Blog 11. Januar 2016

Staatliche Hacking-Angriffe auf Menschenrechtsorganisationen – Ein kurzer Überblick

Millionen von Informationsteilchen, die wir online veröffentlichen, ergeben letzten Endes ein präzises Bild von uns

Dass Regierungen und Streitkräfte einander ausspionieren, ist seit jeher bekannt. Doch seit mindestens fünf Jahren ist zu beobachten, dass auch Nichtregierungsorganisationen, Journalistinnen und Journalisten sowie Menschenrechtsaktivistinnen und –aktivisten von Staaten ausspioniert werden.

Morgan Marquis-Boire ist ein stellvertretender Berater im Rat für Technologie und Menschenrechte von Amnesty International.

Eva Galperin ist Global Policy-Analystin der Electronic Frontier Foundation in San Francisco.

Als Google 2010 bekanntgab, einen Hacking-Angriff der chinesischen Regierung entdeckt zu haben, wurde erstmals bekannt, dass Staaten es auch auf „Zivilpersonen“ abgesehen haben. Adobe Systems und Juniper Networks bestätigten daraufhin, dass auch sie Opfer derselben Offensive geworden waren, und weitere Untersuchungen zeigten, dass Yahoo und Symantec ebenfalls angegriffen wurden. Gleichzeitig nutzte die chinesische Regierung ähnliche Taktiken, um gegen tibetische Nichtregierungsorganisationen vorzugehen. Ihre Angriffe auf tibetische Ziele werden bis heute fortgesetzt.

Seitdem ist es für Regierungen aus aller Welt eine gängige Praxis geworden, Hacking-Angriffe auf Aktivistinnen und Aktivisten durchzuführen, um Zugang zu ihren Kommunikationsdaten, Netzwerken und Online-Aktivitäten zu erhalten. Als sich 2011 eine Welle revolutionärer Aufstände in der arabischen Welt ausbreitete, brachte sie eine gegen Aktivistengruppen gerichtete Überwachungskampagne mit sich.

Journalisten, Aktivisten, Rechtsbeistände

Die marokkanische Regierung nutzte eine kommerzielle Spähsoftware des italienischen Spionagesoftware-Herstellers Hacking Team, um Mamfakinch, eine marokkanische Organisation von Bürgerjournalistinnen und –journalisten, zu hacken. Bahrain Watch, eine Nichtregierungsorganisation, die Waffenverkäufe an die bahrainische Regierung überwacht, wurde – neben weiteren bekannten bahrainischen Aktivistinnen und Aktivisten sowie Rechtsbeiständen – mithilfe von FinFisher, einem anderen kommerziellen Spionagesoftware-Paket, angegriffen. FinFisher wird zwar in Deutschland hergestellt, wurde aber von der britischen Firma Gamma Group vertrieben.

Auch Ahmed Mansoor, Mitglied des Beratenden Ausschusses der Nahost-Abteilung von Human Rights Watch, wurde Opfer eines Hacker-Angriffs.

In den Vereinigten Arabischen Emiraten öffnete Ahmed Mansoor, ein Mitglied des Beratenden Ausschusses der Nahost-Abteilung von Human Rights Watch, ein schädliches Dokument, das Spionagesoftware der Firma Hacking Team auf seinem Computer installierte. Dadurch konnten die lokalen Behörden seine Bewegungen verfolgen und seine E-Mails lesen. Eine die syrische Regierung unterstützende Hacker-Gruppe, die sich Syrische Elektronische Armee nennt, führte ebenfalls mehrere Hacking-Angriffe durch, wovon eine Reihe von Nachrichtenorganisationen sowie Human Rights Watch betroffen waren.

Mittelbare Hacking-Angriffe

Allerdings treten diese Aktivitäten auch außerhalb der arabischen Welt auf. Die  Nachrichtendienste des Vereinigten Königreichs fingen private Kommunikationsdaten von Amnesty International ab. Ende 2012 wurde das US-amerikanische Center for Democracy and Technology von Gruppen angegriffen, die von der chinesischen Regierung unterstützt wurden. Im Dezember 2013 wurden Angestellte der Electronic Frontier Foundation (EFF) in den USA, die mit vietnamesischen Aktivistinnen und Aktivisten zusammengearbeitet hatten, Opfer von Hacking-Angriffen durch Gruppen, die mit der vietnamesischen Regierung in Verbindung standen.

Das Vorgehen gegen die Nichtregierungsorganisation EFF war Teil einer gezielten Operation, die Jahre andauerte. Zu ihr zählten auch Angriffe auf einen Journalisten der Associated Press, einen vietnamesischen Akademiker mit Sitz in Frankreich und den Gründer von "Ba Sam“, einem der beliebtesten regimekritischen Blogs Vietnams. Im August 2015 wurde ein weiterer EFF-Aktivist Opfer einer aufwändigen Phishing-Attacke durch Personen, die mit der iranischen Regierung in Verbindung stehen.

Die Spitze des Eisbergs

Diese nachweisbaren Angriffe sind aller Wahrscheinlichkeit nach nur die Spitze des Eisbergs. Die Untersuchung solcher Vorfälle mit dem Ziel, fundierte Aussagen über die Hacker machen zu können, erfordert Zeit und Fachkenntnisse, und selbst dann ist es möglich, dass sie keine schlüssigen Ergebnisse liefert. So schien eine Online-Attacke auf die Nichtregierungsorganisation Committee for the Protection of Journalists aus dem Jahr 2012 politisch motiviert zu sein, konnte aber keiner Regierung eindeutig zugeordnet werden.

Es gibt noch weitere Gründe, aus denen Angriffe gegen Nichtregierungsorganisationen nicht ausreichend belegt werden. Viele der Organisationen verfügen einfach nicht über die Infrastruktur, die zum Erkennen eines Angriffs notwendig wäre. Selbst wenn ihnen etwas auffällt, wie beispielsweise eine Phishing-E-Mail, verfügen sie häufig nicht über das nötige interne Know-How oder wissen nicht, wo sie zusätzliche Unterstützung bekommen können. In anderen Fällen zögern sie, Hilfe einzuholen, da sie dann eingestehen müssten, einem solchen Angriff zum Opfer gefallen zu sein. Darüber hinaus entscheiden sich viele Nichtregierungsorganisationen gegen eine Bekanntmachung ihrer Sicherheitsprobleme, weil sie befürchten, damit das Vertrauen, das Aktivistinnen und Aktivisten in sie setzen, zu erschüttern.

Stillschweigen spielt den Angreifern in die Hände

Was können Nichtregierungs- und Menschenrechtsorganisationen also tun? Zunächst einmal müssen sie verstehen, dass die Verschlüsselung ihrer Kommunikation allein nicht ausreichend Schutz bietet. Der nächste Schritt ist der Entwurf eines Aktionsplans für den Umgang mit gezielten Angriffen. Dieser sollte den Aufbau eines Netzwerks von Expertinnen und Experten, die im Notfall kontaktiert werden können, sowie die Finanzierung von Fachpersonal für Infrastruktur und Sicherheit beinhalten.

Schließlich sollten Organisationen es in Betracht ziehen, staatliche Hacking-Angriffe öffentlich zu machen. Stillschweigen spielt bloß den Angreifern in die Hände. Der Öffentlichkeit zugängliche Informationen über staatliche Angriffe helfen anderen Nichtregierungsorganisationen, die ähnlichen Bedrohungen ausgesetzt sind. Weitere potentielle Opfer erhalten so die Informationen, die sie benötigen, um für einen besseren Schutz zu sorgen. Zudem ermöglicht dies einen Dialog darüber, welchen Bedrohungen Aktivistinnen und Aktivisten in aller Welt ausgesetzt sind und wie sie besser geschützt werden können.

Mehr dazu

Blog Deutschland

Unterricht mal anders

Als Auszeichnung ihres Engagements beim Briefmarathon 2015 veranstalteten Amnesty und die Band MIA. einen Workshop mit Schülerinnen und Schülern in Düsseldorf.
Blog USA

Nach 41 Jahren Haft wieder in Freiheit

Gary Tyler wurde Ende April aus der berüchtigten Strafanstalt "Angola State Prison" entlassen, wo er den überwiegenden Teil seines Lebens verbringen musste.
Blog Griechenland

"Lasst uns die Flüchtlinge herbringen!"

Mit einem Auto-Korso haben mehrere Hundert Menschen in Brüssel die EU-Staaten an ihr Versprechen erinnert, die in Griechenland gestrandeten Flüchtlinge umzuverteilen.