Auch Meta warnt, wenn Facebook- oder Instagram-Accounts durch staatliche Spione angegriffen, Menschen ausgespäht werden. Doch wie viel Verantwortung tragen Firmen dabei?
In den vergangenen Stunden und Tagen haben 50.000 Menschen in mehr als 100 Ländern weltweit die Nachricht erhalten, dass sie das Opfer staatlicher Überwachungsversuche geworden sind. Meta, das Unternehmen, zu dem Facebook und Instagram gehören, warnt derzeit seine Nutzer und Nutzerinnen, wenn Geheimdienste oder Polizeibehörden versuchen, ihre Accounts und damit ihre Mobilgeräte auszuspähen. Das Gleiche hatte kürzlich Apple getan und iPhone-Kunden weltweit über Spionageversuche informiert. Im Gegensatz zu Meta veröffentlichte Apple jedoch keine Zahlen, wie viele Menschen davon betroffen waren.
Auch in einem anderen Punkt geht Facebook noch einen erheblichen Schritt weiter. In einem 17-seitigen Bericht über die „Auftragsüberwachungsindustrie“ erwähnt das Unternehmen explizit die NSO Group, die die in der Kritik stehende Spionagesoftware Pegasus verkauft. Auch Namen von sechs weiteren Firmen werden genannt, die staatlichen Stellen bei der Spionage helfen. Die Aktivitäten der genannten Unternehmen will Meta künftig in seinen Netzwerken unterbinden.
Außerdem listet der Bericht die Adressen von mehreren hundert Internetseiten auf, die bei Überwachungsversuchen genutzt wurden, um Spionageprogramme zu verbreiten. Und er nennt die Namen der Kunden dieser Firmen, der Länder also, die solche heimlichen Überwachungsprogramme nach Kenntnis von Meta einsetzen. Darunter ist auch Deutschland.
Missbrauch von „Pegasus“ enttarnt
Hintergrund ist die Affäre um das israelische Unternehmen NSO und seine Spionagesoftware Pegasus. Das Programm kann in Mobiltelefone weltweit eingeschleust werden, ohne dass die Besitzerin oder der Besitzer etwas davon mitbekommen. Ist es einmal installiert, sammelt es jede Information und jede Kommunikation, die auf dem Handy stattfindet, und macht das Gerät so zu einer jederzeit aktiven Ortungswanze. Gegenwehr dagegen gibt es kaum, da die Betroffenen davon nichts bemerken. Nur Staaten dürfen Pegasus kaufen, und die Geheimdienste und Polizeibehörden vieler Staaten – darunter auch Deutschland – nutzen das Überwachungssystem. Offiziell dient das Spionageprogramm allein dazu, Terroristen und Kriminelle zu finden.
Jedoch hat ein Konsortium internationaler Medien und Journalisten, zu denen auch die ZEIT gehört, belegen können, dass Pegasus von vielen Ländern wie beispielsweise Marokko oder Ungarn missbraucht wird, um politische Gegner, Menschenrechtlerinnen, Journalisten und Aktivistinnen zu überwachen. Basis der Recherche war eine Liste mit 50.000 Handynummern von potenziellen Zielen in aller Welt. Hunderte solcher Missbrauchsfälle konnte das Pegasus-Projekt darin in Zusammenarbeit mit der Menschenrechtsorganisation Amnesty International und der Recherchegruppe Forbidden Stories aufdecken. In Frankreich beispielsweise führte das zu einer Staatsaffäre; dort wurden auch Ministerinnen und Minister mit Pegasus ausspioniert.
In der Folge haben mehrere große Technikunternehmen angekündigt, etwas gegen diese Form der Spionage zu unternehmen. Amazon hat NSO untersagt, seine Cloud-Services zu nutzen, Microsoft hat öffentlich Kritik geübt und Apple seine Kunden gewarnt. Dem schließt sich nun auch Meta an, wobei es nicht das erste Mal ist, dass der Konzern gegen NSO vorgeht. Damals noch unter dem Namen Facebook hat man im Jahr 2019 in den USA eine Klage gegen NSO angestrengt. Die Spionagefirma habe die zu Facebook gehörende Messengerplattform WhatsApp missbraucht, um darüber Nutzer und Nutzerinnen zu infizieren, lautet der Vorwurf. Damals ist es um 1.400 Betroffene gegangen, die Facebook in seinen Systemen identifiziert hatte.
Überwachungsindustrie
Der nun veröffentlichte Threat Report, der ZEIT ONLINE vorab vorlag, richtet sich aber nicht nur gegen NSO, denn die Firma ist nicht allein in dem Markt. Sie ist nur der derzeit bekannteste Teil einer längst viel größeren Branche. Man sei, schreibt Meta, „gegen sieben verschiedene Anbieter von Überwachungsdiensten vorgegangen, um sie daran zu hindern, ihre digitale Infrastruktur für den Missbrauch von Social-Media-Plattformen zu nutzen und die Überwachung von Menschen im Internet zu ermöglichen“. Es sind die Unternehmen Cobwebs Technologies, Cognyte, Black Cube und Bluehawk CI aus Israel, BellTroX aus Indien und Cytrox aus Nordmazedonien. Daneben wird auch ein namentlich nicht näher bekannter Anbieter aus China erwähnt.
Von all diesen Überwachungsanbietern habe man in den eigenen Systemen und Plattformen insgesamt 1.500 Accounts entdeckt und deaktiviert. Außerdem habe man die ungefähr 50.000 von der Überwachung durch diese Firmen Betroffenen informiert. Darunter seien Ärzte, Aktivistinnen, Anwälte, Journalistinnen, Politiker, Dissidenten, Mitarbeitende verschiedener Nichtregierungsorganisationen und Angehörige ethnischer Minderheiten.
Meta unterstütze Strafverfolger über verschiedenste Kanäle, über die sie rechtmäßige Anfragen nach Informationen stellen können, heißt es in dem Bericht. „Auf die Überwachungsindustrie zurückzugreifen, die diese Dienste wahllos an jeden verkauft, der bereit ist, dafür zu zahlen“, sei der falsche Weg. Schließlich seien darunter auch böswillige Akteure.
Wer überwacht die Überwacher?
Dahinter verbirgt sich jedoch eine bislang ungelöste ethische Frage: Wie viel Verantwortung tragen private Firmen wie NSO an den Folgen staatlicher Überwachung? Die Autoren des Threat Reports von Meta nennen das Unternehmen einen „Cyber-Söldner“ und schreiben über eine weltweite „Auftragsüberwachungsindustrie“, die Informationen über Menschen sammele und deren Geräte infiziere. Es gehe dabei nicht allein um NSO, sondern um ein weltweites Ökosystem solcher Miet-Hacker.
Diese Firmen würden zwar stets behaupten, dass ihre Dienste nur gegen Kriminelle und Terroristen gerichtet seien, schreiben die drei Autoren. „Doch kam unsere monatelange Untersuchung zu dem Schluss, dass sie in Wirklichkeit wahllos Journalisten, Dissidenten, Kritiker autoritärer Regime, Familien von Oppositionellen und Menschenrechtsaktivisten ins Visier nehmen.“ Womit der Bericht auch die Recherchen des Pegasus-Projektes bestätigt. Mit dem Bericht will Facebook daher nicht nur mehr Aufmerksamkeit für das Problem, sondern ruft auch andere Unternehmen zum Handeln auf.
Gleichzeitig stellt sich aber auch für Meta, Apple, Amazon und andere die Frage, wie viel Verantwortung sie tragen. Denn mit ihren Warnungen an die Betroffenen enttarnen sie staatliche Überwachungsmaßnahmen, die durchaus auch gerechtfertigt sein können. Die Firmen müssen die einzelnen Fälle eigentlich prüfen und entscheiden, ob die jeweilige Überwachungsmaßnahme rechtmäßig ist oder nicht – womit sie ebenfalls Aufgaben übernehmen, die demokratischen Gerichten und Ermittlungsbehörden vorbehalten sind. Meta schreibt, man habe bei seinen Recherchen entsprechende Prüfungen vorgenommen. Nach welchen Kriterien? Das bleibt unerwähnt.
Deutschland ist Kunde von Cytrox
Doch sind es nicht allein die Unternehmen wie NSO, Apple oder Meta, die diese Frage lösen können – ein Punkt, auf den auch die Autoren hinweisen. Zitat: Man wolle damit dazu beitragen, dass die Schäden, die diese Industrie weltweit verursacht, besser verstanden würden. Und man wolle die demokratischen Regierungen weltweit dazu auffordern, „weitere Schritte zu unternehmen, um die Menschen zu schützen und die Anbieter dieser allgegenwärtigen Spionageprogramme zu kontrollieren“.
Allerdings haben viele Staaten großes Interesse an heimlicher Überwachung, auch Deutschland. Obwohl NSO beispielsweise seit Jahren umstritten ist und es laute Kritik an seinem Produkt gibt, haben sowohl das Bundeskriminalamt als auch der Bundesnachrichtendienst es gekauft und setzen es ein. Und auch der Meta-Bericht nennt Deutschland als Kunden, dieses Mal der nordmazedonischen Firma Cytrox.
Wenn Sie eine solche Warnung von Facebook bekommen haben und uns darüber berichten wollen, können Sie uns hier über unseren anonymen Briefkasten kontaktieren oder eine Mail an den Autor schreiben, gern auch verschlüsselt mit PGP.
