Amnesty Journal 16. November 2020

Ausgespäht

Zeichnung einer Frau, die eingekreist wird von dem Sternen-Kreis der EU-Flagge. Anstelle des Sterns ganz oben ist eine Überwachungskamera zu sehen, die das Gesicht der Frau scannt

Wie europäische Überwachungssoftware Menschen­rechtlerinnen und Menschenrechtler in Gefahr
bringt und was man dagegen machen kann.

Von Susanne Schmidt und Lena Rohrbach

Europäische Firmen liefern an Regierungen weltweit die Technik, mit der Menschenrechtlerinnen, Journalisten oder Oppositionelle gezielt ausspioniert werden. Die Folge für die Betroffenen: Ihre Geräte werden digital verwanzt, erlangte Informationen verdreht und gegen sie verwendet, kritische Stimmen eingeschüchtert. Die Europäische Union könnte dies verhindern, indem Menschenrechte zum Kriterium für Exportgenehmigungen werden. Aktuell werden die entsprechenden Regeln neu verhandelt. Wie werden sich die EU-Staaten entscheiden?

Sie sind nie allein

Der Blogger, Dichter und Menschenrechtler Ahmed Mansoor zählte zu den wenigen unabhängigen Stimmen, die in den Vereinigten Arabischen Emiraten Menschenrechtsverletzungen anprangerten. Im März 2017 wurde er festgenommen und zu zehn Jahren Haft und einer Geldstrafe verurteilt. Seitdem befindet er sich in Einzelhaft. Ihm wird unter anderem vorgeworfen, die politische Führung sowie "den Status und das Ansehen der Vereinigten Arabischen Emirate und deren Symbole beleidigt" zu haben. Immer wieder wurde Ahmed Mansoor mit Überwachungssoftware attackiert. Die Angreifenden nutzten dafür auch Spionagesoftware aus Italien (Hacking Team) und Deutschland (FinFisher). Wer will, kann sich hier für Ahmed Mansoor einsetzen.

 

Den Angreifenden auf der Spur

Digitale Spionageangriffe sind für Betroffene fast unsichtbar – und hinterlassen doch ihre Spuren. Die Expertinnen und Experten vom Amnesty Security Lab ermitteln in technischen Analysen, wer hinter den Attacken steckt. Nicht selten führen die Hinweise zu Regierungen. Beispielsweise, wenn die auf den Geräten von Menschenrechtlerinnen und Menschenrechtlern identifizierte Spionagesoftware nur an staatliche Einrichtungen verkauft wird. Das Amnesty Security Lab beobachtet auch, dass die digitalen Spionagemethoden immer ausgefeilter werden. Oft reicht schon ein Klick auf einen Link, damit sich die Überwachungstechnologie installiert. Allein im Jahr 2020 hat das Amnesty Security Lab Angriffe in Marokko, Indien und Usbekistan aufgedeckt. Das Team unterstützt betroffene Menschenrechtlerinnen und Menschenrechtler auch direkt: Es hilft, ihre Geräte von Spähsoftware zu befreien und bietet Hilfe bei der "digitalen Selbstverteidigung".

 

Überwachungssoftware made in Europe

Europäische Unternehmen liefern Überwachungstechnologie in Länder, in denen diese für Menschenrechtsverletzungen missbraucht wird. In Deutschland wurde zwischen 2015 und 2019 der Export von Überwachungstechnologie im Wert von mehr als 26 Millionen Euro etwa nach Marokko, Saudi-Arabien und in die Vereinigte Arabischen Emirate genehmigt, noch 2019 wurden Genehmigungen für den Export von Systemen zur Vorratsdatenspeicherung oder für Überwachungszentren nach Ägypten erteilt. Solche Exporte werden in der EU durch die "Dual-Use-Verordnung" reguliert, die allerdings viele Lücken bietet. Der Handel etwa mit Technologie zur Gesichtserkennung wird gar nicht kontrolliert. Neu entwickelte Technologien der Exportkontrolle zu unterwerfen, dauert oft mehrere Jahre. Und selbst wenn ein Export genehmigungspflichtig ist, spielen Menschenrechte dabei keine entscheidende Rolle. Die Verordnung wird derzeit reformiert, die EU-Mitgliedstaaten haben Schwierigkeiten, sich zu einigen. Der Prozess zieht sich bereits seit Jahren in die Länge. Es sieht so aus, als blieben viele Möglichkeiten ungenutzt, Menschenrechte besser zu schützen.

 

Einsatz auch in Deutschland

Auch deutsche Behörden setzen Überwachungssoftware ein. Der Polizei ist das bereits erlaubt. Außerdem wird derzeit diskutiert, ob zukünftig auch die Geheimdienste einen sogenannten Trojaner einsetzen dürfen. Für Deutschlands "Staatstrojaner" wurde sogar dieselbe Software eingekauft, die im Ausland zu Menschenrechtsverletzungen missbraucht wird: "FinSpy" von FinFisher aus München. Weil der Staatstrojaner besonders tief in die Privatsphäre eingreift, ist sein Einsatz umstritten. Mehrere Beschwerden wurden beim Bundesverfassungs­gericht eingereicht, eine Entscheidung steht noch aus.

 

Tatort Türkei, Produktionsort München?

"In freier Wildbahn gefunden", das ist der Ausdruck, den IT-Sicherheitsexpertinnen und -experten benutzen, wenn sie eine Spionagesoftware im Einsatz entdeckt haben. Einen solchen Fund gab es im Sommer 2017 in der Türkei. Man fand die Überwachungssoftware "FinSpy" auf einer türkischen Webseite, die als angebliche Informationsseite der türkischen Oppositionsbewegung getarnt war. Das naheliegende Ziel: Kritikerinnen und Kritiker der türkischen Regierung zu überwachen. FinSpy ist eine Überwachungssoftware, die bereits in mehr als 30 Ländern mit teils erschreckender Menschenrechtslage nachgewiesen wurde, etwa in den Vereinigten Arabischen Emiraten und Bahrain. Hergestellt wird sie von der deutschen Firma FinFisher aus München. Ihr Export ist genehmigungspflichtig. Nach Aussage der Bundesregierung wurde schon seit Jahren kein Export für FinSpy mehr genehmigt. Wie kam die Software also in die Türkei? NGOs stellten im Juli 2019 Strafanzeige gegen die Geschäftsführer. Ihr Verdacht: Der Trojaner wurde illegal verkauft. Nun ermittelt die Staatsanwaltschaft München.

Susanne Schmidt ist Kampagnenleiterin, Lena Rohrbach ist Fachreferentin bei Amnesty International Deutschland.

Weitere Artikel