US-Präsident Biden schränkt Einsatz kommerzieller Spyware ein
Spyware ist oft verheerend für Menschenrechte und Demokatie. Das Weiße Haus schränkt nun den Einsatz durch US-Bundesbehörden ein. Es gibt allerdings Ausnahmen.
- Andreas Knobloch
- Daniel AJ Sokolov
Washington schränkt die operative Verwendung kommerzieller Spionageprogramme durch US-Behörden ein. US-Präsident Joe Biden hat am Montag einen entsprechenden Befehl erlassen. Spyware wird oft zu Überwachung und Einschüchterung von Menschenrechtsaktivisten, Journalisten und Dissidenten auf der ganzen Welt eingesetzt.
Die Executive Order des US-Präsidenten ist eine Reaktion auf die wachsende Besorgnis in den USA und weltweit über Programme, die Textnachrichten und andere Handydaten abfangen können. Einige Programme wie Pegasus der israelischen NSO Group können ein Telefon infizieren, ohne dass die Benutzerin oder der Benutzer auf einen bösartigen Link klicken muss.
USA sehen sich in Führungsrolle
Regierungen auf der ganzen Welt – auch die der USA – sammeln große Datenmengen für Geheimdienst- und Strafverfolgungszwecke, einschließlich der Kommunikation ihrer eigenen Bürger. Sicherheitsexperten und Menschenrechtsaktivisten warnen deshalb immer wieder vor den Möglichkeiten für Missbrauch und Unterdrückung durch die massenhafte Verbreitung kommerzieller Spionageprogramme. Gleichzeitig finanzieren Behörden, die Spyware kaufen, die Unterwelt.
Die Anordnung "demonstriert die Führungsrolle der Vereinigten Staaten bei der Förderung von Technik für die Demokratie und ihr Engagement für diese, einschließlich der Bekämpfung des Missbrauchs von kommerzieller Spyware und anderer Überwachungstechnologie", schreibt das Weiße Haus in einer Erklärung. Eine öffentliche Liste verbotener Programme gibt es allerdings nicht.
Der Befehl gilt nicht für Spionagesoftware, die von staatlichen Einrichtungen wie der Central Intelligence Agency (CIA) und der National Security Agency (NSA) entwickelt wurde, die beide in der Vergangenheit unrechtmäßige Überwachungsmaßnahmen durchgeführt haben. Auch Angriffswerkzeuge von Geheimdiensten aus Partnerländern dürfen US-Behörden weiter einsetzen. Allerdings dürfen sie die Spyware-Einschränkungen nicht dadurch umgehen, dass sie Überwachung und Spionage auslagern.
Wann Spyware-Beschaffung erlaubt bleibt
Die Beschaffung kommerzieller Spyware bleibt zulässig, wenn der Leiter der Behörde zwei Feststellungen trifft: Erstens darf die Software Spionageabwehr und Nationale Sicherheit nicht beeinträchtigen. Und zweitens darf der Hersteller der Spyware nicht an ausländische Regierungen liefern, die für systematische oder schwere Menschenrechtsverletzungen bekannt sind, und außerdem keine Software für verpönte Zwecke an ausländische (!) Behörden oder Personen liefern.
Verpönte Zwecke sind einerseits die Überwachung von US-Personen ohne Zustimmung; andererseits die Sammlung von Daten über Aktivisten, Wissenschaftler, Journalisten, Dissidenten, Politiker oder Angehörige von Minderheiten sowie Nicht-Regierungs-Organisationen, aber nur, sofern das zum Ziel hat, solche Personen einzuschüchtern, politische Opposition, friedliche Versammlung oder freie Meinungsäußerung einzuschränken, oder andere Formen der Menschenrechtsverletzung oder Unterdrückung von Bürgerrechten zu ermöglichen. Damit möchte Biden den eigenen Geheimdiensten den Rücken freihalten, da diese stets auf ihre Mission Statements verweisen können, wonach sie sich nie für solch üble Zwecke hergeben würden und nur für Freiheit spionieren.
Zahlreiche Ausnahmen vom Verbot
Die Liste der Ausnahmen ist lang. In fünf Fallgruppen darf Spyware auch dann angeschafft werden, wenn sie die oben genannten Voraussetzungen nicht erfüllt: Erstens für Forschung und Analyse, was für Abwehr aber auch Programmierung eigener Angriffswerkzeuge nützlich sein kann. Zweitens, wenn es sich nicht um ein kommerzielles Produkt handelt. Drittens, wenn die Spyware für direkten Zugriff auf Geräte genutzt werden soll, beispielsweise für beschlagnahmte oder an Grenzübergängen "ausgeborgte" Geräte – der Präsidentenbefehl schränkt ausdrücklich nur kommerzielle Spyware für Fernzugriff ein. Viertens, wenn eine Behörde zu möglicherweise kriminellem Handel mit Spyware ermittelt und dabei selbst die Spyware haben möchte.
Die fünfte Ausnahme ist die vielleicht größte: Der Justizminister, der Minister für Heimatsicherheit, der Verteidigungsminister und drei führende Spione dürfen die Beschaffung bewilligen, wenn sie "außergewöhnliche Umstände" feststellen und keine Alternative sehen. Solche Ausnahmegenehmigungen sind einem bestimmten Beamten im Weißen Haus zu melden; widerspricht dieser binnen sieben Tagen nicht, darf die kommerzielle Spyware operativ genutzt werden.
John Scott-Railton, ein Forscher am Citizen Lab der Universität Toronto, der sich seit Langem mit Spionageprogrammen befasst, lobte dennoch die Regierung Biden für den Versuch, neue globale Standards für die Branche zu setzen. "Die meisten Spyware-Firmen sehen den Verkauf in die USA als ihren möglichen Ausweg", erklärte Scott-Railton. "Das Problem ist, dass die USA bisher ihre Kaufkraft nicht wirklich genutzt haben, um die Branche zu besseren Leistungen zu bewegen."
Spyware oft verheerend für die Menschenrechte
Der US-Kongress hat im vergangenen Jahr die US-Geheimdienste verpflichtet, den Einsatz von Spionageprogrammen im Ausland zu untersuchen, und dem Büro des Direktors der Nationalen Nachrichtendienste die Befugnis erteilt, jeder Behörde den Einsatz kommerzieller Programme zu untersagen. Laut einem UN-Bericht gestaltet sich der Einsatz von Überwachungstechnik verheerend für Menschenrechte.
Drohnen, biometrische Erkennungsverfahren, Künstliche Intelligenz (KI) und Spyware wie Pegasus und Predator führten immer stärker dazu, dass "Menschenrechte auf der ganzen Welt behindert und verletzt werden", warnte Fionnuala Ní Aoláin, Sonderberichterstatterin der Vereinten Nationen für Förderung und Schutz der Menschenrechte und Grundfreiheiten bei der Terrorismusbekämpfung, in einem kürzlich veröffentlichten Bericht.
Pegasus spioniert weltweit
Das vielleicht bekannteste Beispiel für Spyware ist die Pegasus-Software der israelischen NSO Group, deren Einsatz Aktivistengruppen und Journalisten im Jahr 2017 zuerst in Mexiko aufgedeckt hatten. Neben Mexiko haben zahlreiche weitere Länder, wie Saudi-Arabien, Marokko, Thailand oder die Vereinigten Arabischen Emirate die israelische Spyware zur politischen Überwachung genutzt. Apple hat laut eigenen Angaben gerade erst wieder Warnungen vor Angriffen mit staatlicher Spyware verschickt. Die Spyware hat es auf iPhones von Regierungsmitgliedern in Armenien sowie andere Personen abgesehen. Potenziell betroffen sind Nutzerinnern und Nutzer in mindesten 150 Ländern weltweit.
Im Mai vergangenen Jahres nahm der Untersuchungsausschuss des EU-Parlaments zum Einsatz von Pegasus und vergleichbarer Spionagesoftware mit einer Anhörung von IT-Sicherheitsexperten seine inhaltliche Arbeit auf. Kürzlich ließ der US Supreme Court eine WhatsApp-Klage wegen der Pegasus-Spionagesoftware zu. Das israelische Unternehmen NSO Group Technologies soll WhatsApp-Server zur Installation von Spyware auf 1.400 Geräten genutzt haben. Die USA haben der NSO Group bereits Exportbeschränkungen auferlegt, die den Zugang des Unternehmens zu US-Komponenten und -Technologie einschränken.
Ob US-Strafverfolgungsbehörden und Geheimdienste derzeit kommerzielle Spionagesoftware verwenden, ist unklar. Das FBI bestätigte letztes Jahr, dass es das Pegasus-Tool der NSO Group "nur für Produkttests und -bewertungen" und nicht für operative Zwecke oder zur Unterstützung von Ermittlungen erworben hatte. Der aktuelle Befehl Bidens ist kein Gesetz, sondern nur eine interne Anordnung. Er kann daher jederzeit vom dann jeweils amtierenden US-Präsidenten geändert oder widerrufen werden.
Ausnahmeregelungen der Anordnung ergänzt.
(akn)