US-Behörden dürfen kommerzielle Staatstrojaner nur noch eingeschränkt nutzen. Das ist ein erster Schritt, darf aber nicht der letzte sein. Denn die Probleme mit staatlichem Hacken löst das nicht.
US-Behörden dürfen in Zukunft kommerzielle Staatstrojaner nur noch eingeschränkt nutzen. Das hat US-Präsident Joe Biden am Montag angeordnet. Ein Komplettverbot für die invasiven Hacking-Tools ist es nicht. Vor allem geht es um Staatstrojaner, von denen eine Bedrohung für die nationale Sicherheit der USA ausgeht oder „ein erhebliches Risiko der missbräuchlichen Verwendung durch eine ausländische Regierung oder eine ausländische Person“. Dazu zählt laut der Anordnung, wenn ein Trojaner gegen US-Bürger:innen eingesetzt wurde oder damit Menschenrechtsverletzungen begangen werden.
Das dürfte das Aus für Staatstrojaner wie Pegasus oder Predator in den USA sein. Wie sie ist kaum ein größeres Trojaner-Unternehmen ohne Skandal. Regierungen überwachen mit den Staatstrojanern Dissident:innen oder setzen sie gegen Medienschaffende ein. Erst letzte Woche wurde bekannt, dass die griechische Regierung eine Managerin von Meta mit US-Staatsbürgerschaft abgehört haben soll. Schon vor zwei Jahren wurde bekannt, dass US-Diplomaten auf der Zielliste von Pegasus standen.
Was die Anordnung Bidens nicht verbietet: All die Hacking-Tools, die US-Behörden selbst entwickeln. Und Staatstrojaner von Herstellern, die noch nicht in autoritären Regimen gefunden wurden und die die USA als vertrauenswürdig einstufen.
Die Branche ist außer Kontrolle
Nicht nur der Pegasus-Skandal hat uns gezeigt: Die kommerzielle Staatstrojaner-Branche ist außer Kontrolle. Bidens Anordnung ist daher ein notwendiger erster Schritt, kann aber nicht der letzte sein.
Wenn wir nach Europa blicken, sehen wir: Ein Stopp für den Ankauf und Einsatz von Staatstrojanern ist überfällig. EU-Staaten hacken und überwachen damit ihre eigene Bevölkerung. Offenbar nicht immer nur, um Terrorist:innen zu fangen. In Polen oder Spanien etwa wurden Staatstrojaner bei politische Opponent:innen gefunden.
Doch selbst wenn alle Trojaner-Hersteller und die sie einsetzenden Regierungen Staatstrojaner stets nur zur Bekämpfung schwerster Verbrechen einsetzen würden: Das Grundproblem mit Staatstrojanern löst das nicht. Was bleibt, sind die Sicherheitslücken, die Hersteller nutzen, um Geräte zu infizieren und auszuspähen. Am wertvollsten dabei sind jene Lücken, die der Öffentlichkeit noch nicht bekannt sind. Und die Hersteller von Geräten und Software deshalb nicht schließen können.
Schwachstellen konsequent schließen
Sicherheitslücken offenhalten, um sie auszunutzen, gefährdet uns alle. Egal, wer das tut. Weder Staaten noch Staatstrojaner-Hersteller haben ein Monopol auf dieses Wissen. Sie können genausogut von gewöhnlichen Kriminellen gefunden und zum Schaden aller ausgenutzt werden. Der Handel mit Sicherheitslücken ist ein Markt. Und wer weiter Geld in dieses System spült, macht sich mitschuldig daran, dass es floriert.
Wenn der Pegasus-Ausschuss im Europaparlament seine Arbeit abschließt und einen Bericht und Empfehlungen vorlegen wird, muss ein Moratorium folgen. Und wir brauchen nicht nur ein Verbot kommerzieller Staatstrojaner, wir brauchen ein Verbot, Sicherheitslücken zu verschweigen – egal ob für staatliche oder kommerzielle Akteure.
Die Ampel hat sich vorgenommen, ein wirksames Schwachstellenmanagement einzuführen. Das darf nur heißen: Es muss verboten sein, Sicherheitslücken offenzuhalten. Alle Lücken, gleich wer sie findet, müssen schnellstmöglich geschlossen werden. Die Haltung von Bundesinnenministerin Faeser dazu ist nicht ganz so klar. Und das ist ein Problem. Die deutsche Regierung sollte es besser machen als die USA und Konsequenzen ziehen. Denn Staatstrojaner, die auf Sicherheitslücken beruhen, gefährden uns alle. Auch den Staat selbst.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires