.