Im digitalen Fadenkreuz staatlicher Kontrolle

Die Entstehung der modernen Überwachungsindustrie lässt sich nur vor dem Hintergrund der historischen Kontinuität staatlicher Überwachungsinteressen verstehen. Seit ihrem Bestehen versuchen Staaten, Kommunikationsstrukturen zu kontrollieren und Informationen über ihre Bevölkerung, politische Gegner oder ausländische Akteure zu sammeln. Es gibt zahlreiche historische Fälle von staatlicher Postkontrolle, Telefonüberwachung oder Funkaufklärung. Diese Tendenzen hängen weniger mit der zeitlich populären Staatsform zusammen als vielmehr mit den natürlichen Mechanismen externer, zentralisierter Autorität, also dem Fundament staatlicher Macht.

Wer nun glaubt, dass diese Phänomene mit der Stasi ausgestorben sind und in „unserer Demokratie” keine Rolle mehr spielen, den muss ich in den folgenden Abschnitten leider enttäuschen. In Zeiten der Digitalisierung und der sogenannten Industrie 4.0 eröffnen sich für den Staatsapparat tatsächlich historisch noch nie dagewesene Möglichkeiten. Werfen wir hierzu einen Blick auf die jüngsten Erkenntnisse zur deutschen Überwachungsmethodik und den lokalen Markt für Spyware „Made in Germany”.

Staatstrojaner

In den 2010er Jahren kochte in Deutschland ein Skandal um die Staatstrojaner-Firmengruppe FinFisher hoch. FinFisher, auch „FinSpy” genannt, war eine ursprünglich von der deutsch-britischen Firma Gamma Group entwickelte kommerzielle Überwachungssoftware, die später von weiteren Firmen weitergeführt wurde. Die Software wurde für Polizeibehörden, Geheimdienste und staatliche Sicherheitsapparate entwickelt und an diese vertrieben. Technisch handelte es sich um einen sogenannten Staatstrojaner, der nach einer Infektion tiefgreifenden Zugriff auf Endgeräte wie Smartphones und Laptops ermöglichen konnte.

Im Jahr 2011 berichtete der Chaos Computer Club über FinFisher und deckte auf, dass sich die staatlichen Behörden in Sachen Überwachungssoftware für das eigene Volk keinesfalls an die selbst vorgeschriebenen Gesetze halten wollten. So war die heimliche Erweiterung der Funktionalitäten der Computerwanze von vornherein auf eine verfassungswidrige Nutzung ausgelegt. Bereits mit den vorkonfigurierten Funktionen des Trojaners konnten Inhalte des Webbrowsers, private Notizen, E-Mails oder Texte in webbasierten Cloud-Diensten ausgelesen werden. Dabei hatte das Bundesverfassungsgericht bereits 2008 enge Grenzen für die Staatsspionage gesetzt. Nur ist das so eine Sache, wenn man sich als Staatsapparat selbst regulieren darf.

Eigentlich durften staatliche Behörden zum damaligen Zeitpunkt lediglich eine Quellen-Telekommunikationsüberwachung durchführen. Eine solche „Quellen-TKÜ” beschränkt sich rechtlich und technisch auf das Abhören von Internettelefonie.

Zudem konnte der Behördentrojaner auf Kommando Funktionserweiterungen laden, um die Schadsoftware für weitere Aufgaben beim Ausforschen des betroffenen informationstechnischen Systems zu nutzen. Dieser Vollzugriff auf den Rechner konnte etwa zum Hinterlegen gefälschten, belastenden Materials oder zum Löschen von Dateien durch unautorisierte Dritte benutzt werden.

Ein Jahr später schloss das Berliner Landeskriminalamt einen mit öffentlichen Mitteln in Höhe von rund 400.000 Euro finanzierten Vertrag mit der Firmengruppe FinFisher über die Beschaffung dieser Software ab. Da der Gegenwind in Berlin doch zu stürmisch wurde, kündigte man den Vertrag 2017 wieder. Im selben Jahr genehmigte der Bundestag den Einsatz von Staatstrojanern. Die FinFisher-Gruppe meldete 2021/2022 Insolvenz an und stellte nach viel öffentlicher Kritik ihren Geschäftsbetrieb offiziell ein. Seit 2016 entwickelt und nutzt das BKA eigene Staatstrojaner wie „RCIS”.

Seit 2020 dürfen alle 19 Geheimdienste von Bund und Ländern offiziell Staatstrojaner einsetzen. Mit dem Bundespolizeigesetz von 2021 darf die größte Polizei Deutschlands Staatstrojaner sogar gegen Personen einsetzen, die noch gar keine Straftat begangen haben. Dabei handelt es sich um eine sogenannte präventive Telekommunikationsüberwachung.

Ende 2019 kaufte das Bundeskriminalamt die israelische Spionagesoftware „Pegasus”. Dieses von der NSO Group entwickelte Überwachungswerkzeug kann das gesamte Smartphone des Opfers überwachen: von Nachrichten und Standort über Kamera bis hin zu Dateien. In einem Untersuchungsausschuss im Jahr 2022 gab die NSO Group an, dass etwa 50 Regierungen den Staatstrojaner Pegasus pro Jahr 12.000 bis 13.000 Mal einsetzen, um Smartphones zu hacken.

QuaDream Ltd. ist ein weiteres israelisches Unternehmen, das sich auf die Entwicklung und den Verkauf fortschrittlicher digitaler Angriffstechnologien für Regierungskunden spezialisiert hat. Das Unternehmen ist bekannt für seine unter dem Namen „Reign” vermarktete Spionagesoftware, die Berichten zufolge ähnlich wie die Pegasus-Spionagesoftware der NSO Group Zero-Click-Exploits nutzt, um sich in Zielgeräte zu hacken. Ein Zero-Click-Exploit ist ein Angriff, bei dem ein Gerät kompromittiert werden kann, ohne dass die betroffene Person irgendeine Aktion ausführt. Es ist weder erforderlich, auf einen Link zu klicken, noch eine Datei zu öffnen oder eine App aktiv zu starten. Allein der Empfang speziell präparierter Daten genügt, um eine Schwachstelle in einer App oder im Betriebssystem auszunutzen.

Wie durch eine parlamentarische Anfrage bekannt wurde, steht die deutsche Bundesbehörde für Informationstechnik im Sicherheitsbereich (ZITiS) seit 2019 im Austausch mit QuaDream. Obwohl offiziell keine öffentliche Beschaffung bekannt ist, bedeutet das nicht zwingend, dass kein Einsatz stattgefunden hat. In Deutschland unterliegen entsprechende Maßnahmen regelmäßig der Geheimhaltung.

Datenanalyse und Big Data

Neben der Datengewinnung durch den gezielten Einsatz von Staatstrojanern und ähnlicher Spionagesoftware bildet die Sammlung von Metadaten über die gesamte Bevölkerung hinweg eine weitere Ebene moderner Überwachungs- und Analysearchitekturen. So hat sich das im Jahr 2005 in Leipzig gegründete Unternehmen ipoque beispielsweise auf die Analyse und Klassifizierung von Netzverkehr spezialisiert. Das Kernprodukt der 2011 von Rohde & Schwarz aufgekauften Firma ist die Deep-Packet-Inspection-(DPI)-Technologie. Mit dieser lassen sich Datenströme in Echtzeit nach Protokollen, Anwendungen und Kommunikationsmustern erkennen und auswerten. Die Software untersucht den laufenden Netzwerkverkehr und erzeugt Metadaten über Kommunikationsbeziehungen, Protokolle und Nutzungsverhalten. Diese Technologie wird regelmäßig von Telekommunikationsunternehmen, Sicherheitsbehörden und Nachrichtendiensten genutzt.

Anschließend werden diese Metadaten gemeinsam mit allen weiteren vorhandenen Informationen aus internen Registern und anderen Quellen von großen Analyseplattformen wie Palantir Technologies ausgewertet. Das amerikanische Unternehmen wurde 2003 unter anderem von Peter Thiel und Alex Karp gegründet. Der deutsch-amerikanische Unternehmer und Milliardär Peter Thiel war ebenfalls Mitgründer von PayPal und früherer Investor bei Facebook. Als politisch einflussreicher Akteur gilt er als einer der bekanntesten Vertreter der Technokratie im Silicon Valley. Palantir wurde vor allem durch die frühen Investitionen von In-Q-Tel gefördert, dem Risikokapitalarm der Central Intelligence Agency (CIA).

Die Palantir-Software Gotham ist besonders bekannt. Sie wird von Polizei- und Nachrichtendiensten genutzt, um unterschiedliche Datenquellen zu verknüpfen und auszuwerten. Sie dient dazu, Daten aus Polizeidatenbanken, Telekommunikationsinformationen, Melderegistern, Fahrzeugdaten oder offenen Quellen in einem gemeinsamen Analyseumfeld zu verknüpfen und so Beziehungen zwischen Personen, Orten, Ereignissen und Kommunikationsmustern sichtbar zu machen. Im Unterschied zu Staatstrojanern wie Pegasus oder FinSpy dringt Gotham nicht selbst in Endgeräte ein, sondern verarbeitet bereits vorhandene Datenbestände. In Deutschland wird diese Technologie bereits in mehreren Bundesländern eingesetzt: In Hessen wird sie unter dem Namen „HessenDATA” genutzt, in Nordrhein-Westfalen als „DAR” (Datenbankübergreifende Analyse und Recherche) und in Bayern als „VeRA” (Verfahrensübergreifende Recherche- und Analyseplattform).

Ortung und Tracking

Bisher haben wir uns mit der gezielten Überwachung durch sogenannte Staatstrojaner sowie mit der infrastrukturellen Datenanalyse mittels Deep-Packet-Inspection (DPI) oder Palantir auseinandergesetzt. Leider sind wir damit noch nicht am Ende, denn tatsächlich spielt auch die massenhafte passive Sammlung von Werbedaten mittlerweile eine übergeordnete Rolle im staatlichen Willen nach mehr Überwachung und Kontrolle.

Das international anerkannte Forschungsinstitut Citizen Lab der University of Toronto hat sich unter anderem auf die Analyse globaler Geolokalisierungs- und Überwachungssysteme wie Webloc spezialisiert. Webloc ist eine ursprünglich vom israelischen Unternehmen Cobwebs Technologies entwickelte Spionagesoftware, die nun von dessen amerikanischem Nachfolger Penlink vertrieben wird. Sie arbeitet auf der Grundlage von Datenauswertung aus Verbraucher-Apps und digitaler Werbung und kann hunderte Millionen Menschen gleichzeitig überwachen. Die US-Einwanderungs- und Zollbehörde (ICE) nutzt diese Software beispielsweise bereits.

Nach seinen ausführlichen Untersuchungen kommt das Citizen Lab zu dem Schluss, dass diese in die Privatsphäre eingreifende und rechtlich fragwürdige, werbebasierte Überwachung von Militär-, Geheimdienst- und Strafverfolgungsbehörden bis hin zu lokalen Polizeieinheiten in mehreren Ländern weltweit eingesetzt wird. Neben weiteren potenziellen Produktservern wurden auch acht aktive Server in Deutschland identifiziert, die mit der Produktinfrastruktur in Verbindung stehen. Zudem unterhält das amerikanische Unternehmen mit der Pen-Link GmbH mittlerweile auch eine deutsche Niederlassung. Es gibt bisher keinen öffentlich zugänglichen Beleg dafür, dass die Bundes- oder Landesbehörden Webloc angeschafft oder eingesetzt haben. Eine parlamentarische Anfrage dazu ließ die Bundesregierung unter Verweis auf Sicherheitsinteressen vielsagend unbeantwortet.

Fazit

Wie wir aufzeigen konnten, ergeben sich durch das digitale Zeitalter noch nie dagewesene staatliche Überwachungs- und Spionagemöglichkeiten. Dieser Trend wird mit jedem weiteren Schritt in Richtung einer vollständig digitalen Welt noch exponentiell zunehmen. Der staatliche Drang nach Überwachung ist dabei historisch kontinuierlich und natürlich. Die technologisch eskalierende Form davon ist jedoch Neuland und zutiefst beunruhigend.

Und auch wenn diese Methoden natürlich auch zur Bekämpfung tatsächlicher Straftaten genutzt werden können, markieren wir als Gesellschaft damit ein neues Zeitalter staatlicher Macht. Besonders kritisch zu bewerten ist die seit 2021 rechtlich verankerte präventive Überwachung mittels sogenannter Staatstrojaner. Wenn der Bürger überwacht wird, bevor er verdächtig ist, steht er unter Generalverdacht. Dieser Verdacht ist ab sofort an statistische Profile und behördliche Risikoeinschätzungen geknüpft.

Dies erzeugt darüber hinaus einen sogenannten Chilling Effect. Wenn Bürger nicht wissen können, ob ihre Kommunikation abgehört wird, neigen sie zur Selbstzensur, in politischen Äußerungen, journalistischen Recherchen und zivilgesellschaftlichem Engagement. Solch eine Überwachungsarchitektur wirkt damit repressiv gegenüber jeglicher staatlichen Kritik.

Was sich aus alledem ergibt, ist ein technisch hochentwickeltes, rechtlich weitgehend abgesichertes und privatwirtschaftlich gestütztes Überwachungsregime. Der längst bestehende staatliche Überwachungsbedarf wird dabei von privatwirtschaftlichen Dienstleistern abgedeckt. Die Produkte von Unternehmen wie Gamma Group, NSO Group oder Palantir besitzen außerhalb staatlicher Sicherheitsapparate dabei kaum einen legalen oder wirtschaftlich relevanten Absatzmarkt. Spyware zur heimlichen Kompromittierung von Smartphones, IMSI-Catcher, Zero-Day-Exploits oder Systeme zur massenhaften Kommunikationsanalyse sind keine Konsumgüter für einen offenen Markt, sondern hochspezialisierte Werkzeuge für Polizei, Militär und Nachrichtendienste. Ohne staatliche Nachfrage würden viele dieser Unternehmen keine wirtschaftliche Existenzgrundlage besitzen und schlichtweg nicht existieren.

Damit entsteht ein Markt, der faktisch weitgehend indirekt über öffentliche Mittel finanziert wird. Die Entwicklung, Beschaffung und Nutzung solcher Überwachungstechnologien erfolgt überwiegend über staatliche Sicherheitsbudgets und damit letztlich über Steuergelder. Der Staat schafft dabei nicht nur die Nachfrage, sondern legitimiert sie zugleich durch Sicherheitsgesetze, Anti-Terror-Maßnahmen oder erweiterte Ermittlungsbefugnisse.

Lösungen

Und wieder einmal stellt sich die überwältigende Frage, was wir tun können? Wir können zuallererst darüber sprechen und die Gefahren aufzeigen. Wir können der ganzen Thematik mit Demonstrationen und Petitionen eine Bühne geben. Solche Maßnahmen sind bis zu einem gewissen Punkt sinnvoll und nützlich. Doch wird man die natürlichen Tendenzen eines jeden Staates nach mehr Überwachung und Kontrolle niemals langfristig bekämpfen können. Genauso wenig ist der technische Fortschritt in der führenden Gesellschaft aufhaltbar.

Der einzig langfristig sinnvolle Weg ist auch hier wieder das Übernehmen eigener Verantwortung. Informiere dich über die staatlichen Überwachungs- und Spionagemethoden und versuche dich davor zu schützen. Besorge dir ein Smartphone oder einen Laptop mit entsprechenden Sicherheitsvorkehrungen, GrapheneOS Betriebssystem und verschlüsselter Kommunikation. Finde eigene Mittel und Wege erfolgreich am Aufbau einer parallelen freieren Gesellschaft mitzuwirken. Weitere Informationen findest du auf dieser Seite.