Ob beim Anschlag in der Wiener Innenstadt 2020, aber auch bei vereitelten Attentaten wie der Wiener Pride 2023 oder den Taylor Swift Konzerten vor kurzem – fast reflexartig kommt von der ÖVP sofort die Forderung nach mehr Überwachungsmöglichkeiten. Schon im April haben wir einen geleakten Gesetzesentwurf der Volkspartei analysiert und ihn klar mit „nicht genügend“ bewertet.

Staatliche Spionagesoftware hat längst nach Europa gefunden, inklusive etlicher Skandale. Besonders wenn Regierungsmitglieder, Opposition, Aktivist:innen oder Journalist:innen von den eigenen Behörden invasiv überwacht werden, bringt das schwerwiegende Konsequenzen für Medienfreiheit, Frieden und Sicherheit mit sich und schwächt selbst stabile Demokratien.

Deutschland: Häppchenweise Einführung & Ausweitung

Unser Nachbarland zeigt deutlich, was passiert, wenn die Tür für hochinvasive Spionagesoftware wie z.B. einen Bundestrojaner auch nur ein Stück weit geöffnet wird. Deutschland hat 2008 ein IT-Grundrecht, also ein Recht der Bürger:innen auf Vertraulichkeit und Integrität ihrer IT-Systeme eingeführt. Die Möglichkeiten, wer, wann und in welchem Ausmaß in dieses Grundrecht eingreifen darf, werden bis heute aber immer mehr ausgeweitet.

Eine heimliche Infiltration von IT-Systemen und damit ein Eingriff in das neu geschaffene Grundrecht war zu Beginn nur bei konkreter Gefahr für überragend wichtige Rechtsgüter (wie zB. Leib, Leben oder Freiheit von Personen) erlaubt. Dieser enge Rahmen wurde über die Jahre immer weiter ausgedehnt.

Seit 2017 ist auch das Abhören laufender Kommunikation für das Bundeskriminalamt (BKA) erlaubt. Das schließt erstmalig auch den Zugriff auf verschlüsselte Nachrichten mit ein. Der einzige Weg, hier Zugang zu haben, ist das Einschleusen eines Bundestrojaners über tiefliegende Sicherheitslücken – also das Hacken des gesamten Zielgeräts, z.B. eines Smartphones: Ein massiver Eingriff in das noch junge IT-Grundrecht, der von vielen Seiten stark kritisiert wird.

Ausweitung auf Alltagskriminalität

Doch damit nicht genug. Deutschland hat nicht nur gravierende Grundrechtseingriffe mit drastischen Überwachungsmaßnahmen eingeführt, sondern auch die Anwendung eines Bundestrojaners auf Alltagskriminalität ausgeweitet – und zwar nicht im Laufe eines eigenständigen Gesetzgebungserfahrens sondern unter dem Hut eines ganz anderen laufenden Verfahrens, in dem im Juni 2017 eigentlich über Führerscheinentzug entschieden wurde.

Diese weitreichenden Überwachungskompetenzen haben wenig überraschend auch über das BKA hinaus Begehrlichkeiten geweckt. Deshalb wurde 2021 der Einsatz von Staatstrojanern auf alle Geheimdienstevon Bund und Ländern ausgeweitet und erlaubt das Mitlesen von verschlüsselten Nachrichten noch bevor Straftaten überhaupt begangen wurden.

Trotz der stetigen Ausweitung der Überwachungsmaßnahmen ist man sich in Deutschland bewusst, dass das Offenhalten von Sicherheitslücken gleichzeitig auch das Offenhalten von Einfallstoren für Kriminelle oder andere Akteure bedeutet. Seit Jahren wird sich deshalb um ein sogenanntes „Schwachstellenmanagement“ bemüht.

Eine so gefährliche Maßnahme zu legalisieren und sich dazu erst im zweiten Schritt Gedanken über Gefahreneinschränkung zu machen ist nicht nur fragwürdig, sondern klar die falsche Reihenfolge – vom massiven Grundrechtseingriff und den realen Gefahren durch hohes Missbrauchspotenzial ganz abgesehen. Daran darf sich Österreich kein Beispiel nehmen.

Zweifelhafte Vertragspartner

Spywareunternehmen aus Österreich und Deutschland wie DSIRF oder FinFisher sind dabei keine Ausnahme. Die Spionagesoftware von FinFisher wurde z.B. von Deutschland selbst eingesetzt. Schnell kam der Verdacht auf, dass sie im eigenen Land auch über rechtliche Grenzen hinaus angewendet wird. Außerdem soll die Firma in repressive Regime auf der ganzen Welt exportiert und damit geholfen haben, Geräte von Journalist:innen oder Aktivist:innen zu hacken. Wegen deshalb verordneten hohen Bußgeldern hat die Firma mittlerweile Konkurs angemeldet.

Das hat die deutsche Regierung aber nicht davon abgehalten, Spionagesoftware dann eben von einem anderen fragwürdigen Unternehmen einzusetzen.

Mittlerweile nutzen sowohl das BKA als auch der deutsche Auslandsgeheimdienst die höchst umstrittene Spionagesoftware „Pegasus“ und stecken Steuergeld in die israelische Spyware, die in zahlreichen Ländern eingesetzt wird, auch in autoritären Staaten. Dabei werden Oppositionelle, Politiker:innen, Journalist:innen oder Anwält:innen zum Opfer dieser offenkundig immer wieder missbräuchlich verwendeten Spionagesoftware.

Angriffe aus den eigenen Reihen

Das Muster, dass staatliche Spyware oft über die rechtlichen Grenzen hinaus und auch gegen Politiker:innen und Bürger:innen des eigenen Landes eingesetzt wird, zeigt sich nicht nur in autoritären Regimen, sondern ist längst auch in Europa angekommen.

Spanien

Ein besonders kritisches Beispiel dafür ist Spanien, wo die Geheimdienstchefin gestanden hat, Handys katalanischer Unabhängigkeitspolitiker:innen, Journalist:innen und Aktivist:innen mittels Pegasus bespitzeln gelassen zu haben. Auch auf dem Handy des spanischen Regierungschefs, der Verteidigungsministerin und des Innenministers war die Schadsoftware zu finden, wodurch auch eine beträchtliche Datenmenge abgeschöpft wurde. Wer diese und weitere Geräte ausspioniert hat, auf denen sich die Spyware Pegasus befand, ist nicht gesichert. Naheliegend ist aber, dass auch hier Teile des spanischen Sicherheitsapparates vorgingen – eigenmächtig und ohne richterliche Genehmigung, was weitere Fragen zu dieser Überwachungsaktionen aufwirft.

Griechenland

Auch in Griechenland kam es 2022 zu einem großen Skandal unter dem Namen „Predatorgate“. Eine lange Liste von Journalist:innen und Politiker:innen – u.a. das halbe Regierungskabinett – sollen abgehört und überwacht worden sein. Zeitgleich wurde auf den Telefonen einiger dieser Personen die Spionagesoftware Predator installiert. Der Oberste Gerichtshof wertete das jedoch als Zufall und sieht keinen Zusammenhang zwischen den Überwachungsmethoden des Nachrichtendienstes und den Hacks mit der Spyware Predator.

Der PEGA-Untersuchungsausschuss des Europaparlaments bemängelt jedoch unzureichende Transparenz und gerichtliche Kontrolle in Griechenland und kommt zu dem Schluss, dass ggf. weitere Untersuchungen und Sanktionen nötig sind. (PEGA Abschlussbericht Abs. 135)

Obwohl in Griechenland also die Vertraulichkeit der Kommunikation nur in Fällen der nationalen Sicherheit und bei der Untersuchung schwerer Verbrechen aufgehoben werden durfte (PEGA Abschlussbericht Abs. 174), kam es zu einem der größten Spywareskandale Europas.

Polen

In Polen sollen laut Berichten fast 600 Personen während der PiS-Regierung mit der Spionagesoftware Pegasus gehackt worden sein. Darunter zahlreiche oppositionelle Politiker:innen, Jurist:innen, u.a. eine Staatsanwältin und der Kampagnenleiter der damaligen Oppositionspartei. Überwacht wurden auch Mitglieder der damaligen Regierung.

Die Verbreitung von verfälschten, privaten Nachrichten hatte starken Einfluss auf den damaligen Wahlkampf und trug dazu bei, dass die rechtskonservative PiS-Partei die Wahl 2019 für sich entscheiden konnte. Auch abseits der Pegasus-Affäre wurden in den vergangenen Jahren tausende Menschen in Polen überwacht. Nicht alle Überwachungsmaßnahmen waren notwendigerweise illegal, in vielen Fällen aber wurden die vorgeschriebenenrechtsstaatlichen Verfahren nicht eingehalten.

Hochrangige Politiker:innen, Journalist:innen & Menschenrechtsaktivist:innen

Allein zu Beginn der Enthüllungen um die Trojanersoftware Pegasus deuteten die Recherchen auf 180 betroffene Journalist:innen hin – z.T. von großen Medienhäusern wie dem Wall Street Journal, CNN, die New York Times, Al Jazeera, France 24, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, Agence France-Presse, Economist, Reuters und Voice of America.

Die Liste der Betroffenen geht weiter und umfasst u.a. Europaabgeordnete, die Präsidentin des Europaparlaments, die EU-Kommission oder Mitglieder des Europäischen Rats und des Rats der EU (PEGA Abschlussbericht Abs. 411-422).

Auch Frankreich kann sich gegen Angriffe mit staatlicher Spyware nicht schützen. Der französische Präsident Emanuel Macron, Ex-Premierminister Édouard Philippe und dessen Frau sowie 14 weitere französische Minister wurden 2016 Opfer eines Angriffs mit der Spionagesoftware Pegasus. In Belgien war es Charles Michel, Ex-Primierminister und aktueller Präsident des Europäischen Rates. Berichten zufolge wurde der Staatstrojaner Pegasus auch auf den Computersystemen des britischen Außenministeriums gefunden.

Nur die Spitze des Eisbergs

All das ist nur die Spitze des Eisbergs und auch die wahrscheinlich weit von Vollständigkeit entfernte Liste der betroffenen Staatsoberhäupter, Oppositionspolitiker:innen, Aktivist:innen, Richter:innen und Journalist:innen geht weiter.

Wo immer das Überwachungsinstrument eingesetzt wird, das sich die ÖVP so dringend wünscht, findet man auch die dazugehörigen Menschenrechtsverletzungen. Angesichts der weltweiten Hackingangriffe sollten Österreich und Europa dringend die allgemeine IT-Sicherheit stärken und nicht Steuergeld in offengehaltene Sicherheitslücken auf all unseren Geräten – und damit unsere Unsicherheit – investieren. Von der Unterstützung der Spywareindustrie, die weltweit für Menschenrechtsverletzungen verantwortlich ist, ganz abgesehen.