Kommerzielle StaatstrojanerBidens Verordnung ist nur der erste Schritt

US-Behörden dürfen kommerzielle Staatstrojaner nur noch eingeschränkt nutzen. Das ist ein erster Schritt, darf aber nicht der letzte sein. Denn die Probleme mit staatlichem Hacken löst das nicht.

US-Präsident Biden telefoniert mit einem Smartphone
Sicherheitslücken machen die Geräte von uns allen unsicher – Alle Rechte vorbehalten IMAGO / Zuma Wire

US-Behörden dürfen in Zukunft kommerzielle Staatstrojaner nur noch eingeschränkt nutzen. Das hat US-Präsident Joe Biden am Montag angeordnet. Ein Komplettverbot für die invasiven Hacking-Tools ist es nicht. Vor allem geht es um Staatstrojaner, von denen eine Bedrohung für die nationale Sicherheit der USA ausgeht oder „ein erhebliches Risiko der missbräuchlichen Verwendung durch eine ausländische Regierung oder eine ausländische Person“. Dazu zählt laut der Anordnung, wenn ein Trojaner gegen US-Bürger:innen eingesetzt wurde oder damit Menschenrechtsverletzungen begangen werden.

Das dürfte das Aus für Staatstrojaner wie Pegasus oder Predator in den USA sein. Wie sie ist kaum ein größeres Trojaner-Unternehmen ohne Skandal. Regierungen überwachen mit den Staatstrojanern Dissident:innen oder setzen sie gegen Medienschaffende ein. Erst letzte Woche wurde bekannt, dass die griechische Regierung eine Managerin von Meta mit US-Staatsbürgerschaft abgehört haben soll. Schon vor zwei Jahren wurde bekannt, dass US-Diplomaten auf der Zielliste von Pegasus standen.

Was die Anordnung Bidens nicht verbietet: All die Hacking-Tools, die US-Behörden selbst entwickeln. Und Staatstrojaner von Herstellern, die noch nicht in autoritären Regimen gefunden wurden und die die USA als vertrauenswürdig einstufen.

Die Branche ist außer Kontrolle

Nicht nur der Pegasus-Skandal hat uns gezeigt: Die kommerzielle Staatstrojaner-Branche ist außer Kontrolle. Bidens Anordnung ist daher ein notwendiger erster Schritt, kann aber nicht der letzte sein.

Wenn wir nach Europa blicken, sehen wir: Ein Stopp für den Ankauf und Einsatz von Staatstrojanern ist überfällig. EU-Staaten hacken und überwachen damit ihre eigene Bevölkerung. Offenbar nicht immer nur, um Terrorist:innen zu fangen. In Polen oder Spanien etwa wurden Staatstrojaner bei politische Opponent:innen gefunden.

Doch selbst wenn alle Trojaner-Hersteller und die sie einsetzenden Regierungen Staatstrojaner stets nur zur Bekämpfung schwerster Verbrechen einsetzen würden: Das Grundproblem mit Staatstrojanern löst das nicht. Was bleibt, sind die Sicherheitslücken, die Hersteller nutzen, um Geräte zu infizieren und auszuspähen. Am wertvollsten dabei sind jene Lücken, die der Öffentlichkeit noch nicht bekannt sind. Und die Hersteller von Geräten und Software deshalb nicht schließen können.

Schwachstellen konsequent schließen

Sicherheitslücken offenhalten, um sie auszunutzen, gefährdet uns alle. Egal, wer das tut. Weder Staaten noch Staatstrojaner-Hersteller haben ein Monopol auf dieses Wissen. Sie können genausogut von gewöhnlichen Kriminellen gefunden und zum Schaden aller ausgenutzt werden. Der Handel mit Sicherheitslücken ist ein Markt. Und wer weiter Geld in dieses System spült, macht sich mitschuldig daran, dass es floriert.

Wenn der Pegasus-Ausschuss im Europaparlament seine Arbeit abschließt und einen Bericht und Empfehlungen vorlegen wird, muss ein Moratorium folgen. Und wir brauchen nicht nur ein Verbot kommerzieller Staatstrojaner, wir brauchen ein Verbot, Sicherheitslücken zu verschweigen – egal ob für staatliche oder kommerzielle Akteure.

Die Ampel hat sich vorgenommen, ein wirksames Schwachstellenmanagement einzuführen. Das darf nur heißen: Es muss verboten sein, Sicherheitslücken offenzuhalten. Alle Lücken, gleich wer sie findet, müssen schnellstmöglich geschlossen werden. Die Haltung von Bundesinnenministerin Faeser dazu ist nicht ganz so klar. Und das ist ein Problem. Die deutsche Regierung sollte es besser machen als die USA und Konsequenzen ziehen. Denn Staatstrojaner, die auf Sicherheitslücken beruhen, gefährden uns alle. Auch den Staat selbst.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Eine Ergänzung

  1. “ Staatstrojaner von Herstellern, die noch nicht in autoritären Regimen gefunden wurden und die die USA als vertrauenswürdig einstufen.“

    Das ist falsch.

    Autoritäre Systeme sind kein Problem, wenn die USA diese als vertrauenswürdig einstuft.

    Menschrechtsverletzungen liegen im Auge des Betrachters, die USA genehmigen sich selbst Folter und Verschleppung (rendition flights, etc) sowie „Tötungen“ genannte Morde an Zivilisten basierend auf nachrichtendienstlichen Erkenntnissen und Vermutungen (unter Obama mehr als 3500 Tote, darunter ein paar hundert Kinder).

    NP ist halt treu transatlantische PR und weiss, wer die guten sind 8)

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.