Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse - STUDIE im Auftrag des PEGA-Ausschusses
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
STUDIE
im Auftrag des PEGA-Ausschusses
Die Auswirkungen
von Pegasus auf
Grundrechte und
demokratische
Prozesse
Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
Generaldirektion Interne Politikbereiche DE
PE 740.514 – Januar 2023
Die Auswirkungen
von Pegasus auf
Grundrechte und
demokratische
Prozesse
Abriss
In dieser im Auftrag der Fachabteilung Bürgerrechte und
konstitutionelle Angelegenheiten des Europäischen Parlaments
auf Ersuchen des Untersuchungsausschusses zum Einsatz von
Pegasus und ähnlicher Überwachungs- und Spähsoftware
(PEGA) erstellten Studie werden die Auswirkungen des Einsatzes
von Pegasus und ähnlicher Spähsoftware mit Blick auf die Werte
gemäß Artikel 2 EUV, den Schutz der Privatsphäre und den
Datenschutz sowie in Bezug auf demokratische Prozesse in den
Mitgliedstaaten untersucht.
Dieses Dokument wurde vom Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware (PEGA) in Auftrag gegeben. AUTOREN Prof. Dr. Giovanni SARTOR, Universität Bologna und Europäisches Hochschulinstitut Prof. Dr. Andrea LOREGGIA, Universität Brescia VERANTWORTLICHER BEAMTER Mariusz MACIEJEWSKI EDITIONSASSISTENZ Ivana KLECAN SPRACHFASSUNGEN Original: EN ÜBER DEN HERAUSGEBER Die Fachabteilungen liefern den internen und externen Sachverstand zur Unterstützung der Ausschüsse des Europäischen Parlaments und anderer parlamentarischer Gremien bei der Ausarbeitung der Gesetzgebung und Ausübung der demokratischen Kontrolle über die internen Politikbereiche der EU. Kontakt zur Fachabteilung oder Bestellung von Aktualisierungen: Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten Europäisches Parlament B-1047 Brüssel E-Mail: poldep-citizens@europarl.europa.eu Redaktionsschluss: Dezember 2022 © Europäische Union, 2023 Dieses Dokument ist im Internet unter folgender Adresse abrufbar: http://www.europarl.europa.eu/supporting-analyses. HAFTUNGSAUSSCHLUSS UND URHEBERRECHTSSCHUTZ Die hier vertretenen Auffassungen geben die Meinung der Verfasser wieder und entsprechen nicht unbedingt dem Standpunkt des Europäischen Parlaments. Nachdruck und Übersetzung – außer zu kommerziellen Zwecken – mit Quellenangabe sind gestattet, sofern das Europäische Parlament vorab unterrichtet und ihm ein Exemplar übermittelt wird. © Titelbild unter Lizenz von Adobe Stock.com verwendet
Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
INHALT
VERZEICHNIS DER ABKÜRZUNGEN 5
VERZEICHNIS DER ABBILDUNGEN 6
ZUSAMMENFASSUNG 7
1. ALLGEMEINE INFORMATIONEN 11
2. SCHADPROGRAMME, SICHERHEITSLÜCKEN UND BEDROHUNGEN 12
2.1. Schadprogramme 13
2.2. Sicherheitslücken 15
2.3. Neue Bedrohungen 17
3. PEGASUS ALS ÜBERWACHUNGSTOOL 21
3.1. Herkömmliche und neue Überwachungsmethoden 21
3.2. Die Herausforderung durch Spähsoftware 23
3.3. Kritische Merkmale von Pegasus 24
3.3.1. Vollständiger Zugriff 25
3.3.2. Zero-Click-Angriffe 26
3.3.3. Keine (oder allenfalls minimale) Spuren 27
3.3.4. Eine offene Umgebung mit verschiedenen Ebenen 28
3.3.5. Manipulation von Inhalten 28
3.3.6. Nutzung von Pegasus 28
4. PEGASUS UND DIE (DELIBERATIVE) DEMOKRATIE 30
4.1. Die Vorstellung einer partizipativ-deliberativen Demokratie 31
4.2. Die Auswirkungen einer umfassenden Überwachung auf die Demokratie 33
4.3. Einige Belege für Störungen demokratischer Prozesse durch Pegasus 37
5. DIE NATIONALE SICHERHEIT: RECHTFERTIGUNG ODER VORWAND? 39
5.1. Das Konzept der nationalen Sicherheit 39
5.2. Nationale Sicherheit als tatsächliche oder vorgebliche Rechtfertigung 42
6. PEGASUS UND INTERNATIONALE MENSCHENRECHTSNORMEN 45
6.1. Der Rechtsrahmen der Vereinten Nationen 45
6.2. Der Rahmen der Europäischen Menschenrechtskonvention 48
7. PEGASUS UND DAS UNIONSRECHT 52
7.1. Spähsoftware und nationale Sicherheit in den EU-Verträgen 52
7.2. Rechtsprechung des Gerichtshofs zu Grundrechten, Datenschutz und nationaler Sicherheit
55
7.3. Nationale Sicherheit und Datenschutz im Unionsrecht 57
PE 740.514 3
IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
7.4. Der Einsatz von Spähsoftware für Zwecke der Strafverfolgung 60
8. DAS WEITERE VORGEHEN 63
8.1. Rechtmäßige Einschränkungen der Grundrechte für Zwecke der nationalen Sicherheit 64
8.2. Der Einsatz von Spähsoftware im Rahmen des Unionsrechts 65
8.3. Wie stellt sich die Situation bei Pegasus dar? 68
LITERATURVERZEICHNIS 71
4 PE 740.514
Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse VERZEICHNIS DER ABKÜRZUNGEN AGRI Ausschuss für Landwirtschaft und ländliche Entwicklung ALDE Fraktion der Allianz der Liberalen und Demokraten für Europa BAS Bremsassistenzsysteme GAP Gemeinsame Agrarpolitik GFP Gemeinsame Fischereipolitik GMO Gemeinsame Marktorganisation AdR Ausschuss der Regionen CULT Kultur- und Bildungsausschuss ECOSOC Wirtschafts- und Sozialrat EKR Europäische Konservative und Reformer ECTS Europäisches System zur Anrechnung von Studienleistungen EFDD Fraktion Europa der Freiheit und der direkten Demokratie ENF Europa der Nationen und der Freiheit EVP Fraktion der Europäischen Volkspartei (Christdemokraten) FAO Ernährungs- und Landwirtschaftsorganisation der Vereinten Nationen FPS Frontschutzsysteme BIP Bruttoinlandsprodukt GV Gentechnisch verändert Grüne/EFA Grüne / Freie Europäische Allianz GUE/NGL Die Linke im Europäischen Parlament – GUE/NGL IFI Internationaler Fonds für Irland S&D Fraktion der Progressiven Allianz der Sozialdemokraten im Europäischen Parlament PE 740.514 5
IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
VERZEICHNIS DER ABBILDUNGEN
Abbildung 1: Schadprogramme – Bezeichnungen 13
Abbildung 2: Schematische Darstellung der Verbreitung von Web-Schadprogrammen 16
Abbildung 3: Bedrohungen der Cybersicherheit 17
Abbildung 4: Die zehn wichtigsten Kategorien erkannter Schadprogramme im Jahr 2021 19
Abbildung 5: Überwachungsphasen und die sieben von Meta ermittelten Unternehmen 20
Abbildung 6: Datensammlung mit Pegasus 26
Abbildung 7: Installation des Pegasus-Agenten 27
Abbildung 8: Der Prozess der Datensammlung durch Pegasus 28
Abbildung 9: Wer wurde mit Pegasus angegriffen? 44
6 PE 740.514
Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse ZUSAMMENFASSUNG Hintergrund Die aktive Überwachung mit technischen Mitteln kann sich auf alle Lebensbereiche der betroffenen Personen erstrecken und stellt daher einen weitreichenden Eingriff in die Privatsphäre dar. Insoweit gibt sie berechtigten Anlass zu Bedenken. Spähsoftware-Systeme zum Hacken mobiler Geräte (beispielsweise die von der israelischen NSO Group entwickelte Software Pegasus) ermöglichen eine umfassende geheime Überwachung. Pegasus hat vollständigen und unbeschränkten Zugriff auf die gehackten Geräte: Die Software kann aus einem gehackten Gerät sämtliche Daten extrahieren (Erstextraktion), alle über das Gerät ausgeführten Aktivitäten überwachen (passive Überwachung), Funktionen des Geräts aktivieren, um weitere Daten zu sammeln (aktive Überwachung), und möglicherweise den Inhalt des Geräts und die von ihm gesendeten Nachrichten modifizieren (Manipulation). Pegasus kann ohne Mitwirkung der betroffenen Personen installiert werden und hinterlässt keine (oder nur sehr wenige) Spuren. Ziel In diesem Bericht sollen a) wichtige Aspekte dazu behandelt werden, wie Pegasus und andere Spähsoftware-Programme individuelle Rechte sowie demokratische Prozesse und Institutionen beeinträchtigen können, b) der einschlägige Rechtsrahmen bewertet werden, c) Umfang und Bedingungen bestimmt werden, in dem bzw. unter denen Spähsoftware rechtmäßig eingesetzt werden kann, und d) Empfehlungen für die Herstellung dieser Bedingungen formuliert werden. Auswirkungen auf Rechte und Demokratie Die umfassende Überwachung beeinträchtigt die Privatsphäre der Menschen, den Datenschutz und andere individuelle Rechte (u. a. die Rede-, Vereinigungs- und Versammlungsfreiheit) sowie die demokratischen Institutionen der Gesellschaft. Die politische Teilhabe wird insofern durch Spähsoftware beeinträchtigt, als sich ausgespähte Bürgerinnen und Bürger genötigt sehen können, von politischen Betätigungen Abstand zu nehmen, sich nicht zu ihren Ansichten zu bekennen und davon abzusehen, sich zu politischen Zwecken mit anderen zusammenzuschließen. Darunter leidet die Qualität des demokratischen öffentlichen Raums, der letztlich voraussetzt, dass Bürgerinnen und Bürger sich beteiligen und reagieren können. Spähsoftware betrifft vor allem Personen wie Journalisten, Politiker und Aktivisten, denen in der Öffentlichkeit eine besondere Funktion zukommt. Die Überwachung solcher Personen ermöglicht Unterdrückung, Manipulation und Erpressung sowie Fälschungen und Verleumdungen. Selbst Wahlprozesse können beeinflusst werden, indem die gesammelten und möglicherweise manipulierten Informationen verwendet werden, um Verleumdungskampagnen gegen bestimmte Kandidaten zu führen oder auf sonstige Weise deren Wahlchancen zu schmälern. Schon allein die Angst vor Ausspähung kann Menschen bewegen, nicht für ein Amt zu kandidieren oder von einer wirksamen Kampagne Abstand zu nehmen. Spähsoftware und nationale Sicherheit Der Einsatz von Spähsoftware wird in der Regel mit Zwecken der nationalen Sicherheit oder mit dem Hinweis auf Strafverfolgungszwecke begründet. Offenbar wird Spähsoftware jedoch vielfach zu anderen Zwecken eingesetzt, die häufig in Zusammenhang mit parteipolitischen Zielen oder mit der Unterdrückung oppositionellen Verhaltens in Bezug auf soziale und politische Fragen stehen. Bekanntlich wurden Zwecke der nationalen Sicherheit von vielen Staaten vorgeschoben, um PE 740.514 7
IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
Einschränkungen der Meinungsfreiheit, Folter und sonstige Misshandlungen sowie die
Einschüchterung von Minderheiten, Aktivisten und Oppositionellen zu legitimieren. Umfangreiche
Beweise zeigen, dass Pegasus gegen Personen eingesetzt wird, bei denen keine Verbindung zu
schweren Straftaten gegeben ist und von denen keine Bedrohungen der nationalen Sicherheit
ausgehen, beispielsweise politische Gegner, Menschenrechtsaktivisten, Rechtsanwälte und
Journalisten. Um eine Überstrapazierung des Begriffs der nationalen Sicherheit zu vermeiden, sollte
dieser Begriff im engeren Sinne und in Abgrenzung gegenüber dem Begriff der inneren Sicherheit
verstanden werden, da Letzterer umfassender ist und auch die Verhütung von Gefahren für einzelne
Bürgerinnen und Bürger sowie insbesondere die Durchsetzung des Strafrechts einschließt.
Internationale Menschenrechtsnormen
Auf Ebene der Vereinten Nationen besteht der Rahmen für die Bewertung von
Überwachungstätigkeiten in Menschenrechtsübereinkommen wie dem Internationalen Pakt über
bürgerliche und politische Rechte. Eine missbräuchliche Überwachung stellt nicht nur eine Verletzung
des Rechts auf Privatsphäre dar, sondern beeinträchtigt auch das Recht auf freie Meinungsäußerung
und andere im Pakt verankerte Rechte. Das Recht auf Privatsphäre kann ebenso wie das Recht auf freie
Meinungsäußerung gesetzlich nur dann eingeschränkt werden, wenn dies für legitime Zwecke
erforderlich ist. Die nationale Sicherheit kann eine Einschränkung rechtfertigen. Im Fall von Pegasus
dürften die Anforderungen der Legalität und Notwendigkeit jedoch nicht erfüllt sein.
Gemäß der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (Europäische
Menschenrechtskonvention) gelten die Erfordernisse der Legitimität, Legalität, Notwendigkeit und
Verhältnismäßigkeit in einer demokratischen Gesellschaft für jegliche aktive Überwachung. In der
umfangreichen einschlägigen Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte
(EGMR) wurden Bedingungen festgelegt, unter denen eine verdeckte Überwachung mit den
Menschenrechten vereinbar ist, insbesondere im Hinblick auf die Legalität (Zugänglichkeit der
Gesetzesgrundlage einer Überwachung und Vorhersehbarkeit ihrer Folgen) und die Unterrichtung.
Zudem hat der Gerichtshof eine Aktivlegitimation selbst für Personen bestätigt, die nur potenziell von
einer verdeckten Überwachung betroffen sind.
Unionsrecht
Im Zusammenhang mit dem Unionsrecht ist festzustellen, dass für aktive Überwachungen die in der
Charta der Grundrechte der Europäischen Union (EU-Grundrechtecharta) verankerten Rechte und die
Grundsätze der Verträge (z. B. Demokratie und Rechtsstaatlichkeit) sowie verschiedene Instrumente
des EU-Sekundärrechts (u. a. im Bereich des Datenschutzes) relevant sind.
Nach dem Vertrag über die Europäische Union (EUV) unterliegt die nationale Sicherheit der alleinigen
Zuständigkeit der einzelnen Mitgliedstaaten. Dies schließt die Anwendbarkeit von Unionsrecht auf
Tätigkeiten für Zwecke der nationalen Sicherheit jedoch nicht grundsätzlich aus, beispielsweise dann
nicht, wenn Tätigkeiten für Zwecke der nationalen Sicherheit durch Unionsrecht geregelte Tätigkeiten
berühren.
Die Anwendung des Unionsrechts auf den Einsatz von Spähsoftware für Zwecke der nationalen
Sicherheit wird jedoch durch den Ausschluss der nationalen Sicherheit aus dem Anwendungsbereich
zweier grundlegender Instrumente behindert: der Datenschutz-Grundverordnung (DSGVO) und der
Datenschutzrichtlinie für elektronische Kommunikation. Angesichts der in der Charta verankerten
Rechte und der Grundsätze der Verträge ist dies schwerlich zu rechtfertigen. Da die Gefahr einer
übermäßig weiten Auslegung dieses Ausschlusses besteht, muss deutlich gemacht werden, dass er nur
dann zur Anwendung kommen kann, wenn eine Spähsoftware tatsächlich zum Schutz der nationalen
8 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
Sicherheit im eigentlichen Sinne eingesetzt wird. Für verdeckte Ermittlungen zu
Strafverfolgungszwecken gilt das Unionsrecht uneingeschränkt. Hinweise auf Missbrauch gibt es
allerdings auch in diesem Bereich.
Empfehlungen
Der Einsatz von Spähsoftware bedroht die Grundrechte und Grundprinzipien des Unionsrechts, u. a.
die (repräsentativ-deliberative) Demokratie und die Rechtsstaatlichkeit. Dabei besteht die Gefahr einer
Aushöhlung der wesentlichen Grundlagen des Rechtssystems der Union.
In den internationalen und europäischen Rechtssystemen können Einschränkungen der Grundrechte
durch Tätigkeiten für Zwecke der nationalen Sicherheit gerechtfertigt sein. Wenn solche
Einschränkungen aber rechtmäßig sein sollen, müssen den Erfordernissen der Legitimität, Legalität,
Notwendigkeit, Ausgewogenheit und Vereinbarkeit mit der Demokratie genügen.
Beim Einsatz von Pegasus wurden diese Anforderungen bisher insoweit häufig nicht erfüllt, als die
Software für nicht legitime Zwecke, ohne angemessenen Rechtsrahmen und ohne wirkliche
Notwendigkeit genutzt wurde. Dadurch wurden individuelle Rechte in unverhältnismäßiger Weise
verletzt und die Demokratie untergraben.
Wir schlagen verschiedene Strategien vor, die dazu beitragen können, Missbrauch zu verhindern:
• Festlegen des für Tätigkeiten für Zwecke der nationalen Sicherheit maßgeblichen
materiellen Anwendungsbereichs, damit Staaten weniger leicht die nationale Sicherheit als
rechtliche Begründung für Tätigkeiten vorschieben können, die eigentlich anderen
Zwecken dienen;
• Festlegen des persönlichen Anwendungsbereichs der Tätigkeiten für Zwecke der
nationalen Sicherheit unter Ausnahme bestimmter Tätigkeiten privater Parteien;
• Einbeziehen bestimmter Tätigkeiten für Zwecke der nationalen Sicherheit in den
Anwendungsbereich des Datenschutzrechts, um sicherzustellen, dass Einschränkungen
der Rechte betroffener Personen für Zwecke der nationalen Sicherheit den Erfordernissen
der Legalität und der Verhältnismäßigkeit genügen;
• Unterstützen der Annahme angemessener nationaler Rechtsrahmen, da die nationale
Sicherheit weiterhin in die Zuständigkeit der Mitgliedstaaten fällt und diese wirksam dafür
sorgen müssen, dass ihre Tätigkeiten mit den Grundrechten sowie den Grundsätzen des
Unionsrechts vereinbar sind. Diese Rahmen sollten u. a. den Grundsätzen der Legalität,
Legitimität, Notwendigkeit und Verhältnismäßigkeit sowie der behördlichen
Zuständigkeit, eines ordnungsgemäßen Verfahrens, der Unterrichtung der Benutzer, der
Transparenz, der öffentlichen Aufsicht, der Sicherheit und der Zertifizierung sowie der
Möglichkeit der technischen Anpassung Rechnung tragen.
Grundlage für die politische Erwirkung eines Moratoriums für den Einsatz von Tools zum Hacken von
Geräten könnte die starke Vermutung einer unrechtmäßigen Verwendung dieser Tools sein, die sich
auf umfangreiche Beweise für ihren missbräuchlichen Einsatz stützt. Diese Vermutung sollte nur
widerlegt werden können, indem ein Staat überzeugend darlegt, dass er jeglichen Missbrauch zu
unterbinden beabsichtigt und dazu auch in der Lage ist.
Zudem sollten alle Mitgliedstaaten aufgefordert werden, die Verwendung bestimmter Spähsoftware
zu verbieten, wenn – wie bei Pegasus – stichhaltige Beweise dafür vorliegen, dass sie, insbesondere
innerhalb der EU, in großem Umfang für rechtswidrige Tätigkeiten eingesetzt werden. Solange nicht
eindeutig nachgewiesen wurde, dass solche nicht annehmbaren Praktiken nicht mehr vorkommen,
PE 740.514 9IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
begründet der weitere Einsatz von Pegasus, selbst im Rahmen rechtmäßiger Tätigkeiten, eine
Unterstützung seiner Hersteller und Entwickler und damit eine Beteiligung an solchen Praktiken, wenn
nicht im rechtlichen Sinne, so doch zumindest durch politisches Handeln.
10 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse 1. ALLGEMEINE INFORMATIONEN In diesem Bericht wird untersucht, inwieweit die Menschenrechtsnormen und das Unionsrecht auf den vorgeblich mit Zwecken der nationalen Sicherheit begründeten Einsatz von Spähsoftware angewendet werden können. Nach einer einführenden Erläuterung der verschiedenen Arten böswilliger Angriffe auf digitale Geräte (Abschnitt 2) werden in erster Linie Systeme (wie beispielsweise Pegasus) zum Hacken mobiler Geräte behandelt (Abschnitt 3). Ferner werden die Auswirkungen von Pegasus auf die Demokratie (Abschnitt 4) und die Berufung auf Zwecke der nationalen Sicherheit zur Rechtfertigung verdeckter Überwachungen erörtert (Abschnitt 5). Außerdem wird der geltende Rechtsrahmen untersucht, d. h. Menschenrechtsinstrumente wie der Internationale Pakt über bürgerliche und politische Rechte und die Europäische Menschenrechtskonvention (Abschnitt 6) sowie das Unionsrecht, einschließlich der EU-Verträge, der EU-Grundrechtecharta und der Datenschutzinstrumente (Abschnitt 7). Abschließend werden einige Überlegungen dazu angestellt, ob und unter welchen Bedingungen Spähsoftware rechtmäßig eingesetzt werden kann (Abschnitt 8). PE 740.514 11
IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
2. SCHADPROGRAMME, SICHERHEITSLÜCKEN UND
BEDROHUNGEN
WICHTIGSTE ERKENNTNISSE
Technische Geräte sind unsere Schnittstelle zur digitalen Welt. Sie bilden ein wachsendes Netz von
Geräten, die mit dem Internet verbunden sind und untereinander sowie mit Menschen
kommunizieren können. Wir nutzen diese Geräte, um Informationen zu speichern und zu
kommunizieren. Mit Sensoren und anderen technischen Mitteln können die Geräte Daten aus der
physischen Umgebung sammeln. Mit Spähsoftware können Angreifer auf digitale Geräte
zuzugreifen und diese nutzen, ohne dass die rechtmäßigen Benutzer davon wissen oder ihre
Zustimmung dazu geben. Die Verwendung der gesammelten Daten (u. a. vertrauliche
Informationen) kann den Erwartungen oder Präferenzen der Benutzer zuwiderlaufen. Es gibt
verschiedene Arten von Schadprogrammen, die unter Ausnutzung von Sicherheitslücken
Dritte können aus vielfältigen Gründen ein Interesse daran haben, unbefugten Zugriff auf ein Gerät
oder eine Gruppe von Geräten zu erlangen. In Betracht kommen beispielsweise die folgenden Zwecke:
• Sammeln von Informationen über die überwachte Person (den Benutzer eines Geräts):
Gesammelt werden können u. a. personenbezogene Daten wie Name, Anschrift und
Telefonnummer sowie Informationen über die Online-Aktivitäten und Gewohnheiten der
überwachten Person;
• Sammeln von Informationen über den Bekanntenkreis der überwachten Person: Solche
Informationen sind beispielsweise Daten über die Kommunikationspartner der überwachten
Person sowie Informationen über deren Aktivitäten und Gewohnheiten im Internet;
• Erlangen von Zugriff auf ein Gerät, um anschließend ein Lösegeld erpressen zu können: Der
Angreifer könnte versuchen, die Kontrolle über ein Gerät zu erlangen, dessen Inhalt (durch
Verschlüsselung) unzugänglich zu machen und dann vom Eigentümer eine Zahlung dafür
erpressen, dass der Benutzer wieder die Kontrolle über das Gerät erhält und auf die Daten
zugreifen kann;
• Identitätsdiebstahl: Wenn ein Dritter Zugang zu einem Gerät erlangt hat, kann er sich als der
Eigentümer des Geräts ausgeben und Nachrichten senden oder andere Aktionen durchführen,
die scheinbar vom rechtmäßigen Eigentümer veranlasst wurden. Besonders gefährlich kann
dies sein, wenn der Dritte über das Gerät Zugang zu vertraulichen personenbezogenen Daten
oder zu Finanzinformationen erhält.
• Unterbindung der weiteren Nutzung des Geräts durch die überwachte Person: Zu diesem
Zweck können beispielsweise wichtige Dateien gelöscht oder wichtige Gerätefunktionen
deaktiviert werden.
Zur Durchführung von Cyberangriffen können verschiedene Technologien genutzt werden 1. Wenn
Einzelpersonen und Organisationen die von Angreifern genutzten Technologien kennen, können sie
Maßnahmen treffen, um sich und ihre Systeme zu schützen. Von besonderer Bedeutung sind die
folgenden Ansätze:
1
Saeed, I. A., Selamat, A., und Abuagoub, A. M., “A survey on malware and malware detection systems”.
12 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
• Schadprogramme (Malware): 2 Die englische Bezeichnung ist eine Kurzform für „malicious
software“ (wörtlich „bösartige Software“). Schadprogramme werden eingesetzt, um einen
Einzelplatz-PC oder einen vernetzten PC in der Absicht anzugreifen, beispielsweise
Informationen zu erlangen oder Identitätsdiebstahl zu begehen, jemanden auszuspähen oder
die Ausführung von Diensten zu unterbrechen.
• Phishing: 3 Bei dieser Form von Online-Betrug werden Benutzer dazu verleitet, vertrauliche
Informationen wie Passwörter, Kontonummern oder personenbezogene Daten mitzuteilen.
Diese Informationen können dann für unlautere Zwecke verwendet werden, beispielsweise,
um vom Bankkonto eines Benutzers Geld zu stehlen oder um unbefugt Zugang zu den Konten
oder Geräten eines Benutzers zu erlangen. Phishing-Angriffe erfolgen häufig über manipulierte
Websites oder E-Mails, die Benutzer zur Mitteilung vertraulicher Informationen verleiten sollen.
• Clickjacking: 4 Bei diesem Angriff werden Online-Benutzer veranlasst, auf einen Hyperlink oder
eine Schaltfläche zu klicken, die in für die Benutzer nicht erkennbarer Weise manipuliert wurde.
Wenn Benutzer auf solche Links klicken, werden sie beispielsweise auf eine andere Website
weitergeleitet, laden eine betrügerische App herunter oder teilen vertrauliche Daten mit.
Solche Angriffe können u. a. ausgeführt werden, um persönliche Informationen zu stehlen oder
Schadprogramme auf dem Gerät eines Benutzers zu installieren.
• Social Engineering: 5 Bei diesem Angriff werden Personen irregeführt, um Zugang zu
vertraulichen Informationen oder Systemen zu erlangen. Beim Social Engineering kommen
unterschiedliche Mittel zur Anwendung, u. a. Phishing-E-Mails, Telefonanrufe oder persönliche
Interaktionen. Der Angreifer kann sich als eine Person ausgeben, der das Opfer vertraut, z. B.
als Kollege, Kundendienstmitarbeiter oder Mitarbeiter eines Finanzinstituts, um das Vertrauen
des Opfers zu gewinnen und es zu bewegen, vertrauliche Informationen mitzuteilen oder seine
Sicherheit auf andere Weise zu beeinträchtigen.
2.1. Schadprogramme
Wie bereits erläutert, können Angriffe mit Schadprogrammen ausgeführt werden.
Abbildung 1: Schadprogramme – Bezeichnungen
2
Saeed, I. A., Selamat, A., und Abuagoub, A. M., “A survey on malware and malware detection systems”, International Journal
of Computer Applications (2013), 67(16).
3
Kathrine, G. J. W., Praise, P. M., Rose, A. A., und Kalaivani, E. C., “Variants of phishing attacks and their detection techniques”,
in: 3rd International Conference on Trends in Electronics and Informatics (ICOEI). IEEE, 2019, S. 255–259.
4
Sahani, R., und Randhawa, S., “Clickjacking: Beware of Clicking”, in: Wireless Personal Communications (2021), 121(4), S.
2845–2855.
5
Salahdine, F., und Kaabouch, N., Social engineering attacks: A survey, Future Internet (2019), 11(4), S. 89.
PE 740.514 13IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
Wie aus Abbildung1 ersichtlich, gibt es verschiedene Arten von Schadprogrammen.
• Viren können sich selbst vervielfältigen und andere Computer befallen. Häufig werden sie
durch infizierte Dateien oder E-Mails übertragen und können vielfältige Probleme verursachen,
indem sie beispielsweise die Rechenleistung eines Computers beeinträchtigen, wichtige
Dateien löschen oder personenbezogene Daten abgreifen. Sie können in unterschiedlicher
Form vorliegen und mit verschiedenen Programmiersprachen entwickelt werden. Dazu
gehören zum Beispiel:
o Makroviren: Sie werden mit Programmiersprachen für Makroprogramme wie Visual
Basic for Applications (VBA) geschrieben. Mit Makros können Aufgaben in Software wie
Microsoft Office automatisiert und vereinfacht werden. Sie können als Bestandteil
eines Dokuments oder einer Kalkulationstabelle gespeichert werden. Makroviren
verbreiten sich, indem infizierte Dokumente oder Dateien weitergegeben werden.
Wenn ein Benutzer eine infizierte Datei öffnet und Makros aktiviert sind, wird der Virus
ausgeführt und beschädigt das Gerät oder die Daten des Benutzers oder stiehlt
vertrauliche Informationen.
o Stealth-Viren: Diese Viren können sich vor dem Betriebssystem oder einer
Antivirensoftware zu verstecken, indem sie Dateigrößen oder Verzeichnisstrukturen
ändern. Stealth-Viren sind anti-heuristische Viren, d. h., sie werden so programmiert,
dass sie schwerer erkennbar sind.
o Polymorphe Viren: Polymorphe Viren ändern ihr Aussehen und ihren Code sobald sie
ein anderes System infizieren. Dies kann eine Erkennung durch Antivirensoftware
verhindern.
o Bootsektor-Viren: Diese Viren infizieren den ersten Sektor der Festplatte des
überwachten Computers, in dem der Master Boot Record (MBR) gespeichert ist. Der
Master Boot Record enthält die primäre Partitionstabelle der Festplatte und die
Bootstrapping-Anweisungen, die beim Start eines Computers 6 ausgeführt werden.
Beim Hochfahren eines mit einem Bootsektor-Virus infizierten Computer wird der Virus
sofort ausgeführt und in den Speicher geladen. Dadurch erlangt er die Kontrolle über
das System.
• Spähsoftware soll Informationen über Benutzer ohne deren Wissen oder Zustimmung
sammeln. Sie kann die Online-Aktivitäten der Benutzer verfolgen, personenbezogene Daten
stehlen oder unerwünschte Werbung anzeigen. Sie kann über infizierte Dateien oder durch E-
Mails verbreitet werden, oder zusammen mit anderer Software ohne Wissen des Benutzers
installiert werden. Außerdem kann sie bewirken, dass andere Schadprogramme aus dem
Internet heruntergeladen und auf dem Gerät installiert werden.
• Adware bewirkt die Anzeige unerwünschter Werbung. Sie kann automatisch und ohne Wissen
des Benutzers auf einem Gerät installiert werden, wenn der Benutzer ein Programm aktiviert
oder eine Website öffnet, in der die Adware enthalten ist. Die Adware sorgt dafür, dass die
Werbung auf dem Bildschirm erscheint – meist in einem Popup-Fenster oder auf einem Banner.
Sie kann Informationen über den Benutzer sammeln und weitergeben.
• Trojaner tarnen sich als legitime Programme oder Dateien. Im Gegensatz zu Viren können sie
sich nicht selbst vervielfältigen und auf andere Computer übergehen. Trojaner öffnen oft ein
Backdoor-Programm zu einem Gerät, über das Angreifer oder Schadprogramme Zugriff auf das
System erlangen. Sie können also eingesetzt werden, um vertrauliche und personenbezogene
Daten zu stehlen oder andere unbefugte Aktionen durchzuführen.
6
Unmittelbar nach der Ausführung des Basic Input-Output System (BIOS), d. h. der Firmware zur Initialisierung der
Hardware des Computers.
14 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
• Würmer sind so programmiert, dass sie sich selbst vervielfältigen und über
Computernetzwerke verbreiten, häufig ohne Wissen der Benutzer. Im Unterschied zu Viren
verbinden sie sich nicht mit bestehenden Programmen und beschädigen gewöhnlich weder
Daten noch Programme. Sie beanspruchen aber Ressourcen und verbreiten sich auf andere
Geräte. Sie verlangsamen die Leistung von Netzwerken oder beeinträchtigen Bandbreiten.
2.2. Sicherheitslücken
Als Sicherheitslücken werden Schwachstellen oder Fehler in einem System oder Gerät bezeichnet, über
die Angreifer sich unbefugten Zugang verschaffen oder sonstige böswillige Aktionen durchführen
können. Sicherheitslücken können im Betriebssystem, in Softwareanwendungen oder in der Hardware
vorliegen und Angreifern ermöglichen, den normalen Betrieb eines Geräts oder einer IT-Infrastruktur
zu stören.
Sie können von Sicherheitsforschern oder von Angreifern ausfindig gemacht werden.
Sicherheitslücken können mit unterschiedlichen Methoden ausgenutzt werden, beispielsweise durch
Schadprogramme, Phishing-Angriffe oder spezielle „Exploits“ (Softwareprogramme, Datenpakete oder
Befehlsfolgen zur Ausnutzung der Sicherheitslücken). Indem sie sich Sicherheitslücken zunutze
machen, können Angreifer Zugang zu vertraulichen Informationen erhalten, den normalen Betrieb
eines Geräts oder Systems stören oder andere schädliche Aktionen durchführen.
Als Zero-Day-Sicherheitslücken7 werden Sicherheitslücken bezeichnet, von denen Softwareentwickler
oder Sicherheitsforscher, die normalerweise dafür zuständig wären, noch keine Kenntnis haben und
die daher noch nicht durch Verbesserungen (Patches) beseitigt wurden. Da die Benutzer nichts von der
Sicherheitslücke wissen, können sie nichts unternehmen, um sich zu schützen.
Zero-Day-Exploits sind digitale Angriffe, die auf Zero-Day-Sicherheitslücken abzielen. Durch die
Nutzung dieser Sicherheitslücken versuchen Cyberkriminelle, sich Einnahmen zu verschaffen.
Internationale Initiativen pflegen öffentlich zugängliche Datensätze über bekannte Sicherheitslücken.
Die Cybersicherheits-Gemeinschaft etwa unterstützt die CVE-Liste (Common Vulnerabilities and
Exposures). 8 Diese Liste umfasst einen Katalog der öffentlich bekannten Cybersicherheitslücken.
Anhand der Einträge in diesem Katalog können Sicherheitslücken klar identifiziert und in
Überwachungslisten wie der Liste der Top 10 Web Application Security Risks des Open Web
Application Security Project (OWASP) 9 veröffentlicht werden.
Nach dieser Analyse von Sicherheitslücken und Exploits können zwei verschiedene Arten von Angriffen
unterschieden werden:
• Zero-Click-Angriffe 10 erfolgen ohne Zutun der Benutzer. Häufig beruhen sie auf einer Zero-Day-
Sicherheitslücke und sind dadurch besonders gefährlich, dass die Benutzer in der Regel nichts
von solchen Angriffen wissen und sie daher auch nicht abwehren oder ihre Auswirkungen
abschwächen können.
7
Singh, U. K., Joshi, C., und Kanellopoulos, D., “A framework for zero-day vulnerabilities detection and prioritization”, Journal
of Information Security and Applications (2019), 46, S. 164–172.
8
Common Vulnerabilities and Exposures List, https://cve.mitre.org/cve/.
9
Open Web Application Security Project, https://owasp.org/www-project-top-ten/.
10
Sarker, I. H., Kayes, A. S. M., Badsha, S., Alqahtani, H., Watters, P., und Ng, A., “Cybersecurity data science: an overview from
machine learning perspective”; in: Journal of Big data (2020), 7(1), S. 1–29.
PE 740.514 15IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
• One-Click-Angriffe erfordern eine Eingabe der überwachten Benutzer, gewöhnlich, indem
diese auf einen Link oder eine Schaltfläche klicken, der (die) über eine Webanwendung
angezeigt wird. Auch wenn das Opfer zu einer Eingabe aufgefordert wird, kann es sein, dass
die Benutzer nicht erkennen, was eigentlich passiert, da sie sich durch die Aufmachung der
vom Angreifer übertragenen Meldung oder der präsentierten Oberfläche täuschen lassen.
In den letzten Jahren war eine wachsende Zahl von Angriffen zu verzeichnen, die über traditionelle
Kanäle (wie E-Mail-Nachrichten) hinausgingen. Diese Angriffe beruhen auf schwieriger zu vereitelnden
Ansätzen (beispielsweise automatisierten „Drive-by-Downloads“, die von infizierten Webseiten
gestartet werden) und ermöglichen böswilligen Akteuren, auf die betroffenen Geräte zuzugreifen, sie
zu kontrollieren und zu infiltrieren und große Mengen an Informationen auf ihnen zu sammeln.
Abbildung 2: Schematische Darstellung der Verbreitung von Web-Schadprogrammen 11
11
Liu, W., und Zhong, S., “Web malware spread modelling and optimal control strategies”, Scientific reports (2017), 7(1), S. 1–
19.
16 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
2.3. Neue Bedrohungen
Berichte über Cyber-Bedrohungen konzentrieren sich gewöhnlich auf den wirtschaftlichen Aspekt.
Dabei werden Cyber-Bedrohungen für die Zivilgesellschaft außer Acht gelassen, 12 obwohl
Spähsoftware häufig gegen Dissidenten, Menschenrechtsaktivisten, Journalisten und Vertreter der
Zivilgesellschaft eingesetzt wird (siehe Abschnitt 3.2). Erst in jüngster Zeit sind
Überwachungsmaßnahmen und Angriffe auf die Zivilgesellschaft durch Spähsoftware wie u. a. Pegasus
(siehe Abschnitt 3) oder Predator 13 in den Medien zu einem Thema geworden und ins Blickfeld von
Gesetzgebern und Regulierungsbehörden gerückt.
Im November 2022 bezeichnete die Agentur der Europäischen Union für Netz- und
Informationssicherheit (ENISA) die digitale Überwachung als eine der zehn größten Bedrohungen der
Cybersicherheit im Jahr 2030 (siehe Abbildung 3). 14 Diese Besorgnis wird vielfach auch von anderer
Seite zum Ausdruck gebracht.
Abbildung 3: Bedrohungen der Cybersicherheit
12
ENISA, Threat Landscape 2022, https://www.enisa.europa.eu/publications/enisa-threat-landscape -2022.
13
Stevis-Gridneff, M., und Pronczuk, M., “Senior European Parliament Member Targeted as Spyware Abuse Spreads“, The
New York Times (27. Juli 2022), https://www.nytimes.com/2022/07/27/world/europe/eu-spyware-predator-pegasus.html.
14
Pressemitteilung der ENISA. Cybersecurity Threats Fast-Forward 2030: Fasten your Security-Belt Before the Ride!, 11.
November 2022, https://www.enisa.europa.eu/news/cybersecurity-threats-fast-forward-2030.
PE 740.514 17IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
APT-Gruppen (Advanced Persistent Threats), d. h. Akteure, die in der Lage sind, sich unbefugt Zugang
zu Computern und Netzwerken zu verschaffen und dabei über einen längeren Zeitraum unentdeckt zu
bleiben, investieren nicht nur in die Entwicklung oder den Erwerb fortschrittlicher Angriffsfähigkeiten,
sondern nutzen auch zunehmend öffentlich verfügbare Schadprogramm-Tools (u. a. Open-Source-
Schadsoftware).15 Die weite Verbreitung kostengünstiger, einfacher Tools hat dazu geführt, dass
angesichts geringerer Zugangshürden mehr Anwender die Möglichkeit haben, Geräte zu hacken und
zu überwachen. Da mehr Anwender Zugang zur einschlägigen Technologie erhalten, können diese
APT-Gruppen von Sicherheitsforschern nicht mehr rechtzeitig ausfindig gemacht werden und bleiben
möglicherweise unentdeckt.16
In diesem Zusammenhang ist darauf hinzuweisen, dass die NSO Group (das Unternehmen, das Pegasus
entwickelt hat) nur ein Anbieter einer weitaus umfangreicheren weltweit tätigen Auftragshacker-
Branche ist. Im Jahr 2021 teilte Meta Informationen über sieben Akteure, die Meta wegen
mutmaßlicher Überwachungstätigkeiten von seiner Plattform entfernt hat.17 Microsoft hat festgestellt,
dass Candiru sich im Jahr 2021 eine Zero-Day-Sicherheitslücke zunutze gemacht hat. Über ausgefeilte
Angriffe wird versucht, Spähsoftware in die Geräte der zu überwachenden Personen einzuschleusen.
Im Jahr 2020 sei beispielsweise die Website der iranischen Botschaft in Abu Dhabi verändert worden,
nachdem ein kleines Programm in die Website eingebaut wurde, über das die (Candiru vergleichbare)
Spähsoftware Karkadann übertragen werden konnte.18
Im Jahr 2021 entdeckte Malwarebytes 54 677 Apps zur Überwachung von Android-Systemen und 1
106 Apps, die Android-Systeme ausspähen (4,2 % bzw. 7,2 % mehr als im Jahr 2020). Das Jahr 2021
scheint ein Rekordjahr im Hinblick auf den Einsatz von Spähsoftware gewesen zu sein. Äußerst
schwierig ist die Beseitigung von Schadprogrammen, die im Betriebssystem mobiler Geräte von
Billigherstellern teilweise bereits vorinstalliert sind.19
Vielen Angriffen sind drei Phasen gemein: Aufklärung, Einsatz und Ausnutzung. Einige Akteure haben
sich auf eine bestimmte Phase der Überwachung spezialisiert, andere decken die gesamte
Angriffskette ab.
1. Aufklärung: Hacker erstellen im Auftrag ihrer Kunden Profile der überwachten Personen, um in
Erfahrung zu bringen, wie die Geräte dieser Personen erfolgreich angegriffen werden können.
In dieser Phase setzen die Hacker im Allgemeinen Software zur automatisierten Erfassung und
Analyse von Daten ein. Sie extrahieren Informationen aus allen verfügbaren Online-
Datensätzen (Blogs, sozialen Netzwerken, Wissensmanagement-Plattformen usw.).
2. Einsatz: Möglicherweise wird Kontakt zu den überwachten Personen aufgenommen, um
Vertrauen zu wecken, Informationen zu erlangen und die überwachten Personen vielleicht zu
15
Nimmo, B. “Meta’s Adversarial Threat Report, Second Quarter 2022”, Meta Newsroom, 4. August 2022,
https://about.fb.com/news/2022/08/metas-adversarial-threat-report-q2-2022/.
16
Nimmo, B., Agranovich, D., Franklin, M., Dvilyanski, M., und Gleicher, N., “Quarterly Adversarial Threat Report”, Meta, August
2022, https://about.fb.com/wp-content/uploads/2022/08/Quarterly-Adversarial-Threat-Report-Q2-2022.pdf.
17
Agranovich, D., und Dvilyanski, M., “Taking Action Against the Surveillance-for-Hire Industry”, Meta Newsroom 16.
Dezember 2021, https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/.
18
Faou, M., “Strategic Web Compromises in the Middle East with a Pinch of Candiru: ESET Researchers Have Discovered
Strategic Web Compromise (aka Watering Hole) Attacks against High‑Profile Websites in the Middle East”, welivesecurity,
16. November 2021, https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-
candiru/.
19
Malwarebytes Cyberprotection. Threat Review: Cyberprotection Starts with Understanding the Latest Attacks, Cybercrimes,
and Privacy Breaches, 2022, https://www.malwarebytes.com/resources/malwarebytes-threat-review-2022/index.ht ml
(abgerufen am 26. Dezember 2022).
18 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
bewegen, auf schädigende Links oder Dateien zu klicken. Dazu können die Angreifer Taktiken
des Social-Engineering einsetzen. Sie können als fiktive Personen auftreten und per E-Mail oder
telefonisch, mit Kurznachrichten oder Direktnachrichten in sozialen Medien Kontakt mit
Menschen aufnehmen.
3. Ausnutzung: Die Angreifer hinterlassen ihre schädigende „Nutzlast“ mit selbst entwickelten
maßgeschneiderten Exploits oder mit Schadsoftware-Tools, die sie von Dritten erworben
haben. Je nach Exploit können die Angreifer auf sämtliche Daten auf dem Telefon oder
Computer der überwachten Person zugreifen (u. a. auf Passwörter, Cookies, Zugangstokens,
Fotos, Videos, Nachrichten und Adressbücher). Außerdem können sie unbemerkt das Mikrofon,
die Kamera und die Standorterkennung aktivieren.
Abbildung 4: Die zehn wichtigsten Kategorien erkannter Schadprogramme im Jahr 2021 20
Es wurde festgestellt, dass sieben Unternehmen (mit Sitz in China, Israel, Indien und Nordmazedonien)
Personen in über 100 Ländern überwachen und dabei alle drei Phasen der Überwachungskette
abdecken (siehe folgende Abbildung 5):
20
Malwarebytes Cyberprotection. Threat Review: Cyberprotection Starts with Understanding the Latest Attacks, Cybercrimes,
and Privacy Breaches.
PE 740.514 19IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
Abbildung 5: Überwachungsphasen und die sieben von Meta ermittelten Unternehmen 21
21
Nimmo, B., “Meta’s Adversarial Threat Report”.
20 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
3. PEGASUS ALS ÜBERWACHUNGSTOOL
WICHTIGSTE ERKENNTNISSE
Die aktive Überwachung mit technischen Mitteln kann sich auf alle Lebensbereiche der betroffenen
Personen erstrecken und stellt daher einen weitreichenden Eingriff in die Privatsphäre dar. Insoweit
gibt sie berechtigten Anlass zu Bedenken. Spähsoftware-Systeme zum Hacken mobiler Geräte
(beispielsweise die von NSO Group entwickelte Software Pegasus) ermöglichen eine umfassende
geheime Überwachung. Pegasus hat vollständigen und unbeschränkten Zugriff auf die
überwachten Geräte: Die Software kann aus einem gehackten Gerät sämtliche Daten extrahieren
(Erstextraktion), alle über das Gerät ausgeführten Aktivitäten überwachen (passive Überwachung),
Funktionen des Geräts aktivieren, um weitere Daten zu sammeln (aktive Überwachung), und
möglicherweise den Inhalt des Geräts und die von ihm gesendeten Nachrichten modifizieren. Sie
kann ohne Mitwirkung der betroffenen Personen installiert werden und hinterlässt keine (oder nur
wenige) Spuren ihrer Aktivität. Der Einsatz von Pegasus wurde in vielen Ländern mit umfangreichen
Belegen nachgewiesen, auch in EU-Mitgliedstaaten.
In diesem Abschnitt wird zunächst der Begriff der Überwachung erläutert. Dabei wird zum einen
zwischen traditioneller und neuer, technologiegestützter Überwachung und zum anderen zwischen
aktiver Überwachung und Massenüberwachung unterschieden. Anschließend wird Pegasus als
extremes Beispiel für eine technologiegestützte aktive Überwachung behandelt.
3.1. Herkömmliche und neue Überwachungsmethoden
Um Risiken für die nationale Sicherheit zu begegnen, aber auch um politische oder wirtschaftliche
Vorteile zu erlangen, haben Regierungen schon immer Methoden zur verdeckten Ermittlung genutzt.
Diese Methoden dienen häufig der „Überwachung“ (surveillance), 22 d. h. der absichtlichen,
systematischen und anhaltenden Beobachtung von Einzelpersonen und Gruppen. Dabei geht es vor
allem um personenbezogene Informationen, die zu Zwecken der Beeinflussung, der Verwaltung, des
Schutzes oder der Lenkung verwendet werden23.
Der Einsatz menschlicher Agenten zum Sammeln von Informationen durch Infiltration, persönliche
Kontakte und Zugang zu vertraulichen Dokumenten wurde durch technische Mittel ergänzt,
insbesondere durch digitale Technologien. An die Stelle der herkömmlichen Überwachung, die ohne
weitere Hilfsmittel nur auf menschlichen Sinnen beruhte, ist somit ein ganz anderes Modell der sozialen
Kontrolle getreten, das als „neue Überwachung“ bezeichnet wird. Diese wird definiert als die
22
Das Wort Surveillance (aus dem Französischen surveiller mit den Bestandteilen sur, d. h. „über“, und veiller, vom lateinischen
vigilare, d. h. „wachen über etwas“) wurde zur Zeit der Französischen Revolution (1789–1799) in die englische Sprache
übernommen. In dieser Zeit wurden in allen französischen Gemeinden Überwachungsausschüsse eingerichtet, um das
Verhalten und die Bewegungen von Ausländern, Dissidenten und verdächtigen Personen zu beobachten. Siehe Watt, E.,
State Sponsored Cyber Surveillance, Elgar, 2021, On cybersurveillance and national security; siehe ferner Monti, A., und
Wacks, R., National Security in the New World Order, Routledge, 2022.
23
Lyon, D., Surveillance Studies, Polity Press, 2007.
PE 740.514 21IPOL | Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten
Beobachtung von Einzelpersonen, Gruppen und Zusammenhängen unter Einsatz technischer Mittel
zur Beschaffung oder Entwicklung von Informationen. Dadurch werden u. a. räumliche, zeitliche und
quantitative Grenzen der herkömmlichen Überwachung überwunden. 24
Die heutigen Informationstechnologien ermöglichen in einem noch nie dagewesenen Umfang eine
„Kommunikationsüberwachung“, die der Hochkommissar für Menschenrechte der Vereinten Nationen
wie folgt beschreibt:
das Überwachen, Abfangen, Sammeln, Beschaffen, Analysieren, Verwenden, Aufbewahren,
Speichern und Manipulieren von und Zugreifen auf Informationen, die die frühere,
gegenwärtige oder künftige Kommunikation einer Person widerspiegeln, sich daraus
ergeben oder diese zum Gegenstand haben. 25
Massenüberwachung war tatsächlich schon vor dem Aufkommen der heutigen Technologien möglich:
Das Ministerium für Staatssicherheit der Deutschen Demokratischen Republik („Stasi“) beispielsweise
baute Archive mit Akten über schätzungsweise sechs Millionen Menschen auf.
Mindestens 174 000 der ca. 274 000 Mitarbeiter waren Informanten. Dies entspricht einem
Anteil von etwa 2,5 % der erwerbstätigen Bevölkerung. Informanten spionierten in allen
Büros, Kultur- und Sportvereinen und Wohnhäusern. Sie überwachten Menschen in ihren
eigenen Wohnungen und in den Wohnungen ihrer Freunde.26
Die moderne, auf digitalen Technologien beruhende Überwachung kann eine derartige
Durchdringung mit einem Bruchteil an Personalaufwand erzielen und noch übertreffen. Sensoren und
Hacking-Software können beliebige Information unter allenfalls begrenztem menschlichem Zutun
direkt bei den ausgespähten Personen sammeln. Zudem kann elektronische Kommunikation in
gewaltigem Umfang direkt aus den Leitungen zur Übermittlung dieser Kommunikation und aus den
Servern abgefangen werden, auf denen die Kommunikation gespeichert wird.
Ein wichtiger Aspekt bei der Analyse von Überwachung ist der Unterschied zwischen aktiver
Überwachung und Massenüberwachung.
Aktive Überwachung ist auf bestimmte Zielpersonen gerichtet. Sie kann darin bestehen, die von einer
bestimmten Person oder einem bestimmten Ort ausgehende Kommunikation abzufangen. Sie kann
aber auch durch den Zugriff auf entfernte Geräte („Hacken“) erfolgen, der darauf abzielt, Daten aus
Geräten mit Internetanbindung (Desktops, Laptops, Tablets, Smartphones usw.) zu extrahieren. Da
digitale Kommunikation zunehmend verschlüsselt wird, versuchen Sicherheits- und
Strafverfolgungsbehörden gewöhnlich, durch Eindringen in die Geräte Zugang zu
Kommunikationsinhalten zu erlangen, noch bevor eine Verschlüsselung diesen Zugang verhindert.
Leistungsfähige Schadprogramme wie die Spähsoftware Pegasus sind Ausprägungen des aktuellen
Entwicklungstands von Technologien, die bereits seit einigen Jahrzehnten genutzt werden.
Im Gegensatz zur aktiven Überwachung betrifft die Massenüberwachung große Personengruppen (bis
hin zu ganzen Nationen), ohne auf bestimmte Personen abzuzielen. Sie erfolgt ohne Verdacht gegen
bestimmte Personen und ist proaktiv darauf gerichtet, künftige Bedrohungen zu erkennen und
potenziell verdächtige Personen zu ermitteln. Grundlage für die Durchführung von
Massenüberwachung sind digitale Technologien, mit denen gewaltige Datenmengen rasch und mit
24
Marx, G. T., Windows into the Soul, Surveillance and Society in an Age of High Technology, Chicago University Press, 2016.
25
Vereinte Nationen, Bericht des Sonderberichterstatters über die Förderung und den Schutz des Rechts auf Meinungsfreiheit und
freie Meinungsäußerung, Frank La Rue. A/HRC/23/40, 2013.
26
Amnesty International. Lessons from the Stasi – a cautionary tale on mass surveillance, 2015,
https://www.amnesty.org/en/latest/news/2015/03/lessons-from-the-stasi/.
22 PE 740.514Die Auswirkungen von Pegasus auf Grundrechte und demokratische Prozesse
begrenztem Kostenaufwand verarbeitet werden können, indem die Daten über
Telekommunikationsleitungen oder aus bestehenden Informationsspeichern gesammelt werden, die
vielfach im Eigentum führender digitaler Unternehmen stehen. Die Massenüberwachung ist
Gegenstand einer umfassenden weltweiten Debatte, insbesondere nachdem durch die Enthüllungen
von Edward Snowden der Umfang des Phänomens und das Ausmaß des Missbrauchs deutlich wurden.
Das EU-Parlament brachte seine Besorgnis hinsichtlich der Auswirkungen der Überwachung auf
Grundrechte und auf Grundsätze des Unionsrechts zum Ausdruck. 27 Sowohl der Europäische
Gerichtshof für Menschenrechte (EGMR) als auch der Gerichtshof der Europäischen Union (EuGH oder
auch einfach „Gerichtshof“) haben sich zu einer übermäßigen staatlichen Überwachung mehrfach
kritisch geäußert. 28
Die aktive Überwachung, die Gegenstand dieses Berichts ist, erfuhr hingegen bis vor Kurzem noch
geringere Aufmerksamkeit. Neue technologische Entwicklungen (etwa Softwareprogramme wie
Pegasus) erfordern jedoch auch eine Berücksichtigung der individuellen und sozialen Auswirkungen
aktiver Überwachung. Die Massenüberwachung bietet aufgrund ihres Umfangs insoweit Anlass zu
berechtigten Bedenken, als sie alle Mitglieder einer Gemeinschaft betreffen kann. Hinsichtlich der
aktiven Überwachung mit den verfügbaren technischen Tools stellen sich jedoch ebenso berechtigte
Fragen in Anbetracht der Tiefe, mit der alle Aspekte des Lebens der betroffenen Personen ausgespäht
werden können.
3.2. Die Herausforderung durch Spähsoftware
Spähsoftware-Systeme zum Hacken mobiler Geräte (z. B. Pegasus) ermöglichen eine umfassende
Überwachung. Sie können enorme Auswirkungen auf die betroffenen Personen und die Gesellschaft
insgesamt haben und bergen die Gefahr, dass die Grundrechte der EU und die Grundwerte des
Unionsrechts untergraben werden.
Das Ausmaß dieser Auswirkungen wird erst angesichts der Tatsache bewusst, dass sich das
menschliche Leben heute in einer hypervernetzten Welt abspielt, in der viele oder sogar die meisten
Menschen über die digitale Infrastruktur individuelle und soziale Aktivitäten entfalten und vielfältige
Informationen speichern und austauschen sowie mündlich und schriftlich kommunizieren und
interagieren. Eine besondere Rolle spielen dabei unsere persönlichen Geräte (gewöhnlich
Smartphones), die für uns die Schnittstelle zu unserer digital vermittelten und konstituierten
Lebensumwelt darstellen.
Es mag den Anschein haben, dass die Technologien zum Hacken von Geräten mit dem herkömmlichen
Abhören von Telefongesprächen zur heimlichen Überwachung von Kommunikation als einer Praxis
vergleichbar seien, die mit dem Aufkommen von Telekommunikationsnetzen bei
Strafverfolgungsbehörden und nationalen Sicherheitsdiensten weite Verbreitung gefunden hat. Das
27
Siehe Europäisches Parlament (2014), Entschließung vom 12. März 2014 zu dem Überwachungsprogramm der Nationalen
Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden
Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres
(2013/2188(INI)); Agentur der Europäischen Union für Grundrechte, Surveillance by intelligence services: Fundamental rights
safeguards and remedies in the EU. Band II: Field perspectives and legal update, Amt für Veröffentlichungen der Europäischen
Union, 2017.
28
Zu den neuesten Urteilen des EGMR siehe Big Brother Watch u. a. / Vereinigtes Königreich [Große Kammer] (Nr. 58170/13,
62322/14 und 24960/15, 25. Mai 2021); zum Gerichtshof der Europäischen Gemeinschaften siehe Urteil des Gerichtshofs
vom 5. April 2022, The Commissioner of the Garda Síochána u. a., C-140/20, ECLI:EU:C:2022:258.
PE 740.514 23Sie können auch lesen
