Pakistan überwacht Millionen seiner Einwohner*innen auch mit in Deutschland entwickelten Technologien, das geht aus einem am Dienstag veröffentlichten Bericht von Amnesty International hervor. Auch andere europäische und ausländische Unternehmen versorgen die pakistanischen Behörden mit hochentwickelten Werkzeugen zur Massenüberwachung und Internetzensur.
Mit dem Telefonüberwachungssystem Lawful Intercept Management System (LIMS) erfassen die pakistanischen Sicherheitsbehörden Standort, Anrufe, Textnachrichten sowie den Browserverlauf von mindestens vier Millionen Mobiltelefonen gleichzeitig. LIMS erlaubt zu sehen, welche Webseiten Nutzer*innen aufrufen, selbst wenn diese oder ihre Teile verschlüsselt sind. Das System gewährt dem pakistanischen Militär und den Geheimdiensten direkten Zugriff auf die Daten von Telekommunikationskunden, da es in die Telekommunikationsnetze der privaten Anbieter direkt eingebaut ist. zur Identifikation bedarf es lediglich der Handynummer.
Kontrolle von Handys und Internet
Zudem blockieren Geheimdienste mit einer in China entwickelten Firewall-Technologie (WMS 2.0) Virtual Private Networks (VPN), die zur Umgehung von Zensur genutzt werden können, sowie unliebsame Webseiten. Die Behörden können mit der Technologie auch den Internetverkehr drosseln.
Amnesty beschreibt diese Kombination an Technologien als Wachttürme, die ständig das Leben gewöhnlicher Menschen ausspionieren. Sie machen es laut der Menschenrechtsorganisation der Regierung möglich, Dissident*innen zu überwachen, zum Schweigen zu bringen und grundlegende Menschenrechte systematisch zu verletzen.
„Weil es in Pakistan an technischen und rechtlichen Schutzmaßnahmen mangelt, ist LIMS in der Praxis ein Instrument rechtswidriger und unterschiedsloser Überwachung“, heißt es in dem Bericht. Die Geheimdienste nutzen LIMS, ohne dafür einen richterlichen Beschluss eingeholt zu haben – eine gesetzlich vorgeschriebene Mindestanforderung, die von den pakistanischen Behörden jedoch in gewohnter Manier ignoriert wird.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Überwachung made in Aachen
Pakistan hat in den letzten Jahren eine tiefgreifende Überwachungsinfrastruktur aufgebaut und dabei auf eine globale Lieferkette von Überwachungstechnologien zurückgegriffen. Der Großteil der Technologie, die LIMS in Pakistan ermöglicht, kommt von zwei Unternehmen: dem deutschen Utimaco mit Sitz in Aachen und dem emiratischen Datafusion mit Niederlassung in Deutschland. Mit LIMS von Utimaco durchsuchen die Behörden die Daten der Telekommunikationskunden, die dann über Überwachungszentren von Datafusion zugänglich gemacht werden. Mit Hilfe von Handelsdaten konnte Amnesty nachweisen, dass LIMS über das Unternehmen aus den Arabischen Emiraten an Pakistan geliefert wurde. Das System wird in Pakistan schon seit 2007 eingesetzt.
Die Internet-Firewall wurde erstmals 2018 in Betrieb genommen und stammte von einem kanadischen Unternehmen namens Sandvine (jetzt AppLogic Networks). Fünf Jahre später wurde sie durch eine fortgeschrittene Technologie vom chinesischen Unternehmen Geedge Networks ersetzt, das Verbindungen zu chinesischen Staatsunternehmen unterhält. Die US-amerikanische Firma Niagara Networks und die französische Firma Thales lieferten die unterstützende Infrastruktur.
Laut Amnesty handelt es sich bei der von Geedge Networks entwickelten Technologie um eine kommerzielle Version von Chinas „Großer Firewall“, die nun auch außerhalb des Landes zum Einsatz kommt. Die Große Firewall ist ein umfangreiches staatliches Zensur- und Überwachungssystem, mit dem die chinesische Regierung unerwünschte ausländische Seiten sperrt und die gesamten Aktivitäten der Bevölkerung im Internet kontrolliert.
Verantwortung der Unternehmen und Exportländer
Datafusion erklärte gegenüber Amnesty, dass die Überwachungszentren ausschließlich an gesetzlich legitimierte Behörden verkauft werden und man selbst LIMS nicht herstelle. Utimaco weigerte sich seinerseits, seine Verbindungen zu Datafusion offenzulegen und berief sich auf Geschäftsgeheimnisse. Beide vermieden es, auf die Enthüllungen der Menschenrechtsorganisation einzugehen.
Unklar bleibt, welche Ausfuhrgenehmigungen für den Export von LIMS durch Utimaco beantragt oder erteilt wurden. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle äußerte sich nicht zu dem Fall. Die deutsche Regierung lehnte es ebenfalls ab, Auskunft über Ausfuhrgenehmigungen zu geben.
Amnesty hält fest, dass der Handel mit Überwachungstechnologien in Deutschland, der EU und weltweit weiterhin unzureichend kontrolliert ist.
Überwachung als politische Waffe
Pakistan gilt seit langem als Land mit massiver Internetüberwachung und Informationskontrolle. Laut der Menschenrechtsorganisation hat sich die politische Lage im Land, in dem Meinungsfreiheit stark eingeschränkt, Oppositionelle willkürlich verhaftet und verschleppt werden, mit dem ungebremsten Export von Überwachungstechnologien weiter verschärft.
Seit dem Sturz des ehemaligen Premierministers Imran Khan im Jahr 2022 sind Oppositionelle und Aktivist*innen von Massenverhaftungen betroffen. Am Obersten Gerichtshof in Islamabad wird aktuell der Fall von Khans Frau Bushra Bibi verhandelt, nachdem private Telefongespräche von ihr online geleakt worden waren.
Lokale Mobilfunk- und Internetabschaltungen sind besonders häufig in den Provinzen Belutschistan und Khyber Pakhtunkhwa. In lokalen Bezirken ist das Internet teilweise über Jahre gesperrt. Aktivist*innen in beiden Provinzen berichten, dass diese Abschaltungen oft dazu genutzt werden, Proteste und politische Kundgebungen zu stören und Verschleppungen zu verdecken. Das Militär weist diese Vorwürfe zurück.
Die einjährige Untersuchung hat Amnesty in Zusammenarbeit mit Paper Trail Media, DER STANDARD, Follow the Money, The Globe and Mail, Justice For Myanmar, InterSecLab und dem Tor Project durchgeführt. Die Ergebnisse beruhen einerseits auf öffentlich zugänglichen Handelsdaten internationaler Unternehmen und andererseits auf einem 600 GB großen Datenleak des chinesischen Unternehmens Geedge Networks.
FYI
>> Unklar bleibt, welche Ausfuhrgenehmigungen für den Export von LIMS durch Utimaco beantragt oder erteilt wurden
Unter den „Dual-Use“-Gütern listet das Wassenaar Arrangement in der Kategorie 5.2. „Informationssicherheit“ auch Verschlüsselungstechnologien (Kryptografie/Encryption) sowohl in Form von Computerprogrammen zur Verschlüsselung von Informationen als auch von Verschlüsselungshardware auf.
In der Europäischen Union ist dieser Bereich im Anhang zur Dual-Use-Verordnung unter der Listenposition 5A002 geregelt:
https://utimaco.com/sites/default/files/inline-files/Utimaco_Export_Compliance_Policy.pdf
Utimaco is committed to complying with the laws and regulations relating to export controls.
As part of this compliance effort, Utimaco agreements contain provisions requiring Utimaco
customers and partners to ensure compliance with these laws and regulations. In order to as-
sist our customers and partners, Utimaco uses this portion of its website to communicate gen-
eral export control information specific to its products to our customers and partners.
Etwas technischer Kontext:
Normale Anrufe und SMS zu überwachen ist natürlich easy, wenn man Zugriff auf die ganze Mobilfunkinfrastruktur hat.
Mit dem „Browserverlauf“ verhält es sich aber etwas anders, sofern die Überwachten:
• Webseiten aufrufen, deren Server nicht unter Kontrolle der Überwacher stehen
• immer TLS verwenden
• und für DNS z.B. DNS über TLS zu einem DNS-Server im Ausland verwenden
Dann würden die Überwacher mit „normalem“ Mitschneiden vom Traffic nur noch die IP des Zielservers erfahren (und wie viele Daten wann geflossen sind). Die IP kann einen direkten Rückschluss auf die aufgerufene Domain ermöglichen, insbesondere heutzutage wird dies durch das sich wie ein Krebsgeschwür ausbreitende Hosten in AWS usw. oder hinter Cloudflare aber immer unwahrscheinlicher.
Alternativ wäre es natürlich auch noch möglich, dass Pakistan im großen Stil mit einer der anerkannten Certificate Authoritys Man-in-the-middle-Angriffe auf TLS-Verbindungen durchführt. Dies hätte aber nochmal eine andere Dimension und die entsprechende Certificate Authority sollte schnellstmöglich aus Browsern und Betriebssystemen fliegen.
https://developers.cloudflare.com/ssl/edge-certificates/ech/
Es müsste auch Encrypted Client Hello genutzt werden, damit nicht mitgelesen werden kann:
„At this point, we have ECH supported in major browsers on the client side, and one major content delivery network (CDN)—Cloudflare—on the server side. We have the technical tools, but we need to wait to see how things will play out. When Cloudflare activated ECH in late 2024, some countries took note. In November 2024, Russia complained that ECH was illegal and started to block it. China is also known to be monitoring and interfering with encrypted traffic, including ECH (and its predecessor, ESNI).“
https://www.feistyduck.com/newsletter/issue_127_encrypted_client_hello_approved_for_publication
Wird halt nur kaum verwendet.
Etwas OT, aber man kann sehen wofür die Überwachung noch dienen kann… Wo hin diese führt.
Beitrag auf NTV vom 13.09.2025 08:39/08:40 China überwacht das Vollk.
Nun bin ich aber verwirrt. Das kann gar nicht sein. Jeder dritte Satz der Politik fordert Digitalisierung, weil da seien wir eine Art Entwicklungsland, weil nur auf Platz 14 in der EU und Biden – oh sorry, meine die Ampelregierung – ist Schuld daran. Bei den Digitalen Kompetenzen ist es gar Platz 15. Da kommt der Verdacht auf, das diese „Faktum“ offenbar einer Umfrage unter Politikern und Führungskräften entnommen wurde.
In jedem Fall sei die Netzabdeckung sei schlecht, die Daten der elektronischen Patientenakte müssen zu Forschungszwecken an die Industrie verschenkt werden, während die Selbstbestimmungsfunktionen nicht so wichtig sind. Für KI muss der Datenschutz gelockert werden, wir müssen wieder führend in der Welt werden. Teuschland first, damit die Welt und Pakistan an unserem Wesen genesen kann und das geht mit Windows doch am Besten. Wir brauchen unsere eigene KI aus Jülich, nahe bei Aachen. Und da ist zufällig Utimaco.
Nein, nein, das kann gar nicht sein, was ihr da schreibt. Wir können das doch gar nicht. Wenn ich mir die Welt so anschaue, hier Pakistan, dann denke ich „Gott bewahre, dass wir das noch lernen“.
Lieber Joachim,
lass Dich nicht durch Erzählungen (Narrative für Narren) verwirren. Wer Überwachung voranbringen will, muss die Leute glauben machen, es sei noch nicht genug, und mehr „Fortschritt im Digitalen“ sei nötig. Hat man das eine erreicht, braucht es noch mehr „Fortschritt“.
Digitalisierung ist so allgemein gefasst, dass sich jeder seine Bedeutung und Themen in den Begriff projizieren kann. Die einen denken bei „Digitalisierung“ an Krebs-Diagnostik, die anderen an Geschwüre in der Bevölkerung. Der Begriff „Digitalisierung“, ohne in freilich näher zu bestimmen, macht (fast) jeden happy, damit kann man direkt ins Hirn der Leute „scheißen“, die es nicht raffen, dass „Digitalisierung“ eine Befähigung zur Machtausübung ist, ein Herrschaftsinstrument.
„Jeder dritte Satz der Politik fordert Digitalisierung, weil da seien wir eine Art Entwicklungsland,“
Deutschland ist mittlerweile in vielen Beziehungen ein Entwicklungsland, und gerade auch beim Thema Digitalisierung.
Das ist keine reine Frage des Ausmaßes an digitalen Prozessen, und die reine Forderung nach möglichst viel Digitalisierung ist fehl: ein digitalisierten Scheißprozess ist halt auch nur ein digitaler Scheißprozess. Deutschland kann zZt nichtmal qualifiziert über Digitalisierung entscheiden.