Tag Archives: CCC

04/12/25

„Pall-Mall“-Prozess

Staaten wollen weiter hacken, aber mit Regeln

Constanze Kurz 11.04.2025

23 Staaten haben sich im Rahmen des „Pall-Mall“-Prozesses auf eine unverbindliche Vorschlagsliste geeinigt, um die Verbreitung von Schadsoftware wie Staatstrojanern und anderen Hacking-Werkzeugen einzudämmen. Experten bewerten die Ideenliste zwar positiv. Praktische Auswirkungen wird die Verabschiedung der Regeln aber nicht entfalten.

Dass Staatstrojaner um sich greifen, ist ein wachsendes Phänomen. Eine europäische diplomatische Initiative mit dem Namen Pall-Mall-Prozess, die von Großbritannien und Frankreich angestoßen wurde, widmet sich dem Problem. Das Ziel ist klar formuliert: Die „Verbreitung und unverantwortliche Nutzung kommerzieller Hacking-Werkzeuge“ wie Staatstrojaner soll bekämpft werden.

Vertreter von Staaten und internationalen Organisationen sowie von Industrie, Zivilgesellschaft und Wissenschaft entwickeln in dem Prozess einen „Verhaltenskodex“. Er ist allerdings freiwillig und vollkommen unverbindlich. Den Regeln sollen sich mitzeichnende Staaten freiwillig unterwerfen. Damit sollen die offenkundigen Probleme angegangen werden, die sich aus der Verbreitung kommerzieller Staatstrojaner und anderer Hacking-Werkzeugen ergeben. Er soll künftig auch weiteren Staaten angedient werden.

Vor einem Jahr traf sich die Pall-Mall-Initiative auf einer Konferenz in London und verabschiedete ein erstes Grundsatzpapier. 27 Staaten und internationale Organisationen haben die Erklärung unterschrieben, neben Großbritannien und Frankreich auch Deutschland und die Vereinigten Staaten.

Letzte Woche traf sich die Initiative erneut, diesmal in Paris. Dort haben sie eine zweite Version der Erklärung verabschiedet. Die neue Version wurde von 23 Staaten unterschrieben.

Wer mit Staatstrojanern ausspioniert wird

Das staatliche Hacken gefährdet die IT-Sicherheit insgesamt. Denn es basiert darauf, dass Sicherheitslücken ausgenutzt werden, um die Schadsoftware unbemerkt einschleusen zu können. Staaten, die solche Hacking-Werkzeuge kaufen oder einsetzen, investieren also hohe Beträge in eine Branche, die Unsicherheit und das Ausnutzen von Sicherheitslücken zum Geschäftsmodell gemacht hat.

Das Problem, das der Pall-Mall-Prozess angehen soll, ist also hausgemacht. Die Opfer der Staatstrojaner sind zwar überwiegend außerhalb Europas zu finden. Betroffen sind immer wieder auch Journalisten, Juristen und Aktivisten. Allerdings ist das Problem dennoch längst auch innerhalb der europäischen Grenzen angekommen. In Polen wurden schon 2019 Oppositionspolitiker mit dem Staatstrojaner Pegasus gehackt, was später polnische Staatsanwälte auf den Plan rief. 578 Menschen sollen in unserem Nachbarland in den Jahren 2017 bis 2023 mit Pegasus ausspioniert worden sein.

Die Hacking-Software Pegasus des israelischen Anbieters NSO Group soll zudem den Regierungschef und Verteidigungsminister von Spanien und das Umfeld des früheren britischen Regierungschefs Boris Johnson betroffen haben. Neue Recherchen zeigen, dass Spanien bisher insgesamt 21 Pegasus-Opfer zu verzeichnen hatte. Aber auch die Niederlande sind mit elf Pegasus-Spionageopfern, Frankreich mit sieben Hacking-Fällen und Belgien mit vier Opfern vertreten.

Von diesen Staaten haben sich nur Frankreich, Polen und die Niederlande den neuen Verhaltensvorschlägen des Pall-Mall-Prozesses angeschlossen. Spanien und Belgien hingegen nicht. Das Heimatland der NSO Group Israel fehlt ohnehin auf der Liste der Unterstützer.

Pegasus ist auch mitnichten der einzige Staatstrojaner, der große öffentliche Aufmerksamkeit und noch laufende gerichtliche Nachspiele erfahren hat. Auch die Predator-Staatstrojaner des europäischen Konkurrenten Intellexa waren oft in den Schlagzeilen. Zwar konnte nach der Berichterstattung ein erheblicher Rückgang der Predator-Aktivitäten verzeichnet werden, aber die dürften vor allem durch die beispiellosen Sanktionen der US-Regierung unter Joe Biden ausgelöst worden sein. Die Kunden von Predator – also staatliche Behörden – dürften nach der öffentlichen Berichterstattung und den Sanktionen deutlich höhere Preise serviert bekommen und teilweise ihre Zusammenarbeit mit dem Anbieter eingestellt haben. Die Geschäftstätigkeit von Intellexa wird vermutlich insgesamt stark beeinträchtigt sein.

Politische Maßnahmen zur Eindämmung der Verbreitung von Hacking-Software wie die Einleitung des Pall-Mall-Prozesses spielten dabei nur eine untergeordnete Rolle, obwohl die Staatstrojaner-Anbieter darauf sicher mit Sorge blicken. Wirkliche Angst um ihr Geschäftsfeld ist jedoch nicht angebracht, da die Liste der Unterstützer viel zu klein ist.

Rechenschaftspflichten und Kontrolle

Das Pall-Mall-Papier legt Leitlinien fest und listet recht detailliert politische Instrumente auf, die den Staaten Optionen aufzeigen sollen, wie man mit Fragen der eigenen Entwicklung, der Verbreitung und unkontrollierten Ausbreitung, des Kaufs oder der eigenen Nutzung von Staatstrojanern und anderen Hacking-Werkzeugen umgehen sollte.

Schwerpunkte der Pall-Mall-Verhaltensvorschläge sind Accountability, was man mit Zurechenbarkeit und Rechenschaftspflicht übersetzen könnte, und Kontrolle in einem weiten Sinne. Beides soll sicherstellen, dass staatliches Hacking rechtlich bewertet und geprüft werden kann. Um einen verantwortungsbewussten Einsatz sicherzustellen, sollen „Grundsätze wie Rechtmäßigkeit, Erforderlichkeit, Verhältnismäßigkeit und Angemessenheit“ gelten, die unter Beachtung des Völkerrechts, der Menschenrechte und unter der Maßgabe der Rahmenbedingungen der Vereinten Nationen (für verantwortungsbewusstes staatliches Handeln im Cyberspace von 2021) anzuwenden sind.

Politischer Instrumentenkasten

Vorgeschlagen ist dazu ein Kontrollregime bei der Ausfuhr von Staatstrojanern, das die Risiken einer unverantwortlichen Verwendung abschätzen und mindern soll. Die Regierungen sollen auch versuchen, Anreize für verantwortungsvolles Handeln in der gesamten Hacking-Branche setzen. Solche Anreize könnten etwa darin bestehen, dass Aufträge bevorzugt an solche Staatstrojaner-Anbieter vergeben werden, die sich zur „Achtung der Rechtsstaatlichkeit und des geltenden Völkerrechts, einschließlich der Menschenrechte und Grundfreiheiten“ bekennen. Wenn Anbieter das nicht tun, soll ihnen mit dem Ausschluss von Regierungsaufträgen signalisiert werden, dass eine öffentliche Auftragsvergabe mit „illegalen oder unverantwortlichen Aktivitäten“ unvereinbar und inakzeptabel ist.

Zudem könnten für Vertreter von in Ungnade gefallenen Staatstrojaner-Anbietern politische Instrumente in Stellung gebracht werden, etwa Strafverfahren, finanzielle Sanktionen oder Reisebeschränkungen. Das solle auch für Konkurrenten ein Zeichen setzen.

Zugleich soll Staatstrojaner-Opfern geholfen werden, empfiehlt das Pall-Mall-Papier. Wer einem hohen Risiko ausgesetzt sei, von Staatstrojanern ins Visier genommen zu werden, der könnte sensibilisiert und beraten werden, beispielsweise „Journalisten, Menschenrechtsverteidiger und Regierungsbeamte“.

Im Pall-Mall-Prozess geht es aber nicht darum, der Nutzung der Staatstrojaner gänzlich einzudämmen. Das steht in dem Prozess außer Frage, da ein rechtmäßiger Einsatz für legitime Zwecke als Möglichkeit angenommen wird. Allerdings wird der wachsende Markt klar als Bedrohung erkannt und zwar „für die Sicherheit, die Achtung der Menschenrechte und Grundfreiheiten und die Stabilität des Cyberspace“. Diese Bedrohungen „werden in den kommenden Jahren voraussichtlich zunehmen“, heißt es in dem Dokument.

Dahinter kommt bei den sogenannten Stakeholdern die klare Erkenntnis zum Vorschein, dass es ein massives und wachsendes Problem mit Staatstrojanern gibt. Ein Großteil der europäischen Länder – auch Deutschland – bringt durch das aktualisierte Dokument zum Ausdruck, dass sie das Problem angehen wollen. Das Ergebnis kann aber wegen der Unverbindlichkeit nur als Symbolpolitik eingeordnet werden.

Die Finanziers der Branche sind ja auch die Staaten, die den Pall-Mall-Prozess in Gang gesetzt haben. Sie sind als Verursacher des wachsenden Marktes der Hacking-Anbieter die wichtigsten Akteure, die zur praktischen Eindämmung der Staatstrojaner beitragen könnten. Ein paar mehr freiwillige Vorschläge für Kontrollmechanismen und rechtliche Regeln und das Erinnern an Menschenrechte dürften hier lange nicht ausreichend sein. Das Risiko bleibt also groß, dass in einigen Jahren ein noch größeren Anbieter-Markt existieren wird.

Gefahr für die IT-Sicherheit bleibt bestehen

Sven Herpig vom unabhängigen Verein interface bewertet die freiwilligen Verhaltensregeln des Pall-Mall-Prozesses als „ersten Schritt zur weiteren Konkretisierung“ grundsätzlich positiv. Er sagt jedoch: „Praktische, operative Auswirkungen erwarte ich mir von der Verabschiedung der Regeln nicht direkt.“ Grund für die geringe „normative Bedeutung“ sei vor allem, dass bisher mit 23 Staaten nur so wenige Unterstützer mitgezeichnet hätten.

Alexandra Paulus von der Stiftung Wissenschaft und Politik sieht den Pall-Mall-Prozess als „eine der spannendsten aktuell laufenden Cyberdiplomatie-Initiativen“. Sie bewertet den Vorteil vor allem darin, dass die Initiative so gestaltet sei, dass es ein „klar umgrenztes Thema“ gäbe.

Ob aber diese Verhaltensregeln eine Eindämmung der kommerziellen Hacking-Branche bewirken können, sieht Herpig skeptisch: „Langfristig könnte es als normativer Rahmen dienen, den Staaten nutzen, um sie einzudämmen.“ Dazu brauche es staatlichen Willen und entsprechende rechtliche Regeln, betont Herpig. „Und das in vielen Staaten, vor allem auch diejenigen, wie Israel oder Russland, die diese Verhaltensregeln bisher noch nicht mitgezeichnet haben.“

Auch Alexandra Paulus beantwortet die Frage danach, ob die Regeln eine Eindämmung bewirken können, eher zurückhaltend. Man müsse sich klarmachen, dass sich das verabschiedete Dokument an Staaten richte. „Um den Markt wirklich zu beeinflussen“, sei entscheidend, welche Regeln die Staaten für die Branche aufstellten. Das könne entweder eine „harte Regulierung, etwa Exportkontrollen“, sein oder „weiche Anreizsysteme, zum Beispiel Regeln für die öffentliche Beschaffung“ der Hacking-Werkzeuge. Zudem könnten Staaten Regeln für die eigene Nutzung von kommerzieller Hacking-Software aufstellen, „zum Beispiel eine unabhängige Aufsichts-Institution“. Die Frage sei, ob „Staaten das Dokument zum Anlass nehmen, tatsächlich ihre Politik zu verändern“.

Die Wissenschaftlerin sieht die Verhaltensregeln als Puzzleteile und sagt: „Wenn sie zusammengefügt werden, können sie einen großen Einfluss auf den Markt haben.“ Am wirkmächtigsten seien Exportkontrollen und Sanktionen. Auch andere Instrumente könnten wirken: die Staatstrojaner-Anbieter besser zu kennen sowie Regeln und Aufsichtsgremien für die staatliche Nutzung. „Würden die unterzeichnenden Staaten diese Instrumente flächendeckend ausrollen, wären wir schon ein großes Stück weiter“, sagt Paulus.

Das bisherige Ergebnis des Pall-Mall-Prozesses sei auch ein „Selbsteingeständnis der Staaten, dass sie eigentlich an der ‚Misere‘ schuld sind“, sagt Herpig, der bei interface den Bereich „Cybersicherheitspolitik und Resilienz“ leitet. Auch deswegen hätten nur so wenig Staaten unterzeichnet. In der Praxis werde sich „kurz- bis mittelfristig vermutlich rein gar nichts ändern“.

Das bisherige Ergebnis des Pall-Mall-Prozesses sei erst ein Anfang, betont Paulus von der Stiftung Wissenschaft und Politik. Das „härteste Stück Arbeit“ stünde noch bevor, „nämlich ein Code of Practice für die Wirtschaft“. Sie sei gespannt, ob es gelingen wird, „mit den diversen Unternehmen des Ökosystems ins Gespräch zu kommen“.

Das dürfte schwierig werden. Denn es liegt in der Natur der Branche, nicht allzu transparent zu sein. Denn ein Gutteil der schattigen Zwischenhändler und der Kunden – also die staatlichen Käufer der Staatstrojaner – bestehen schließlich darauf. Aus Netzpolitik

Über die Autor:in constanze

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille.

Kontakt: E-Mail (OpenPGP)

02/3/15

Zivilgesellschaft & digitaler Ungehorsam

In einem aktuellen Beitrag beschäftigen sich Heinz Kleger und Eric Makswitat von der Universität Potsdam mit dem Thema Datenschutz in Europa. Im Gegensatz zu Anthony Dworkins richten sie ihren Fokus nicht auf die Politik, sondern auf Aktionen von der Zivilgesellschaft.

Theresa Kruse 25.02.2015

So merkwürdig es scheint: Die meisten Akteure aus dem NGO-Sektor und die vielen zivilgesellschaftlichen Aktivisten mit ihrem kritischen Bürgersinn, finden zwar nicht gut, was gerade so datenmäßig und überwachungstechnisch alles passiert – aber sie haben weder ein gesteigertes Interesse an ihrem eigenen Schutz, noch setzen sie sich für grundlegende Reformen ein. Stellvertretend für ‚die Zivilgesellschaft‘ kann man vielleicht das Bürgernetzwerk Bürgerschaftliches Engagement nennen, in dem sich große Teile der organisierten deutschen Zivilgesellschaft zusammengeschlossen haben. Hier sucht man vergeblich nach Ideen, was Snowdens Enthüllungen für die deutsche Zivilgesellschaft und für das bürgerschaftliche Engagement in unserem Land bedeuten.

Selbst internationale Demokratie-Aktivisten, die von Überwachung bedroht sind, nutzen nicht automatisch Sicherheits-Tools. Sehr selten reflektieren sie über ihren persönlichen Schutz hinaus die politische Bedeutung und was das Recht auf Privatheit in ihren Konzeptionen von Demokratie und Menschenrechten zu suchen hat.

Bleiben die Aktions- und Beteiligungsformen abseits der formalen Strukturen der Zivilgesellschaft. Hier kreisen mehr und mehr informelle Gruppen und oft künstlerische Akteure um die Fragen Überwachung, Selbstbestimmung, Privatheit und Sicherheit. Heinz Kleger und Eric Makswitat von der Universität Potsdam untersuchen den zivilen Ungehorsam als Handlungsfeld des digitalen Aktivismus.

Handlungen, die im Sinne des guten Ziels als legitim angesehen werden, gehören seit jeher zum digitalen Aktivismus – auch wenn sie illegal sind. Die Autoren diagnostizieren, dass das qualitativ Neue am digitalen zivilen Ungehorsam ist, dass dieser um „Sichtbarmachung und Thematisierung“ kreist. Dieser Ungehorsam speise sich nicht so sehr aus einer protestbereiten Öffentlichkeit, sondern schaffe diese erst einmal, um den Mangel an öffentlichem Bewusstsein und Information auszugleichen.

Ist das der politikwissenschaftliche Ritterschlag für Anonymous? Mitnichten, denn gerade bei deren Aktionen sehen Kleger und Maskwitat die legitimen Grenzen des zivilen Ungehorsames oft überschritten. Im Unterschied zu analogen Sitzblockaden, mit denen man Distributed Denial of Service-Attacken am ehesten vergleichen könnte, seien die Folgen der Ausschaltung großer und wichtiger Dienste im Internet jedoch wesentlich weniger kalkulierbar. Zu viele Unbeteiligte seien betroffen: „Die Folgenverantwortung, die zur politischen Ethik gehört, ist nicht im Blick“, schreiben sie. Kritisch sehen die Autoren auch, wenn Aktivisten „nicht nur informieren, sondern ihre vermeintlichen Gegner auch bestrafen“. Selbstjustiz sei aber gerade kein legitimes Ziel demokratischen Aktivismus. Ebenso widersprächen „die Züge des Klandestinen und Konspirativen den Kriterien des zivilen Ungehorsames.“

Unstrittig ist für die beiden Autoren, dass Edward Snowdens Aktionen zum zivilen Ungehorsam gehören. Im Gegensatz zu Julian Assanges Ohne-Rücksicht-auf-Verluste-Strategie der Veröffentlichung kritischer Informationen (Anm. Netzphil: inzwischen ist bekannt, dass dieser falsche Vorwurf gegen Assange von genau jenen Guardian-Journalisten verbreitet wurde, die für die fahrlässige Publikation des Passwortes verantwortlich waren, mit dem die wegen der Verfolgung durch NSA, CIA, FBI usw. verschlüsselten und global verteilten Wikileaks-Dateien weltweit lesbar wurden; Geheimdienste und willige Medien griffen die Verleumdung jahrelang begierig auf, um Stimmung gegen Wikileaks zu machen; Assange hat diese Beschuldigungen zurückgewiesen, ihm wurde niemals entsprechendes Fehlverhalten nachgewiesen) schätzen sie an Snowdens dosierter Herausgabe von Informationen das verantwortungsbewusste Bemühen um eine Begrenzung des möglichen Schadens, weil er eine qualitative journalistische Aufarbeitung ermöglicht.

Letztlich sei die richtige und legitime Strategie in der Demokratie aber die Mehrheiten zu bilden. Ungehorsam könne da nur die Ausnahme bleiben und ist im Sinne einer „Zivilität des Ungehorsams“ an Kriterien wie die immaterielle und materielle Abwägung der Folgen, Zielgerichtetheit, Friedlichkeit und die Relation des Handelns zu höheren verfassungsmäßigen Werten gebunden.

Das Schweigen der organisierten Zivilgesellschaft

Dworkins auf der einen sowie Kleger und Makswitat auf der anderen Seite behandeln die zwei entgegengesetzten Richtungen des politischen Handlungsspektrums. Hier die Sphäre der supranationalen Verhandlung, der Advocacy und des juristischen Kampfs auf europäischer Ebene, dort der Aktivismus einzelner oder loser Gruppen.

In Europa befindet man sich bei manchem politischen Vorhaben womöglich auch mit denen in einem Boot, die man wegen anderer Dinge bei den BigBrotherAwards prämiert. Das passiert etwa bei Fragen der Verschlüsselung oder Netzneutralität, mit Abstrichen auch bei Urheberrechtsfragen. Bei anderem wie den Big-Data-Regulierungen bleibt man Gegner. Hier muss man Pragmatismus wagen, ohne die Glaubwürdigkeit der digitalen Advocates zu unterlaufen.

Der digitale Aktivismus hat eine spezifische Ausprägung des zivilen Ungehorsames hervorgebracht, der zum kulturellen Kern seiner Bewegung gehört. Er schafft es in einzelnen Fällen Aufmerksamkeit zu erregen und hat auch durchaus Sympathisanten unter Bürgern, in der Politik und in den Medien, die seine Aktivisten als Experten schätzen und in einer speziellen Weise als Hacker oder digitale Bohème heroisieren. Digitaler Ungehorsam kann aber aus demokratie-theoretischen Erwägungen nur ein Teil einer größeren politischen Strategie sein, muss die Ausnahme der Aktionsformen darstellen und Standards genügen, die ihn zivil und demokratisch machen.

Wirksame Bewegungen haben funktionale Lösungen gefunden, wie sie in solch unterschiedlichen Sphären handlungsfähig sein können und die sich ergebenden Dilemmata verhandeln. Insofern kommt Organisationen wie Digitalcourage, aber auch Netzwerkveranstaltungen wie dem CCC oder sektorenübergreifenden Foren des Austauschs und der Kooperation eine wichtige intermediäre Funktion zu.

(reblogged von https://digitalcourage.de/blog/zivilgesellschaft-und-digitaler-ungehorsam)

Weiterführende Links