15. August 2021 Otto König/Richard Detje: »Pegasus« – Traum der Schlapphüte, Alptraum von Journalist:innen und Oppositionellen
Die digitale Waffe
»Pegasus ist in der griechischen Mythologie ein geflügeltes weißes Pferd, es ist das Pferd der Helden, Götter und Dichter. In der digitalen Gegenwart ist Pegasus eine Spionage-Software für Autokraten, Potentaten und sonstige Herrschsüchtige« (Heribert Prantl).
Doch es sind es nicht nur autoritäre Staaten wie die Türkei oder Regime im Nahen- und Mittleren Osten, in denen die journalistische Berichterstattung zum Risiko geworden ist. Selbst in Staaten, in denen Pressefreiheit und Rechtsstaatlichkeit als schützenswerte Güter gelten, schießen Geheimdienste immer wieder über die ihnen zugeschriebenen Grenzen hinaus. Die gnadenlose Logik aller digitalen Überwachung lautet: Einmal in Gang gesetzt, lässt sie sich kaum noch kontrollieren.
So hat ein globales Recherche-Netzwerk unter Führung der französischen NGO »Forbidden Stories« jüngst aufgedeckt, dass Regierungen mit der Spähsoftware Pegasus von der israelischen Firma NSO-Group weltweit Journalist:innen, Politiker:innen und Aktivist:innen überwacht haben.[1] Die Recherchegruppe konnte nach eigenen Angaben ein Datenleak mit mehr als 50.000 Telefonnummern auswerten, die mutmaßlich seit 2016 zum Ziel möglicher Überwachungen wurden. Darunter sind laut Guardian Journalist:innen der Nachrichtenagenturen AFP, Reuters und AP, der New York Times, Le Monde, El País und die Sender Al-Dschasira, Radio Free Europe und CNN. Die Washington Post berichtete, dass auf der Liste auch die Nummern von Staatsoberhäuptern, Ministerpräsidenten und Diplomaten stehen.
Die Enthüllungen werfen erneut ein Schlaglicht auf die Reichweite digitaler Überwachung. Sie offenbaren, wie verlogen Begründungen wie »Terrorbekämpfung« oder »Kampf gegen Kriminalität« sind, wenn es darum geht, den Datenschutz durch die Sicherheitsbehörden auszuhebeln. Wobei nur Scheuklappenträger überrascht sein können, dass wiederum ein komplettes Ausspähsystem entdeckt wurde, das außerhalb jeglicher rechtstaatlichen Kontrolle arbeitet.
Es war der US-amerikanische Whistleblower Edward Snowden, der schon 2013 das Spähprogramm PRISM publik machte, mit dem der US-Geheimdienst NSA in großem Stil die globale Internetkommunikation abschöpfte.[2] Die Folge: Wer über die Internetriesen Google, Facebook, Microsoft, Yahoo, AOL, Skype, YouTube, Apple und PalTalk kommunizierte, sandte gleichzeitig Kopien an die digitalen Schlapphüte.
Mit ihren Möglichkeiten wird »der Großteil der menschlichen Kommunikation automatisch und nicht gezielt aufgesogen«, betonte Snowden. Ein beispielloser Angriff auf die Grundrechte und die Privatsphäre der Menschen. Der NSA-Skandal poppte erneut hoch, als bekannt wurde, dass Mitarbeiter des »Special Collection Service« (SCS) aus der US-amerikanischen Botschaft in Berlin heraus mit modernen Hochleistungsantennen die Kommunikation im Berliner Regierungsviertel und damit auch Kanzlerin Merkels Handy abgehört haben. Pegasus ist die kommerzialisierte Version der von Snowden damals enttarnten Spionagetechnologien.
Die vom israelischen Technologieunternehmen NSO-Group entwickelte Spähsoftware, die bei der Terror- und Kriminalitätsbekämpfung helfen soll, ist der Traum aller Geheimdienstler. Sie ermöglicht den vollen Zugriff auf das Smartphone einer Zielperson und macht dieses zu einem universellen Spionageinstrument. Mit einem eingeschleusten Trojaner werden das Virenschutz-Programm ausgetrickst, das Mobiltelefon gehackt und heimlich die E-Mails, Anrufe, SMS und verschlüsselte Chat-Nachrichten mitgeschnitten.
Die Software aktiviert unbemerkt Kamera sowie Mikrophon und teilt den Diensten in Echtzeit mit, wo sich der Ausspionierte gerade aufhält, was er redet, was er schreibt, was er fotografiert, was er sich notiert. »Die gesamte Branche der kommerziellen Hersteller von Intrusion-Software basiert auf einer Lüge«, sagte Snowden. »Sie behaupten, Leben zu schützen und Verbrechen zu verhindern«, aber in vielen Ländern werde diese Software Tag für Tag dazu genutzt, Menschen auszuspionieren, die keine legitimen Ziele seien (SZ, 19.07.2021).
Pegasus gilt unter Experten als das derzeit leistungsfähigste Spähprogramm für Smartphones und wird als Cyberwaffe eingestuft. Die NSO-Group hat ihr Produkt ständig weiterentwickelt. Ein großer Teil der 860 Programmierer:innen, die für das Unternehmen tätig sind, suchen in Apps und mobilen Betriebssystemen, die auf Mobiltelefonen installiert sind, nach Sicherheitslücken. Die Folgen liegen auf der Hand: Die angegriffenen Journalist:innen und Menschenrechtsaktivist:innen können auf diese Weise diskreditiert und kriminalisiert werden, indem ihnen »Beweise« untergeschoben werden.
Sie können so für Nachrichten, E-Mails u.a. verantwortlich gemacht werden, die zwar von ihrem Rechner oder Smartphone gesendet, aber nicht von ihnen geschrieben oder verschickt wurden. »Pegasus ist eine Cyberwaffe nicht einfach gegen die Privatsphäre, es ist eine digitale Waffe gegen Grundrechte und Rechtsstaat, es ist digitales Gift für die Informations-, Meinungs- und Pressefreiheit«, so der Journalist Heribert Prantl von der Süddeutschen Zeitung.[3]
Zu den Kunden der NSO-Group zählen Behörden in 40 Ländern, darunter zahlreiche autoritäre Staaten. Schließlich gilt für Firmen aus der Überwachungsbranche dasselbe wie für Waffenschmieden: Besonders profitable Geschäfte lassen sich in nicht demokratischen Staaten abschließen, wo die Importregularien lasch sind und rechtsstaatliche Kontrollmechanismen kaum greifen. Hinzu kommt: Autokraten hassen Kritik, Gewaltenteilung, rechtsstaatliche Kontrolle, sie ertragen keine unabhängige Justiz bzw. unabhängige Medien.
Doch für eine glaubwürdige Reaktion auf die Pegasus-Enthüllungen reicht es nicht aus, mit dem Finger auf andere zu zeigen. Die ZEIT und die Süddeutsche Zeitung haben bei den Innenministerien aller Länder und des Bundes angefragt, ob sie Pegasus einsetzen. Die Bundesländer gaben an, NSO-Software nicht bei den Polizeibehörden zu benutzen. Für die Verfassungsschutzbehörden verweigerten die Landesregierungen grundsätzlich jede Antwort. Welche Software die deutschen Behörden genau nutzen, ist ein Geheimnis.
Das Bundeskriminalamt hatte sich im Jahr 2017 und der bayerische Innenminister Joachim Herrmann (CSU) 2019 die Software Pegasus-Software von NSO-Experten vorführen lassen. Obwohl die anwesenden IT-Experten begeistert waren, wurde sie nicht eingekauft, berichtet Zeit online, trotzdem zeigen die Vorgänge, dass die deutschen Sicherheitsbehörden offen für eine Nutzung der umstrittenen Software waren. So wurde zwischenzeitlich eine Lizenz für »Fin Spy«, die Überwachungs-Software der Münchener Firma FinFisher, erworben. Diese wurde auch für die Überwachung der Oppositionsbewegung in der Türkei eingesetzt. Der grüne Digitalexperte Konstantin von Notz weist darauf hin, dass die Bundesregierung seit Jahren mit IT-Sicherheitsfirmen zusammenarbeitet, die Überwachungssoftware auch in autoritär regierte Länder exportieren.
Die netzpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg, sagte gegenüber dem Neuen Deutschland, dass es bisher zwar heiße, dass deutsche Behörden keine Geschäftspartner der NSO Group und auch keine betroffenen Deutschen bekannt seien. »Aber auch ohne direkte Beteiligung trägt die Bundesregierung dazu bei, dass solche Menschenrechtsverletzungen möglich sind und auch bei uns Überwachung auf Kosten der IT-Sicherheit aller immer stärker zunimmt« (ND, 19.07.2021).
In Deutschland gelte »Recht und Gesetz«, so heißt es immer wieder. Für Ermittlungsbehörden gebe es in Deutschland einen Richtervorbehalt, wollten sie derartige Überwachungssoftware einsetzen. Nun ist diese Aussage nicht falsch, jedoch nicht die ganze Wahrheit: Erst am 10. Juni hat der Bundestag den Einsatz von »Staatstrojanern« drastisch ausgeweitet. Zur Abstimmung stand der Gesetzentwurf zur »Anpassung des Verfassungsschutzrechts«, den die Abgeordneten mit den 355 Stimmen der CDU/CSU und SPD-Fraktionen angenommen haben.
Damit bekommen der Inlandsgeheimdienst und die Bundespolizei mehr Befugnisse bei der Kommunikationsüberwachung: Nicht nur die Strafverfolgungsbehörden, auch der Verfassungsschutz darf künftig Smartphones und Rechner hacken, um die Telekommunikation abzugreifen. Davor schützt keine Verschlüsselung, denn die Schlapphüte dürfen zugreifen, bevor Messenger wie WhatsApp, Signal oder Threema die Kommunikation verschlüsseln können.
Einen Richtervorbehalt gibt es hier nicht – im Gegensatz zu den Ermittlungsbehörden. Die gezielte Überwachung könne legitim sein, um bei konkretem Verdacht schwerwiegende Verbrechen zu verhindern – welch ein Hohn in der Praxis. Wie zur Belohnung für die Fehler bei den NSU-Verbrechen bzw. beim Walter Lübke-Mord durch einen Rechtsradikalen in Kassel werden dem Inlandsgeheimdienst in Anti-Terror-Gesetzen immer neue Abhörrechte und geheime Befugnisse eingeräumt, abseits der Kontrolle durch die Justiz. Schließlich ist der »Staatstrojaner« ein Werkzeug, das sehr tief in die Privatsphäre eingreifen kann. Zu Recht bezweifelt daher Amnesty International die Verhältnismäßigkeit seines Einsatzes durch Geheimdienste.
Fakt ist: Während das Bundesverfassungsgericht fordert, die Schwellen für den Einsatz der Software wesentlich höher zu setzen, verweigert die schwarz-rote Bundesregierung die parlamentarische Kontrolle, indem sie keine Anfragen der Opposition zulässt. Die künftige Bundesregierung muss also vor der eigenen Haustür kehren: Sie muss den Einsatz von »Staatstrojanern« begrenzen und besser kontrollieren, Regeln für die öffentliche Beschaffung erlassen, Exporte detaillierter unter die Lupe nehmen und sich für ein globales Moratorium für den Handel mit Überwachungstechnologie einsetzen.
Anmerkungen
[1] Siehe Markus Reuter: Pegasus – Der Staatstrojaner-Skandal im Überblick, Netzpolitik org. 20.7.2021.
[2] Siehe auch Richard Detje/Otto König: Der große NSA-Staubsauger. Die Überwachungsprogramme der britischen und amerikanischen Geheimdienste, in: Sozialismus.de 7/8-2013.
[3] Siehe auch Heribert Prantl: Spionagesoftware Pegasus. Digitales Gift für die Meinungs- und Pressefreiheit, Deutschlandfunk 24.7.2021.