Spanien, Mexiko, Polen, Ungarn, Saudi-Arabien. In diesen und vielen weiteren Ländern fanden IT-Sicherheitsforschende staatliche Spähsoftware, darunter auf den Geräten von Anwälten, Politikerinnen, Journalisten, Oppositionellen oder Menschenrechtsaktivist:innen.
Vor einem Jahr veröffentlichte eine internationale Recherchekooperation die ersten von vielen Berichten über Ziele des Staatstrojaners Pegasus. Die Software war bereits vorher immer wieder aufgefallen, doch das Ausmaß der digitalen Überwachung löste international Bestürzung aus. Erst gestern kam ein Bericht über gehackte Demokratie-Aktivist:innen in Thailand dazu. Es sieht nicht danach aus, als würde diese Kette an Enthüllungen bald zu Ende gehen.
Seitdem haben die USA Handelseinschränkungen gegen den Hersteller NSO Group verhängt. Tech-Konzerne wehren sich vor Gericht gegen den Anbieter der Überwachungstechnologie. Und im EU-Parlament soll ein Untersuchungsausschuss aufklären, inwieweit EU-Länder Pegasus und ähnliche Spähsoftware eingesetzt und ob sie dabei gegen Gesetze verstoßen haben.
Eine Wand aus Geheimhaltung
Doch schon jetzt wissen wir: Die Branche der Überwachungsindustrie und der Einsatz von Spionage-Software ist kaum kontrollierbar. Das liegt nicht nur an teils komplexen Firmen- und Verkaufskonstrukten, das liegt auch an den Kundenstaaten selbst. Und dabei geht es nicht nur um die autoritär regierten Länder, auf die man bequem mit dem Finger zeigen und mangelnde Rechtsstaatlichkeit anprangern kann. Dabei geht es auch um EU-Staaten selbst – und Deutschland mittendrin.
Das BKA etwa soll eine angepasste Version von Pegasus nutzen, wissen wir aus Medienberichten. Auch der BND stehe laut Recherchen auf der Kundenliste von NSO Group. Doch darüber hinaus wissen wir wenig. Wie sehen die Anpassungen aus, die aus einer umfassenden Spionagewaffe ein verfassungskonformes Produkt für deutsche Behörden machen sollen? Wie oft und in welchen Fällen greifen Ermittler:innen und Geheimdienst-Mitarbeitende auf die Werkzeuge zurück? Wird die Software weiterhin eingesetzt? Wer kann all das wirksam kontrollieren? Und was befindet sich sonst noch im Werkzeugkasten der Behörden?
Selbst Abgeordnete stehen schnell vor einer Wand aus Geheimhaltung und stets vorgebrachten Staatswohl-Gründen, wenn sie nach weiteren Informationen fragen.
Die Ampelkoalition hatte sich vorgenommen, den Umgang staatlicher Stellen mit IT-Schwachstellen einheitlich zu regeln: Der Staat soll keine Sicherheitslücken ankaufen oder offenhalten. Doch wenn deutsche Behörden weiterhin Software einsetzen, die genau solche Schwachstellen ausnutzt, wäre das Versprechen der Koalition unglaubwürdig und inkonsequent.
Demokratische Staaten dürfen sich nicht auf das Gelübde zurückziehen, dass sie die entsprechenden Werkzeuge nur zur Bekämpfung von schweren Verbrechen und Terrorismus einsetzen würden. Denn andernorts werden Menschenrechte damit verletzt und unliebsame Kritiker:innen bedroht und verfolgt. Und jeder Kauf, jeder Vertrag spült Geld in die Kassen einer Industrie, die unsere digitale wie analoge Welt unsicherer macht.
Was sich nicht kontrollieren lässt, darf man nicht nutzen
Das kann und darf nicht sein. Etwas, das sich offenbar nicht kontrollieren lässt und dessen Folgen kaum überschaubar sind, darf nicht gekauft und eingesetzt werden. Wir brauchen ein Moratorium. Nicht nur für den Export von Überwachungstechnologie, sondern auch für ihren Einsatz. So lange, bis wirksame Mechanismen gefunden wurden, wie Menschenrechtsverletzungen durch derlei Software verhindert werden können. Bis es klare Kontrollstrukturen und ein Mindestmaß an Transparenz gibt. Bis es weitgehenden Konsens gibt, dass Sicherheitslücken zuallererst geschlossen werden müssen.
Dass dieses von Sicherheitsforschenden und Menschenrechtsorganisationen geforderte Moratorium noch nicht Realität geworden ist, verwundert nicht vollends. Denn es erscheint wie die Quadratur eines Kreises, solche Probleme zu lösen. Aber die Antwort darf nicht lauten, in ein paar Jahren ein paar rechtliche Beschränkungen zusammen mit ein bisschen mehr Kontrolle und ein paar strengeren Exportregularien als Pflaster auf das Problem zu kleben und zu sagen, man hätte es versucht. Wenn die Probleme nicht lösbar sind, die mit einem staatlichen Einsatz industrieller Spähsoftware einhergehen, gibt es nur eine Konsequenz: Dann muss man es lassen.
Am Kontrollpflaster zerschellt die Demokratie doch noch bevor das Plasteteil druff is. In dem Bild ist die Demokratie also schon zerschellt, woher sich auch der Riss im Pflaster erklärt!
Und gegen vor der größen Spähsoftware, die, alles auf unseren Computern in die USA überträgt, Microsoft Windows, schützt uns natürlich niemand.
Obwohl das BSI schon vor Jahren vor deren Einsatz warnte und Windows für den Behörden einsatz aufgrund des allgegenwärtigen Datenabflusses für ungeeignet erklärte.
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.html