Dass Staatstrojaner um sich greifen, ist ein wachsendes Phänomen. Eine europäische diplomatische Initiative mit dem Namen Pall-Mall-Prozess, die von Großbritannien und Frankreich angestoßen wurde, widmet sich dem Problem. Das Ziel ist klar formuliert: Die „Verbreitung und unverantwortliche Nutzung kommerzieller Hacking-Werkzeuge“ wie Staatstrojaner soll bekämpft werden.
Vertreter von Staaten und internationalen Organisationen sowie von Industrie, Zivilgesellschaft und Wissenschaft entwickeln in dem Prozess einen „Verhaltenskodex“. Er ist allerdings freiwillig und vollkommen unverbindlich. Den Regeln sollen sich mitzeichnende Staaten freiwillig unterwerfen. Damit sollen die offenkundigen Probleme angegangen werden, die sich aus der Verbreitung kommerzieller Staatstrojaner und anderer Hacking-Werkzeugen ergeben. Er soll künftig auch weiteren Staaten angedient werden.
Vor einem Jahr traf sich die Pall-Mall-Initiative auf einer Konferenz in London und verabschiedete ein erstes Grundsatzpapier. 27 Staaten und internationale Organisationen haben die Erklärung unterschrieben, neben Großbritannien und Frankreich auch Deutschland und die Vereinigten Staaten.
Letzte Woche traf sich die Initiative erneut, diesmal in Paris. Dort haben sie eine zweite Version der Erklärung verabschiedet. Die neue Version wurde von 23 Staaten unterschrieben.
Staatshacker
Wir berichten seit mehr als siebzehn Jahren über Staatstrojaner. Unterstütze uns!
Wer mit Staatstrojanern ausspioniert wird
Das staatliche Hacken gefährdet die IT-Sicherheit insgesamt. Denn es basiert darauf, dass Sicherheitslücken ausgenutzt werden, um die Schadsoftware unbemerkt einschleusen zu können. Staaten, die solche Hacking-Werkzeuge kaufen oder einsetzen, investieren also hohe Beträge in eine Branche, die Unsicherheit und das Ausnutzen von Sicherheitslücken zum Geschäftsmodell gemacht hat.
Das Problem, das der Pall-Mall-Prozess angehen soll, ist also hausgemacht. Die Opfer der Staatstrojaner sind zwar überwiegend außerhalb Europas zu finden. Betroffen sind immer wieder auch Journalisten, Juristen und Aktivisten. Allerdings ist das Problem dennoch längst auch innerhalb der europäischen Grenzen angekommen. In Polen wurden schon 2019 Oppositionspolitiker mit dem Staatstrojaner Pegasus gehackt, was später polnische Staatsanwälte auf den Plan rief. 578 Menschen sollen in unserem Nachbarland in den Jahren 2017 bis 2023 mit Pegasus ausspioniert worden sein.
Die Hacking-Software Pegasus des israelischen Anbieters NSO Group soll zudem den Regierungschef und Verteidigungsminister von Spanien und das Umfeld des früheren britischen Regierungschefs Boris Johnson betroffen haben. Neue Recherchen zeigen, dass Spanien bisher insgesamt 21 Pegasus-Opfer zu verzeichnen hatte. Aber auch die Niederlande sind mit elf Pegasus-Spionageopfern, Frankreich mit sieben Hacking-Fällen und Belgien mit vier Opfern vertreten.
Von diesen Staaten haben sich nur Frankreich, Polen und die Niederlande den neuen Verhaltensvorschlägen des Pall-Mall-Prozesses angeschlossen. Spanien und Belgien hingegen nicht. Das Heimatland der NSO Group Israel fehlt ohnehin auf der Liste der Unterstützer.
Pegasus ist auch mitnichten der einzige Staatstrojaner, der große öffentliche Aufmerksamkeit und noch laufende gerichtliche Nachspiele erfahren hat. Auch die Predator-Staatstrojaner des europäischen Konkurrenten Intellexa waren oft in den Schlagzeilen. Zwar konnte nach der Berichterstattung ein erheblicher Rückgang der Predator-Aktivitäten verzeichnet werden, aber die dürften vor allem durch die beispiellosen Sanktionen der US-Regierung unter Joe Biden ausgelöst worden sein. Die Kunden von Predator – also staatliche Behörden – dürften nach der öffentlichen Berichterstattung und den Sanktionen deutlich höhere Preise serviert bekommen und teilweise ihre Zusammenarbeit mit dem Anbieter eingestellt haben. Die Geschäftstätigkeit von Intellexa wird vermutlich insgesamt stark beeinträchtigt sein.
Politische Maßnahmen zur Eindämmung der Verbreitung von Hacking-Software wie die Einleitung des Pall-Mall-Prozesses spielten dabei nur eine untergeordnete Rolle, obwohl die Staatstrojaner-Anbieter darauf sicher mit Sorge blicken. Wirkliche Angst um ihr Geschäftsfeld ist jedoch nicht angebracht, da die Liste der Unterstützer viel zu klein ist.
Rechenschaftspflichten und Kontrolle
Das Pall-Mall-Papier legt Leitlinien fest und listet recht detailliert politische Instrumente auf, die den Staaten Optionen aufzeigen sollen, wie man mit Fragen der eigenen Entwicklung, der Verbreitung und unkontrollierten Ausbreitung, des Kaufs oder der eigenen Nutzung von Staatstrojanern und anderen Hacking-Werkzeugen umgehen sollte.
Schwerpunkte der Pall-Mall-Verhaltensvorschläge sind Accountability, was man mit Zurechenbarkeit und Rechenschaftspflicht übersetzen könnte, und Kontrolle in einem weiten Sinne. Beides soll sicherstellen, dass staatliches Hacking rechtlich bewertet und geprüft werden kann. Um einen verantwortungsbewussten Einsatz sicherzustellen, sollen „Grundsätze wie Rechtmäßigkeit, Erforderlichkeit, Verhältnismäßigkeit und Angemessenheit“ gelten, die unter Beachtung des Völkerrechts, der Menschenrechte und unter der Maßgabe der Rahmenbedingungen der Vereinten Nationen (für verantwortungsbewusstes staatliches Handeln im Cyberspace von 2021) anzuwenden sind.
Politischer Instrumentenkasten
Vorgeschlagen ist dazu ein Kontrollregime bei der Ausfuhr von Staatstrojanern, das die Risiken einer unverantwortlichen Verwendung abschätzen und mindern soll. Die Regierungen sollen auch versuchen, Anreize für verantwortungsvolles Handeln in der gesamten Hacking-Branche setzen. Solche Anreize könnten etwa darin bestehen, dass Aufträge bevorzugt an solche Staatstrojaner-Anbieter vergeben werden, die sich zur „Achtung der Rechtsstaatlichkeit und des geltenden Völkerrechts, einschließlich der Menschenrechte und Grundfreiheiten“ bekennen. Wenn Anbieter das nicht tun, soll ihnen mit dem Ausschluss von Regierungsaufträgen signalisiert werden, dass eine öffentliche Auftragsvergabe mit „illegalen oder unverantwortlichen Aktivitäten“ unvereinbar und inakzeptabel ist.
Zudem könnten für Vertreter von in Ungnade gefallenen Staatstrojaner-Anbietern politische Instrumente in Stellung gebracht werden, etwa Strafverfahren, finanzielle Sanktionen oder Reisebeschränkungen. Das solle auch für Konkurrenten ein Zeichen setzen.
Zugleich soll Staatstrojaner-Opfern geholfen werden, empfiehlt das Pall-Mall-Papier. Wer einem hohen Risiko ausgesetzt sei, von Staatstrojanern ins Visier genommen zu werden, der könnte sensibilisiert und beraten werden, beispielsweise „Journalisten, Menschenrechtsverteidiger und Regierungsbeamte“.
Im Pall-Mall-Prozess geht es aber nicht darum, der Nutzung der Staatstrojaner gänzlich einzudämmen. Das steht in dem Prozess außer Frage, da ein rechtmäßiger Einsatz für legitime Zwecke als Möglichkeit angenommen wird. Allerdings wird der wachsende Markt klar als Bedrohung erkannt und zwar „für die Sicherheit, die Achtung der Menschenrechte und Grundfreiheiten und die Stabilität des Cyberspace“. Diese Bedrohungen „werden in den kommenden Jahren voraussichtlich zunehmen“, heißt es in dem Dokument.
Dahinter kommt bei den sogenannten Stakeholdern die klare Erkenntnis zum Vorschein, dass es ein massives und wachsendes Problem mit Staatstrojanern gibt. Ein Großteil der europäischen Länder – auch Deutschland – bringt durch das aktualisierte Dokument zum Ausdruck, dass sie das Problem angehen wollen. Das Ergebnis kann aber wegen der Unverbindlichkeit nur als Symbolpolitik eingeordnet werden.
Die Finanziers der Branche sind ja auch die Staaten, die den Pall-Mall-Prozess in Gang gesetzt haben. Sie sind als Verursacher des wachsenden Marktes der Hacking-Anbieter die wichtigsten Akteure, die zur praktischen Eindämmung der Staatstrojaner beitragen könnten. Ein paar mehr freiwillige Vorschläge für Kontrollmechanismen und rechtliche Regeln und das Erinnern an Menschenrechte dürften hier lange nicht ausreichend sein. Das Risiko bleibt also groß, dass in einigen Jahren ein noch größeren Anbieter-Markt existieren wird.
Gefahr für die IT-Sicherheit bleibt bestehen
Sven Herpig vom unabhängigen Verein interface bewertet die freiwilligen Verhaltensregeln des Pall-Mall-Prozesses als „ersten Schritt zur weiteren Konkretisierung“ grundsätzlich positiv. Er sagt jedoch: „Praktische, operative Auswirkungen erwarte ich mir von der Verabschiedung der Regeln nicht direkt.“ Grund für die geringe „normative Bedeutung“ sei vor allem, dass bisher mit 23 Staaten nur so wenige Unterstützer mitgezeichnet hätten.
Alexandra Paulus von der Stiftung Wissenschaft und Politik sieht den Pall-Mall-Prozess als „eine der spannendsten aktuell laufenden Cyberdiplomatie-Initiativen“. Sie bewertet den Vorteil vor allem darin, dass die Initiative so gestaltet sei, dass es ein „klar umgrenztes Thema“ gäbe.
Ob aber diese Verhaltensregeln eine Eindämmung der kommerziellen Hacking-Branche bewirken können, sieht Herpig skeptisch: „Langfristig könnte es als normativer Rahmen dienen, den Staaten nutzen, um sie einzudämmen.“ Dazu brauche es staatlichen Willen und entsprechende rechtliche Regeln, betont Herpig. „Und das in vielen Staaten, vor allem auch diejenigen, wie Israel oder Russland, die diese Verhaltensregeln bisher noch nicht mitgezeichnet haben.“
Auch Alexandra Paulus beantwortet die Frage danach, ob die Regeln eine Eindämmung bewirken können, eher zurückhaltend. Man müsse sich klarmachen, dass sich das verabschiedete Dokument an Staaten richte. „Um den Markt wirklich zu beeinflussen“, sei entscheidend, welche Regeln die Staaten für die Branche aufstellten. Das könne entweder eine „harte Regulierung, etwa Exportkontrollen“, sein oder „weiche Anreizsysteme, zum Beispiel Regeln für die öffentliche Beschaffung“ der Hacking-Werkzeuge. Zudem könnten Staaten Regeln für die eigene Nutzung von kommerzieller Hacking-Software aufstellen, „zum Beispiel eine unabhängige Aufsichts-Institution“. Die Frage sei, ob „Staaten das Dokument zum Anlass nehmen, tatsächlich ihre Politik zu verändern“.
Die Wissenschaftlerin sieht die Verhaltensregeln als Puzzleteile und sagt: „Wenn sie zusammengefügt werden, können sie einen großen Einfluss auf den Markt haben.“ Am wirkmächtigsten seien Exportkontrollen und Sanktionen. Auch andere Instrumente könnten wirken: die Staatstrojaner-Anbieter besser zu kennen sowie Regeln und Aufsichtsgremien für die staatliche Nutzung. „Würden die unterzeichnenden Staaten diese Instrumente flächendeckend ausrollen, wären wir schon ein großes Stück weiter“, sagt Paulus.
Das bisherige Ergebnis des Pall-Mall-Prozesses sei auch ein „Selbsteingeständnis der Staaten, dass sie eigentlich an der ‚Misere‘ schuld sind“, sagt Herpig, der bei interface den Bereich „Cybersicherheitspolitik und Resilienz“ leitet. Auch deswegen hätten nur so wenig Staaten unterzeichnet. In der Praxis werde sich „kurz- bis mittelfristig vermutlich rein gar nichts ändern“.
Das bisherige Ergebnis des Pall-Mall-Prozesses sei erst ein Anfang, betont Paulus von der Stiftung Wissenschaft und Politik. Das „härteste Stück Arbeit“ stünde noch bevor, „nämlich ein Code of Practice für die Wirtschaft“. Sie sei gespannt, ob es gelingen wird, „mit den diversen Unternehmen des Ökosystems ins Gespräch zu kommen“.
Das dürfte schwierig werden. Denn es liegt in der Natur der Branche, nicht allzu transparent zu sein. Denn ein Gutteil der schattigen Zwischenhändler und der Kunden – also die staatlichen Käufer der Staatstrojaner – bestehen schließlich darauf.
0 Ergänzungen