Dieses Virus könnte eine ähnliche Inzidenz entwickeln wie der Corona-Erreger. Pegasus, die Spionagesoftware, deren illegale internationale Verbreitung in dieser Woche bekannt wurde, hat inzwischen sogar die EU-Kommission auf den Plan gerufen. „Komplett inakzeptabel“ sei das, was sich da andeute, wetterte EU-Kommissionspräsidentin Ursula von der Leyen am Montag – aus der Diplomaten- in die Alltagssprache übersetzt heißt das so viel wie: Alarmstufe Rot!
Anders als das Sars-CoV-2-Virus hat die elektronische Pandemie keinen Unfall als Ursache. Die Spionagesoftware der israelischen Hightech-Schmiede NSO – von der dortigen Regierung offiziell als Waffe eingestuft – wurde offenbar gezielt eingesetzt: von mehr oder weniger gut beleumundeten Staaten und Behörden, um missliebige Dissidenten und Oppositionelle unter Kontrolle zu bringen. Für unser rechtsstaatliches Verständnis – da ist Ursula von der Leyen zuzustimmen – ist das komplett inakzeptabel!
Ob nun tatsächlich keine deutschen Journalisten oder Politiker betroffen sind (was unwahrscheinlich ist) oder die Pegasus-Software dabei geholfen hat, 2018 den saudischen Dissidenten Jamal Khashoggi ans Messer zu liefern (was wahrscheinlich ist): Der jetzt bekannt gewordene Skandal beleuchtet ein Problem, dem wir uns auch in Deutschland stellen müssen.
Sicherheitsbehörden, auch die in demokratischen Staaten, benötigen zur Gefahrenabwehr und Strafverfolgung geeignete Instrumente, zu denen heutzutage auch Spionagesoftware gehört. Gerade erst hat der Bundestag den strengster Kontrolle unterworfenen Einsatz von Trojanern gebilligt. Über das Für und Wider kann man im Detail streiten. Nicht aber über den Grundsatz, dass Polizei und Verfassungsschutz in der Lage sein müssen, für Zeiten zunehmender Cyberkriminalität gerüstet zu sein. Das gilt für die Terrorabwehr genauso wie für den Kampf gegen Computerkriminalität oder internationales Verbrechen.
So weit, so gut. Nun ist die Entwicklung von hoch spezialisierter Aufklärungssoftware teuer und aufwändig. Und: Staatliche Behörden müssen sicherstellen können, dass Unternehmen, die derartige Programme entwickeln, exklusiv an Kunden liefern, die sich einem strengen Kontrollsystem unterwerfen.
Genau da liegt derzeit die Schwachstelle. Der Anreiz, auch an zweifelhafte Kundschaft – seien es totalitäre Staaten oder zwielichtige Behörden – zu liefern, ist gewaltig. Hinzu kommt: Man kann mit Recht die Frage stellen, ob hochsensible Daten, die bei uns im Rahmen rechtsstaatlicher Verfahren erhoben werden, auf Servern im Nicht-EU-Ausland gelagert werden sollten oder dürfen. Dort, wo ihre weitere Verwendung durch deutsches Recht nicht kontrollierbar ist.
Dies alles führt zu einem einfachen Schluss: Jene EU-Staaten, die sich wie Deutschland zu strengen rechtstaatlichen Prinzipien bekennen, müssen eine eigene Infrastruktur entwickeln, in denen Forschung, Entwicklung und Handel mit Aufklärungssoftware gebündelt werden. Und das unter transparenter parlamentarischer Kontrolle. Nur Unternehmen, die diese Kriterien nachprüfbar erfüllen, kann der Zugang zu diesem hochsensiblen Markt gewährt werden.
Denn das Know-how ist in Deutschland ebenso vorhanden wie zum Beispiel in Österreich. Allerdings rentiert sich die teure Entwicklung für hoch spezialisierte Software-Boutiquen nur unter der Bedingung, dass die staatliche Kundschaft bereit ist, für exklusive Ware auch entsprechende Preise zu zahlen.
Zu einem rechtsstaatlich kontrollierten Rahmen für Entwicklung und Vertrieb von Spionagesoftware gibt es somit keine Alternative. Sonst ist die nächste Digital-Pandemie nur eine Frage der Zeit!
Mehr zum Thema: Analysen von Sicherheitsexperten zeigen, dass deutsche Firmen von der jüngsten schweren Cyberattacke gegen das IT-Unternehmen Kaseya kaum betroffen sind. Warum das trotzdem kein Grund zur Entwarnung ist.
