Missing Link: Staatstrojaner – der Demokratie-Killer, der fast keinen juckt
Pegasus, Predator, FinFisher & Co. sorgen ständig für Skandale, die aber oft verpuffen. Die Ampel-Koalition will jetzt handeln und IT-Schwachstellen schließen.
(Bild: Skorzewiak/Shutterstock.com)
Staatstrojaner gelten als dystopische Technologie. Die bekannteste Variante dieser digitalen Waffen ist Pegasus von der israelischen NSO Group. Diese Überwachungssoftware beschreiben Kritiker als "Monstrum, das außer Kontrolle geraten ist". Sie soll unter anderem 2018 bei der Ermordung des saudischen Journalisten Jamal Khashoggi, der unter anderem für die Washington Post schrieb, eine wichtige vorbereitende Rolle gespielt haben. Im Juli 2021 rückten das internationale Mediennetzwerk Forbidden Stories und Amnesty International die Spyware ins Zentrum der globalen Weltöffentlichkeit. Sie enthüllten hunderte Fälle, in denen Polizeien und Geheimdienste Menschenrechtsverteidiger, Journalisten und Oppositionelle mit Pegasus ausgespäht haben.
Die Anwendung von Spyware
Smartphones der Opfer infizierten die staatlichen Hacker mit der Software, um ihre Kommunikation mitzuschneiden, ihre Kontakte auszuspionieren sowie ihre Arbeit zu verfolgen und zu sabotieren. Rasch kam heraus, dass auch das Bundeskriminalamt (BKA) und der Bundesnachrichtendienst (BND) Pegasus-Lizenzen erworben haben. Der Aufschrei, vor allem in der Zivilgesellschaft, war groß. Das EU-Parlament setzte im März 2022 einen Untersuchungsausschuss ein. Auslöser waren Berichte, dass Ungarn und Polen das Spionageprogramm missbrauchten, um im großen Stil Medienvertreter und gegnerische Politiker ins Visier zu nehmen. Schnell rückten vergleichbare Aktivitäten vor allem in Spanien und Griechenland mit in den Fokus der Aufklärer.
Im Mai beschlossen die Abgeordneten nach gut einjährigen Recherchen ihren Abschlussbericht nebst einer langen Liste an Empfehlungen. Die EU-Länder sollen demnach bis Ende des Jahres eine Reihe von Schutzmaßnahmen vorsehen, wenn sie Staatstrojaner weiterhin nutzen. Regierungen müssen dem Appell zufolge etwa nachweisen, dass die Anwendung von Spyware mit den europäischen Standards für Menschenrechte und Rechtsstaatlichkeit in Einklang steht.
Die Volksvertreter verlangen, dass alle Lizenzen für den Verkauf von Spionagesoftware, die nicht mit der Dual-Use-Verordnung für militärisch und zivil einsetzbare Technologien vereinbar sind, zurückgezogen werden. Für den Bereich der nationalen Sicherheit, in dem die Mitgliedsstaaten prinzipiell das Sagen haben, dürfe da keine Ausnahme gelten. Alle Fälle des mutmaßlichen Missbrauchs von Spähsoftware sollen von den zuständigen Behörden "umfassend untersucht und unverzüglich aufgeklärt werden".
Einsatz von Spionageprogrammen durch Regierungen
Generell verurteilt das Parlament "aufs Schärfste den Einsatz von Spähsoftware durch die Regierungen der Mitgliedstaaten", um etwa "Kritiker und die Zivilgesellschaft zu überwachen, zu erpressen, einzuschüchtern, zu manipulieren und zu diskreditieren". Der unrechtmäßige Einsatz von Spionageprogrammen durch die Regierungen von EU-Ländern und von Drittstaaten beeinträchtige "direkt und indirekt die Organe der Union und den Entscheidungsprozess", was "die Integrität der Demokratie untergräbt".
Die Abgeordneten verlangen, "dass der Handel mit und die Verwendung von Spähsoftware streng geregelt werden muss". Missbrauch sei sofort zu stoppen. Sie fordern "ein Verbot des Verkaufs von Schwachstellen in einem System zu anderen Zwecken als der Stärkung" dessen Sicherheit. Erlangen staatliche Stellen Hinweise auf Sicherheitslücken, seien diese standardmäßig "in koordinierter und verantwortungsvoller Weise offenzulegen". Ausnahmen sollen "anhand der Notwendigkeit und Verhältnismäßigkeit" bewertet werden. Dabei sei auch zu berücksichtigen, ob die betroffene Infrastruktur "von einem großen Teil der Bevölkerung genutzt wird". Die EU-Kommission soll bis zum 30. November bewerten, ob die Mitgliedsstaaten die Anforderungen erfüllen, und die Ergebnisse veröffentlichen.
Grundrechte vs. nationale Sicherheit – "Es juckte irgendwie kaum einen"
Was hat die monatelange Arbeit der Volksvertreter bislang bewirkt? Die EU-Parlamentarierin Hannah Neumann von den Grünen, die dem Ausschuss angehörte, sieht es als Erfolg, dass "wir deutlich weiter gekommen sind als alle nationalen Aufarbeitungsversuche". Um die Mauern bei den EU-Ländern zu brechen, hätten die Ausschussmitglieder die Logik umgedreht: "Beweist uns das Gegenteil", lautete der Appell der Abgeordneten zufolge, oder man sehe die aufgedeckten Fälle als Faktenlage an. Die aktuelle Streitlinie verlaufe entlang der harten Debatte: "Wo hören Grundrechte auf, wo fängt die nationale Sicherheit an."
Sie kämpfe generell mit der Diskrepanz zwischen der "Massivität des Grundrechtseingriffes und der Demokratiegefahren" sowie der Tatsache, "wie wenig Leute es eigentlich interessiert", berichtete Neumann unlängst auf einer Podiumsdiskussion Heinrich-Böll-Stiftung in Berlin. Auch EU-Abgeordnete, für die das Gebot der parlamentarischen Immunität gelte, seien abgehört worden. Doch Aufstände habe es keine gegeben: "Es juckte irgendwie kaum einen." Zumindest habe EU-Justizkommissar Didier Reynders versprochen, auf Grundlage des Berichts eine Gesetzesinitiative vorzulegen.
Dual-Use-Verordnung
Vor allem würde sich die Grüne eine schärfere Dual-Use-Verordnung wünschen. Diese sollte eine Klausel enthalten, wonach Exporteure nachweisen müssten, dass und wieso eine einschlägige Überwachungstechnik nicht missbraucht werden könne. Das Parlament habe eine solche Bestimmung schon bei der jüngsten Reform der Verordnung gefordert, sich aber – auch aufgrund des Widerstands des damaligen deutschen Wirtschaftsministers Sigmar Gabriel (SPD) – nicht durchsetzen können.
Am Herzen liegt Neumann ferner die Einrichtung eines EU Tech Labs. Dabei soll es sich um ein unabhängiges Forschungsinstitut nach dem Vorbild des Citizen Lab an der Uni Toronto mit der Befugnis handeln, Verdachtsfälle zu untersuchen sowie rechtliche und technologische Unterstützung zu leisten einschließlich der Überprüfung von Geräten. Eine solche forensische Untersuchung wäre dann auch gerichtsfest, betont die Abgeordnete: Übergriffige Sicherheitsbehörden sollten wissen, dass sie damit "nicht mehr durchkommen".
Grundrechte für viele zu "selbstverständlich geworden"?
Ann Cathrin Riedel, Vorsitzende des liberalen netzpolitischen Vereins Load, zeigte sich in der Runde ebenfalls bewegt, "dass es viele sowenig kümmert". Sie erklärt sich das damit, dass Grundrechte für viele im Westen "selbstverständlich geworden" sind. Oft sei es den Bürgern nicht mehr bewusst, dass diese die Basis für die Demokratie seien. Auch in der Politik gewinne man mit dem Thema "Bürgerrechten im Digitalen" nichts. Erforderlich seien "Aufsichtsbehörden, die vom Personal her in der Lage sind, sich solche Tools anzugucken". Es sei doch seltsam, dass Apple Warnhinweise schicken könne beim Verdacht auf Spionagesoftware auf dem iPhone, staatliche Stellen aber bislang nicht.
Laut dem Koalitionsvertrag des Ampel-Bündnisses soll der Staat hierzulande "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich in einem wirksamen Schwachstellenmanagement "immer um die schnellstmögliche Schließung bemühen". Über ein Jahr lang tat sich bei der Umsetzung dieser Maßgaben nichts, weil vor allem das Bundesinnenministerium mauerte und Sicherheitslücken ausnutzen will. Auch jetzt erklärte eine Sprecherin des Hauses von Nancy Faeser (SPD) gegenüber heise online nur: Die Umsetzung des Vorhabens sei noch nicht abgeschlossen. Die Abstimmung zwischen den Behörden beziehungsweise den Ressorts "zur konkreten Ausgestaltung und zur Umsetzung dauert an".
Über potenzielle Regeln für den Pegasus-Einsatz beim BKA schweigt sich das Ministerium aus: Zu Vorgehensweisen im Bereich der IT-Überwachung erteile man grundsätzlich keine öffentlichen Auskünfte, "um die Ermittlungsfähigkeit der Sicherheitsbehörden nicht zu gefährden".
