^{Quelle: Allgemeine Erklärung der Menschenrechte der Vereinten Nationen}

Es fühlte sich an, als säße die ganze Zeit ein Spion in seinem Wohnzimmer: So beschrieb der arabische Dissident Ahmed Mansoor die massiven Überwachungsmaßnahmen, mit denen er ab spätestens 2012 konfrontiert war. Mansoors Smartphones waren gleich dreifach attackiert worden: zuerst mit Spionagesoftware des italienischen Softwareherstellers Hacking Team, dann durch ein Programm der britischen Firma Gamma und schließlich mit Pegasus, jenem Tool, das zurzeit im Zentrum großflächiger Enthüllungen steht.

Die Recherchen über womöglich abgehörte Staatschefs, Journalisten, Aktivisten und Wirtschaftstreibende sind spektakulär, aber nicht überraschend. Die Spionage gegen Mansoor wurde 2016 entdeckt, es war der erste Fund der Pegasus-Software "in freier Wildbahn".

Atemberaubende Lücken

Nun sitzt Mansoor nach einem "Geheimprozess" im Gefängnis. Schon zuvor hatten die Enthüllungen des NSA-Whistleblowers Edward Snowden gezeigt, wie groß das elektronische Überwachungsnetz des politischen Westens ist.

Es war dessen ehemaliger Arbeitgeber, der die Büchse der Pandora geöffnet hat. Im Kalten Krieg war die Aufgabenstellung noch klar: Abgehört wurde vor allem die Sowjetunion. Nach dem Zusammenbruch des Ostblocks wurde die Lage deutlich komplexer. Statt einzelner Staaten wurden terroristische Gruppen zum größten Sicherheitsrisiko, gleichzeitig etablierte sich zuerst das Internet, dann die mobile Kommunikation per Smartphone.

Zupass kam der NSA allerdings, dass in den meisten Computerprogrammen atemberaubende Sicherheitslücken existierten. Diese boten ein Einfallstor, um Geräte auszukundschaften, also die Möglichkeit, sich leicht in die Kommunikation der Taliban oder der Al-Kaida einzuschleusen. Bis Hersteller wie Microsoft oder Google Sicherheitslücken entdecken und stopfen, dauert es.

Zero Day

Eine bislang unbekannte Sicherheitslücke heißt Zero Day, weil man sie seit null Tagen, also noch gar nicht, schließen kann. Zero Days werden seit den 2000er-Jahren aber nicht nur von Geheimdiensten gesucht, sondern auch auf einem globalen Schattenmarkt gehandelt: Für junge Hacker in der Türkei, im Iran oder in Südamerika bot sich dadurch ein Weg, schnell viel Geld zu machen.

Als Käufer der Zero Days traten einerseits Geheimdienste selbst auf, andererseits entstand eine kleine Branche aus IT-Unternehmen, die selbst Überwachungssoftware entwickelten und verkauften. Dazu zählt auch die NSO-Group, die von Hackern der israelischen Spezialeinheit 8200 gegründet worden ist.

Aus rein technischer Perspektive ist deren Pegasus-Software eine Meisterleistung, aus kriminalistischer Sicht ein Segen. Statt mühsam eine eigene "Mini-NSA" aufzubauen, konnten Polizeibehörden und Nachrichtendienste nun auf "Trojaner-Shopping" gehen, um selbst zu allmächtigen Überwachern zu werden.

Eine Analyse der israelischen Tageszeitung Haaretz zeigt, dass oft nach Reisen des früheren israelischen Premiers Benjamin Netanjahu die Regierung des besuchten Staates zum NSO-Kunden wurde. Die Pegasus-Software fand laufend Abnehmer: die Vereinigten Arabischen Emirate, Saudi-Arabien, die Türkei, Jemen, Thailand oder Katar.

Kriminelle als Nebensache

Die Ausspähung von Terroristen und anderen Kriminellen durch Pegasus wurde in vielen Ländern bald zur Nebensache. In Mexiko wurden zum Beispiel Aktivisten überwacht, die für eine Steuer auf zuckerhaltige Getränke Stimmung machten. Saudi-Arabien spionierte den Journalisten Jamal Khashoggi aus, der 2018 im saudi-arabischen Konsulat in Istanbul ermordet wurde – später soll auch der dortige Staatsanwalt abgehört worden sein.

In den vergangenen Tagen enthüllten Amnesty International und ein internationaler Medienverbund eine neue Liste an potenziellen Spionagezielen: Ungarn soll mit Pegasus kritische Journalisten ausgehorcht haben; der marokkanische Geheimdienst den französischen Präsidenten Emmanuel Macron. Die Berichte sorgten für Schockwellen.

Auch in Deutschland. Lisa Dittmer, Referentin für Internetfreiheit von Reporter ohne Grenzen (RSF), erzählt dem STANDARD, dass "wahrscheinlich zahlreiche Medienschaffende und Journalistenorganisationen wie RSF mindestens indirekt betroffen" seien. Etwa die aserbaidschanische RSF-Stipendiatin Sevinj Vaqifqizi, die zwei Jahre überwacht wurde, auch, als sie bereits in Berlin lebte.

Bewusst offene Einfallstore

"Sie stand in regelmäßigem Austausch mit Reporter ohne Grenzen, sämtliche Mails und Gespräche könnten also ausgespäht worden sein", fürchtet Dittmer, "Rechercheverbünde wie der hinter dem Pegasus-Projekt arbeiten international und müssen sich auf digitale Kommunikation verlassen. Insofern haben digitale Angriffe einzelner Regierungen globale Auswirkungen."

Deutschland sei zumindest auf Länderebene um den Schutz verfolgter Journalisten bemüht. Doch im digitalen Raum müsste viel mehr passieren: "Auch Deutschland hält bewusst Lücken für seine eigenen Sicherheitsbehörden offen." Gerade in Berlin leben viele Exiljournalisten, weshalb auch ausländische Geheimdienste die Stadt im Visier haben. Anfang Juli wurde hier – wie berichtet – der türkische Journalist und Erdoğan-Kritiker Erk Acarer überfallen und verletzt.

Der Kampf gegen Überwachung wäre theoretisch zu gewinnen: Regierungen müssten sich aber verpflichten, Sicherheitslücken zu schließen, statt sie selbst zu nutzen. In den USA gab es unter Barack Obama immerhin eine Taskforce, in der diskutiert wurde, ob ein Zero Day geschlossen oder zur Spionage genutzt werden sollte. Auch Exportverbote von Überwachungssoftware werden regelmäßig erörtert.

Staatstrojaner

Ohne den Verfassungsgerichtshof hätte Österreich wohl selbst einen Bundestrojaner: Die türkis-blaue Regierung schuf den gesetzlichen Rahmen, das Höchstgericht sah zu gravierende Grundrechtseingriffe. Sonst stünde vielleicht auch Wien auf der Pegasus-Kundenliste.

RSF sieht indes entsetzt auf die kürzlich beschlossene Befugnis der deutschen Nachrichtendienste zum Einsatz von Staatstrojanern. Die Forderung, dass "zumindest Medienschaffende als Berufsgeheimnisträger vor solchen Überwachungsmaßnahmen geschützt werden, wurde ignoriert", weiß Dittmer. RSF wird gegen das Gesetz Verfassungsbeschwerde einlegen.

Von der internationalen Staatengemeinschaft fordert RSF einen sofortigen Stopp des Handels und der Nutzung digitaler Überwachungstechnologien. Zudem müsse "ein Mechanismus geschaffen werden, um neue Technologien schneller unter Kontrolle zu stellen, wenn von ihnen Gefahren ausgehen.

Die Politik muss endlich mit der Industrie mithalten und Grenzen setzen", so die RSF-Referentin. Das deutsche Bundeskriminalamt habe sich übrigens 2017 für Pegasus interessiert, kam aber zu dem Schluss, "dass die extrem weitreichenden Möglichkeiten dieser Spähsoftware, quasi die komplette Fremdkontrolle eines Geräts, mit deutschem Recht nicht vereinbar wären", erinnert Dittmer. (Fabian Schmid, Colette M. Schmidt, 24.7.2021)