Missing Link: Staatstrojaner – der Demokratie-Killer, der fast keinen juckt
Pegasus, Predator, FinFisher & Co. sorgen ständig für Skandale, die aber oft verpuffen. Die Ampel-Koalition will jetzt handeln und IT-Schwachstellen schließen.
(Bild: Skorzewiak/Shutterstock.com)
Staatstrojaner gelten als dystopische Technologie. Die bekannteste Variante dieser digitalen Waffen ist Pegasus von der israelischen NSO Group. Diese Überwachungssoftware beschreiben Kritiker als "Monstrum, das außer Kontrolle geraten ist". Sie soll unter anderem 2018 bei der Ermordung des saudischen Journalisten Jamal Khashoggi, der unter anderem für die Washington Post schrieb, eine wichtige vorbereitende Rolle gespielt haben. Im Juli 2021 rückten das internationale Mediennetzwerk Forbidden Stories und Amnesty International die Spyware ins Zentrum der globalen Weltöffentlichkeit. Sie enthüllten hunderte Fälle, in denen Polizeien und Geheimdienste Menschenrechtsverteidiger, Journalisten und Oppositionelle mit Pegasus ausgespäht haben.
Die Anwendung von Spyware
Smartphones der Opfer infizierten die staatlichen Hacker mit der Software, um ihre Kommunikation mitzuschneiden, ihre Kontakte auszuspionieren sowie ihre Arbeit zu verfolgen und zu sabotieren. Rasch kam heraus, dass auch das Bundeskriminalamt (BKA) und der Bundesnachrichtendienst (BND) Pegasus-Lizenzen erworben haben. Der Aufschrei, vor allem in der Zivilgesellschaft, war groß. Das EU-Parlament setzte im März 2022 einen Untersuchungsausschuss ein. Auslöser waren Berichte, dass Ungarn und Polen das Spionageprogramm missbrauchten, um im großen Stil Medienvertreter und gegnerische Politiker ins Visier zu nehmen. Schnell rückten vergleichbare Aktivitäten vor allem in Spanien und Griechenland mit in den Fokus der Aufklärer.
Im Mai beschlossen die Abgeordneten nach gut einjährigen Recherchen ihren Abschlussbericht nebst einer langen Liste an Empfehlungen. Die EU-Länder sollen demnach bis Ende des Jahres eine Reihe von Schutzmaßnahmen vorsehen, wenn sie Staatstrojaner weiterhin nutzen. Regierungen müssen dem Appell zufolge etwa nachweisen, dass die Anwendung von Spyware mit den europäischen Standards für Menschenrechte und Rechtsstaatlichkeit in Einklang steht.
Die Volksvertreter verlangen, dass alle Lizenzen für den Verkauf von Spionagesoftware, die nicht mit der Dual-Use-Verordnung für militärisch und zivil einsetzbare Technologien vereinbar sind, zurückgezogen werden. Für den Bereich der nationalen Sicherheit, in dem die Mitgliedsstaaten prinzipiell das Sagen haben, dürfe da keine Ausnahme gelten. Alle Fälle des mutmaßlichen Missbrauchs von Spähsoftware sollen von den zuständigen Behörden "umfassend untersucht und unverzüglich aufgeklärt werden".
Einsatz von Spionageprogrammen durch Regierungen
Generell verurteilt das Parlament "aufs Schärfste den Einsatz von Spähsoftware durch die Regierungen der Mitgliedstaaten", um etwa "Kritiker und die Zivilgesellschaft zu überwachen, zu erpressen, einzuschüchtern, zu manipulieren und zu diskreditieren". Der unrechtmäßige Einsatz von Spionageprogrammen durch die Regierungen von EU-Ländern und von Drittstaaten beeinträchtige "direkt und indirekt die Organe der Union und den Entscheidungsprozess", was "die Integrität der Demokratie untergräbt".
Die Abgeordneten verlangen, "dass der Handel mit und die Verwendung von Spähsoftware streng geregelt werden muss". Missbrauch sei sofort zu stoppen. Sie fordern "ein Verbot des Verkaufs von Schwachstellen in einem System zu anderen Zwecken als der Stärkung" dessen Sicherheit. Erlangen staatliche Stellen Hinweise auf Sicherheitslücken, seien diese standardmäßig "in koordinierter und verantwortungsvoller Weise offenzulegen". Ausnahmen sollen "anhand der Notwendigkeit und Verhältnismäßigkeit" bewertet werden. Dabei sei auch zu berücksichtigen, ob die betroffene Infrastruktur "von einem großen Teil der Bevölkerung genutzt wird". Die EU-Kommission soll bis zum 30. November bewerten, ob die Mitgliedsstaaten die Anforderungen erfüllen, und die Ergebnisse veröffentlichen.
Grundrechte vs. nationale Sicherheit – "Es juckte irgendwie kaum einen"
Was hat die monatelange Arbeit der Volksvertreter bislang bewirkt? Die EU-Parlamentarierin Hannah Neumann von den Grünen, die dem Ausschuss angehörte, sieht es als Erfolg, dass "wir deutlich weiter gekommen sind als alle nationalen Aufarbeitungsversuche". Um die Mauern bei den EU-Ländern zu brechen, hätten die Ausschussmitglieder die Logik umgedreht: "Beweist uns das Gegenteil", lautete der Appell der Abgeordneten zufolge, oder man sehe die aufgedeckten Fälle als Faktenlage an. Die aktuelle Streitlinie verlaufe entlang der harten Debatte: "Wo hören Grundrechte auf, wo fängt die nationale Sicherheit an."
Sie kämpfe generell mit der Diskrepanz zwischen der "Massivität des Grundrechtseingriffes und der Demokratiegefahren" sowie der Tatsache, "wie wenig Leute es eigentlich interessiert", berichtete Neumann unlängst auf einer Podiumsdiskussion Heinrich-Böll-Stiftung in Berlin. Auch EU-Abgeordnete, für die das Gebot der parlamentarischen Immunität gelte, seien abgehört worden. Doch Aufstände habe es keine gegeben: "Es juckte irgendwie kaum einen." Zumindest habe EU-Justizkommissar Didier Reynders versprochen, auf Grundlage des Berichts eine Gesetzesinitiative vorzulegen.
Dual-Use-Verordnung
Vor allem würde sich die Grüne eine schärfere Dual-Use-Verordnung wünschen. Diese sollte eine Klausel enthalten, wonach Exporteure nachweisen müssten, dass und wieso eine einschlägige Überwachungstechnik nicht missbraucht werden könne. Das Parlament habe eine solche Bestimmung schon bei der jüngsten Reform der Verordnung gefordert, sich aber – auch aufgrund des Widerstands des damaligen deutschen Wirtschaftsministers Sigmar Gabriel (SPD) – nicht durchsetzen können.
Am Herzen liegt Neumann ferner die Einrichtung eines EU Tech Labs. Dabei soll es sich um ein unabhängiges Forschungsinstitut nach dem Vorbild des Citizen Lab an der Uni Toronto mit der Befugnis handeln, Verdachtsfälle zu untersuchen sowie rechtliche und technologische Unterstützung zu leisten einschließlich der Überprüfung von Geräten. Eine solche forensische Untersuchung wäre dann auch gerichtsfest, betont die Abgeordnete: Übergriffige Sicherheitsbehörden sollten wissen, dass sie damit "nicht mehr durchkommen".
Grundrechte für viele zu "selbstverständlich geworden"?
Ann Cathrin Riedel, Vorsitzende des liberalen netzpolitischen Vereins Load, zeigte sich in der Runde ebenfalls bewegt, "dass es viele sowenig kümmert". Sie erklärt sich das damit, dass Grundrechte für viele im Westen "selbstverständlich geworden" sind. Oft sei es den Bürgern nicht mehr bewusst, dass diese die Basis für die Demokratie seien. Auch in der Politik gewinne man mit dem Thema "Bürgerrechten im Digitalen" nichts. Erforderlich seien "Aufsichtsbehörden, die vom Personal her in der Lage sind, sich solche Tools anzugucken". Es sei doch seltsam, dass Apple Warnhinweise schicken könne beim Verdacht auf Spionagesoftware auf dem iPhone, staatliche Stellen aber bislang nicht.
Laut dem Koalitionsvertrag des Ampel-Bündnisses soll der Staat hierzulande "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich in einem wirksamen Schwachstellenmanagement "immer um die schnellstmögliche Schließung bemühen". Über ein Jahr lang tat sich bei der Umsetzung dieser Maßgaben nichts, weil vor allem das Bundesinnenministerium mauerte und Sicherheitslücken ausnutzen will. Auch jetzt erklärte eine Sprecherin des Hauses von Nancy Faeser (SPD) gegenüber heise online nur: Die Umsetzung des Vorhabens sei noch nicht abgeschlossen. Die Abstimmung zwischen den Behörden beziehungsweise den Ressorts "zur konkreten Ausgestaltung und zur Umsetzung dauert an".
Über potenzielle Regeln für den Pegasus-Einsatz beim BKA schweigt sich das Ministerium aus: Zu Vorgehensweisen im Bereich der IT-Überwachung erteile man grundsätzlich keine öffentlichen Auskünfte, "um die Ermittlungsfähigkeit der Sicherheitsbehörden nicht zu gefährden".
BSI in der Schlüsselrolle
Mitteilungsfreudiger sind die innenpolitischen Sprecher der Ampel-Fraktionen. Derzeit beschäftige sich die Koalition intensiv mit der Vereinbarung, hebt Sebastian Hartmann (SPD) hervor. "Noch diesen Herbst sollen konkrete Vorschläge erarbeitet sein. Selbstverständlich wird in diesem Rahmen auch der Umgang mit kommerzieller Software, die Schwachstellen nutzt, und der entsprechende Bericht des EU-Untersuchungsausschusses erwogen. Solche Software ist mit schwierigen außen- und menschenrechtspolitischen Fragestellungen verbunden. Digitale Souveränität auch in diesem Bereich ist daher unser Anliegen."
"Nach jahrelangen Versäumnissen besteht in Deutschland erheblicher Aufholbedarf im Bereich IT-Sicherheit", konstatiert der Grüne Konstantin von Notz. Etwa beim Einsatz von Überwachungssoftware aus den Händen kommerzieller Anbieter gebe es diverse Probleme. "Um unsere informationstechnischen Systeme endlich besser zu schützen, muss der im Koalitionsvertrag vereinbarte Kurswechsel vollzogen werden", drängt der Fraktionsvize zum Handeln. Die Eingriffsschwelle bei Spyware müsse erhöht, das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängig werden. Sicherheitslücken seien zu schließen. Die Grünen würden bei den laufenden Gesprächen dazu weiter "auf hohe IT-Sicherheitsstandards hinwirken".
Manuel Höferlin von der FDP will mit dem Ausbau des BSI zu einer zentralen Stelle für IT-Security die Aufgabe verknüpft sehen, das angekündigte effektive Schwachstellenmanagement einzurichten. Und zwar "mit dem Ziel, alle Sicherheitslücken schnellstmöglich zu schließen". Er sei strikt dagegen, Schwachstellen offen zu halten und für staatliche Zwecke zu nutzen. Behörden müssten verpflichtet werden, "bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen". Die Ampel werde für das Identifizieren, Melden und Schließen von Schwachstellen "den überfälligen, sicheren Rechtsrahmen schaffen". Nach Informationen von heise online laufen die Gespräche über ein solches Paket seit Monaten und könnten bald abgeschlossen werden.
Globaler Spyware-Sumpf
Das Projekt des Regierungsbündnisses dürfte kaum reichen, um den globalen Spyware-Sumpf trockenzulegen. Weltweit hat sich dafür ein Markt in Wild-West-Manier entwickelt. Die Akteure agieren trotz parlamentarischer Aufklärungsbemühungen weitgehend im Verborgenen. Die Überwachungsindustrie gilt als Hydra: Schlägt man ihr einen Kopf ab, wachsen zahlreiche neue nach. Noch am ehesten durchleuchtet gilt die Unternehmensstruktur der NSO Group, die Amnesty International, Privacy International und das Centre for Research on Multinational Corporations 2021 unter die Lupe nahmen. Ihr Vorwurf: das israelische Unternehmen umgeht über ein Labyrinth an Holding-Gesellschaften weltweit Export- und Transparenzvorgaben.
NSO verkauft Pegasus-Lizenzen offiziell nur an Regierungen. In Mexiko sei aber der Verdacht entstanden, dass lokale Clans solche Nutzungsoptionen den Behörden abkauften, weiß der polnische Beobachter Adam Haertlé. Generell werde solche Spyware vor allem gekauft von Ländern, "die nicht genügend Möglichkeiten haben, eine eigene zu bauen". Einem Bericht zufolge hat etwa Polen für rund 7,5 Millionen Euro 30 bis 35 Lizenzen für das NSO-Schlachtschiff erstanden. Aus Ghana sei ein Vertrag von 2015 publik geworden, wonach dort 8 Millionen US-Dollar für 25 Lizenzen geflossen seien. Staaten wie die USA, Russland oder Frankreich hätten eigene Entwicklungskapazitäten.
Mindestens genauso gestreut wie NSO agiert Thalestris mit juristischem EU-Hauptsitz in Irland. Besser bekannt ist die Tochter Intellexa, die die Pegasus-Alternative Predator produziert. Niederlassungen dieses Konglomerats fanden sich in Europa etwa in Griechenland, Nordmazedonien, Ungarn, der Schweiz und auf Zypern, wo rund herum ein Firmengeflecht auftauchte. In Übersee darf ein Sitz auf den Britischen Jungferninseln nicht fehlen.
Imagepflege durch Manipulation
IT-Sicherheitsforscher zeigten im Mai, wie sich Predator mithilfe von gleich fünf kostspieligen Zero-Day-Exploits auf Android-Smartphones einnistet und im großen Stil Daten abgreifen kann. Untersuchte Komponenten legen nahe, dass die Spähsoftware unter anderem heimlich Sprachanrufe und Audio in der Nähe aufzeichnen, Daten von Anwendungen wie Signal und WhatsApp sammeln und Programme ausblenden oder ihren Start verhindern kann. Laut den Ausführungen der Experten ist der Staatstrojaner zudem etwa fähig, willkürlichen Quellcode auszuführen, Sicherheitszertifikate hinzuzufügen sowie System- und Konfigurationsdaten auszulesen.
Hierzulande ist bekannt, dass sich die Hackerbehörde Zitis für die Spyware interessiert. Das Hauptprodukt von Intellexa steht ferner im Zentrum des griechischen Spähskandals. Kontrolliert wird das Unternehmen – genauso wie die weitere Spyware-Firma Cytrox – vom ehemaligen israelischen Geheimdienstoffizier Tal Dilian. Laut dessen Webseite entwickelt und integriert Intellexa Technologien, "die es Strafverfolgungsbehörden und Geheimdiensten ermöglichen, Daten mit modernsten Methoden zu sammeln und zu analysieren und so ein verwertbares Aufklärungsbild zu erstellen". Ziel sei es, den "digitalen Wettlauf" mit verstärkt auf Verschlüsselung setzenden Kriminellen zu gewinnen "und die Sicherheit der Zivilbevölkerung zu gewährleisten".
Nachdem Dilian auf Zypern einen Überwachungswagen vorführte, der angeblich jedes Mobiltelefon in der Nähe hacken konnte, wurde er in 42 Anklagepunkten einschließlich illegaler Verarbeitung personenbezogener Daten und Eingriffe in private Kommunikation für schuldig befunden. Er kam mit einer Geldstrafe davon. Der umtriebige Unternehmer verlegte Intellexa daraufhin nach Griechenland. Die dortige Datenschutzbehörde verhängte Anfang 2023 eine Geldstrafe in Höhe von 50.000 Euro gegen den Konzern wegen mangelnder Kooperation. Laut dem Magazin Solomon versuchte Dilian, sein Online-Image durch die massive Manipulation von Suchmaschinenergebnissen aufzubessern.
Die unerwünschte Öffentlichkeit
Ebenfalls mit einer Tochter ("InReach") auf der Drehscheibe Zypern vertreten war beziehungsweise ist QuaDream, der israelische Produzent der Spyware Reign. Medienberichten zufolge machte die Firma im Frühjahr dicht. Zuvor hatten das Citizen Lab und Microsoft dargelegt, dass Reign mit einem Zero-Click-Exploit iPhone-Nutzer über unsichtbare Kalender-Einladungen ausspähte. Das Genick gebrochen haben sollen dem Unternehmen neben der unerwünschten plötzlichen Öffentlichkeit mangelnde Verkäufe und lokale Regulierungsvorgaben.
Oft schließen Spyware-Hersteller zunächst nur eine exponierte Firma, betreiben ihre Aktivitäten aber über andere Gesellschaften weiter. Dies war hierzulande etwa bei FinFisher und dem zugehörigen Unternehmen Elaman aus der Gamma Group der Fall. Die Staatsanwaltschaft München erhob Anfang Mai Anklage gegen vier Manager des mittlerweile insolventen Betriebs. Die Strafverfolger sahen es nach gut dreieinhalbjährigen Ermittlungen als erwiesen an, dass die Münchner Firma vorsätzlich illegal Spionagesoftware wie FinSpy an die türkische Regierung ausgeführt habe. Donncha O'Cearbhaill, Leiter des Amnesty International Security Lab, wertet diesen Schritt als wichtiges Zeichen für die Haftbarkeit beteiligter Entscheider.
Kleinere Akteure auf dem europäischen Spyware-Markt sind DSIRF in Österreich, Amesys und Nexa Technologies in Frankreich, die wegen der Ausfuhr von Überwachungstechnologie nach Libyen, Ägypten und Saudi-Arabien strafrechtlich verfolgt werden, sowie Tykelab und RCS Lab in Italien. In dem Mittelmeerstaat sorgte einst auch Hacking Team als einer der ersten Betriebe dieser Art für Schlagzeilen.
"Hacking as a Service"
Das EU-Parlament verweist darauf, dass "eine beträchtliche Zahl" der Anbieter von Spähsoftware ihren Hauptsitz in Israel hat. Dazu gehörten neben den bereits genannten Unternehmen etwa auch Wintego, Candiru und Cellebrite. Bekannte Hersteller seien ferner etwa in Indien (ClearTrail), Großbritannien (BAE Systems und Black Cube) sowie den Vereinigten Arabischen Emiraten (DarkMatter) zu finden. Auf der einschlägigen US-Sanktionsliste befänden sich ferner Russland (Positive Technologies) und Singapur (Computer Security Initiative Consultancy). Als Nabelschau der Branche diene die Messe und Konferenz ISS World. Diese werde auch von zahlreichen europäischen Behörden – einschließlich Polizeien – besucht.
Ein Trend ist, dass Hersteller wie Intellexa nicht nur die eigentliche Abhör- und Extraktionstechnologie, sondern einen gesamten Dienst in Form von "Hacking as a Service" feilbieten. Dies erlaubt es den Anbietern den EU-Abgeordneten zufolge, die Kontrolle über die gesamte Überwachungskette auszuüben und die dabei gewonnenen Daten zu aggregieren. Den zuständigen Behörden mache es diese Praxis zugleich nahezu unmöglich, sie zu kontrollieren.
Kampf der Regierungen gegen Spyware – mit Ausnahmen durch hochrangige Unterstützung
Einhegungsversuche gibt es über Europa hinaus. Im Frühjahr haben die USA zusammen mit Australien, Costa Rica, Dänemark, Frankreich, Großbritannien, Kanada, Neuseeland, Norwegen, Schweden und der Schweiz eine gemeinsame Erklärung veröffentlicht, wonach sie die Verbreitung und den Missbrauch kommerzieller Spyware wie Pegasus oder Predator bekämpfen wollen. Die Bundesregierung prüft, ob sie sich anschließen will.
US-Präsident Joe Biden erließ vor wenigen Monaten auch eine Anordnung, um den operativen Einsatz von Pegasus & Co. durch US-Behörden einzuschränken. Sie gilt aber nicht für nationale Geheimdienste wie die CIA und die NSA und enthält auch sonst einige Ausnahmen. Am 18. Juli setzte das US-Handelsministerium zudem mit Cytrox und Intellexa zwei europäische Spyware-Firmen aufgrund von Datenschutzverletzungen und anderen Rechtsverstößen auf die schwarze Liste zur Exportkontrolle.
Wenn Drittstaaten versuchen, israelische Firmen aus der Branche zu beleuchten, kommen sie oft nicht weit. Im Juli musste ein spanischer Richter, der den mutmaßlichen Hackerangriff auf die Telefone von Ministern mit Pegasus untersuchte, die Recherchen "aufgrund des völligen Mangels an rechtlicher Zusammenarbeit seitens Israels" einstellen. Im August setzte die israelische Regierung selbst einen Untersuchungsausschuss ein. Frühere hochrangige Sicherheitsbeamte reichten dagegen aber postwendend eine Petition beim Obersten Gerichtshof ein.
(bme)