Spähprogramme oder Spionagesoftware werden als Spyware bezeichnet. Auch Nachrichtendienste nutzen Spyware wie z.B. Pegasus. Diese gilt als eine der mächtigsten jemals entwickelten Cyberwaffen zum Ausspähen von iOS- und Android-Geräten und wird in erster Linie an Staaten vermarktet. Laut den Entwicklern, um Regierungen in der Bekämpfung von Terrorismus und Kriminalität zu unterstützen. Tatsächlich aber wurde aufgedeckt, dass auch Journalisten, Menschenrechtler, Anwälte und Politiker in Europa mit Hilfe von Pegasus ausgespäht werden. Deshalb wurde vom Europaparlament ein Untersuchungsausschuss ins Leben gerufen. Über dessen Abschlussbericht wird heute abgestimmt. Dieser Beitrag handelt von den Ereignissen rund um den Pegasus-Skandal.
Der Inhalt im Überblick
Das geflügelte Pferd des Spyware-Business
Pegasos (oder auch Pegasus) ist in der griechischen Mythologie ein geflügeltes Pferd. Pegasos trug einen Helden namens Bellerophon in dessen Kampf gegen die Chimära und die Amazonen.
Bellerophon soll der Sage nach aber übermütig geworden sein und versucht haben, mit Pegasus zum Olymp zu fliegen. Diese Hybris erzürnte Zeus und er schickte eine Bremse, die das Pferd stach, sodass dieses seinen Reiter abwarf. Bellerophon fiel in einen Dornenbusch und war für den Rest seines Lebens verkrüppelt und erblindet.
Das geflügelte Pferde aus der griechischen Sage war also unglaublich mächtig, brachte seinem Reiter aber auch Unheil. Nomen est omen? Doch sehen wir uns erst einmal die Wirkungsweise in der gebotenen Kürze an.
Wie die Pegasus-Spyware funktioniert
Die Spyware benutzt Mobiltelefone oder Tablets, beziehungsweise deren Mikrofone und Kameras, um die in der Nähe befindlichen Personen zu belauschen und zu beobachten. Zudem hat die Software Zugriff auf Nachrichten. Sobald Pegasus ein Gerät infiziert hat, kann es ferngesteuert verschiedene Aktivitäten überwachen und aufzeichnen, darunter Anrufe, Nachrichten, E-Mails, Interaktionen in sozialen Medien und Tastatureingaben. Pegasus kann unbemerkt das Mikrofon und die Kamera des Geräts aktivieren, um Überwachung durchzuführen und Audio- und Videodaten zu sammeln. Es verwendet ausgefeilte Techniken, um seine Präsenz zu verbergen und Erkennung durch Antivirensoftware zu umgehen. Dadurch wird Pegasus besonders mächtig. Darüber hinaus kann es Zero-Day-Schwachstellen ausnutzen, also zuvor unbekannte Sicherheitslücken. Das macht es für Sicherheitsexperten extrem schwierig, sich gegen Pegasus zu verteidigen.
Die Spyware prüft bei der Installation, ob bereits ein Jailbreak vorliegt und führt diesen bei Bedarf verdeckt aus. Es deaktiviert sodann die Auto-Update-Funktion, um Sicherheitsupdates zu vermeiden, und nistet sich mit Root-Rechten in das Betriebssystem ein. Daten werden nur via WLAN an einen Command-&-Control-Server (C&C) übermittelt. Ebenfalls ist ein ausgefeilter Selbstzerstörungsmechanismus integriert, der Pegasus vollständig deinstalliert, wenn verdächtige Aktivitäten (Tracking) festgestellt werden. Außerdem kann wohl auf Coud-Daten zugegriffen werden, was ein Abgreifen der Daten selbst nach Deinstallation oder „Selbstzerstörung“ ermöglicht.
Der fehlende Lerneffekt
Aus Sagen kann man viel lernen. Oder auch nicht.
Mit der Pegasus-Spyware sollen Staaten die Möglichkeit erhalten, gegen die Chimära und die Amazonen von heute zu kämpfen: Den Terrorismus. Jetzt ist es aber so, dass die Software auch zweckentfremdet werden kann. Und so geschah es natürlich auch. Vor etwa zwei Jahren wurde enthüllt, dass im staatlichen Auftrag mehrere tausend Handys überwacht wurden. Nicht etwa von Terroristen. Nein, es waren unliebsame Staatsbürger und Staatsbürgerinnen wie Oppositionelle, Rechtsanwälte (Organ der Rechtspflege? Von wegen!), Journalisten und Menschenrechtler.
Edward Snowden forderte nach den Pegasus-Enthüllungen ein Handelsverbot für Spyware:
„Wenn Sie nichts tun, um den Verkauf dieser Technologie zu stoppen, werden es nicht nur 50.000 Ziele sein. Es werden 50 Millionen Ziele sein, und es wird viel schneller passieren, als irgendjemand von uns erwartet.“
Der Ruf nach einem Handelsverbot verhallte ungehört. Lediglich die USA setzte die NSO-Group, welche Pegasus herstellt und vertreibt, auf ihre Sanktionsliste. Offiziell, weil die Biden Regierung Menschenrechte in den Mittelpunkt ihrer Außenpolitik stellen wolle. Inoffiziell wohl auch, weil die Software auf dem Gerät eines US-Dipolanten gefunden wurden, obwohl die Spionagesoftware bei US-Telefonnummern eigentlich nicht funktionieren sollte.
Diesseits vom Atlantik wird hingegen das allgemeine Achselzucken durch die Politik unterstützt und gefördert. Was soll man schon machen? Die Politik hat offensichtlich ein ausgeprägtes Interesse daran, die Technologie zu besitzen und zu kontrollieren, statt sie einzudämmen. Dabei agiert sie aber teils dilettantisch, teils vorsätzlich. Das ist eine gefährliche Kombination. Manchmal ist der Ruf nach Verboten freilich zu eindimensional. Hier erscheint er aber insoweit angebracht, als selbst demokratische Regierungen in Europa Pegasus missbräuchlich einsetzten.
Kein Verbot, keine Kontrolle
Lediglich einen „gemeinsamen europäischen Rahmen“ für den Einsatz von Staatstrojanern soll es geben. Er soll einige Sicherheitsnetze einziehen. Dennoch gibt es de facto keine Aufsicht über private „Cybersicherheitsunternehmen“ wie die NSO-Group, die Spionagesoftware bereitstellen. Auch gibt es keine Kontrollmechanismen, die dann deren missbräuchlichen Einsatz durch Staaten verhindern.
Der Bericht des Untersuchungsausschusses: Vertrauen und Datenschutz
In einem Bericht der unabhängigen European Agency for Fudamental Rights (FRA) wurde in einem Bericht von 2017 erörtert, wie die Mitgliedstaaten mit diesem zentralen Aspekt der Überwachung umgehen. In dieser Aktualisierung stellte die FRA fest, dass sich die Situation im Jahr 2023 seit 2017 nicht wesentlich verändert hat.
Die Geltendmachung eines Anspruchs gegen eine mutmaßlich rechtswidrige Überwachungsmaßnahme bringt den Einzelnen in eine Situation, in der er der Abhilfestelle vertrauen muss. Die Wirksamkeit einer Abhilfestelle ist das entscheidende Element, aus dem sich dieses Vertrauen ergibt.
Darüber hinaus führte die EU-Datenschutzreform von 2016 in manchen Mitgliedstaaten zu einer erheblichen Einschränkung der Abhilfebefugnisse der Datenschutzbehörden im Bereich der Strafverfolgung und nationalen Sicherheit. (Auch gegen Deutschland läuft aufgrund dessen aktuell ein Vertragsverletzungsverfahren.) In anderen Mitgliedstaaten wurden die Befugnisse der Datenschutzbehörden durch die Reform gestärkt.
Im Jahr 2023 würde eine starke unabhängige Aufsichtsstruktur, die dem Einzelnen wirksame Rechtsbehelfe bietet,
„den Weg […] für ein neues Vertrauen der europäischen Bürgerinnen und Bürger in ihre Nachrichtendienste und infolgedessen für eine wirksamere Verteidigung der nationalen Sicherheit ebnen“
Verstärkte Sicherheitsmaßnahmen sollten in einem starken Grundrechtsrahmen verankert sein, in dem die Notwendigkeit und Verhältnismäßigkeit von Überwachungsmaßnahmen regelmäßig geprüft werden.
Heiße Dampfplauderei – Aber bitte verbrennen Sie sich nicht!
Linken-Europaabgeordnete Cornelia Ernst gestern im Parlament in Straßburg gesagt,
„Die Abgeordneten wissen nun, dass 14 EU-Staaten „Pegasus“ unter dem Deckmantel der nationalen Sicherheit und der Terrorismusbekämpfung erworben haben“
Und weiter:
„Es ist eine Schande für die Demokratie.“
Unter den Staaten sind unter anderem Griechenland, Spanien, Polen und Ungarn.
Eine bekannte Dame sagte einmal:
„Ausspähen unter Freunden geht gar nicht.“
Dennoch konnte sich der Ausschuss nicht dazu durchringen, ein Verbot des Handels und Einsatzes solcher Staatstrojaner zu fordern. Das wäre wenigstens ein Signal gewesen.
Der Zweck heiligt eben nicht die Mittel
Jeder weiß bescheid, keiner tut etwas. Vielleicht werden die Nutznießer der Pegasus-Spyware irgendwann ebenso blind, wie es Bellerphon wurde. Dessen Übermut wurde bestraft.
Der Gesetzgeber sollte ebenso eine Bremse schicken, wie es Zeus einst tat. Nur im anderen Wortsinn: Die ausufernde Überwachung ohne Rechtsgrundlage, insbesondere mittels dermaßen gefährlicher Software, muss gebremst werden. Die immerwährende Argumentation: „Der Zweck heiligt die Mittel“, welche die zunehmende Korrosion des Rechtsstaates nach sich zieht, sollte nicht mehr achselzuckend gehört werden.
Wer nicht aus der Mythologie lernt, der sollte wenigstens aus der Geschichte lernen. Der Zweck der Terrorismusbekämpfung wird gern genannt, um einschneidende Gesetzgebung zu rechtfertigen, oder gar ohne Rechtsgrundlage punitiv zu agieren. In Deutschland wurden seit 1976 mit mehrere Terrorismusbekämpfungsgesetze erlassen. Einst aufgrund der „aktuellen Lage“. Hatte sich die Lage geändert oder entspannt, wurden die Gesetze nicht etwa zurückgenommen. Im Gegenteil, sie wurden ausgeweitet.
Und ist die Affäre noch so groß, fällt dem Staat ein Terrorist in den Schoß
Wer aus der Geschichte nicht lernt, der lernt auch nicht aus Sagen oder der Mythologie. Denn war die Affäre noch so groß: Weder die Enthüllungen um die NSA, noch um den britischen GCHQ, noch sonst ein Skandal hat einen Rückbau der Überwachung bewirkt. Im Gegenteil. Grundrechtsverletzungen werden unter staatlicher Schirmherrschaft hingenommen oder vorgenommen, da darf man freilich keine zu großen Erwartungen an die Gesetzgebung haben.
Im Hinblick auf den Pegasus-Untersuchungsausschuss richteten sich viele kritische Worte der Abgeordneten an die Mitgliedsländer. Die hätten dem Untersuchungsausschuss bei seiner Aufklärungsarbeit so gut wie gar nicht geholfen, kritisieren sie. Siebenundzwanzig Fragebögen wurden verschickt. Auf manche wurde überhaupt nicht geantwortet. Polen soll Pegasus zur Ausspähung der politischen Opposition benutzt haben, was natürlich abgestritten wird. In Spanien wurden unter anderem katalanische Separatisten ausspioniert. Da es sich aber nur um schlappe 50 Fälle handelt, hat man Spanien immerhin einen funktionierenden Rechtsstaat attestiert. Ja was soll man schon machen …
