Freitag, 24.09.2021
 
Seit 05:05 Uhr Informationen am Morgen
StartseiteKommentare und Themen der WocheEs braucht ein Moratorium für Spyware-Exporte21.07.2021

Ärger um Spionage-Software "Pegasus" Es braucht ein Moratorium für Spyware-Exporte

Die Enthüllungen über die Spionage-Software Pegasus zeigen: Es gebe einen schwungvollen Handel mit Sicherheitslücken und Schadsoftware, kommentiert Johannes Kuhn. Eine Garantie für verantwortlichen Einsatz der Spyware gebe es dagegen nicht. Nun brauche es klare Regeln - auch in Cyber-Grundsatzfragen.

Von Johannes Kuhn

Hören Sie unsere Beiträge in der Dlf Audiothek
Der französische Präsident Emmanuel Macron schaut auf sein Handy (picture alliance / abaca | Lemouton Stephane/ABACA)
Der französische Präsident Emmanuel Macron war Ziel eines digitalen Spionageversuchs (picture alliance / abaca | Lemouton Stephane/ABACA)

Dass Frankreichs Präsident Emmanuel Macron Opfer eines ausgeklügelten digitalen Spionageversuchs geworden sein konnte, überrascht wenig. Dass dahinter ausgerechnet das kleine Marokko vermutet wird, erscheint auch nur auf den ersten Blick ungewöhnlich: Denn im Cyberraum können auch solche Länder reüssieren, die sonst militärisch und nachrichtendienstlich in der zweiten oder dritten Reihe stehen.

Die Enthüllungen über die Spionage-Software Pegasus werfen ein Schlaglicht auf die Entwicklungen der vergangenen Jahre: In einem internationalen Schattengewerbe wird mit Sicherheitslücken und Schadsoftware gehandelt, verschwimmen die Grenzen zwischen staatlichen und nicht-staatlichen Akteuren.

Spyware kann leicht missbraucht werden

Das Programm, das heute noch ein Hacker-Werkzeug des US-Geheimdienstes NSA ist, kann übermorgen schon Erpressersoftware in Firmennetzwerke einschleusen. Und die unerkannte Smartphone-Sicherheitslücke für Geheimdienste ist eben auch für Cyberkriminelle interessant – und macht theoretisch Milliarden von Geräten zur Zielscheibe.

Zwei Hände halten ein Smartphone. (dpa/picture alliance/Larry W. Smith) (dpa/picture alliance/Larry W. Smith)Alles Wissenswerte zum Pegasus-Trojaner
Der mexikanische Präsident, ungarische Investigativjournalisten, indische Oppositionelle - unter anderem ihre Smartphones sollen mit der Spionage-Software Pegasus überwacht worden sein. Weltweit sind mehrere tausend Personen betroffen. Ein Überblick.

Wenn es um Spionagesoftware geht, ist oft vom "dual-use" die Rede, also vom doppelten Verwendungszweck. Doch die Pegasus-Affäre zeigt: Entgegen der Beteuerung des Herstellers NSO Group lässt sich eben nicht sicherstellen, dass Länder die Software verantwortungsvoll einsetzen. Also zur Kriminalitäts- und Terrorismusbekämpfung, und nicht zur Überwachung von Aktivisten, politischen Gegnern und Journalisten.

Spionage-Software gibt es auch aus Deutschland

Ob man jetzt den Wilden Westen oder einen Dschungel als Metapher wählt: Die Situation ist chaotisch, es fehlt an Kontrolle und Regulierungsversuchen. Offensive Cyber-Fähigkeiten scheinen zum militärischen und nachrichtendienstlichen Rüstzeug der Zukunft zu gehören.

Viele Länder befürchten, abgehängt zu werden; andere hoffen darauf, im Cyberraum eine Rolle zu spielen, die ihnen zuvor verwehrt geblieben war. Auch demokratische Nationalstaaten tragen dazu bei, dass die Nachfrage nach jenen unerkannten Sicherheitslücken floriert, durch die Schadprogramme eingeschleust werden können.

Auch die Bundesregierung hat sich in diesem Bereich nicht durch besondere strategische Weitsicht hervorgetan. Bei der Verschärfung der europäischen Spyware-Exportbeschränkungen stand Deutschland – wie übrigens auch Frankreich - lange Zeit auf der Bremse. Denn Spionagesoftware gibt es auch als Export made in Germany.

Klarere Regeln, umfassende Regulierung

Mit größeren Transparenz- und Genehmigungspflichten alleine ist es nicht getan, für eine umfassende Regulierung bräuchte es ein Moratorium auf Spyware-Exporte.

Und die Nutzung unentdeckter Software-Schwachstellen durch die deutschen Sicherheitsbehörden braucht klarere Regeln als bisher. Denn jede nicht geschlossene Lücke macht Bürger und Firmen angreifbar, ohne dass sie es wissen.

Mitarbeitende des European Cybercrime Centre in Den Hag (picture alliance / ANP | Ilvy Njiokiktjien) (picture alliance / ANP | Ilvy Njiokiktjien)Wie Behörden Cyber-Kriminelle jagen
Viele Kommunen sind schlecht vor Hackerangriffen geschützt. Den Verbrechern im Netz auf die Spur zu kommen, erfordert vielschichtige internationale Zusammenarbeit. Die Behörden rüsten auf.

Das Bundesverfassungsgericht hat just heute dazu festgestellt: Nein, der Staat ist nicht verpflichtet, jede Software-Sicherheitslücke gleich dem Hersteller zu melden. Aber wenn er Schwachstellen nutzen möchte, darf er auch seine Schutzpflicht gegenüber dem Bürger nicht vergessen. Es braucht also klare Regeln.

Die Signale kommen also dieser Tage von unterschiedlichen Seiten. Nichtsdestotrotz sind sie sind eindeutig: Die Bundesregierung hat wichtige Cyber-Grundsatzfragen zu lange im Vorbeigehen regeln wollen.

Johannes Kuhn (Deutschlandradio / Christian Kruppa)Johannes Kuhn (Deutschlandradio / Christian Kruppa)Johannes Kuhn, Jahrgang 1979, hat Anglistik und Germanistik in Würzburg und Jyväskylä studiert. Nach der Volontärsausbildung an der Berliner Journalisten-Schule (BJS) arbeitete er zunächst als Redakteur bei ZEIT Online in Hamburg und Berlin. Danach gut zehn Jahre für die "Süddeutsche Zeitung" (Online und Print) tätig, unter anderem zwischen 2014 und 2019 als freier Korrespondent im Westen der USA. Seit Sommer 2019 freier Korrespondent im Hauptstadtstudio des Deutschlandradios. Schwerpunktthemen: Digitalpolitik und gesellschaftliche Digitalisierung sowie die Partei Die Linke.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk