Dieser Gastbeitrag von Kate Robertson vom kanadischen Citizen Lab ist die Übersetzung des englischsprachigen Artikels „A Global Treaty to Fight Cybercrime – Without Combating Mercenary Spyware“, der am 22. August 2024 bei Lawfare erschienen ist.

Am 8. August schloss die internationale Gemeinschaft bei den Vereinten Nationen ihre letzten Verhandlungen über ein internationales Abkommen zur Cyberkriminalität ab. Der Vertrag, über den die UN-Generalversammlung abstimmen soll, zielt darauf ab, die Gesetze zur Cyberkriminalität und die polizeilichen Ermittlungsbefugnisse der Vertragsstaaten anzugleichen.

Der Verhandlungsprozess offenbarte tiefe Gräben innerhalb der Weltgemeinschaft über die Rolle der Menschenrechte im digitalen Zeitalter. Neben einer ganzen Reihe von Meinungsverschiedenheiten liegt ein drohender Schatten auf dem endgültigen Entwurf des Abkommens: Es könnte die weltweite Verbreitung von Staatstrojanern und die Branche für kommerzielles Hacking noch fördern. Wie die US-Regierung betont, stellt der staatliche Missbrauch kommerzieller Hackingsoftware eine eindeutige und dringende Bedrohung für die Menschenrechte und die nationalen Sicherheitsinteressen der Vereinigten Staaten und ihrer Verbündeten dar.

Die Befürworter des UN-Verhandlungsprozesses erhofften sich, die weltweiten Bemühungen zur Bekämpfung der grenzüberschreitenden Internetkriminalität zu harmonisieren. Der Vertrag ist jedoch unter heftigen Beschuss geraten – von der Zivilgesellschaft, führenden IT-Sicherheitsforschern, Menschenrechtsbehörden, Presseverbänden und der Industrie –, weil er der digitalen Sicherheit der Weltbevölkerung weit mehr schadet als nützt.

Das Mandat des Vertragsentwurfs fordert Befugnisse für Überwachung und grenzüberschreitende Datenweitergabe für eine atemberaubende Bandbreite von Online-Inhalten. Von Russland, China und ähnlichen Akteuren befürwortet, gehen sie dramatisch über den engen Fokus der Bekämpfung von Cyberkriminalität hinaus. In den Kapiteln IV und V des Vertragsentwurfs werden Verpflichtungen zu Überwachung und Datenweitergabe in Bezug auf jegliche digitale Informationen gefordert, die für strafrechtliche Ermittlungen in den unterzeichnenden Ländern von Interesse sind. Der Vertrag droht somit, die bereits überlasteten Kanäle für die justizielle Zusammenarbeit zu überschwemmen – mit lauter Anfragen der Polizei nach digitalen Informationen, die nur geringe Priorität haben oder missbräuchlich sind.

Jüngste Bemühungen gegen die Verbreitung kommerzieller Hackingsoftware

Sollte das Abkommen von der UN-Generalversammlung angenommen werden, wäre dies einer der ersten großen Rückschläge in den laufenden internationalen Bemühungen zur Bekämpfung der Staatstrojaner-Branche. Nach der Veröffentlichung des Dekrets der US-Regierung zu kommerzieller Hackingsoftware im Jahr 2023 haben sich sechzehn weitere Länder (darunter Deutschland) den USA angeschlossen und eine gemeinsame Erklärung veröffentlicht, in der Staatstrojaner als Bedrohung der nationalen Sicherheit und der Menschenrechte anerkannt werden.

In dieser gemeinsamen Erklärung wird betont, dass Spionagesoftware viel zu oft missbräuchlich gegen Menschenrechtsaktivisten und Journalisten eingesetzt wird, sowohl von autoritären Regimen als auch von Demokratien. Die von den USA angeführte Koalition bekräftigt, sie teile ein „grundlegendes Interesse nationaler Sicherheits- und Außenpolitik, die Verbreitung kommerzieller Spionageprogramme zu bekämpfen und ihr vorzubeugen“.

Die Vereinigten Staaten gingen noch einen Schritt weiter, indem sie den Einsatz kommerzieller Spionageprogramme durch US-Bundesbehörden untersagt und regierungsweite Maßnahmen zur Bekämpfung dieser Technologie ergriffen haben, beispielsweise Exportkontrollen und Sanktionen gegen Personen, die bei kommerziellen Hackinganbietern involviert sind. Die USA schlossen sich auch einer parallelen europäischen Initiative (Pall Mall Process) an, die von Großbritannien und Frankreich angeführt wird. Sie verfolgt das Ziel, „die Verbreitung und unverantwortliche Nutzung kommerzieller Hacking-Kapazitäten zu bekämpfen“.

Internationaler Rahmen für globalen Handel mit Spionagesoftwae

Tritt der Vertrag in Kraft, müssten alle unterzeichnenden Staaten Überwachungs- und Abhörmöglichkeiten schaffen. Staaten, die ihren Einsatz kommerzieller Hackingsoftware auf diesem Weg rechtlich absichern wollen, könnten diese Möglichkeiten zu Waffen umfunktionieren. So verpflichtet Artikel 28 des geplanten Übereinkommens die Staaten dazu, Überwachungsmöglichkeiten für gespeicherte elektronische Daten in ihrem Hoheitsgebiet zu schaffen. Artikel 29 und 30 verpflichten Staaten dazu, Fähigkeiten zum Abfangen von Verkehrsdaten und Inhaltsdaten in Echtzeit aufzubauen.

Insbesondere verbieten diese Bestimmungen den Staaten aber nicht, sich an Anbieter kommerzieller Spionagesoftware zu wenden, um die erforderlichen Fähigkeiten zu erhalten. Ein Staat könnte gemäß den oben genannten Artikeln sogar argumentieren, dass der Vertrag es den Staaten erlaubt, sich an solche Anbieter zu wenden, um die erforderlichen Überwachungsmöglichkeiten zu schaffen.

Diese Ansprüche untermauert die Formulierung in Artikel 40, welche die Staaten dazu verpflichtet, bei strafrechtlichen Ermittlungen im Rahmen des Abkommens ein „größtmögliches Maß“ an Rechtshilfe zu leisten. Es ist sehr wahrscheinlich, dass Regierungen dann Staatstrojaner missbrauchen würden, um ihre despotischen Praktiken zu unterstützen und demokratische Institutionen im In- und Ausland zu untergraben. Untersuchungen von Citizen-Lab-Forschern über die Verbreitung und die Auswirkungen digitaler Spionage haben bereits Beweise für gezielte Hacking-Angriffe dokumentiert: gegen die Zivilgesellschaft, einschließlich Menschenrechtsverteidigern, gegen Journalisten und politische Dissidenten, sowohl innerhalb als auch über die Grenzen hinweg.

Andere Bestimmungen des Entwurfs ebnen den Unterzeichnenden den Weg, den Einsatz von Hackingsoftware an Strafverfolgungsbehörden in Staaten mit laxen Datenschutzbestimmungen auszulagern – oder die mit Staatstrojanern gewonnenen Daten über die geheimen Austauschkanäle zu waschen, die unter der Wirkmacht des Vertrags geschaffen oder normalisiert wurden. So verpflichtet Artikel 46 die Staaten, „sich zu bemühen, einander Rechtshilfe zu leisten“, wenn es um das Abfangen und Aufzeichnen von Inhaltsdaten in Echtzeit geht. Die Bestimmung enthält keine Einschränkung dahingehend, ob sich die fraglichen Daten auf dem Hoheitsgebiet des Unterstützung leistenden Staates befinden.

Artikel 47(2) befürwortet generell die Nutzung grenzüberschreitender Netze, die auf der Grundlage multilateraler oder bilateraler „Übereinkünfte oder Vereinbarungen“ funktionieren und somit eine „direkte Zusammenarbeit“ zwischen Polizeibehörden weltweit ermöglichen. Artikel 48 heißt auch grenzüberschreitende „gemeinsame Ermittlungen“ zwischen Polizeibehörden gut, die den Strafverfolgungsbehörden die Möglichkeit bieten, Partnerschaften mit Staaten einzugehen, die kommerzieller Hackingsoftware gegenüber freundlich gesinnt sind. Unbefristete Geheimhaltungsverpflichtungen gemäß Artikel 40(20) lassen es sehr wahrscheinlich erscheinen, dass Beweise, die mit Hilfe von kommerzieller Hackingsoftware erlangt wurden, nur schwer aufgedeckt und über diese Netzwerke angefochten werden können.

Die internationale Gemeinschaft beobachtet bereits einen immer dreisteren Einsatz grenzüberschreitender polizeilicher Maßnahmen, wie beispielsweise eine verdeckte Operation, die zur heimlichen Erfassung von Millionen verschlüsselter Mobiltelefonnachrichten auf der ganzen Welt führte, international geleitet vom FBI und der australischen Bundespolizei. Die Ermittlungen wurden so strukturiert, dass die erfassten Nachrichten auf Servern in einem Drittland – später stellte sich heraus, dass es sich um Litauen handelte – gespeichert wurden, um die rechtlichen Schranken des verfassungsmäßigen Schutzes der Privatsphäre in den USA zu umgehen.

Die US-Strafverfolgungsbehörden erhielten dann im Wege der Rechtshilfe von Litauen Zugang zu den Daten. Das Beispiel wirft die Frage auf, wie sichergestellt werden kann, dass der internationale Menschenrechtsschutz und die Kontrolle der Rechenschaftspflicht bei grenzüberschreitenden Ermittlungen gleichermaßen solide sind – insbesondere angesichts der Tatsache, dass es zu einer Zusammenarbeit mit Ländern kommen kann, die kommerzielle Spionageprogramme einsetzen.

Artikel 47(1) befürwortet auch den raschen Austausch von Informationen über grenzüberschreitende Kanäle, einschließlich „Daten“ oder Informationen über den Aufenthaltsort einer Zielperson. In Regimen haben manche Gruppierungen bereits Praktiken eingeführt, die ernsthafte Bedenken hinsichtlich der Risiken eines solchen Datenaustauschs geweckt haben: So nutzte etwa die Anti-Terroreinheit der „Shanghai Cooperation Organization“ Berichten zufolge eine solche Form der Datenweitergabe, um Dissidenten ins Visier zu nehmen und Listen von Personen in Umlauf zu bringen, die verhaftet und ausgeliefert werden sollen.

Selbst die informelle Weitergabe von unangemessenen oder ungenauen Informationen kann zur Überstellung und Folter unschuldiger Personen führen. Ohne robuste Menschenrechtskontrollen sind kaum sichtbare Netze besonders anfällig für den Missbrauch durch Länder, die versuchen, von Staatstrojanern gesammelte Daten zu erhalten und weiterzugeben.

Schwierige Lehren aus dem Interpol-Erbe

Als Beispiel für die Gefahren grenzüberschreitenden Datenaustauschs ohne soliden Menschenrechtsschutz aller Teilnehmenden könnten potentielle Mitgliedstaaten des UN-Abkommens Interpol heranziehen.

Interpol ist eine 1923 gegründete und 1946 neu konstituierte internationale Organisation für Datenaustausch, die zwischen Polizeibehörden aus 196 Staaten vermittelt. Trotz verschiedener Reformen im Lauf der Jahre ist die Verpflichtung auf internationale Menschenrechtsinstrumente, die für Strafverfolgungsuntersuchungen gelten, etwa der Internationale Pakt über bürgerliche und politische Rechte, nie zu einer Voraussetzung für die Mitgliedschaft bei Interpol geworden.

Tatsächlich enthält Artikel 4 der Interpol-Satzung, der die Mitgliedschaft regelt, keinen Hinweis auf die Einhaltung von Menschenrechten oder andere Voraussetzungen einer Mitgliedschaft. Er verlangt lediglich, dass ein Antrag auf Mitgliedschaft von der zuständigen Regierungsbehörde eines „Staats“ gestellt wird, die eine „offizielle Polizeibehörde“ für die Mitgliedschaft in Interpol vorschlagen kann. Das leitende Organ, die Interpol-Generalversammlung, entscheidet dann durch Abstimmung über die Mitgliedschaft. In Artikel 2 der Interpol-Satzung heißt es, dass ein Ziel von Interpol darin besteht, die gegenseitige Hilfeleistung „im Geiste“ der Allgemeinen Erklärung der Menschenrechte zu fördern. Doch wird die Einhaltung dieser Erklärung weder für Interpol noch für seine Mitglieder zur Pflicht gemacht.

Der chronische Missbrauch der internationalen Kooperationsmechanismen von Interpol verdeutlicht die Gefahr grenzüberschreitender polizeilicher Maßnahmen, die kein gemeinsames Engagement für solide Menschenrechtsstandards voraussetzen. Selbst in hochkarätigen Fällen, wie beispielsweise im Fall von Bill Browder, einem Finanzier, der für die Aufdeckung der Korruption in der russischen Regierung bekannt ist, hat Russland acht Mal versucht, Browder über das Red-Notice-Programm von Interpol festzunehmen. (Sein Anwalt, Sergei Magnitski, war im Zusammenhang mit denselben Vorwürfen in Russland verhaftet worden und starb, nachdem er in einem Moskauer Gefängnis geschlagen worden war.)

Solche „Red Notices“ sind Ersuchen an die Strafverfolgungsbehörden in aller Welt, eine Person ausfindig zu machen und festzunehmen, damit sie untersucht und an das Land ausgeliefert werden kann, das den Haftbefehl ausgestellt hat. Das Red-Notice-Programm und andere Kooperationsverfahren bei Interpol wurden mit wiederholten und anhaltenden staatlichen Missbräuchen in Verbindung gebracht, die häufig zu unrechtmäßigen Verhaftungen, Inhaftierungen, Isolationshaft und in einigen Fällen zu Auslieferungen ohne ordnungsgemäßes Verfahren und zu Folter führten.

Interpol-Generalsekretär Jürgen Stock erklärte, dass Interpol derzeit nur begrenzt in der Lage sei, Einzelpersonen besser vor staatlichem Missbrauch des Red-Notice-Programms zu schützen. Stock verwies auf geopolitische Spannungen und das Fehlen einer gemeinsamen internationalen Definition von Terrorismus – ein Hinweis auf die Gefahr durch Länder, die den Interpol-Rahmen als Instrument für grenzüberschreitende Unterdrückung missbrauchen.

Autoritäre Länder setzen das Strafrecht oft als Schwert gegen freie Meinungsäußerung ein, um die Opposition zum Schweigen zu bringen und abweichende Meinungen zu unterdrücken, wie im Fall von Alexei Nawalny, einem führenden Korruptionsbekämpfer und Oppositionspolitiker in Russland. Moskau stufte Nawalny als kriminellen Extremisten ein. Er war bis zu seinem Tod im Februar 2024 in einem russischen Gefängnis inhaftiert. Trotz des wiederholten Missbrauchs des Interpol-Rahmens betonte Stock Anfang des Jahres, dass die Organisation zwar staatliche Anträge auf Red Notices prüfe, aber nicht die Menschenrechtsbilanz ihrer Mitgliedsländer kontrolliere, da dies nicht ihre Aufgabe „als technische Polizeiorganisation“ sei.

Doch so „technisch“ transnationale Polizeibefugnisse auch sein mögen, es besteht kein Zweifel daran, dass ihr Missbrauch verheerend sein kann für einige der sensibelsten Menschenrechtsinteressen, die das Völkerrecht kennt. Stocks Positionierung von Interpol als technisches Gremium verkennt auch, dass die unzureichenden Verfahrensgarantien im Zusammenhang mit staatlicher Überwachung und der Weitergabe sensibler Informationen an Polizeibehörden nicht einfach nur ein Randthema der Menschenrechte sind. Verfahrensgarantien – wie beispielsweise eine unabhängige richterliche Genehmigung und Aufsicht –, die vor Missbrauch durch staatliche Beamte schützen, gehören zum Kern der internationalen Menschenrechtsstandards, die für Ermittlungen im Bereich der Strafverfolgung gelten.

In der Endphase der Verhandlungen zum von der UN vorgeschlagenen Vertrag unterstrich eine Reihe von Staaten die Gefahr ähnlicher Arten des Missbrauchs, indem sie für die Streichung mehrerer Schutzklauseln aus dem endgültigen Vertragstext stimmten, darunter Artikel 40(22). Der Artikel besagt, dass Staaten nicht verpflichtet sind, Rechtshilfe bei ausländischen polizeilichen Ermittlungen zu leisten, wenn es „stichhaltige Gründe“ für die Annahme gibt, dass der Zweck der ausländischen Ermittlung oder Strafverfolgung darin besteht, eine Person „wegen ihres Geschlechts, ihrer Ethnie, ihrer Sprache, ihrer Religion, ihrer Nationalität, ihrer ethnischen Herkunft oder ihrer politischen Überzeugungen“ zu bestrafen.

Fünfundzwanzig Länder – darunter Russland, China und Indien – stimmten für die Streichung von Artikel 40(22), weitere siebzehn Länder enthielten sich der Stimme. Mit anderen Worten: Mehr als vierzig Länder befürworteten oder tolerierten die Streichung einer Bestimmung, welche die Verpflichtung zur Zusammenarbeit in solchen Fällen eingeschränkt hätte, in denen ein anderer Staat gegen eine Person zum Zwecke der Diskriminierung oder Bestrafung wegen ihrer politischen Ansichten ermittelt. Obwohl die Abstimmung scheiterte, sollte der Versuch eine Warnung sein, auf welche Weise viele Staaten wahrscheinlich die Umsetzung des Vertrags gestalten werden, sobald er von der UN-Generalversammlung angenommen wird, insbesondere angesichts der Mängel in den Menschenrechtsgarantien, die viel Raum für Missbrauch lassen.

Verpasste Gelegenheit zur Reform des internationalen Rechts zur Bekämpfung von Staatstrojanern

Wie bei den Interpol-Klauseln bleibt auch der UN-Vertragsentwurf zur Cyberkriminalität gleichgültig gegenüber der Frage, ob sich die Vertragsstaaten zu internationalen Menschenrechtsinstrumenten wie dem UN-Zivilpakt verpflichten. Artikel 6(1) verweist zwar darauf, dass die unterzeichnenden Staaten sicherstellen müssen, dass ihre Umsetzung des Vertrags „mit ihren Verpflichtungen im Rahmen der internationalen Menschenrechtsgesetze übereinstimmt“. Aber diese Maßnahme wird weitgehend untergraben von Staaten, die es abgelehnt haben, wichtige Menschenrechts- oder Datenschutzverträge zu unterzeichnen.

China hat beispielsweise seine Unterstützung für den UN-Vertrag zum Ausdruck gebracht, ist aber keine Vertragspartei des UN-Zivilpakts und für dokumentierte Missbräuche der Kooperationsverfahren von Interpol verantwortlich. Die Vereinigten Arabischen Emirate haben ebenfalls an den UN-Verhandlungen teilgenommen und sind ein potentieller Unterzeichner des UN-Vertrags, haben den UN-Zivilpakt aber nicht unterzeichnet und wurden mit dem Missbrauch der Spionagesoftware Pegasus der NSO-Gruppe in Verbindung gebracht.

Die Vereinigten Arabischen Emirate sind zudem ein bedeutender Geldgeber von Interpol und wegen des Missbrauchs des Interpol-Programms Red Notice in die Kritik geraten. Durch die Öffnung des Vertrags für alle Länder, unabhängig von ihren Verpflichtungen zu internationalen Menschenrechtsstandards wie dem UN-Zivilpakt, öffnet der geplante UN-Vertrag Tür und Tor für weiteren grenzüberschreitenden Missbrauch.

Mehr Spionageopfer durch Staatstrojaner Pegasus

Menschenrechtslücken im endgültigen Text des vorgeschlagenen Vertrags haben zu breitem Konsens zwischen der Zivilgesellschaft und der Industrie geführt, dass der Vertrag von demokratischen Staaten abgelehnt werden sollte, weil er nicht weit genug geht, um jene Menschen auf der ganzen Welt zu schützen, die von dem Vertrag am meisten betroffen sein werden, wenn er verabschiedet wird. Obwohl der endgültige Text des vorgeschlagenen Vertrags wichtige Schutzmaßnahmen enthält, wurden die meisten Bestimmungen – beispielsweise Artikel 6(1) – als unzureichend und missbrauchsanfällig bewertet.

Zusätzlich zu Artikel 6(1) enthält Artikel 6(2) eine Bestimmung, die im Wesentlichen verhindert, dass der Vertrag in einer Weise ausgelegt wird, welche die Menschenrechte und Grundfreiheiten unterdrücken würde. Artikel 6(2) ist wichtig, aber er ist auch sehr weit gefasst und daher anfällig für Missbrauch. So könnten sich Staaten beispielsweise auf die in Artikel 5 dargelegte robuste Souveränitätsbestimmung berufen, um den spezifischen Inhalt von Artikel 6 oder die Anwendbarkeit internationaler Menschenrechtsstandards auf den Einsatz von Cyberangriffen wie Staatstrojaner anzufechten.

Eine weitere wichtige Schutzklausel in Artikel 24 besagt, dass die Vertragsstaaten bei der Umsetzung des Vertrags ihre innerstaatlichen Gesetze mit ihren internationalen Menschenrechtsverpflichtungen in Einklang bringen und diese Umsetzungsgesetze den Grundsatz der Verhältnismäßigkeit berücksichtigen müssen. Artikel 24(2) legt die Notwendigkeit bestimmter spezifischer Bedingungen und Garantien fest, wie beispielsweise das Erfordernis einer gerichtlichen Überprüfung und wirksamer Abhilfemöglichkeiten.

Trotz dieser Bestimmungen ist Artikel 24 auch kritisiert worden, weil er diese wesentlichen Menschenrechtsverpflichtungen als freiwillig formuliert und nicht auf die Notwendigkeit anderer etablierter Menschenrechtsverpflichtungen hinweist, etwa das Legalitätsprinzip und das Recht auf individuelle Benachrichtigung. Insgesamt gibt es in Artikel 24 vieles, was die Ansicht einiger Staaten bestärkt, dass ein Großteil der darin enthaltenen Garantien in erster Linie im Ermessen der einzelnen Staaten liegt ist. Trotz dieser Schwächen stimmten zahlreiche Staaten für den Versuch, Artikel 6(2) und 24 aus dem endgültigen Text des Vertrags zu streichen.

Angesichts der Tatsache, dass einige Staaten nach wie vor kommerzielle Hackingsoftware einsetzen, ist es besonders besorgniserregend, dass die Schutzklauseln von Artikel 24 auch nur in sehr begrenztem Maße auf die Kooperationsbestimmungen des Vertrags in Kapitel V anwendbar sind. Insgesamt enthalten die Kooperationsbestimmungen in den Artikeln 46 bis 48 kein ausdrückliches Verbot der Weitergabe von durch Hacking erlangte Daten oder Informationen, die mit kommerzieller Spionagesoftware gewonnen wurden. Die Bestimmungen sehen auch keine begleitende unabhängige richterliche Aufsicht oder Transparenzverpflichtungen zum Schutz der Menschenrechte im Zusammenhang mit transnationalen Ermittlungen vor.

Transparenz und Aufsicht sind von entscheidender Bedeutung, um zu verhindern, dass sich undurchsichtige transnationale Netzwerke mit ewig währender Geheimhaltung ausbreiten. Trotz der Unzulänglichkeiten des Vertrags bei der Verpflichtung zur Einhaltung von Menschenrechtsstandards erlaubt Artikel 47(2), dass der Vertrag selbst als „Grundlage“ für die Zusammenarbeit dient.

Der staatliche Missbrauch von Hackingsoftware verdeutlicht die Gefahr, dass der Schutz der Menschenrechte in den Bereich des „innerstaatlichen Rechts“ verlagert wird, das jedes Land nach seinen eigenen Bedingungen gestalten kann. Sowohl internationale Menschenrechtsbehörden als auch Wissenschaftler haben auf die Notwendigkeit einer Reform des internationalen Rechts hingewiesen, um Spionageaktivitäten und kommerzielle Hackingsoftware zu bekämpfen. Dies schließt die Notwendigkeit einer globalen Regelung ein, die „multilaterale, verbindliche Maßnahmen mit Rechtskraft“ gegen Staatstrojaner und einen internationalen Vertrag zur Bekämpfung transnationaler Cyberspionage von Dissidenten vorsieht. Das geplante UN-Abkommen würde keines dieser Ziele fördern.

Ähnliche Kritikpunkte können gegen ein älteres Abkommen zur Cyberkriminalität vorgebracht werden, das ursprünglich vom Europarat entwickelt wurde: die Budapester Konvention. Sie verpflichtet die Staaten ebenfalls dazu, Überwachungskapazitäten aufrechtzuerhalten, ohne dass die Staaten auch den UN-Zivilpakt oder vergleichbare Menschenrechtsinstrumente unterzeichnen müssen. Der Text der Budapester Konvention wurde jedoch im Jahr 2001 ausgearbeitet – lange bevor Hacking-Unternehmen die Fähigkeit entwickelten, mächtige Werkzeuge wie Staatstrojaner mit Zero-Click-Exploit-Ketten einzusetzen. Umso schwieriger können Staaten argumentieren, der Vertrag habe es bereits beabsichtigt, die Ausnutzung hochinvasiver Schwachstellen zuzulassen, die ja zum Zeitpunkt der Ausarbeitung noch nicht im Umlauf waren.

Die weltweite Verbreitung von Staatstrojanern ist jetzt ein Thema für die internationale Gemeinschaft, ebenso wie die Verbreitung und Gefährlichkeit grenzüberschreitender Repression. Forscher machen zunehmend darauf aufmerksam, dass grenzüberschreitende Repression zwar „kein neues Phänomen ist, dass sich solche Taktiken aber durch das Wachstum des Marktes für digitale Technologien und die Verbreitung der Internet-Konnektivität ausweiten“. Hackingsoftware wird zunehmend als Mittel zur Erleichterung transnationaler Unterdrückung oder als repressiver Selbstzweck eingesetzt. Die Wiederholung der Fehler der Vergangenheit durch den Entwurf des UN-Cyberabkommens verfestigt und verschlimmert diese Probleme.

Die Unfähigkeit der internationalen Gemeinschaft, einen Konsens in Fragen der grundlegenden Menschenrechte zu erzielen, lässt den UN-Mitgliedsstaaten nun die Wahl, ob sie den geplanten Vertrag ohne wichtige Menschenrechtsgarantien unterzeichnen wollen. Die Geschichte lehrt aber, dass eine grenzüberschreitende Zusammenarbeit ohne robuste Menschenrechtsverpflichtungen kein gangbarer Weg im Kampf gegen grenzüberschreitende Cyberkriminalität ist.

Wie US-Außenminister Antony Blinken erst Anfang des Jahres anmahnte, wurde der Missbrauch kommerzieller Spionagesoftware mit „willkürlichen Verhaftungen, erzwungenem Verschwinden und außergerichtlichen Tötungen in den ungeheuerlichsten Fällen“ in Verbindung gebracht. Für Länder, welche die Grundfreiheiten, die Sicherheit von Menschen und die nationale Sicherheit schützen wollen, ist dies ein Kampf, der nicht verloren werden darf.