IGF25: Diktatoren und Demokraten im globalen Süden als Kunden von Spyware

Als Wake-up-Call für die Techbranche, Regierungen und User hatte WhatsApp Chef Will Cathcart die NSO-Attacken vor Jahren bezeichnet. Es folgte ein Rechtverfahren, im Mai 2025 sprach die erste Instanz Meta 168 Millionen US Dollar Schadenersatz zu. Trotzdem wächst die Spyware-Branche munter weiter, warnten Nichtregierungsorganisation aus Lateinamerika und Afrika bei der 20. Ausgabe des Internet Governance Forum (IGF) der Vereinten Nationen. Die Veranstaltung fand in dieser Woche im norwegischen Lillestrøm nahe Oslo statt.

Über 500 Firmen vertreiben Spyware an mindestens 65 Regierungen weltweit – die Geschäfte laufen prächtig, sagte Nighat Dad, Organisatorin eines IGF-Panels zum Thema. In den Industrieländern werde seit dem Pegasus-Schock zwar über Ethik, bessere Aufsicht und gesetzgeberische Schritte diskutiert, so die Gründerin der pakistanischen Digital Rights Foundation.

„Im globalen Süden blüht die Spyware-Branche auf und trifft hier auf unzureichenden rechtlichen Schutz, auf einen autoritären Impetus und auf die gezielte Einschränkung öffentlicher Räume,“ warnt die Juristin.

Spyware gegen Opposition, Staatsanwälte, Journalisten

Mit der Aufarbeitung der NSO-Umtriebe ist es nicht getan, unterstrichen Apar Gupta, Gründer der indischen Internet Freedom Foundation (IFF), Ana Gaita von der mexikanischen Bürgerrechtsorganisation Red en Defensa de los Derechos Digitales (R3D) und Mohamed Najem von der vom Libanon für den arabischen Raum arbeitenden SMEX.

Bei SMEX beobachtet man nach großen Investitionen der Golfstaaten in die NSO inzwischen einen regelrechten Boom von Spyware-Start-ups. Aus den Vereinigten Arabischen Emiraten werde Spyware etwa an die Krieg führenden Rapid Support Forces im Sudan geliefert, so Najem.

Gegenwehr nach staatlicher Vorstellung: Softlaw

Die breite Proliferation von Hacking Tools macht durchaus auch Regierungen im globalen Norden Sorgen. Die Bedrohungen „für unsere Beamten, unsere Infrastruktur, Unternehmen und Bürger wachsen“, sagte Elizabeth Davies vom britischen Foreign Commenwealth and Development Office. Zusammen mit Frankreich haben die Briten im so genannten Pall-Mall-Prozess daher Leitlinien für die Nutzung kommerzieller Spyware vorgelegt.

Sowohl der Fokus auf kommerzielle Spyware – bei Ausschluss staatlicher Hacks – als auch die Freiwilligkeit der Pall-Mall-Leitlinien werden von Experten kritisiert. Zentrale Versprechen des Codes, den sich die 24 Pall-Mall-Unterzeichner gegeben haben, sind ein regelbasierter, verantwortungsvoller und lediglich auf klar eingegrenzte Ziele ausgerichteter Einsatz von Spionagetools. Außerdem befürworten die Unterzeichner, darunter auch Deutschland, eine bessere Kontrolle der Nutzung durch ihre Behörden und mehr Transparenz bei Beschaffungs- und Exportgenehmigungen.

Im Pall-Mall-Prozess wolle man sich als nächstes in Arbeitsgruppen um Einzelthemen kümmern, gerade die Exportkontrollregime, versicherte Davis. Auch sagte sie mehr Beteiligung der anderen Stakeholder zu.

Aktivisten und Juristen: Babysteps only

Allenfalls als ersten Schritt sehen Bürgerrechtler den Pall-Mall-Prozess der Regierungen. Angesichts der sprunghaften Entwicklung von Angebot und Nachfrage rät IFF-Gründer Gupta zu einem Moratorium für kommerzielle Spyware, „bis man sich zwischenstaatlich auf rechtliche Grundlagen, Notwendigkeit, Angemessenheit und Exportkontroll-Regeln verständigt hat“. Ein komplettes Verbreitungsverbot für Spyware in der EU statt der weiteren Förderung staatlichen Hackings im Rahmen der Going Dark-Überlegungen fordert auch der Dachverband von Europas Bürgerrechtsorganisationen EDRi.

Freiwillige Vereinbarungen wie die Pall-Mall-Erklärung seien gut, sagt auch der US Rechtswissenschaftler David Kaye, meint aber: „wir sollten aber von Softlaw sehr schnell zu verbindlichen Normen kommen.“ Er verwies auf Schranken, die kürzlich die Venedig-Kommission des Europarates für den Einsatz von Sypware durch Strafverfolger vorgeschlagen hat.

Kaye, ehemaliger UN-Sonderbauftragter für Meinungsfreiheit, gehört der für 62 Teilnehmerstaaten arbeitenden Venedig-Kommission an. Kurzfristig am meisten verspricht er sich von Klagen, insbesondere Schadenersatzklagen gegen schwarze Schafe, sagt er. Ob die Millionen-Schadenersatzsumme gegen die NSO im Verfahren von Meta aufrechterhalten bleibe, sei zwar noch nicht klar. „Aber solche Verfahren erhöhen den Druck“, sagte er in Oslo.

Bedauerlich sei zugleich dagegen, wenn die Europäische Union im Medienfreiheitsgesetz Ausnahmen beim Einsatz von Spähsoftware gegen Journalisten vorsieht. „Wir leben in einer Ära, in der Staaten mit Lastwagen durch die kleinsten Lücken fahren, die sie sich dafür geschaffen haben, das zu tun, was sie tun wollen“, mahnte Kaye. Gupta und Kaye unterstrichen, Klagen, sei es vor dem Verfassungsgerichten oder Schadenersatzklagen wie die von Meta, seien eine der aktuell erfolgversprechendsten Maßnahmen.

Rima Amin, zuständig für Community Defense bei Meta, stellte in Aussicht, das Geld, welches das Gericht Meta als Schadenersatz zuspreche, an Organisationen weiterzureichen, die den Opfern helfen. Geld für Bürgerrechtler gibt es aktuell bereits von der Spyware Accountability Initiative.

Bekannte Argumente

Denn längst werden nicht mehr nur politische Gegner ausgespäht. „Viele Regierungen in Lateinamerika haben die instabile Sicherheitslage dazu genutzt, um mehr Überwachung als alternativlos darzustellen.“ Ohne Einschränkung von Vertraulichkeit gebe es nicht mehr Sicherheit, so das Argument.

Auch in afrikanischen Ländern wird so argumentiert, beschreibt im Gespräch mit heise online Wairagala Wakabi, Geschäftsführender Direktor der Organisation Collaboration on International ICT Policy for East and Southern Africa (CIPESA). Ungerührt von in vielen afrikanischen Ländern von den Pegasus-Spähaktionen betroffenen Aktivisten und Politikern arbeite man dort an „mehr Sicherheit“ für die Bürger. Seit Anfang des Jahres sind etwa Chips, die Standortdaten und Routen von Autos überwachen, in der ugandischen Hauptstadt Kampala zwingender Bestandteil der Autokennzeichen.

Geliefert werden die Geräte, so Wakabi, von der russischen Firma Joint Stock Global Security Company. Zusammen mit der in Kampala von Huawei ausgebauten Smart City, „nach chinesischem Modell mit Videokameras und Gesichtserkennung überall“ entstehe ein vollständig überwachter öffentlicher Raum. Für Dissidenten und Aktivisten werde die Totalüberwachung immer mehr zum Problem.

Auch Wakabi blickt für Hilfe nach Europa. Die USA sei, was Spywarefirmen anbelange, überraschend aktiv gewesen. „Europa als die andere Region, die einen großen Knüppel hat, müsste den auch einsetzen.“

(nie)