Plötzlich wird der tägliche Begleiter in der Hosentasche zum allgegenwärtigen Spion. Schadsoftware wie die Spyware Pegasus erlaubt es, jede Nachricht mitzulesen, jedes Foto einzusehen und sogar beim Mikrofon mitzulauschen. Das erschreckende Ausmaß belegte zuletzt ein internationales Medienkonsortium – es konnte den Einsatz der Software gegen zahlreiche Journalisten, Menschenrechtsaktivisten und andere nachweisen.

Die verantwortliche israelische Überwachungsfirma NSO Group ist nun mit politischen Unmutsbekundungen und behördlichen Untersuchungen im eigenen Land konfrontiert. Allein ist sie mit ihrem Angebot aber bei weitem nicht. Um den Verkauf derartiger Software hat sich in den vergangenen Jahren ein reges Geschäft entwickelt. Dieses wird allerdings vor allem im Schatten der Öffentlichkeit abgewickelt – wer also wie viele Kunden hat, wer diese sind und wer die großen Player sind, ist undurchsichtig.

Allgemein erlebt der globale Überwachungsmarkt aber einen massiven Boom. Im Bereich der Spyware ist auffällig, dass viele der bekannten Firmen, die Überwachungssoftware verkaufen, ihren Sitz in demokratischen Rechtsstaaten haben. Nebst NSO geriet in der Vergangenheit etwa immer wieder das deutsche Unternehmen Finfisher in Kritik. Dieses bietet seine Software Finspy beispielsweise der deutschen Regierung an. Aktuell wird gegen das Unternehmen ermittelt, da es Finspy auch an Staaten außerhalb der EU verkauft hat. Aus ähnlichen Gründen wurde das mittlerweile aufgekaufte italienische Unternehmen Hacking Team kritisiert.

Werbung bei Regierungen

Vor allem Regierungen kaufen Spyware ein – auch weil sie nicht günstig ist. Die Preise liegen pro Überwachungsziel bei hunderttausenden Euro, wobei es oft Rabatte für einen mehrfachen Einsatz der Software gibt. Regierungen, die etwa einen Bundestrojaner gesetzlich vorsehen – wie er auch hierzulande im Regierungsprogramm geplant ist –, sind somit die wichtigsten Kunden.

"Käufer wissen im Vorfeld oft selbst nicht genau, was sie eigentlich haben wollen oder könnten", sagt Thorsten Schröder vom größten europäischen Hackerverein Chaos Computer Club (CCC) zum STANDARD. "Technische Expertise fehlt hier immer wieder, gerade wenn es um neue Technologien geht." Verkäufer würden sich daher bei Schulungen, Messen und Konferenzen präsentieren. "Regierungsvertreter können dann mit den Unternehmen in Kontakt treten und sich zu einer privaten ‚Vorführung‘ verabreden." Je nach Staatsform würde dann eine Ausschreibung gestartet, in der konkretere technische Spezifikationen genannt werden, sagt der Hacker, der im Auftrag von Unternehmen nach Sicherheitslücken sucht. Steht eine Spyware schon fest, werden die Vorgaben genau auf das jeweilige Programm zugeschnitten. Letztlich werden, wie bei anderen Software-Einkäufen, ein Dienstleistungsvertrag und eine Lizenzvereinbarung abgeschlossen.

Auch die österreichische Regierung hatte sich nach der Verabschiedung des Bundestrojaners 2018, der später gekippt wurde, nach Möglichkeiten umgesehen. Die damalige türkis-blaue Koalition erklärte, den Bundestrojaner einerseits durch eine kommerzielle Lösung umsetzen zu wollen, andererseits wolle man ihn aber auch in einem "multinationalen Verbund" programmieren. Schröder sagt, dass es sich dabei um eine EU-weite Taskforce handeln dürfte, in der verschiedene Behörden unterschiedlicher Länder vertreten sind. "Es klingt aber meiner Meinung nach nicht unbedingt vielversprechend, wenn sie das tatsächlich selber entwickeln wollen."

Die Arbeit an einem Gesetz für einen neuen Bundestrojaner liegt aktuell auf Eis. Das Innenministerium verweist nach einer Anfrage des STANDARD, ob man weiterhin einen Bedarf für eine derartige Software sieht, auf das Regierungsprogramm – es sei "die Grundlage für unsere Arbeit in dieser Legislaturperiode". Demnach ist ein Bundestrojaner weiterhin vorgesehen.

Nicht nur Terrorismus

Begründet wird der Einsatz von Spyware in demokratischen Rechtsstaaten mit dem Vorgehen gegen Kriminalität. Dabei wird üblicherweise der Kampf gegen Terrorismus als einer der Hauptgründe angegeben. In Deutschland werden zwei unterschiedliche Staatstrojaner eingesetzt. Sie werden allerdings vor allem bei Erpressungsdelikten und Verstößen gegen das Betäubungsmittelgesetz angewandt. Das zeigen Statistiken des Bundesjustizamts aus dem Jahr 2019.

Kritiker derartiger Maßnahmen monieren vor allem, dass Staaten durch ihr Vorgehen selbst wie Cyberkriminelle agieren: Um Zugriff auf ein Gerät zu erlangen, muss nämlich eine Sicherheitslücke in der Software der jeweiligen Zielperson ausgenutzt werden. Derartige Exploits müssen also offen bleiben – und können auch von anderen Hackern genutzt werden.

Hintertüren per Gesetz

Auch deswegen ist die Spyware so teuer: Wird eine Lücke vom Softwarehersteller geschlossen, muss eine neue gesucht werden. Diese werden zu hohen Preisen gehandelt. Auf EU-Ebene wird daher angedacht, Softwarehersteller dazu zu zwingen, selbst Hintertüren in ihren Programmen einzubauen, um Verdächtige auch ohne Pegasus und Konsorten auszuspionieren. Auch das sorgt für Kritik, denn dadurch wird man selbst verwundbar: "Wir können Angriffe auf Systeme unserer kritischen Infrastrukturen nicht verhindern, indem wir weitere Weichen für gewollte Sicherheitslücken stellen", sagt Schröder. Gleichzeitig würden Kriminelle weiterhin mit starker Kryptografie kommunizieren und neue Gesetze ignorieren. (Muzayen Al-Youssef, 1.8.2021)