Pegasus-AusschussDie Staatstrojaner-Branche zu mehr Transparenz zwingen

Fachleute fordern vor dem Pegasus-Ausschuss der EU, den Markt der Staatstrojaner-Anbieter härter zu regulieren. Ein wesentliches Mittel zur Kontrolle sehen sie in der Pflicht zur Transparenz. Die Spionagebranche und ihre Werkzeuge müssten auch endlich besser erforscht werden.

Claudio Guarnieri auf dem Podium des Pegasus-Ausschuss 30.08.2022
Claudio Guarnieri von Amnesty Internationals Security Lab spricht vor dem Pegasus-Ausschuss der EU. – Alle Rechte vorbehalten Screenshot/netzpolitik.org

Sachverständige in der heutigen Anhörung im EU-Parlament zum Pegasus-Skandal bezeichneten die Überwachung von Menschenrechtsaktivist:innen als „beispiellos“ und forderten eine EU-weite Verbannung von umstrittenen Unternehmen. Sie appellierten an die Abgeordneten, Journalist:innen und Menschenrechtsaktivist:innen mit Gesetzen besser vor einem Angriff durch Spionageprogramme zu schützen. Opfer sollten die Möglichkeit erhalten, gehört zu werden und eine Entschädigung zu bekommen.

Das Europäische Parlament untersucht seit April den Einsatz von kommerziellen Staatstrojanern und anderer „Überwachungs- und Spähsoftware“ in einem eigens eingerichteten Untersuchungsausschuss. Es geht vornehmlich um die Spionagesoftware Pegasus, die von der NSO Group aus Herzliya, einem Vorort von Tel Aviv, in alle Welt und auch nach Europa verkauft wird. Im Juni hatte der Vertreter der NSO, Chaim Gelfand, im Ausschuss angegeben, dass aktuell noch zwölf EU-Länder Kunden der Spionagefirma seien.

Gleich fünf Expert:innen sprachen heute in zwei aufeinanderfolgenden Sitzungen und standen im Anschluss für die Fragen der Parlamentarier:innen zur Verfügung. Mehrere betonten, dass es viel zu wenig Forschung über die Spionagebranche und den Einsatz der Spionagewerkzeuge gibt. Sie ist massiv unterfinanziert und könne auf wichtige Fragen bisher keine Antworten liefern. Es gebe nicht einmal eine wissenschaftliche Aussage dazu, wie nutzbringend Staatstrojaner sind, schon gar nicht im Vergleich zu den Schäden, die sie verursachen.

Was die Parlamentarier:innen über die politischen Mittel zu hören bekamen, die ihnen zur Eindämmung der Gefahren zur Verfügung stehen, war nicht ermutigend: Ein Blacklisting einzelner Spionage-Anbieter, wie die Vereinigten Staaten es vorgemacht haben, müsste in der EU erst langwierig erfunden und umgesetzt werden, sagte die Rechtsprofessorin Clara Portela, die an der Universität von Valencia lehrt.

Mehr Transparenz gefordert

Claudio Guarnieri, der als Chef von Amnesty Internationals Security Lab in Berlin an der Aufdeckung der Pegasus-Skandale direkt beteiligt war, bezeichnete die Ausspähung von Journalist:innen, Regierungsmitgliedern und politischen Aktivist:innen als „beispiellos“. Das zeuge auch davon, wie spät die Existenz der „missbräuchlichen, gewinnorientierten Spyware-Industrie“ zur Kenntnis genommen wurde und wie lange sie unkontrolliert wachsen konnte. Unternehmen wie FinFisher aus Deutschland oder Hacking Team aus Italien seien nicht nur Pioniere des Spyware-Marktes gewesen. Sie seien vor allem dadurch bekannt geworden, dass sie Staaten geholfen hätten, politische Aktivist:innen und Journalist:innen auszuspähen.

Die Staatstrojaner-Anbieter hätten vom Missbrauch ihrer Produkte profitiert. Guarnieris gemeinsame Untersuchungen mit dem Citizen Lab hatten etwa ergeben, dass der Anbieter Hacking Team im Jahr 2014 Software an die Regierung im Sudan verkauft habe. Interne Unterlagen des Geheimdienstes in Khartum zeigten, dass die Regierung dafür 960.000 Euro ausgegeben hat. Guarnieri erwähnte auch die Exporte des deutschen Staatstrojaners der in München ansässigen Firma FinFisher an die Türkei, ohne dass die vorgeschriebenen Anträge zur Genehmigung der Ausfuhr gestellt worden wären.

Guarnieri fordert mehr Transparenz darüber, welche Software an wen verkauft wird oder in welche Länder die Ausfuhren gingen. Die Lizenzen für die Software müssten mitsamt den Informationen zum Hersteller, zum Zielland und zum Verwendungszweck zugänglich gemacht werden. Die gesamte Branche müsse genauer erforscht werden, sagte er. Es sei noch wenig darüber bekannt, was die Unternehmen im Detail anbieten, wie sie intern funktionieren oder wie sie vernetzt sind.

Er plädiert dafür, Staatstrojaner klar von anderen Ermittlungswerkzeugen zur Überwachung zu unterscheiden. Dabei handele es sich um eine hochentwickelte Technologie, die von Menschen mit weiter Befugnis eingesetzt würde. Hier müssten besondere Vorschriften eingeführt werden. Insgesamt müsse der tradierte Gesetzesrahmen an die neue Technologie angepasst werden. Auch ein zeitweises Verbot von Staatstrojanern hält Guarnieri für sinnvoll, um weiter aufzuarbeiten, was die Industrie ausmacht und wie sie arbeitet.

Rechtliche Definition von Cyber-Überwachung ausweiten

Miriam Saage-Maaß, Direktorin des Europäischen Zentrums für Verfassungs- und Menschenrechte (ECCHR), berichtete von mehreren Bemühungen, Klagen gegen Menschenrechtsverstöße vor Gericht zu bringen. Lediglich die Ermittlungen deutscher Behörden gegen FinFisher brachten ein paar Erfolge.

Der Staatsanwalt kümmerte sich im Fall von FinFisher um einen Verstoß gegen die EU-Dual-Use-Verordnung, nach der für Ausfuhren besondere Genehmigungspflichten erfüllt werden müssen. Deutschland hatte keine Lizenz für den Export des Staatstrojaners erteilt, der in der Türkei nachgewiesen wurde. Ende 2020 sind deswegen die Räume von FinFisher sowie private Häuser der Manager des Unternehmens durchsucht worden.

Nach Angaben von FinFisher sei die Software von Drittländern an Kunden außerhalb der EU gelangt – für Saage-Maß ein Versuch, die EU-Verordnung zu umgehen. Der Fall zeige, dass entsprechende Ermittlungen Priorität erhalten müssten und es klare Vorgaben für den Handel und den Import solcher Software geben müsse. Dazu brauche es mehr Transparenz. Bei der Vergabe von Lizenzen seien vor allem auch Menschenrechte in den Blick zu nehmen.

Saage-Maaß forderte eine möglichst breite Definition von Cyber-Überwachung. Außerdem müssten Unternehmen ihre Sorgfaltspflicht umsetzen.

Europols neue Aufgaben

Jean-Philippe Lecouffe, stellvertretender Exekutivdirektor in der Direktion Operative Tätigkeiten bei Europol, äußerte sich zurückhaltend zu den Aufgaben und Möglichkeiten seiner Behörde. Während er die Gefahren von Staatstrojanern sehe, sei auch die Tatsache in den Blick zu nehmen, dass das Organisierte Verbrechen und der Terrorismus an Intensität zunehmen würden. Daher bräuchten die Strafverfolgungsbehörden für effektive Arbeit die neuesten und fähigsten Methoden und Werkzeuge.

Immer wieder betont er, dass Europol keine Staatstrojaner einsetze und überhaupt erst durch die mediale Berichterstattung davon Kenntnis erhalten habe.

Die Aufgaben seiner Behörde sieht er darin, andere Länder, in denen es Fälle von mutmaßlich illegaler Überwachung gibt, bei den Ermittlungen der Strafverfolgungsbehörden zu unterstützen. Er hält fest, dass die Behörde keine Exekutivbefugnisse habe und seine Arbeit von mehreren Instanzen beaufsichtigt werde. Seit Juni gibt es eine Verordnung, nach der Europol Ermittlungen einleiten darf, wenn die Behörden des betroffenen Landes selbst noch keine angestrengt haben.

Der rumänische Abgeordnete Dragoş Tudorache, ehemaliger Schatten-Rapporteur, und die Ausschuss-Berichterstatterin Sophie in `t Veld kritisierten die Zurückhaltung von Europol bei den Ermittlungen zu Staatstrojanern scharf. Lecouffe, der auch von anderen Mitgliedern aus dem Plenum zuvor angegangen wurde, erklärte, dass er prüfen wolle, ob sich die Befugnisse der neuen Verordnung erweitern ließen. Danach könnte Europol in den Mitgliedstaaten Ermittlungen auch zum illegalen Einsatz von „Söldner-Staatstrojanern“ unterstützen.

Wer ist verantwortlich?

Den zweiten Sitzungsteil dominierten Fragen danach, welche Probleme beim Spyware-Einsatz besser untersucht und intensiver erforscht werden müssten und mit welchen Mitteln die Nutzung rechtlich und regulatorisch eingedämmt werden kann.

Rosamunde van Brakel, Juristin und Kriminologin an der Vrije Universiteit in Brüssel, benannte gleich zu Beginn eine ganze Reihe von Problemen, die mit der Nutzung von Staatstrojanern einhergehen. Sie zog dafür mehrfach die Geheimdienste in Belgien als Beispiel heran. Wie im Jahr 2021 herauskam, nutzen diese Pegasus. Das sei auch legal, werde aber von Regierungsseite nicht offiziell zugegeben. Auch nachdem im April der New Yorker explizit Belgien als NSO-Kunden entlarvt habe, hätte sich daran nichts geändert: Die Regierung räumt die Pegasus-Nutzung nur indirekt ein.

Das Problem der mangelnden Transparenz bestehe aber nicht nur in Belgien. Dort seien Antworten darauf, in welcher Weise Staatstrojaner zum Einsatz kommen oder welche Sicherheitsmaßnahmen bei der Anwendung vorgeschrieben sind, öffentlich nicht bekannt. Wie grundlegende Rechte der Betroffenen geschützt würden, könne man nur mutmaßen. Auch eine Datenschutzfolgeabschätzung suche man vergebens.

Für Forscherinnen wie van Brakel stellen sich aber noch weitere Fragen, etwa: Wenn es beim Einsatz zu Rechtsverletzungen kommt, wer ist dann verantwortlich? Welche technischen Möglichkeiten hat eigentlich der Anbieter der Spionagesoftware, welche Daten Betroffener könnte er einsehen?

Obwohl die Antworten auf solche Fragen nach wie vor unklar blieben, konstatierte van Brakel, dass schon jetzt klar sei, dass mehr Regeln für den Staatstrojanereinsatz dringend nötig seien. Bestehende Kontrollgremien hätten nicht genug Kompetenzen und Wissen, um ernsthaft kontrollieren zu können.

Ein Anliegen unterstrich van Brakel, das bereits Guarnieri betont hatte: Kritische Forschung sei stark unterfinanziert und zudem bei den technischen Aspekten auf bloße Diagnosedaten von Endgeräten reduziert. Um den gesellschaftlichen Schaden abzuschätzen, müsse weit mehr geforscht werden. Es gäbe nicht einmal wissenschaftliche Forschung dazu, ob die Nutzung überhaupt effizient und wirksam sei. Alles rund um den Einsatz von Spionagesoftware sei geheimnisumwoben, so dass kaum sinnvolle Forschung möglich ist. Die Forschung und auch die Öffentlichkeit brauche aber mehr Einblicke und mindestens auch eine Evaluation des Einsatzes.

Die Regeln für den Einsatz müssten strikter werden, forderte van Brakel. Allerdings dürfe die Kontrolle auch nicht nur rein rechtlich gefasst sein. Vielmehr müssten auch ethische Fragen und gesellschaftliche Probleme betrachtet werden. Solche Fragen würden bisher schlicht ignoriert.

Kein Blacklisting in Europa

Die zweite Expertin der Sitzung, Clara Portela von der Universität in Valencia, fokussierte sich auf mögliche Sanktionen; Welche Maßnahmen könnte man ergreifen, um die Zirkulation von Spionagesoftware einzudämmen? Um es vorwegzunehmen: Viel Hoffnung konnte sie bei den Parlamentariern nicht wecken.

Portela warf die Idee auf, dass man nur noch Staaten, die eine gute Menschenrechtssituation und klare Regeln für Staatstrojaner vorweisen könnten, den Einsatz von Spionagesoftware erlauben dürfe. Jedoch sei das derzeitige EU-Sanktionsregime dafür nicht geeignet.

Alternativ könne man, schlug Portela vor, gegen konkret benannte Unternehmen vorgehen. Als Beispiel brachte sie das sogenannte Blacklisting der Vereinigten Staaten gegen die NSO Group. Das US-Wirtschaftsministerium hatte im November 2021 das Unternehmen auf seine schwarze Liste gesetzt, weil die NSO Group gegen US-Interessen verstoßen hätte. Die Folge sei der Verlust des Marktzugangs gewesen, zugleich aber auch ein Imageverlust.

Leider gäbe es ein solches Blacklisting in Europa nicht, sagte Portela. Man müsste es also zunächst schaffen, um direkt Firmen zu treffen, die Staatstrojaner anbieten. Bestehende EU-Listen, die es schon gibt, böten keine Möglichkeit, gegen konkrete Firmen vorzugehen. Zudem würde ein Blacklisting nur die EU selbst betreffen und wäre außerhalb deren Grenzen wirkungslos. Das hieße, die Eindämmung käme zwar EU-Bürger:innen zugute, schütze andere Menschen weltweit aber nicht. Ein großer Teil der bisher bekannten Betroffenen der Spionage lebt nicht in der EU.

Ratlosigkeit im Ausschuss

Eine gewisse Ratlosigkeit und auch Ohnmacht, die schon bei den vorangegangenen Sitzungen des Ausschusses deutlich wurde, durchzog die Befragungen der Sachverständigen. Denn am Ende soll der Ausschuss konkrete Empfehlungen geben, welche Initiativen das Parlament auf den Weg bringen könnte. Bisher aber türmen sich nur die Probleme, die mit dem Staatstrojanereinsatz entstehen, aber die Vorschläge zur Eindämmung bleiben noch vage. Und die überzogene Geheimniskrämerei rund um die Spionagebranche sowie die immer neuen Berichte in der Presse machen es für die Parlamentarier:innen nicht leichter.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Eine Ergänzung

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.