THEO VAN GOGH INTEL: DIE NSO-GRUPPE – ISRAELISCHE SPY-WARE – Der Autokrat in Ihrem iPhone
Wie Söldner-Spyware die Demokratie bedroht
Von Ronald J. Deibert FOREIGN AFFAIRS Januar/Februar 2023
Im Sommer 2020 sorgte ein ruandisches Komplott zur Festnahme des im Exil lebenden Oppositionsführers Paul Rusesabagina für internationale Schlagzeilen. Rusesabagina ist vor allem als Menschenrechtsverteidigerin und Trägerin der U.S. Presidential Medal of Freedom bekannt, die während des Völkermords in Ruanda 1994 mehr als 1.200 Hutus und Tutsis in einem Hotel unterbrachte.
Aber in den Jahrzehnten nach dem Völkermord wurde er auch ein prominenter US-amerikanischer Kritiker des ruandischen Präsidenten Paul Kagame. Im August 2020 wurde Rusesabagina während eines Zwischenstopps in Dubai unter Vorspiegelung falscher Tatsachen dazu verleitet, ein Flugzeug nach Kigali, der ruandischen Hauptstadt, zu besteigen, wo die Regierungsbehörden ihn sofort wegen seiner Zugehörigkeit zu einer Oppositionsgruppe verhafteten. Im folgenden Jahr verurteilte ihn ein ruandisches Gericht zu 25 Jahren Gefängnis und verurteilte internationale Menschenrechtsgruppen, das Europäische Parlament und den US-Kongress.
Weniger beachtet wurde damals, dass diese dreiste grenzüberschreitende Operation möglicherweise auch eine hochentwickelte digitale Überwachung eingesetzt hat. Nach der Verurteilung von Rusesabagina entdeckten Amnesty International und das Citizen Lab an der University of Toronto, eine von mir gegründete und geleitete Forschungsgruppe für digitale Sicherheit, dass Smartphones mehrerer Familienmitglieder von Rusesabagina, die ebenfalls im Ausland lebten, von einem fortschrittlichen Spyware-Programm namens Pegasus gehackt worden waren. Pegasus wird von der in Israel ansässigen NSO Group produziert und bietet einem Betreiber nahezu vollständigen Zugriff auf die persönlichen Daten eines Ziels. Forensische Analysen ergaben, dass das Telefon von Rusesabaginas Tochter Carine Kanimba von der Spyware infiziert worden war, als ihr Vater entführt wurde und als sie versuchte, seine Freilassung zu erreichen und sich mit hochrangigen Beamten in Europa und dem US-Außenministerium traf, einschließlich des US-Sondergesandten für Geiselangelegenheiten. Die NSO Group identifiziert ihre Regierungskunden nicht öffentlich und die ruandische Regierung hat die Verwendung von Pegasus bestritten, aber starke Indizien deuten auf das Kagame-Regime hin.
Tatsächlich ist der Vorfall nur einer von Dutzenden von Fällen, in denen Pegasus oder eine ähnliche Spyware-Technologie auf den digitalen Geräten prominenter politischer Oppositioneller, Journalisten und Menschenrechtsaktivisten in vielen Ländern gefunden wurde. Pegasus bietet die Möglichkeit, selbst die aktuellsten Smartphones heimlich zu infiltrieren – die neueste “Zero-Click”-Version der Spyware kann ohne Zutun des Benutzers in ein Gerät eindringen – und ist zum digitalen Überwachungsinstrument der Wahl für repressive Regime auf der ganzen Welt geworden. Es wurde gegen Regierungskritiker in den Vereinigten Arabischen Emiraten (VAE) und pro-demokratische Demonstranten in Thailand eingesetzt. Es wurde von Mohammed bin Salmans Saudi-Arabien und Viktor Orbans Ungarn eingesetzt.
Aber der Einsatz von Spyware ist kaum auf die Autoritären der Welt beschränkt. Wie Forscher herausgefunden haben, haben in den letzten zehn Jahren viele Demokratien, darunter Spanien und Mexiko, begonnen, auch Spyware auf eine Weise einzusetzen, die gegen etablierte Normen der Menschenrechte und der öffentlichen Rechenschaftspflicht verstößt. Dokumente der US-Regierung, die von der New York Times im November 2022 veröffentlicht wurden, zeigen, dass das FBI nicht nur Spyware-Dienste von NSO erworben hat, möglicherweise für Spionageabwehrzwecke, sondern auch erwogen hat, sie einzusetzen, auch auf US-Zielen. (Ein FBI-Sprecher sagte der Times, dass “es keine operative Verwendung des NSO-Produkts zur Unterstützung einer FBI-Untersuchung gegeben hat.”)
Das Aufkommen fortschrittlicher Spyware hat die Welt der Spionage und Überwachung verändert. Die neue Technologie bringt eine weitgehend unregulierte Branche mit einem invasiven digitalen Ökosystem zusammen, in dem Smartphones und andere persönliche Geräte die intimsten Details des Lebens der Menschen enthalten, und kann fast jeden überall auf der Welt verfolgen. Die Regierungen haben davon Notiz genommen. Für Israel, das Exportlizenzen für Pegasus der NSO Group genehmigt, hat der Verkauf von Spyware an ausländische Regierungen neuen diplomatischen Einfluss in so unterschiedlichen Ländern wie Indien und Panama gebracht. Eine Untersuchung der New York Times ergab, dass NSO-Deals dem israelischen Premierminister Benjamin Netanyahu halfen, das Abraham-Abkommen mit Bahrain, Marokko und den Vereinigten Arabischen Emiraten zu besiegeln. Im Gegenzug haben Klientelstaaten Pegasus nicht nur gegen Oppositionsgruppen, Journalisten und Nichtregierungsorganisationen (NGOs), sondern auch gegen geopolitische Rivalen eingesetzt. In den Jahren 2020 und 2021 entdeckte das Citizen Lab, dass mehrere Geräte von Beamten des britischen Foreign Commonwealth and Development Office mit Pegasus gehackt worden waren und dass ein Kunde der NSO Group in den Vereinigten Arabischen Emiraten die Spyware verwendet hatte, um ein Gerät in der Downing Street 10, der Residenz des britischen Premierministers, zu infiltrieren. Im November 2021 informierte der Tech-Riese Apple 11 Mitarbeiter der US-Botschaft in Uganda, dass ihre iPhones mit Pegasus gehackt wurden.
Als Reaktion auf diese Enthüllungen haben Spyware-Firmen im Allgemeinen die Verantwortung für den Missbrauch ihrer Kunden zurückgewiesen oder sich geweigert, sich zu äußern. In einer Erklärung gegenüber The New Yorker im April 2022 sagte die NSO Group: “Wir haben wiederholt mit staatlichen Untersuchungen zusammengearbeitet, wo glaubwürdige Anschuldigungen gerechtfertigt sind, und haben aus jedem dieser Ergebnisse und Berichte gelernt und die Sicherheitsvorkehrungen in unseren Technologien verbessert.” Das israelische Unternehmen hat auch gesagt, dass seine Technologie entwickelt wurde, um Regierungen bei der Untersuchung von Kriminalität und Terrorismus zu unterstützen. Aber fortschrittliche Spyware ist inzwischen in Dutzenden von Ländern in Menschenrechtsverletzungen und zwischenstaatliche Spionage verwickelt, und Spyware-Unternehmen haben nur wenige rechtliche Verpflichtungen oder Anreize für öffentliche Transparenz oder Rechenschaftspflicht. Die NSO Group hat keine spezifischen Informationen zur Verfügung gestellt, um den detaillierten Beweisen des Citizen Lab für Missbrauch entgegenzuwirken.
The consequences of the spyware revolution are profound. In countries with few resources, security forces can now pursue high-tech operations using off-the-shelf technology that is almost as easy to acquire as headphones from Amazon. Among democracies, the technology has become an irresistible tool that can be deployed with little oversight; in the last year alone, security agencies in at least four European countries—Greece, Hungary, Poland, and Spain—have been implicated in scandals in which state agencies have been accused of deploying spyware against journalists and political opposition figures. A global market for spyware also means that forms of surveillance and espionage that were once limited to a few major powers are now available to almost any country, and potentially to even more private firms. Left unregulated, the proliferation of this technology threatens to erode many of the institutions, processes, and values on which the liberal international order depends.
WE WILL SPY FOR YOU
The spyware revolution has emerged as a byproduct of a remarkable convergence of technological, social, and political developments over the past decade. Smartphones and other digital devices are vulnerable to surveillance because their applications often contain flaws and because they continually transmit data through insecure cellular and Internet networks. Although manufacturers of these technology platforms employ engineers to find and patch vulnerabilities, they tend to prioritize product development over security. By discovering and weaponizing “zero days”—software flaws that are unknown to their designers—spyware firms exploit the inherent insecurity of the digital consumer world.
Aber das außergewöhnliche Wachstum des Spyware-Marktes wurde auch von mehreren breiteren Trends angetrieben. Erstens nutzt Spyware die Vorteile einer globalen digitalen Kultur, die sich um immer aktive, immer verbundene Smartphones dreht. Durch das Hacken eines persönlichen Geräts kann Spyware ihren Betreibern das gesamte Lebensmuster eines Benutzers in Echtzeit zur Verfügung stellen. Zweitens bietet Spyware Sicherheitsbehörden eine elegante Möglichkeit, die Ende-zu-Ende-Verschlüsselung zu umgehen, die zu einem wachsenden Hindernis für staatliche Massenüberwachungsprogramme geworden ist, die von der Sammlung von Telekommunikations- und Internetdaten abhängen. Durch das Eindringen in das Gerät eines Benutzers ermöglicht Spyware ihren Bedienern, Nachrichten zu lesen oder Anrufe abzuhören, bevor sie verschlüsselt oder entschlüsselt wurden. Wenn der Benutzer es auf dem Bildschirm sehen kann, kann dies auch die Spyware. Ein dritter Faktor, der das Wachstum der Branche antreibt, ist der Aufstieg digitaler Protestbewegungen. Volksumbrüche wie die Farbrevolutionen in den ehemaligen Sowjetstaaten im ersten Jahrzehnt dieses Jahrhunderts und der Arabische Frühling 2010/11 überraschten viele Autokraten, und die Organisatoren benutzten oft Telefone, um Demonstranten zu mobilisieren. Indem sie eine fast gottähnliche Möglichkeit bietet, in Aktivistennetzwerke einzudringen, hat Spyware eine leistungsstarke neue Methode für Regierungen eröffnet, um abweichende Meinungen zu überwachen und Schritte zu unternehmen, um sie zu neutralisieren, bevor große Proteste auftreten.
Schließlich wurde die Spyware-Industrie auch durch die zunehmende Privatisierung der nationalen Sicherheit angeheizt. So wie sich Regierungen für komplizierte oder umstrittene Militäroperationen an private Auftragnehmer gewandt haben, haben sie entdeckt, dass sie Überwachung und Spionage an besser ausgestattete und weniger sichtbare private Akteure auslagern können. Wie Glückspilze neigen fortschrittliche Spyware-Unternehmen dazu, Einnahmen über Ethik zu stellen, indem sie ihre Produkte ohne Rücksicht auf die Politik ihrer Kunden verkaufen – was zu dem Begriff “Söldner-Spyware” führt – und wie militärische Auftragnehmer sind ihre Geschäfte mit staatlichen Sicherheitsbehörden oft geheim gehalten, um einer öffentlichen Kontrolle zu entgehen. So wie militärische Auftragnehmer lukrative Karrieren im privaten Sektor für Veteranen von Militär und Geheimdiensten angeboten haben, haben Spyware-Firmen und staatliche Sicherheitsdienste ähnlich vorteilhafte Partnerschaften aufgebaut und die Branche dabei angekurbelt. Viele hochrangige Mitglieder der NSO Group zum Beispiel sind Veteranen des israelischen Geheimdienstes, einschließlich des Elite-Direktorats des militärischen Nachrichtendienstes.
Obwohl mangelnde Transparenz die Söldner-Spyware-Industrie schwer zu messen gemacht hat, haben Journalisten geschätzt, dass sie etwa 12 Milliarden Dollar pro Jahr wert ist. Vor den jüngsten finanziellen Rückschlägen, die durch eine wachsende Anzahl von Klagen verursacht wurden, wurde die NSO Group auf 2 Milliarden US-Dollar geschätzt, und es gibt andere wichtige Akteure auf dem Markt. Viele Unternehmen produzieren jetzt ausgeklügelte Spyware, darunter Cytrox (gegründet in Nordmazedonien und jetzt mit Niederlassungen in Ungarn und Israel), Cyberbit und Candiru mit Sitz in Israel, das in Italien ansässige Hacking Team (jetzt nicht mehr aktiv) und die englisch-deutsche Gamma Group. Jede dieser Firmen kann hypothetisch zahlreiche Kunden bedienen. Zu den Regierungen, die anscheinend die Predator-Spyware von Cytrox verwendet haben, gehören beispielsweise Armenien, Ägypten, Griechenland, Indonesien, Madagaskar und Serbien. Im Jahr 2021 sagte die mexikanische Ministerin für Sicherheit und öffentliche Sicherheit, Rosa Icela Rodríguez, dass frühere mexikanische Regierungen mehrere Verträge mit der NSO Group in Höhe von insgesamt 61 Millionen US-Dollar unterzeichnet hätten, um Pegasus-Spyware zu kaufen, und wie mexikanische und internationale Forscher gezeigt haben, hat die Regierung Pegasus trotz der öffentlichen Zusicherungen der gegenwärtigen Führung, dass dies nicht der Fall sein würde, weiterhin verwendet. (Im Oktober 2022 Der mexikanische Präsident Andrés Manuel López Obrador bestritt die Ergebnisse und erklärte, dass seine Regierung die Spyware nicht gegen Journalisten oder politische Gegner einsetzt.)
Auf der Grundlage solcher lukrativen Geschäfte haben Spyware-Firmen die Unterstützung großer Private-Equity-Fonds wie der San Franciscoer Firma Francisco Partners und der Londoner Novalpina Capital genossen, wodurch ihre Ressourcen gestärkt wurden. Francisco Partners, das fünf Jahre lang eine Mehrheitsbeteiligung an der NSO Group hielt, sagte Bloomberg News im Jahr 2021: “[Wir] sind zutiefst ethischen Geschäftspraktiken verpflichtet und bewerten alle unsere Investitionen durch diese Linse.” Novalpina, das 2019 zusammen mit den Gründern von NSO die Anteile von Francisco Partners erworben hat, sagte, es werde die Spyware-Firma “in voller Übereinstimmung mit den UN-Leitprinzipien für Wirtschaft und Menschenrechte” bringen, aber die Enthüllungen über den Missbrauch von Pegasus wurden fortgesetzt, und die von The Guardian im Jahr 2022 veröffentlichte Korrespondenz zeigte, dass Novalpina versuchte, die Kritiker der NSO Group zu diskreditieren. einschließlich dieses Autors. (Anwälte von Novalpina sagten dem Guardian, dass dies “dürftige und unbegründete Anschuldigungen” seien.) Nach einem Streit zwischen den Gründungspartnern von Novalpina verlor das Unternehmen 2021 seine Mehrheitsbeteiligung an der NSO-Gruppe.
Aber die Spyware-Industrie umfasst auch weit weniger anspruchsvolle Unternehmen in Ländern wie Indien, den Philippinen und Zypern. Als Überwachungsäquivalent von Strip-Mall-Telefonreparaturwerkstätten fehlt solchen Outfits möglicherweise die Fähigkeit, Zero Days zu identifizieren, aber sie können Ziele immer noch mit einfacheren Mitteln erreichen. Sie können Phishing für Anmeldeinformationen verwenden – unter Vorspiegelung falscher Tatsachen, oft per E-Mail oder SMS, um die digitalen Passwörter eines Benutzers oder andere sensible persönliche Informationen zu erhalten – oder sie kaufen einfach Software-Schwachstellen von anderen Hackern auf dem Schwarzmarkt. Und diese kleineren Firmen sind möglicherweise eher bereit, illegale Operationen im Namen von Privatkunden durchzuführen, weil sie sich außerhalb der Gerichtsbarkeit befinden, in der ein Opfer wohnt, oder weil die Durchsetzung lax ist.
Es ist schwer, die Reichweite und Leistungsfähigkeit der neuesten kommerziellen Spyware zu überschätzen. In seinen fortschrittlichsten Formen kann es lautlos jedes anfällige Gerät überall auf der Welt infiltrieren. Nehmen Sie den Zero-Day-Zero-Click-Exploit, den Citizen Lab-Forscher 2021 auf einem Pegasus-infizierten iPhone entdeckt haben. Mit dem Exploit, den Forscher ForcedEntry nannten, kann ein Spyware-Betreiber heimlich Texte und Telefonanrufe abfangen, einschließlich solcher, die von Apps wie Signal oder WhatsApp verschlüsselt wurden. Schalten Sie das Mikrofon und die Kamera des Benutzers ein; Bewegungen über das GPS eines Geräts zu verfolgen; und sammeln Sie Fotos, Notizen, Kontakte, E-Mails und Dokumente. Der Bediener kann fast alles tun, was ein Benutzer tun kann, und mehr, einschließlich der Neukonfiguration der Sicherheitseinstellungen des Geräts und des Erwerbs der digitalen Token, die für den sicheren Zugriff auf Cloud-Konten verwendet werden, so dass die Überwachung eines Ziels auch nach dem Entfernen des Exploits von einem Gerät fortgesetzt werden kann – alles ohne das Wissen des Ziels. Nachdem das Citizen Lab Pegasus’ ForcedEntry mit Analysten von Apple und Google geteilt hatte, beschrieben die Analysten von Google es als “einen der technisch ausgefeiltesten Exploits, die wir je gesehen haben”, und stellten fest, dass es Fähigkeiten bereitstellte, von denen “bisher angenommen wurde, dass sie nur für eine Handvoll Nationalstaaten zugänglich sind”.
ERSCHIESSUNG DER BOTE
In den letzten zehn Jahren hat der Aufstieg autoritärer Regime in vielen Teilen der Welt neue Fragen über die Dauerhaftigkeit der liberalen internationalen Ordnung aufgeworfen. Wie weithin festgestellt wurde, waren viele herrschende Eliten in der Lage, in Richtung Autoritarismus abzugleiten, indem sie politischen Dissens, die Medien, die Gerichte und andere Institutionen der Zivilgesellschaft einschränkten oder kontrollierten. Doch weit weniger Aufmerksamkeit wurde der allgegenwärtigen Rolle der Söldner-Spyware-Industrie in diesem Prozess geschenkt. Diese Vernachlässigung ist zum Teil darauf zurückzuführen, wie wenig wir über Spyware wissen, einschließlich in vielen Fällen der Identität der spezifischen Regierungsbehörden, die sie verwenden. (Angesichts der geheimen Natur von Spyware-Transaktionen ist es viel einfacher, Opfer zu identifizieren als Betreiber.) Es besteht jedoch kaum ein Zweifel daran, dass Spyware verwendet wurde, um liberale demokratische Praktiken und Institutionen systematisch zu degradieren.
Eine der häufigsten Anwendungen der Technologie war die Infiltration von Oppositionsbewegungen, insbesondere im Vorfeld von Wahlen. Forscher haben Fälle identifiziert, in denen Oppositionelle ins Visier genommen wurden, nicht nur in autoritären Staaten wie Saudi-Arabien und den Vereinigten Arabischen Emiraten, sondern auch in demokratischen Ländern wie Indien und Polen. Tatsächlich ereignete sich einer der ungeheuerlichsten Fälle in Spanien, einem parlamentarischen Demokratie- und Mitglied der Europäischen Union. Zwischen 2017 und 2020 entdeckte das Citizen Lab, dass Pegasus verwendet wurde, um einen großen Querschnitt der katalanischen Zivilgesellschaft und Regierung zu belauschen. Zu den Zielen gehörten alle katalanischen Mitglieder des Europäischen Parlaments, die die Unabhängigkeit Kataloniens unterstützten, jeder katalanische Präsident seit 2010 und viele Mitglieder katalanischer gesetzgebender Körperschaften, darunter mehrere Präsidenten des katalanischen Parlaments. Bemerkenswerterweise fanden einige der Angriffe inmitten sensibler Verhandlungen zwischen der katalanischen und der spanischen Regierung über das Schicksal der katalanischen Unabhängigkeitsbefürworter statt, die entweder inhaftiert oder im Exil waren. Nachdem die Ergebnisse internationale Aufmerksamkeit erregt hatten, bestätigte Paz Esteban, die Leiterin des spanischen Geheimdienstzentrums, gegenüber spanischen Gesetzgebern, dass Spyware gegen einige katalanische Politiker eingesetzt worden war, und Esteban wurde daraufhin entlassen. Aber es ist immer noch unklar, welche Regierungsbehörde verantwortlich war und welche Gesetze, wenn überhaupt, verwendet wurden, um eine so umfangreiche inländische Spionageoperation zu rechtfertigen.
In einigen Ländern hat sich Spyware als ebenso wirksam gegen Journalisten erwiesen, die über die Machthaber ermitteln, mit weitreichenden Folgen sowohl für die Ziele als auch für ihre Quellen. Im Jahr 2015 wurden mehreren Geräten der mexikanischen Journalistin Carmen Aristegui und einem Mitglied ihrer Familie Pegasus-Exploit-Links geschickt, während sie die Korruption des damaligen mexikanischen Präsidenten Enrique Peña Nieto untersuchte. Es gibt keine rauchende Waffe, die die verantwortliche Partei identifiziert, obwohl starke Indizien auf eine mexikanische Regierungsbehörde hindeuten. Im Jahr 2021 wurde ein ungarischer Journalist, der Korruption im inneren Kreis von Präsident Viktor Orban untersuchte, mit Pegasus gehackt. (Die ungarische Regierung bestätigte später, dass sie die Technologie gekauft hatte.) Und im selben Jahr wurde das Handy des Nahost-Korrespondenten der New York Times, Ben Hubbard, mit Pegasus infiziert, während er an einem Buch über Saudi-Arabiens De-facto-Führer, Kronprinz Mohammed bin Salman, arbeitete.
Mit Spyware können Regierungen Proteste stoppen, bevor sie auftreten.
Fast ebenso häufig wurde Spyware eingesetzt, um Justizbeamte und zivilgesellschaftliche Organisationen zu untergraben, die versuchen, Regierungen zur Rechenschaft zu ziehen. Nehmen wir den Fall von Alberto Nisman, einem bekannten argentinischen Antikorruptionsstaatsanwalt, der eine angebliche kriminelle Verschwörung hochrangiger argentinischer Beamter untersuchte. Im Januar 2015 wurde Nisman unter verdächtigen Umständen tot aufgefunden – sein Tod wurde später als Mord eingestuft – einen Tag bevor er vor dem Kongress aussagen sollte, in dem die damalige argentinische Präsidentin Cristina Fernández de Kirchner und ihr Außenminister Héctor Timerman in eine Vertuschung der angeblichen iranischen Beteiligung am Bombenanschlag auf ein jüdisches Zentrum in Buenos Aires im Jahr 1994 verwickelt waren. Später in diesem Jahr dokumentierte das Citizen Lab, wie eine südamerikanische Hack-for-Hire-Gruppe beauftragt worden war, Nisman vor seinem Tod mit Spyware anzugreifen, was darauf hindeutet, dass jemand an der Macht daran interessiert war, in seine Untersuchungen zu schauen. In Mexiko setzte 2017 eine noch unbekannte Regierungsbehörde Pegasus-Spyware gegen Menschenrechtsgruppen und internationale Ermittler ein, die mögliche staatliche Vertuschungen des berüchtigten Verschwindens und der grausamen Ermordung von 43 Studenten in Iguala, Mexiko, aufspürten. Nachfolgende Berichte zeigten, dass die mexikanische Regierung die Ermittlungen stark verpfuscht hatte und dass Regierungsmitarbeiter in eine Vertuschung verwickelt waren – Ergebnisse, die ohne die Bemühungen zivilgesellschaftlicher Wachhunde vielleicht nie ans Licht gekommen wären.
Andere häufige Pegasus-Ziele sind Anwälte, die an prominenten oder politisch sensiblen Fällen beteiligt sind. In den meisten liberalen Demokratien ist das Anwaltsgeheimnis unantastbar. Dennoch hat das Citizen Lab eine Vielzahl von Fällen identifiziert, in denen Spyware verwendet wurde, um die Geräte von Anwälten zu hacken oder anzugreifen. Im Jahr 2015 wurde die Taktik gegen zwei Anwälte in Mexiko angewendet, die die Familien von Nadia Vera, einer getöteten Regierungskritikerin und Frauenrechtlerin, vertraten. In jüngerer Zeit wurden mehrere Anwälte, die prominente Katalanen vertreten, im Rahmen der spanischen Überwachungskampagne ins Visier genommen. Und in Polen wurde Pegasus-Spyware mehrmals verwendet, um das Gerät von Roman Giertych, Rechtsberater von Donald Tusk, einem ehemaligen Premierminister und Führer der größten Oppositionspartei des Landes, zu hacken. (Anfang 2022 gab der stellvertretende polnische Ministerpräsident Jaroslaw Kaczynski öffentlich zu, dass die Regierung Pegasus-Spyware gekauft hatte, bestritt jedoch, dass sie gegen die polnische Opposition eingesetzt wurde.)
Da die Verfügbarkeit von Spyware zunimmt, mischen auch privatwirtschaftliche Kunden mit. Betrachten Sie die Aktivitäten von BellTroX, einem indischen Hack-for-Hire-Unternehmen, das für umfangreiche Spionage im Auftrag von Privatkunden weltweit verantwortlich ist. Zwischen 2015 und 2017 nutzte jemand die Dienste von BellTroX gegen amerikanische gemeinnützige Organisationen, die daran arbeiteten, Enthüllungen zu veröffentlichen, dass der Ölkonzern ExxonMobil seine Forschung über den Klimawandel jahrzehntelang verborgen hatte. BellTroX wurde auch verwendet, um US-Organisationen ins Visier zu nehmen, die an der Netzneutralität arbeiten, vermutlich auf Geheiß eines anderen Kunden oder anderer Kunden, die gegen diese Reform waren. BellTroX hat auch ein aufkeimendes Geschäft in der Rechtswelt; Anwaltskanzleien in vielen Ländern haben die Dienste des Unternehmens genutzt, um gegnerische Anwälte auszuspionieren. Im April 2022 bekannte sich ein israelischer Privatdetektiv, der als Vermittler für BellTroX fungierte, vor einem US-Gericht schuldig, Betrug, Verschwörung zum Hacking und schweren Identitätsdiebstahl überwiesen zu haben, aber die in Indien ansässigen Betreiber von BellTroX blieben außerhalb der Reichweite des Gesetzes. (Von Reuters im Jahr 2020 gebeten, auf die Ergebnisse zu reagieren, bestritt der Gründer des Unternehmens, Sumit Gupta, jegliches Fehlverhalten und lehnte es ab, seine Kunden offenzulegen.)
NOWHERE TO HIDE
Der zunehmende Einsatz von Spyware gegen politische und zivilgesellschaftliche Ziele in fortgeschrittenen Demokratien ist besorgniserregend genug. Noch bedrohlicher könnte jedoch die Art und Weise sein, in der die Technologie es autoritären Regimen ermöglicht hat, ihre Repression weit über ihre eigenen Grenzen hinaus auszudehnen. In den vergangenen Jahrzehnten sahen sich Autokraten erheblichen Hindernissen gegenüber, um Bürger, die ins Exil gegangen waren, zu unterdrücken. Mit Spyware kann ein Betreiber jedoch in das gesamte Netzwerk eines politischen Exilanten eindringen, ohne einen Fuß in das Wahlland des Ziels zu setzen, und mit sehr wenigen Risiken und Kosten, die mit herkömmlicher internationaler Spionage verbunden sind.
Beispiele für diese neue Form transnationaler Repression sind vielfältig. Ab 2016 wurde Cyberbit eingesetzt, um äthiopische Dissidenten, Anwälte, Studenten und andere in fast 20 Ländern ins Visier zu nehmen. Im Jahr 2021 wurden die Telefone von zwei prominenten Ägyptern – dem im Exil lebenden Oppositionspolitiker Ayman Nour und dem Moderator einer beliebten Nachrichtensendung (der darum gebeten hat, zu seiner eigenen Sicherheit anonym zu bleiben) – mit der Predator-Spyware von Cytrox gehackt. Tatsächlich wurde das Telefon von Nour, der ein ausgesprochener Kritiker des ägyptischen Präsidenten Abdel Fattah el-Sisi ist, gleichzeitig mit der Pegasus-Spyware der NSO Group infiziert, die anscheinend von separaten Regierungskunden betrieben werden – Ägypten im Fall von Predator und entweder Saudi-Arabien oder die Vereinigten Arabischen Emirate im Fall von Pegasus. In einer Erklärung gegenüber Vice News sagte Cyberbit, dass die israelische Regierung ihre Technologie überwacht und dass “die Geheimdienste und Verteidigungsbehörden, die diese Produkte kaufen, verpflichtet sind, sie in Übereinstimmung mit dem Gesetz zu verwenden”. Im ägyptischen Hacking-Fall lehnte der CEO von Cytrox, Ivo Malinkovski, eine Stellungnahme ab; Laut VICE-News löschte er anschließend Verweise auf Cytrox in seinem LinkedIn-Profil. (Die Regierungen von Ägypten, Äthiopien, Saudi-Arabien und den Vereinigten Arabischen Emiraten haben es abgelehnt, sich zu den Ergebnissen zu äußern.)
Besonders weitreichend war die transnationale Spyware-Kampagne der saudischen Regierung. Im Jahr 2018 wurde ein Telefon von Ghanem al-Masarir, einem im Vereinigten Königreich lebenden saudischen Dissidenten, mit Pegasus-Spyware gehackt. Zeitgleich mit der Infektion seines Geräts wurde al-Masarir von saudischen Agenten in London aufgespürt und körperlich angegriffen. Spyware könnte auch eine Rolle bei der berüchtigten Ermordung des im Exil lebenden saudischen Journalisten Jamal Khashoggi im saudischen Konsulat in der Türkei gespielt haben. Im Jahr 2018 wurde ein Telefon von Omar Abdulaziz – einem saudischen Aktivisten, ständigen kanadischen Einwohner und engen Vertrauten von Khashoggi – mit Pegasus-Spyware gehackt. Abdulaziz und Khashoggi hatten ihren Aktivismus gegen das saudische Regime über das diskutiert, was sie fälschlicherweise für sichere Kommunikationsplattformen hielten. Nach Khashoggis Ermordung ergab eine forensische Analyse, dass die Geräte mehrerer anderer Personen, die Khashoggi am nächsten standen, darunter seine ägyptische Frau und seine türkische Verlobte, ebenfalls infiziert worden waren. In welchem Ausmaß Khashoggis eigene Telefone gehackt wurden, ist nicht bekannt, weil seine Verlobte sie den türkischen Behörden übergeben hat, die sie einer unabhängigen Analyse vorenthalten haben, aber seine engsten Kontakte wurden alle überwacht, was saudischen Agenten Einblicke in Khashoggis Privatleben, politischen Aktivismus und Bewegungen in den Monaten vor seiner Ermordung gab. . (Die saudische Regierung hat es abgelehnt, die Enthüllungen zu kommentieren. Im Jahr 2021 sagte die NSO Group dem Guardian: “Unsere Technologie war in keiner Weise mit dem abscheulichen Mord an Jamal Khashoggi verbunden.”)
Ein Mann liest an einem Stand für NSO Group Technologies auf dem Europäischen Polizeikongress in Berlin, Februar 2020
Tatsächlich ist die Bekämpfung von Regimekritikern im Ausland mit Spyware nur eine von mehreren Möglichkeiten, wie die saudische Regierung digitale Technologie eingesetzt hat, um abweichende Meinungen zu neutralisieren. Laut einer US-Bundesanklageschrift zahlte beispielsweise ein Top-Berater des saudischen Kronprinzen Mohammed bin Salman einem Twitter-Mitarbeiter 300.000 Dollar und stellte 2014 und 2015 andere Geschenke zur Verfügung, offenbar im Austausch für das Ausspionieren von Dissidenten auf der Plattform. Der Mitarbeiter, der Twitter 2015 verließ, wurde 2022 vor einem US-Gericht verurteilt. Wenn solche Taktiken in Kombination mit der Art von sehr aufdringlicher Überwachung eingesetzt werden, die Spyware darstellt, können Dissidenten unter außergewöhnlichen psychologischen Druck geraten. Viele Opfer von Hacking haben einen lähmenden Schock erlebt, da sie wissen, dass ihre kompromittierten Geräte auch Freunde und Kollegen gefährdet haben und dass jede ihrer Bewegungen beobachtet wird. Eine saudische Aktivistin erklärte, dass die digitale Zielscheibe eine Form des “psychologischen und emotionalen Krieges” sei, der ihr “endlose Angst und Besorgnis” bereite. Autokraten und Despoten können durch den Einsatz von Spyware gegen zivilgesellschaftliche Netzwerke weit über ihre eigenen Grenzen hinaus vorgehen und gleichzeitig die Autokratie im eigenen Land stärken.
Trotz einer großen und wachsenden Anzahl von Dokumenten über Spyware-Missbrauch auf der ganzen Welt gibt es mehrere Gründe, warum die Technologie wahrscheinlich noch weiter verbreitet wird. Erstens, obwohl viele Söldner-Spyware-Firmen ihre Verträge mit nationalen Regierungsbehörden betrafen, vermarkten viele Unternehmen mehr als einen Kunden in einem bestimmten Land, einschließlich lokaler Strafverfolgungsbehörden. Bei einer Informationsreise nach Israel im Sommer 2022 erfuhren Beamte des Europäischen Parlaments, dass die NSO Group mindestens 22 Kunden in 12 europäischen Ländern hat, was darauf hindeutet, dass eine beträchtliche Anzahl dieser Kunden subnationale Agenturen sind. Solche Geschäfte werfen weitere Fragen zur Rechenschaftspflicht auf, da Untersuchungen gezeigt haben, dass lokale Strafverfolgungsbehörden oft anfälliger für Missbrauch wie Racial Profiling oder Korruption sind und tendenziell eine schlechte Transparenz und unzureichende Aufsicht haben.
Zweitens, obwohl einige Söldner-Spyware-Firmen wie die NSO Group behaupten, dass sie nur mit Regierungskunden zu tun haben, gibt es wenig, was sie daran hindert, ihre Technologie an private Unternehmen oder korrupte Einzelpersonen zu verkaufen. Es gibt Hinweise darauf, dass einige dies bereits tun: Im Juli 2022 veröffentlichte das Threat Intelligence Center von Microsoft einen Bericht über eine in Österreich ansässige Spyware- und Hack-for-Hire-Firma namens DSIRF, die Einzelpersonen in Banken, Anwaltskanzleien und Beratungsunternehmen in mehreren Ländern ins Visier genommen hatte. Obwohl Microsoft nicht angegeben hat, welche Art von Kunden DSIRF beauftragt haben, wirbt das Unternehmen für “Due Diligence” -Dienstleistungen, was impliziert, dass diese Hacking-Operationen im Auftrag von Privatkunden durchgeführt wurden. Als Reuters DSIRF nach dem Microsoft-Bericht fragte, lehnte das Unternehmen eine Stellungnahme ab. Obwohl es illegal ist, wenn es ohne Haftbefehl durchgeführt wird, ist es weniger wahrscheinlich, dass ein solches Hacking des privaten Sektors abgeschreckt wird, wenn sich Hackerfirmen außerhalb der Gerichtsbarkeit befinden, in der das Targeting stattfindet. Da der Schutz der Privatsphäre, der Pressefreiheit und unabhängiger Gerichte in vielen Ländern zunehmend bedroht ist, wird es für korrupte Firmen oder Oligarchen wahrscheinlich noch einfacher werden, Söldner-Spyware ohne Rechenschaftspflicht einzusetzen.
Drittens ist Spyware zu einem zentralen Bestandteil eines breiteren Menüs von Überwachungstools wie Standortverfolgung und biometrischer Identifizierung geworden, die von vielen staatlichen Sicherheitsbehörden verwendet werden. Je mehr Spyware in die tägliche Informationsbeschaffung und Polizeiarbeit integriert wird, desto schwieriger wird es, sie einzudämmen. Noch bedrohlicher ist, dass Spyware bald noch invasivere Fähigkeiten erlangen könnte, indem sie tragbare Anwendungen wie biomedizinische Monitore, emotionale Erkennungstechnologie und mit dem Internet verbundene neuronale Netze nutzt, die sich derzeit in der Entwicklung befinden. Schon jetzt zielen viele digitale Anwendungen darauf ab, tiefer in die unterschwelligen oder unbewussten Aspekte des Verhaltens der Nutzer einzudringen und Daten über ihre Gesundheit und Physiologie zu sammeln. Es ist keine Science-Fiction mehr, sich Spyware vorzustellen, die den verdeckten Zugriff auf diese Daten über unsere biologischen oder kognitiven Systeme nutzen könnte, um das Verhalten und das allgemeine Wohlbefinden eines Opfers zu überwachen und sogar zu manipulieren.
EINSTWEILIGE VERFÜGUNGEN
Seit fast einem Jahrzehnt ist die Söldner-Spyware-Industrie in der Lage, ihre Reichweite auf der ganzen Welt weitgehend ohne Regulierung oder Rechenschaftspflicht auszudehnen. Aber das ist eine Entscheidung, die die Regierungen getroffen haben, kein unvermeidliches Ergebnis, das einfach akzeptiert werden muss. Da zivilgesellschaftliche Wachhunde und Journalisten flagrante Missbräuche ans Licht gebracht haben, ist es für große Spyware-Anbieter und Regierungskunden schwieriger geworden, ihre Operationen zu verbergen. In Europa und den Vereinigten Staaten haben Ausschüsse Anhörungen zu Spyware abgehalten, und Regierungsbehörden haben begonnen, neue Richtlinien zu entwickeln, um ihre Verwendung einzuschränken. Insbesondere hat das US-Handelsministerium die NSO Group, Candiru und andere Hack-for-Hire-Firmen auf eine Exportbeschränkungsliste gesetzt, was ihren Zugang zu US-Produkten und -Technologien einschränkt und ein starkes Signal an potenzielle Investoren sendet, dass Spyware-Unternehmen zunehmend unter die Lupe genommen werden. Auch Technologieplattformen haben Maßnahmen ergriffen. Meta (die Muttergesellschaft von Facebook) und Apple haben die NSO Group vor US-Gerichten verklagt, Opfer von Spyware-Infektionen benachrichtigt und daran gearbeitet, zivilgesellschaftliche Wachhunde zu unterstützen. Apple hat auch 10 Millionen US-Dollar für die Cyberüberwachungsforschung gespendet und sich verpflichtet, dies auch für alle Schäden aus seiner Klage gegen die NSO Group zu tun.
Um die weltweite Verbreitung von Söldner-Spyware einzudämmen, ist jedoch ein umfassender Ansatz erforderlich. Zunächst müssen Unternehmen viel mehr Ressourcen aufwenden, um Spyware zu identifizieren und auszurotten und sicherzustellen, dass ihre Dienste ordnungsgemäß gegen Ausbeutung geschützt sind. WhatsApp und Apple haben bereits gezeigt, wie man Opfer warnt, wenn Spyware entdeckt wird, und Spyware-Anbieter wie die NSO Group für Verstöße gegen ihre Nutzungsbedingungen und andere Rechtsverstöße rechtlich verantwortlich macht. Ob durch einen Wandel in der Unternehmenskultur oder wahrscheinlicher durch strengere staatliche Vorschriften, Technologieplattformen sollten auch mehr Wert auf Sicherheit legen und das unerbittliche Streben, Benutzerdaten abzusaugen, zurückfahren. Im Gegenzug müssen die forensischen Untersuchungen des Citizen Lab, von Amnesty International, Journalisten und anderen durch andere Organisationen erweitert und ergänzt werden, die ähnliche Arbeit leisten, sei es bei NGOs, Universitäten oder investigativen Nachrichtenorganisationen. Digitale Forensik und digitale Rechenschaftspflicht sollten als formale Forschungsdisziplin anerkannt werden, die Spyware-Aktivitäten überwachen, Opfern und Zielen helfen und Druck auf Regierungen und Unternehmen ausüben kann, transparenter und rechenschaftspflichtiger für ihre Handlungen zu sein. Damit ein solches Feld entstehen kann, sind viele Jahre öffentlicher, privater und philanthropischer Unterstützung erforderlich.
Letztendlich müssen die Regierungen selbst einen robusten Rechtsrahmen für die Verwendung von Spyware verabschieden. Die Regulierung der Branche erfordert wahrscheinlich die Verabschiedung eines komplexen Regelwerks, das verschiedene Aspekte des Spyware-Marktes abdeckt. Zum Beispiel könnten inländische Spyware-Unternehmen verpflichtet werden, regelmäßige Offenlegungen über ihre Exporte zu machen, und im Gegenzug könnten Regierungsbehörden verpflichtet werden, zu melden, von wem und wo sie Spyware importieren. Die Exportregeln müssen verschärft werden, um den Verkauf von Spyware an Regierungen oder andere Kunden zu verhindern, die sie wahrscheinlich unter Verletzung internationaler Menschenrechtsnormen einsetzen. Klare Regeln und Standards der Aufsicht für den Einsatz von Spyware sind ebenfalls notwendig. Spezifische Rechtsvorschriften für den Zero-Day-Markt werden wahrscheinlich ebenfalls erforderlich sein, obwohl sie sorgfältig ausgearbeitet werden müssen, damit legitime Sicherheitsforschung nicht behindert wird. Regierungen könnten auch Gesetze verabschieden, die Opfern von Spyware das Recht geben, sowohl ausländische Regierungen als auch Spyware-Anbieter für Schäden zu verklagen, die durch Spionage verursacht wurden.
Diese Bemühungen könnten auf internationaler Ebene durch die Entwicklung eines globalen Spyware-Kontrollsystems verstärkt werden. Militärische Aktivitäten zum Beispiel unterliegen seit langem der internationalen Aufsicht durch Mechanismen wie das Register für konventionelle Waffen der Vereinten Nationen und die Richtlinien, die in Bezug auf Standards für private Militär- und Sicherheitsunternehmen oder das Verbot von Landminen eingeführt wurden. Ein ähnlicher Prozess könnte zu einer internationalen Regulierung von Spyware führen, einschließlich Anforderungen an Transparenz und Berichterstattung über ihre Verwendung. Diese bestehenden Modelle deuten jedoch darauf hin, dass der Erfolg die Unterstützung einer beträchtlichen Anzahl von Ländern erfordert und dass mehr Druck erforderlich ist, um Regierungen und Weltführer davon zu überzeugen, dass Söldner-Spionage eine ernsthafte und wachsende Bedrohung für die internationale Sicherheit und die liberale internationale Ordnung darstellt.
Zweifellos werden autoritäre Regierungen und Sicherheitsbehörden, die derzeit von Spyware profitieren, versuchen, eine solche Regulierung zu behindern, aber die wachsenden Risiken für die nationale Sicherheit eines unregulierten Marktes könnten zu einer nüchterneren Bewertung führen. Im November 2022 warnte Sir Jeremy Fleming, ein hochrangiger britischer Geheimdienstmitarbeiter, dass der zunehmende Einsatz von Söldner-Spyware und “Hackern for Hire” durch Länder und Übeltäter “die zukünftige Bedrohung für die britische Cybersicherheit erhöhen wird”. Sollte der Einsatz von Söldner-Spyware weiterhin ungebremst zunehmen, werden die Risiken für die Demokratie akut. Wenn Eliten in irgendeinem Land diese Technologie nutzen können, um legitime politische Opposition an jedem Punkt der Erde zu neutralisieren, abweichende Meinungen durch gezielte Spionage zum Schweigen zu bringen, unabhängigen Journalismus zu untergraben und die öffentliche Rechenschaftspflicht ungestraft zu untergraben, dann werden die Werte, auf denen die liberale internationale Ordnung aufgebaut ist, bald nicht sicherer sein als die Passwörter auf unseren Telefonen.