Wer nutzt die „Pegasus“-Spionagesoftware? Wer hat die Kontrolle über die gesammelten Daten und das System an sich? Wer trägt die Verantwortung für mithilfe der Software begangener Menschenrechtsverletzungen? Eine Befragung des NSO-Vertreters Chaim Gelfand im „Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware“ hat darauf letzte Woche nur unzureichende Antworten geliefert.
Der Untersuchungsausschuss, in dem ich Mitglied und Schattenberichterstatterin bin, ist zunächst zeitlich auf 12 Monate begrenzt – in dieser kurzen Zeit müssen wir als Abgeordnete unsere Ergebnisse und Empfehlungen zusammentragen: hier ein erster Zwischenbericht.
Zu Beginn unserer Arbeit wollten wir vor allem unser Wissen über die Funktionsweise von Spionageprogrammen, ihren Gebrauch und Kontrollmöglichkeiten für ihren Einsatz vertiefen. Hierzu hatten wir unabhängige Expert*innen eingeladen, die viele unserer Fragen beantworten konnten. Vertreter*innen von Big-Tech-Unternehmen wie Google, Meta und Microsoft berichteten uns anschließend darüber, wie ihre Systeme bzw. Sicherheitslücken in diesen ausgenutzt werden können, um an die Daten der Zielpersonen zu kommen – die manchmal eben auch Menschenrechtsverteidiger*innen, Journalist*innen oder Oppositionsvertreter*innen sind. Unternehmen wie NSO, Hacking Team oder Candiru, die Überwachungssoftware herstellen, setzen auf Sicherheitslücken in Geräten, Programmen und Systemen (sog. „Exploits“), die sie nutzen, um sich Zugang zu Daten zu verschaffen. Dazu suchen sie entweder selbst nach diesen, kaufen die Informationen von Dritten oder benutzen öffentlich bekannte Sicherheitslücken, die von Big-Tech-Unternehmen noch nicht geschlossen wurden. Das Geschäft mit den „Exploits“ läuft bisher noch weitestgehend unkontrolliert und muss dringend reguliert werden.
NSO weist Verantwortung von sich
In einem nächsten Schritt befragten wir im Mai und Juni Expert*innen und Vertreter*innen relevanter Akteure im Bereich Spionagesoftware, wie zum Beispiel Repräsentant*innen von Big-Tech-Unternehmen oder Wissenschaftler*innen und Journalist*innen, die sich seit Jahren mit Überwachungssoftware und den Folgen ihres Einsatzes auseinandersetzen. Themen waren z.B. das Ausmaß des illegalen Gebrauchs von Spionagesoftware durch staatliche Stellen und die Frage, wie dieser Missbrauch schnellstmöglich beendet werden kann. Wie verbreitet die illegale Überwachung von Zivilpersonen, aber auch Politiker*innen durch Überwachungssoftware tatsächlich ist, konnte uns allerdings niemand ganz genau beantworten – es gibt eine riesige Dunkelziffer. Hier mehr Licht ins Dunkel zu bringen ist Teil unseres Mandats. Hoffentlich wird der Untersuchungsausschuss bis zum Ende seiner Laufzeit mehr Informationen über das Ausmaß des Missbrauchs von Überwachungssoftware erlangt haben, z.B. bezüglich der Anzahl der Betroffenen, der Zahl der Überwachungssoftwares, die von staatlichen Stellen missbräuchlich eingesetzt werden, und darüber, wie sehr solche Softwares in die Privatsphäre eindringen können.
Die Befragung von Chaim Gelfand, der als „General Counsel“ und „Chief Compliance Officer“ bei der NSO-Gruppe (dem Hersteller von „Pegasus“) tätig ist, baute also auf unsere vorangegangenen Erkenntnisse auf. Jedoch blockte der NSO-Vertreter viele Fragen zu konkreten Fällen und Kunden mit Hinweis auf Geschäftsgeheimnisse und die nationalen Sicherheitsinteressen seiner Kunden ab. So wollte er sich weder dazu äußern, wo überall Pegasus eingesetzt wird, noch, wer Zugriff auf die gesammelten Daten und das System hat. Auch die Frage nach der Verantwortung seines Unternehmens für mithilfe der Software begangene Menschenrechtsverletzungen wies er von sich: Teilweise erklärte er sogar die Beweislage für solche Menschenrechtsverletzungen als unzureichend und bestand darauf, dass NSO keinerlei Verantwortung für die Tätigkeiten ihrer Kunden trage.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenMeine Fragen wurden ebenfalls nur unzureichend beantwortet. Einige interessante Aussagen gab es dann aber doch: Insgesamt hat die NSO laut Gelfand derzeit etwas weniger als 50 Kunden, wozu mehr als fünf EU-Mitgliedsstaaten zählen. In den vergangenen zwei Jahren hat die NSO Gelfand zufolge acht Kunden die Verträge aufgekündigt, darunter mindestens einem EU-Mitgliedstaat.
Gelfand sprach sich zudem dafür aus, Spionagesoftware wie Waffen zu regulieren. Die NSO hat bereits mehrfach bekräftigt, dass sie Regelungen zum Einsatz von Spyware begrüßen würde. Dies würde Unternehmen von der Last befreien, sich selbstständig solche Regeln geben zu müssen, und würde eindeutig festlegen, wer für welche Art von Verstößen zur Rechenschaft gezogen werden muss.
Gelfand gab zudem an, dass es für die NSO ein Kündigungsgrund sei, wenn ein Land dem Unternehmen keine Genehmigung für die Prüfung möglicher Regelverletzungen erteilt. Ein Beispiel für eine solche Verletzung wäre eine unzulässige Überwachung von Telefonnummern mithilfe der „Pegasus“-Software. Die Frage, ob das bereits bei einem EU-Land der Fall gewesen ist, konnte er allerdings nicht mit hundertprozentiger Sicherheit beantworten. Ich gab ihm mit auf den Weg, sich beim nächsten Mal, wenn er in einen Ausschuss des Europäischen Parlaments eingeladen ist, besser auf Fragen spezifisch zur EU vorzubereiten.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenWir brauchen Regeln, Transparenz und Kontrolle
Insgesamt ist festzustellen: Die sich wiederholenden Bekenntnisse zu den Menschenrechten vonseiten der NSO erweisen sich als Augenwischerei, wenn man genauer nachfragt: von Verantwortungsbewusstsein im Hinblick auf den möglichen Missbrauch der Software ist da wenig zu spüren. Für die NSO stehen ökonomische Interessen klar im Vordergrund; selbst die Aufarbeitung bereits bewiesener Fälle blockt das Unternehmen ab – und verkauft munter an Länder wie Saudi-Arabien, Ruanda oder Ungarn.
Sich auf die Hersteller von Spionagesoftware zu verlassen, um Missbrauch zu verhindern, wäre also naiv. Die Empfehlungen, die wir aus der (Cyber)Security-Community bekommen, sind daher eindeutig: Der Gebrauch von solchen Systemen, die in grundlegende Rechte eingreifen, muss stark eingeschränkt, reguliert und unter demokratische Kontrolle gestellt werden. Hierfür braucht es internationale Regeln, Transparenz und mehr Rechte für Parlamente – das betrifft den gesamten „Lebenszyklus“ von Spionagesoftware, inklusive Finanzierung, Herstellung, Verkauf und Gebrauch. Bis wir solche Mechanismen haben, ist es wohl noch ein weiter Weg. Bis dahin müssen wir den missbräuchlichen Einsatz von Spionagesoftware konsequent sanktionieren – und ihren Verkauf temporär verbieten.