Seite 2: BSI in der Schlüsselrolle

Inhaltsverzeichnis

Mitteilungsfreudiger sind die innenpolitischen Sprecher der Ampel-Fraktionen. Derzeit beschäftige sich die Koalition intensiv mit der Vereinbarung, hebt Sebastian Hartmann (SPD) hervor. "Noch diesen Herbst sollen konkrete Vorschläge erarbeitet sein. Selbstverständlich wird in diesem Rahmen auch der Umgang mit kommerzieller Software, die Schwachstellen nutzt, und der entsprechende Bericht des EU-Untersuchungsausschusses erwogen. Solche Software ist mit schwierigen außen- und menschenrechtspolitischen Fragestellungen verbunden. Digitale Souveränität auch in diesem Bereich ist daher unser Anliegen."

"Nach jahrelangen Versäumnissen besteht in Deutschland erheblicher Aufholbedarf im Bereich IT-Sicherheit", konstatiert der Grüne Konstantin von Notz. Etwa beim Einsatz von Überwachungssoftware aus den Händen kommerzieller Anbieter gebe es diverse Probleme. "Um unsere informationstechnischen Systeme endlich besser zu schützen, muss der im Koalitionsvertrag vereinbarte Kurswechsel vollzogen werden", drängt der Fraktionsvize zum Handeln. Die Eingriffsschwelle bei Spyware müsse erhöht, das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängig werden. Sicherheitslücken seien zu schließen. Die Grünen würden bei den laufenden Gesprächen dazu weiter "auf hohe IT-Sicherheitsstandards hinwirken".

Manuel Höferlin von der FDP will mit dem Ausbau des BSI zu einer zentralen Stelle für IT-Security die Aufgabe verknüpft sehen, das angekündigte effektive Schwachstellenmanagement einzurichten. Und zwar "mit dem Ziel, alle Sicherheitslücken schnellstmöglich zu schließen". Er sei strikt dagegen, Schwachstellen offen zu halten und für staatliche Zwecke zu nutzen. Behörden müssten verpflichtet werden, "bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen". Die Ampel werde für das Identifizieren, Melden und Schließen von Schwachstellen "den überfälligen, sicheren Rechtsrahmen schaffen". Nach Informationen von heise online laufen die Gespräche über ein solches Paket seit Monaten und könnten bald abgeschlossen werden.

Globaler Spyware-Sumpf

Das Projekt des Regierungsbündnisses dürfte kaum reichen, um den globalen Spyware-Sumpf trockenzulegen. Weltweit hat sich dafür ein Markt in Wild-West-Manier entwickelt. Die Akteure agieren trotz parlamentarischer Aufklärungsbemühungen weitgehend im Verborgenen. Die Überwachungsindustrie gilt als Hydra: Schlägt man ihr einen Kopf ab, wachsen zahlreiche neue nach. Noch am ehesten durchleuchtet gilt die Unternehmensstruktur der NSO Group, die Amnesty International, Privacy International und das Centre for Research on Multinational Corporations 2021 unter die Lupe nahmen. Ihr Vorwurf: das israelische Unternehmen umgeht über ein Labyrinth an Holding-Gesellschaften weltweit Export- und Transparenzvorgaben.

NSO verkauft Pegasus-Lizenzen offiziell nur an Regierungen. In Mexiko sei aber der Verdacht entstanden, dass lokale Clans solche Nutzungsoptionen den Behörden abkauften, weiß der polnische Beobachter Adam Haertlé. Generell werde solche Spyware vor allem gekauft von Ländern, "die nicht genügend Möglichkeiten haben, eine eigene zu bauen". Einem Bericht zufolge hat etwa Polen für rund 7,5 Millionen Euro 30 bis 35 Lizenzen für das NSO-Schlachtschiff erstanden. Aus Ghana sei ein Vertrag von 2015 publik geworden, wonach dort 8 Millionen US-Dollar für 25 Lizenzen geflossen seien. Staaten wie die USA, Russland oder Frankreich hätten eigene Entwicklungskapazitäten.

Mindestens genauso gestreut wie NSO agiert Thalestris mit juristischem EU-Hauptsitz in Irland. Besser bekannt ist die Tochter Intellexa, die die Pegasus-Alternative Predator produziert. Niederlassungen dieses Konglomerats fanden sich in Europa etwa in Griechenland, Nordmazedonien, Ungarn, der Schweiz und auf Zypern, wo rund herum ein Firmengeflecht auftauchte. In Übersee darf ein Sitz auf den Britischen Jungferninseln nicht fehlen.

Imagepflege durch Manipulation

IT-Sicherheitsforscher zeigten im Mai, wie sich Predator mithilfe von gleich fünf kostspieligen Zero-Day-Exploits auf Android-Smartphones einnistet und im großen Stil Daten abgreifen kann. Untersuchte Komponenten legen nahe, dass die Spähsoftware unter anderem heimlich Sprachanrufe und Audio in der Nähe aufzeichnen, Daten von Anwendungen wie Signal und WhatsApp sammeln und Programme ausblenden oder ihren Start verhindern kann. Laut den Ausführungen der Experten ist der Staatstrojaner zudem etwa fähig, willkürlichen Quellcode auszuführen, Sicherheitszertifikate hinzuzufügen sowie System- und Konfigurationsdaten auszulesen.

Hierzulande ist bekannt, dass sich die Hackerbehörde Zitis für die Spyware interessiert. Das Hauptprodukt von Intellexa steht ferner im Zentrum des griechischen Spähskandals. Kontrolliert wird das Unternehmen – genauso wie die weitere Spyware-Firma Cytrox – vom ehemaligen israelischen Geheimdienstoffizier Tal Dilian. Laut dessen Webseite entwickelt und integriert Intellexa Technologien, "die es Strafverfolgungsbehörden und Geheimdiensten ermöglichen, Daten mit modernsten Methoden zu sammeln und zu analysieren und so ein verwertbares Aufklärungsbild zu erstellen". Ziel sei es, den "digitalen Wettlauf" mit verstärkt auf Verschlüsselung setzenden Kriminellen zu gewinnen "und die Sicherheit der Zivilbevölkerung zu gewährleisten".

Nachdem Dilian auf Zypern einen Überwachungswagen vorführte, der angeblich jedes Mobiltelefon in der Nähe hacken konnte, wurde er in 42 Anklagepunkten einschließlich illegaler Verarbeitung personenbezogener Daten und Eingriffe in private Kommunikation für schuldig befunden. Er kam mit einer Geldstrafe davon. Der umtriebige Unternehmer verlegte Intellexa daraufhin nach Griechenland. Die dortige Datenschutzbehörde verhängte Anfang 2023 eine Geldstrafe in Höhe von 50.000 Euro gegen den Konzern wegen mangelnder Kooperation. Laut dem Magazin Solomon versuchte Dilian, sein Online-Image durch die massive Manipulation von Suchmaschinenergebnissen aufzubessern.

Die unerwünschte Öffentlichkeit

Ebenfalls mit einer Tochter ("InReach") auf der Drehscheibe Zypern vertreten war beziehungsweise ist QuaDream, der israelische Produzent der Spyware Reign. Medienberichten zufolge machte die Firma im Frühjahr dicht. Zuvor hatten das Citizen Lab und Microsoft dargelegt, dass Reign mit einem Zero-Click-Exploit iPhone-Nutzer über unsichtbare Kalender-Einladungen ausspähte. Das Genick gebrochen haben sollen dem Unternehmen neben der unerwünschten plötzlichen Öffentlichkeit mangelnde Verkäufe und lokale Regulierungsvorgaben.

Oft schließen Spyware-Hersteller zunächst nur eine exponierte Firma, betreiben ihre Aktivitäten aber über andere Gesellschaften weiter. Dies war hierzulande etwa bei FinFisher und dem zugehörigen Unternehmen Elaman aus der Gamma Group der Fall. Die Staatsanwaltschaft München erhob Anfang Mai Anklage gegen vier Manager des mittlerweile insolventen Betriebs. Die Strafverfolger sahen es nach gut dreieinhalbjährigen Ermittlungen als erwiesen an, dass die Münchner Firma vorsätzlich illegal Spionagesoftware wie FinSpy an die türkische Regierung ausgeführt habe. Donncha O'Cearbhaill, Leiter des Amnesty International Security Lab, wertet diesen Schritt als wichtiges Zeichen für die Haftbarkeit beteiligter Entscheider.

Kleinere Akteure auf dem europäischen Spyware-Markt sind DSIRF in Österreich, Amesys und Nexa Technologies in Frankreich, die wegen der Ausfuhr von Überwachungstechnologie nach Libyen, Ägypten und Saudi-Arabien strafrechtlich verfolgt werden, sowie Tykelab und RCS Lab in Italien. In dem Mittelmeerstaat sorgte einst auch Hacking Team als einer der ersten Betriebe dieser Art für Schlagzeilen.

"Hacking as a Service"

Das EU-Parlament verweist darauf, dass "eine beträchtliche Zahl" der Anbieter von Spähsoftware ihren Hauptsitz in Israel hat. Dazu gehörten neben den bereits genannten Unternehmen etwa auch Wintego, Candiru und Cellebrite. Bekannte Hersteller seien ferner etwa in Indien (ClearTrail), Großbritannien (BAE Systems und Black Cube) sowie den Vereinigten Arabischen Emiraten (DarkMatter) zu finden. Auf der einschlägigen US-Sanktionsliste befänden sich ferner Russland (Positive Technologies) und Singapur (Computer Security Initiative Consultancy). Als Nabelschau der Branche diene die Messe und Konferenz ISS World. Diese werde auch von zahlreichen europäischen Behörden – einschließlich Polizeien – besucht.

Ein Trend ist, dass Hersteller wie Intellexa nicht nur die eigentliche Abhör- und Extraktionstechnologie, sondern einen gesamten Dienst in Form von "Hacking as a Service" feilbieten. Dies erlaubt es den Anbietern den EU-Abgeordneten zufolge, die Kontrolle über die gesamte Überwachungskette auszuüben und die dabei gewonnenen Daten zu aggregieren. Den zuständigen Behörden mache es diese Praxis zugleich nahezu unmöglich, sie zu kontrollieren.

Kampf der Regierungen gegen Spyware – mit Ausnahmen durch hochrangige Unterstützung

Einhegungsversuche gibt es über Europa hinaus. Im Frühjahr haben die USA zusammen mit Australien, Costa Rica, Dänemark, Frankreich, Großbritannien, Kanada, Neuseeland, Norwegen, Schweden und der Schweiz eine gemeinsame Erklärung veröffentlicht, wonach sie die Verbreitung und den Missbrauch kommerzieller Spyware wie Pegasus oder Predator bekämpfen wollen. Die Bundesregierung prüft, ob sie sich anschließen will.

US-Präsident Joe Biden erließ vor wenigen Monaten auch eine Anordnung, um den operativen Einsatz von Pegasus & Co. durch US-Behörden einzuschränken. Sie gilt aber nicht für nationale Geheimdienste wie die CIA und die NSA und enthält auch sonst einige Ausnahmen. Am 18. Juli setzte das US-Handelsministerium zudem mit Cytrox und Intellexa zwei europäische Spyware-Firmen aufgrund von Datenschutzverletzungen und anderen Rechtsverstößen auf die schwarze Liste zur Exportkontrolle.

Wenn Drittstaaten versuchen, israelische Firmen aus der Branche zu beleuchten, kommen sie oft nicht weit. Im Juli musste ein spanischer Richter, der den mutmaßlichen Hackerangriff auf die Telefone von Ministern mit Pegasus untersuchte, die Recherchen "aufgrund des völligen Mangels an rechtlicher Zusammenarbeit seitens Israels" einstellen. Im August setzte die israelische Regierung selbst einen Untersuchungsausschuss ein. Frühere hochrangige Sicherheitsbeamte reichten dagegen aber postwendend eine Petition beim Obersten Gerichtshof ein.

(bme)