Herzlich Willkommen zum Chaos Radio 281. In schöner Regelmäßigkeit senden wir ja gerade wieder, dank gewisser Dinge, die passiert sind. Wir wechseln uns gerade mit den dicken Brettern ab. Da ging es in der letzten Folge um hervorragender Blackout gleich zu Beginn der Sendung. Chat-Kontrolle, Hanni.
Und heute geht es hier im Chaos Radio der Sendung, die aus der Perspektive und mit an, Verwandten, Befreundeten, ExpertInnen immer technische Probleme und gesellschaftliche Auswirkungen erklärt, um ein fliegendes Pferd, wenn ich das richtig verstanden habe, und um ein Thema, das so alt wie die Sendung selbst stimmt nicht, aber Staatstrojaner hat man vielleicht das ein oder andere Mal schon gehört. Dazu begrüßen wir recht herzlich Ilf, hallo, guten Tag. Reiner Reinhardt, hallihallo.
Ilf kennt man von… Ilf, woher kennt man dich? Ilf kennt man aus dem CCC und Netzaktivistischen Umtrieben. Du warst, glaube ich, auch schon das ein oder andere Mal hier zu Gast. Fans der Sendung sozusagen kennen dich. Rainer Rehag ist beim Forum InformatikerInnen für Frieden und die gesellschaftliche Verantwortung. Also kurz FIF nennt man es auch. Da habe ich mich immer gefragt, haben die mal über die Abkürzung nachgedacht, als sie sich diesen Namen gegeben haben? Nee, überhaupt nicht.
Es ist ein total wichtiges, also eine wichtige Institution, aber. Nee, voll. Ich glaube, die Idee dabei war, so informatikermäßig benenn deine Variable so, wie das, was sie tut und dann sind die Namen halt sehr lang und danach weiß man aber auch, was die Phase ist. Okay, dazu machen wir vielleicht, zu variablen Namen sollten wir vielleicht mal so eine Jubiläumssendung machen. Und Konstanze Kurz, die kennt man woher? Hallo Markus.
Aus dem letzten Chaos Radio, aus dem letzten Dicke Bretter, aus dem vorletzten… Ich bin gerade zu der Podcast erschienen. Okay, sehr gut, herzlich willkommen. Und könnt ihr mir kurz erklären, was hat ein fliegendes Pferd mit einem Staatssojourner zu tun?
Das ist halt der Name, also Trojanisches Pferd kommt aus dieser griechischen Mythologie und da ist es eigentlich nicht geflogen, sondern man hat ja angeblich so eine Art Skulptur, die war in ein Hohl gebaut und hat die in die Stadt Troja reingeschoben und dann nachts sind da die Soldaten rausgeklettert und das heute zu sagen, so eine Art Bild, so eine Art Metapher für eine Spionage Software, deswegen heißt es Trojanisches Pferd.
Ich hatte eigentlich nach dem anderen gefragt, weil wir reden doch heute über das Pegasus Projekt oder? Wir reden im speziellen über diesen Staatstrojaner. Und der Pegasus ist doch ein fliegendes Pferd oder? Das ist ein fliegendes Pferd genau. Naja die Trojaner Hersteller haben ja auch manchmal ein bisschen Wortwitz. Ah, verstehe. Na ja, ist so ein bisschen, glaube ich, die Trojaner, die alle anderen Trojaner sind halt aus Holz und stehen am Boden und Pegasus hat halt Flügel.
Das ist so ein bisschen so Marketing mit Drogenkonsum. Ne, warte mal. Gibt's das Erste ohne das Zweite überhaupt? Also jedenfalls ist das quasi die Bildsprache. Guck mal, wir können fliegen. Also, um die Verwirrung komplett zu machen, wir reden heute über einen konkreten Fall von Straztrojanertum, der von einem Untersuchungsausschuss untersucht wurde, auf EU-Ebene. Was dazu führt, dass das vielleicht was ist, was man gar nicht so auf dem Schirm hat. So ging es mir zum Beispiel.
Total, ist sehr ärgerlich, wie wenig Medien in Deutsch, aber auch in ganz Europa das aufgegriffen haben. Trägt mich immer noch auf, ein Grund, warum wir hier sitzen. Liegt das denn daran, dass das schon sehr lange her ist und jetzt erst ein Untersuchungsausschuss oder liegt das daran, dass es einfach nicht so ein großes Ding ist?
Also ich würde sagen, zum einen daran, dass diese Untersuchungsausschüsse im Europaparlament nie eine besondere Aufmerksamkeit erreichen, selbst bei Skandalserien wie hier nicht. Ich glaube auch, dass viele, die darüber berichtet haben, von vornherein klar gemacht dass da nicht viel bei rumkommen kann, so als Ergebnis? Und weil es gewisse Schulterzucken mittlerweile gibt über diese ganze Spionagesoftware. Also das ist interessant wie wenig mediale Flughöhe das hat.
Aber um zu wissen wie wenig mediale Flughöhe das hat, können wir erstmal wissen worum geht es eigentlich? Was ist das Pegasusprojekt? Also ich, also das Pegasus-Projekt ist ein, eine Spyware, die von einer Firma namens NSO vertrieben wird und die soll an Staaten vertrieben werden, damit die sozusagen für, das ist so die Selbstbeschreibung, für Recht und Ordnung sorgen können, indem sie dann Informationen aus den Smartphones von den Zielpersonen sozusagen extrahieren können. Also, genau.
Die eigentliche Software, die ist dafür da, um Smartphones zu infizieren und dort Dinge zu tun. Richtig, genau. Und um die Frage von vorher nochmal zu beantworten oder an einen weiteren Aspekt noch aufzugreifen, die wurde ja zuerst so richtig, ja größer so 2016 aufgegriffen.
Und dann tröpfelte immer sozusagen über Jahre immer so mal hier ein Beispiel, da ein Beispiel und das ist natürlich schwierig über Jahre so eine Aufmerksamkeit aufrecht zu erhalten und das ist, deswegen ist es ja gut, dass... Aber könnt ihr ganz kurz sagen, wer da wen Trojanerisiert? Nee, der eigentliche Grund für den Ausschuss ist ja gerade, dass der Tröpfel irgendwann aufhörte. Eine große Medienrecherche-Gruppe, die auch international war, hat dieses sogenannte Pegasus Project veröffentlicht.
Und das ist eigentlich der Kristallisationspunkt, der auch dazu geführt hat, dass der Untersuchungsausschuss ins Rollen kam und überhaupt beantragt wurde und dann eingesetzt wurde.
Denn die haben eine Liste gekriegt von Telefonnummern, Mobilnummern, 50.000 rum, und haben international hinterher recherchiert, Wer sind denn diese Leute, die auf den Listen dieser Spyware, dieser Anbieter standen und haben, ich glaube, so um die 1.000 Mobilemon identifiziert und die Geschichten recherchiert, die dahinter stecken?
Und dann kam man halt darauf, dass die Opfer dieser Spionage-Software im Wesentlichen sind Anwälte, Politiker, Aktivisten, eine ganze Reihe Journalisten, generell Menschenrechtsanwälte oder Menschenrechtsaktivisten waren eine ganze Reihe dabei. Bis hin zu, das kam jetzt erst am Ende des Untersuchungsausschusses dazu, dass sie in einem bewaffneten Konflikt, nämlich Armenien. Also wurde um diesen Streit zwischen Aserbaidschan und Armenien, auch in Kriegsgebieten eingesetzt wurden.
Also es war ein internationaler Skandal und da der auch die EU selbst betraf, nämlich die Kommission und aber auch Parlamentarier, lag es glaube ich nahe, so einen Untersuchungsausschuss einzusetzen. Okay, nochmal Schritt zurück zu dem Ding an sich. Es gab also diese Liste. Auf der Liste waren Telefonnummern drauf und die Annahme ist sozusagen, jede Telefonnummer ist ein Opfer, die mit diesem Trojaner infiziert wurde.
Oder aber auch Beifang kann sein. Natürlich hat der Hersteller, die NSO Group, das ist eine israelische Firma, gesagt, so ist das nicht. Aber sie haben halt auch im Untersuchungsausschuss keine ordentliche Definition geliefert. Na, wie kommen denn diese 50.000 Nummern dann zusammen? Die haben sich natürlich rausgewieselt. Aber ich entnehme dem diese Liste kommt von dem Hersteller?
Na die Liste wo also die kommt über Umwege vom Hersteller es würde man allgemein hin als leak bezeichnen der quasi bei amnesty und verbinden stories glaube ich ist die aufgeschlagen ist und die haben dann nachrecherchiert was ist denn was haben die alle gemeinsam und was. Aber die die frage hinter der frage ist ja diese nso group verkauft nicht diesen trojaner und dann setzen denen irgendwelche sozusagen akteure einzudämmen die betreibt den als so eine art meet service software service.
Das heißt, diese Liste waren nicht sozusagen Leute, die von einer, einem Akteur gezielt angegriffen wurden, sondern alles, was mit dieser Software jemals gemacht wurde. Also ist zumindest der Verdacht. Naja, Selected for Targets ist sozusagen die Überschrift, die NSO Group, diese Nummerliste, offenbar selber auch nicht mehr abgestritten hat. Das kann vieles heißen. Ausselektiert als Ziel. Da kannst du nicht wirklich drüber streiten.
Der Punkt ist, was glaube ich durch das Pegasus Project ganz klar wurde, ist, wie viele Länder, nämlich über 70, die mittlerweile bedienen. Das hat einfach ein Standard-Ermittlungsinstrument für viele Länder geworden ist, auch in vielen Demokratien, inklusive in Europa. Und wie wenig sich, glaube ich, die Öffentlichkeit bewusst war, wen die da eigentlich targeten, also wer auf der Liste steht. Und behauptet wird natürlich immer, bis heute übrigens, das ist alles nur Verbrechen und Terror.
Und sie haben aber einfach den Geschichten hinterher recherchiert und haben gesehen, wer das ist. Und die haben teilweise eben auch am Untersuchungsausschuss dann gesprochen, die Opfer dieser Spionagesabwehr. Aber nochmal, auf der Liste stehen die Opfer. Weiß man sozusagen, wer dafür gesorgt hat, dass da Leute auf dieser Liste stehen? Also, wer die Auftraggeber waren? Nee, ich würd gern noch ein paar Präzisierungen empfehlen. Also, es ist nicht ganz öffentlich bekannt, woher die Liste ist.
Aus Quellenschutzgründen. Ähm, es stimmt, dass NSO, der Hersteller von Pegasus, und andere Hersteller von Staatstrojanern, ihre Produkte auch als Staatstrojaner as a Service anbieten und verkaufen. Das ist aber nicht exklusiv. Es gibt auch die Möglichkeit, wir geben euch das Produkt, die Hard- und Software, und ihr betreibt das in Eigenregie. Das kommt auf den jeweiligen Kunden drauf an.
Die Laysart aus der öffentlichen Berichterstattung ist diese 15.000er-Liste, ist wohl so etwas wie die Ziele, die über das zentrale System eingegeben wurden. NSO bewirbt Pegasus und andere Hersteller ihre anderen Startstrender damit. Man muss nur einen Identifier wie eine Mobilfunknummer, eine E-Mail-Adresse oder was auch immer des Ziels eingeben und den Rest macht das System automatisch.
Das guckt, wo ist die Handynummer registriert, welches Gerät ist damit verbunden, welche Software läuft da drauf und wie kann ich das Gerät am besten angreifen. Und so wie es öffentlich berichtet wurde, wurden diese 50.000 Telefonnummern in dieses System eingegeben, um potenziell Pegasus darauf zu infizieren. Nicht in allen Fällen hat das funktioniert, hat das geklappt und wurde diese Infektion durchgeführt, aber in sehr vielen.
Wer das beauftragt hat, das wissen nur NSO und die jeweiligen Kunden dieses Produkt. Die wollen das aber öffentlich nicht sagen und nicht zugeben.
Aber nur kurze Verhältnisfrage. Das heißt, die Infektion ist nicht so, also ich kannte das bisher nur über, also bei staatlichen Stellen zumindest, du brauchst die Hardware in der Hand und schließt sie irgendwann und dann, sondern die versuchen einfach sozusagen zu jeder Mobilfunknummer rauszufinden, was gäbe es da für Angriffsvektoren über verschiedene Dinge und dann passiert das im Zweifelsfall auch, über die Erde.
Und auch Zero Click, das war ein Teil der Berichterstattung, die natürlich auch vor allen Dingen der betroffene Mobilbetriebssystemhersteller Apple sehr verärgert hat und auch zu juristischen Verfahren gegen NSO geführt hat. Aber er hat zusammengefasst, was zu sagen eigentlich schon in den ersten zwei, drei Sitzungen überhaupt Thema war. Die haben sich erstmal erzählen lassen, was können die?
Was ist eigentlich der Kern der Veröffentlichung? Was ist dabei technisch rausgekommen? Und sowohl, also der da drüben und ich selber, wir waren auch Sachverständige, die haben sich also Leute, die sich mit Staatsröhren länger auseinandersetzen, einfach eingeladen. Von der Akademia zu den technischen Forschern, sie hatten Opfer da, also die haben sich einfach, genau das haben die getan. Sie haben da die Finger auf die Wunden gelegt. Sie haben natürlich auch die NSO eingeladen und so weiter.
Ich bin gerade wieder im zweiten Schritt zu sagen, wir haben gerade erst gelernt, was dieses ByWare ist, und dass es eine Firma gibt, die die auch als Service anbietet, und da Leute auf einer Zielliste hatte, die eindeutig nicht Schwerverbrecher sind, niemand weiß, wer das beauftragt hat. Das heißt, das könnten staatliche Akteure sein. Okay, Konz macht ein ... Sein Höh-Gesicht. Es gibt entscheidend Spekulationen, die man da anstellen müsste.
Es gibt Indizien, es gibt keine Beweise, Und es gibt keine Leute, die sagen, wir waren das und nehmen politische Verantwortung dafür, beziehungsweise ziemlich wenig, in ziemlich wenigen Fällen. Rücktritte sind immer ein Hinweis, wenn jemand zurücktreten muss. Ja, die sagen aber nicht, ich bin zurückgetreten, weil mein Dienst X Person Y mit dieser Software Z überwacht hat.
Lassen wir uns die Frage so diplomatisch wie möglich stellen, gibt es Akteure, wenn da jetzt rauskommen würde, wenn die sich jetzt hinstellen würden und sagen würden, also wir waren es, dann würdet ihr sagen, das überrascht uns gar nicht?
Naja, nee, also wir können ja mal über die Rücktritte kurz, oder die größten Rücktritte, das war immer die Geheimdienstchefin in Spanien, da ist Spanien betroffen, dann ist natürlich schon klar, da hat wahrscheinlich der Einsatz dieser Spionage-Software rechtswidrige Komponenten. Wir haben einige Länder, die sind nicht erschienen oder haben mit dem Untersuchungsausschuss
nicht sprechen wollen, denn der hat ja wenig Möglichkeiten. Da weiß man natürlich auch, da wird wahrscheinlich einige rechtswidrig sein, zumindest teilweise gegen die nationale Gesetzgebung verstoßen. Und wir haben natürlich die Opfer, die jetzt nicht aus europäischen Demokratien stammen, sondern aus irgendwelchen Diktaturen. Naja, da brauchst du dir natürlich über die Rechtslage keine Gedanken machen. Du kannst schon rückschließen.
Das machen ja auch Forscher auch sonst immer, wenn sie Schadsoftware finden, aber da gab es niemanden, zumindest erinnere ich mich an niemanden, auch von den Betroffenen, der nicht gesagt hat, ja wir waren es, mehr Kulpa oder so. Auf keinen Fall. Denn nach wie vor ist es ja so, die wollen auch weiterhin ihre Schadtreuern behalten, ja.
Und das ist, also um es mal konkret zu machen, wenn jetzt irgendwie DissidentInnen in Polen oder in Ungarn überwacht worden sind, und wir wissen nach den, zumindest nach den Angaben von der NSO Group, dass sie nur an staatliche Stellen was verticken, kann man sich eben sozusagen zusammenzählen, wer da wie was gemacht haben soll.
Und teilweise, also man weiß natürlich auch, was weiß ich, in Deutschland oder in Polen, das bestimmte, was weiß ich, in Polen war es, glaube ich, Justizministerium oder so, dass sie sich so eine Dinger gekauft haben. Und das heißt, den letzten Schritt muss man halt dann selber gehen. Das ist ein wichtiger Punkt. NSO und viele andere staatskoreaner Hersteller, nicht alle, sagen, dass sie nur an staatliche Stellen verkaufen, nämlich an Behörden, Polizeien und Geheimdienste. Militärs.
Militärs. Und sie sagen teilweise auch unter Druck an welche Staaten oder zumindest Zahlen von Staaten. Oder welche sie nicht mehr bedienen, das haben sie auch im Markt. Genau, ehemalige Kunden, die sie rausgeworfen haben. Nach Medienberichterstattung, öffentlichem Druck, dass sie das dann irgendwann mal zugeben müssen. Freiwillig tun die das nie.
Aber wir wissen quasi von manchen Staaten, dass sie offiziell Pegasus-Kunde sind oder waren und dass Leute, die diesen Staaten ein Dorn im Auge sind, auch mit Pegasus infiziert wurden oder versucht wurden zu infizieren. Und da liegt es sehr nahe, dass das eine mit dem anderen zusammenhängt. Gerichtsfeste Beweise sind dabei extrem schwer zu bekommen, weil die im Endeffekt nur der Hersteller, NSO und die Behörden, die das genutzt haben, haben.
Das heißt aber auch, dass dieses Wir-verkaufen-nur-an-staatliche-Stellen sozusagen den Wert einer Selbstverpflichtung hat an der Selbstverpflichtung.
Naja, es gibt auch einige geleakte Verträge. Also ich erinnere zum Beispiel an den Fall nach der Veröffentlichung des Pegasus Projects. Über diesen Skandal reden wir hier, aber danach, das war fast ein Jahr danach, hat die New York Times einen Geheimvertrag des US-Departments, also des Verteidigungsministeriums darüber geschrieben und teilveröffentlicht, wo die wiederum Kunden sind der NSO. Also es gibt so eine Leaks, Haaretz hatte einen, also es gibt eine israelische Zeitung, die das immer wieder.
Aber ich meine sozusagen, dass die Hersteller versprechen, dass sie nur an die Staaten verkaufen und an niemanden sonst. Das hat den Charakter der Selbstverpflichtung. Niemand kann das wirklich bestätigen. Naja gut, es gibt halt Verträge. Das schließt aber nicht aus, dass es nicht auch andere Verträge geben könnte. Wir haben eine staatstrojaner Firma, DS-IAF in Wien, die explizit sagt, wir verkaufen auch an Private, nämlich für Industrie-Spionage und ähnliche Dinge.
Das ist aber die Ausnahme. Die allermeisten staatstrojaner Hersteller tun so und behaupten öffentlich, dass sie nur an staatliche Stellen und auch nur gegen Terrorismus und Kriminalität verkaufen. Wirklich prüfen können wir das nicht. Und selbst wenn es so wäre, wenn ich mir überlege, dass die halt ihre Sachen an irgendwie die Sicherheitsbehörden in Bachrein oder Saudi-Arabien verkaufen, macht es das jetzt auch nicht besser. Also selbst wenn das so wäre.
Es gibt mehr Öffentlichkeit. Also neben der Tatsache, ich habe es schon kurz angesprochen, ist es halt ärgerlich, dass so wenige Medien diesen Untersuchungsausschuss verfolgt haben. Es ist ja trotzdem so, dass es mehr Medienöffentlichkeit gibt, mehr Berichte. Und dass ich auch die großen, also wenn ich jetzt die New York Times erwähnt habe oder eben auch Haaretz aus Israel macht da eine Menge.
Also es gibt schon mehr Berichterstattung seitdem und auch ein bisschen mehr, so ein bisschen, naja, wie würde man das nennen, mit Blick auf die Opfer. Und nicht immer nur, wie das in den Jahren davor war, sehr häufig, wie dringlich das sein muss, dass wir alle Staatsfeuerwehr brauchen. Da ist so ein bisschen was gekippt.
Die mediale Berichterstattung ist aber immer dazu verdammt, auch eine Geschichte zu liefern, weil das ist ja die traurige Wahrheit von Medien, sonst guckt es sich halt keiner an. Kommen wir deswegen mal zurück zu dem Untersuchungsausschuss. Ihr habt schon kurz gesagt, der wurde einberufen, weil es eben dieses große Rechercheprojekt gab und weil dann auch, habe ich das richtig verstanden, Leute aus dem EU-Parlament betroffen waren?
Und einer sitzt, mindestens einer sitzt auch drin. Ich kann leider den Namen schlecht aussprechen, weil das ein Baske ist. Das ist zu sagen einer der, ja der Führer, der Baskischen Unabhängigkeitsbewegung und der und Teile seines Büros und auch seiner Familie waren betroffen und der hat natürlich da auch Fragen gestellt. Also er ist einer davon. Aber es ging auch um die EU-Kommission selbst, die mit betroffen war.
Aber es ging natürlich auch in den einigen Mitgliedsländern hoch her, weil in Spanien und Polen und Ungarn waren das. Kann man schon sagen, ja Regierungskrisen oder sollten zumindest welche sein. Also ich bin nicht ganz sicher, ob von Anfang an im Pegasus Project auch Europaabgeordnete und Europakommissar berichtet wurden.
Ich glaube, das kam erst später dazu. Was wir von Anfang an haben, ist, dass Staats- und Regierungschefs auch von EU-Staaten, Spanien und Frankreich, Emanuel Macron und Pedro Sanchez wurden gehackt mit NSO Pegasus und jede Menge andere Bürger der EU, teilweise wahrscheinlich von ihren eigenen Staaten, teilweise wahrscheinlich von anderen Staaten.
Teilweise auch über Grenzen in der EU hinweg. Und diese Welt der Staatstrojaner, von dem Pegasus nur einer ist, zu untersuchen, der Aufhänger, der Staatsschutz kam mit dem Pegasus-Projekt. Dass dann im Zuge dieses Pegasus-Projekt auch rauskam, dass Europaabgeordnete und Kommissare überwacht wurden, war ein zweiter Schritt. Das war nicht die Gründung. Also der Untersuchungsausschuss war sozusagen nicht explizit Pegasus, sondern war so generell, welche Rolle spielen Staatstrojaner eigentlich?
Der hat den komischen, ungünstigen Namen PEGA und das steht für Pegasus. Der offizielle Name ist aber Untersuchungsausschuss über Pegasus und ähnliche Schadsoftware. Okay, jetzt will ich, ich will ja wirklich nicht tief einsteigen. Deswegen werdet ihr bestimmt gleich mit den Augen rollen oder auflachen müssen, wenn ich sage, könnt ihr ganz kurz, ganz kurz die Funktion eines Untersuchungsausschusses erklären. Ist das nicht so anders wie Untersuchungsausschüsse im deutschen Parlament?
Das hilft aber nicht viel. Naja, Dr. Tiff, deswegen viel, weil ja zumindest in der deutschen Öffentlichkeit bekannt ist, was die tun. Die befragen einfach zu Themen und die haben die Möglichkeit, Leute einzuladen, aber nicht vorzuladen.
Also die sprechen Einladungen aus, die haben aber im Fall von Europa, wegen der Größe Europas, auch die Möglichkeit, in Staaten zu reisen, das haben sie auch getan, auch außerhalb Europas, sie sind nämlich auch nach Israel gereist und können zusätzlich auch Gutachten einholen, auch das ist bei uns so. Anders als in deutschen Untersuchungsausschüssen haben die aber kein nicht-öffentliches Forum, also es ist immer öffentlich.
In Deutschland ist es ja so, dass du gerade bei den Geheimdienstuntersuchungsausschüssen hast du halt einen Teil nicht-öffentlich gehabt. Ilf kann ein Lied davon singen, weil der ja einen Geheimdienstuntersuchungsausschuss der im Prinzip komplett mitgehört hat als Protokollant im Deutschen Bundestag.
So aber was das heißt sozusagen auf der europaebene hat das dann also nur die auswirkung also nur in anführungszeichen die auswirkung das parlament ist dann informiert aber das hat sozusagen keinerlei konsequenzen.
Na man kann also du hast ja gefragt nach so die ganz grundsätzliche sache also es gibt gewisse geschehen ist in der welt wo das parlament sagt mensch da müssen wir uns mal mit beschäftigen aber das machen wir nicht alle gleichzeitig deswegen bilden wir eine untergruppe wo dann sozusagen anteilig die fraktionen repräsentiert sind und so weiter.
Und diese Untergrund, Untergruppe, diese Gruppe kriegt dann Mittel an die Hand, so wie ein Sekretariat und die können Reisen machen und Leute befragen, wie Constanze gesagt hat und die bereiten zum Schluss dann einen Report vor, wo es dann vielleicht auch abweichende Meinungen gibt oder so, aber und dieser Report ist dann das, was die gelernt haben und das geben sie zurück an den großen Körper sozusagen des Parlaments und alle, die sich dafür interessieren, die können dann danach sehen, das ist quasi so eine Art Willens- und Wissensbildung des Parlaments.
Und dann ist der Ausschuss zu Ende und das Ergebnis ist der Ausschussbericht. Naja, Empfehlungen sind schon. Also sind schon politische Interessenten. Also können auch Empfehlungen drin sein. Das sind zwei Dinge. Also ein Ausschuss soll ein Sachverhand aufklären, das ist der eigentliche Bericht, und Empfehlungen daraus ableiten. Das ist das zweite, weswegen das beim EU-Untersuchungsausschuss auch zwei Dokumente sind, die der erstellt hat und veröffentlicht hat.
Aber Empfehlungen können auch sozusagen im Sinne einer Gesetzgebung dann irgendwann funktionieren. Wobei das im EU-Parlament, da kommen wir dann sicherlich noch drauf, da das EU-Parlament kein Initiativrecht hat, ist es eher eine Bitte an die EU-Kommission, doch eine Gesetzgebung anzustoßen. Immerhin mit einer Frist. Also die EU-Kommission soll bis Mitte November diesen Jahres...
Dazu was vorlegen. Also es ist immerhin, ob sie es nun macht oder nicht, ist eine andere Frage. Aber das ist die Empfehlung und da hat sich ja auch das Plenum, also das große Parlament, nickend hat dazu gestimmt. Und das wäre auch ein Affront, wenn da jetzt nichts passieren würde. Also das heißt sozusagen, aber der Untersuchungsausschuss ist sozusagen kein scharfes Schwert, aber schon ein recht deutlicher Zaunpfahl, könnte man sagen.
Also der macht, der hat sozusagen, es ist nicht so, dass da zwangsweise Dinge passieren, aber es ist schon sehr viel mehr als nichts. Ich bin da immer zwiegespalten. Also ich hätte natürlich auch gerne, dass die was können, also im Sinne von politisch, weil gehört bewegen.
Aber ich finde es natürlich trotzdem auch sehr wertvoll, dass die in hohem Maße Informationen sammeln, dass sie Studienaufträge gegeben haben, insbesondere juristische, die ja auch nochmal Empfehlungen machen, und dass sie Öffentlichkeit schaffen. Ich ärgere mich immer, dass da am Ende nichts rumkommt im Sinne von greifbar, wie man es sich vielleicht jetzt so ganz am Ende wünschen würde, aber ich bin natürlich trotzdem dankbar für die Arbeit.
Also, in Deutschland werden Untersuchungsausschüsse als Chefs des Schwerts des Parlaments bezeichnet, weil die eben bestimmte Rechte haben, zum Beispiel eben Zeugen richtig vorzuladen. Wenn da ein deutscher Staatsbürger angefragt wird, dann muss der auch erscheinen, ähnlich wie bei einer Gerichtsverhandlung. Oder Merkel, die muss da erscheinen.
Weswegen in dem ersten Teil der Aufgabe Aufklärung, Informationen sammeln, Dinge untersuchen, ein Parlament tatsächlich ziemlich viel erreichen kann oder auch Akten anzufordern.
Untersuchungsausschüsse in deutschen Parlamenten ziemlich viel und aktiv machen. Leider haben Untersuchungsausschüsse im Europaparlament diese Macht nicht. Sie können nicht unbegrenzt Akten anfordern, zumal nicht von den Mitgliedsstaaten, zumal nicht zu dem Themenkomplex, wo sie sich immer rausreden, dass das innere Sicherheit und damit nationale Hoheit und damit kein EU-Thema ist.
Und sie können keine Zeugen vorladen, weswegen die allermeisten Staaten, inklusive EU-Staaten, sich geweigert haben, ordentlich mit diesem EU-Untersuchungsausschuss zusammenzuarbeiten. Das heißt, der EU-Untersuchungsausschuss ist nicht annähernd so ein scharfes Schwert, eher wie so ein Brieföffner. Na gut, aber...
Immerhin haben sie diesen nicht öffentlichen Teil nicht, der mich wiederum an deutschen Untersuchungsausschüssen immer wieder sehr ärgert, weil, wenn es dann wirklich zum Schwur kommt, dann ist es nicht öffentlich, weißt du?
Und das haben die nicht. Also zumindest wurde der Adad offen besprochen und es gibt auch von allem eine Aufzeichnung. Und dankenswerterweise hat eine kleine Initiative mit dem Namen Netzpolitik.org auch alle Transkripte veröffentlicht. Also wir haben das verschriftlicht, weil die EU-Parlamentarik, ich weiß nicht, die haben das einfach nicht gemacht, was uns auch ziemlich ärgert hat.
Was total absurd ist, weil sich die, die auch im arabischen Ausschuss waren, auch bei Netzpolitik bedankt haben, dass die das transkribieren. Was? Also ihr habt nicht nur die Transkripte veröffentlicht, ihr habt das transkribiert. Ja, die haben die Videos nur. Also es gibt Aufzeichnungen, weil ich finde das okay, die kann man sich ansehen, aber das ist halt auch maschinell schlecht zu….
Ja. Na gut, jetzt wissen wir also alles, was es da nicht gibt. Was gab es denn da? Was ist denn da denn passiert? Also zunächst mal haben sie wirklich die Fakten festgehalten. Wir wissen, dass ungefähr wie viele Länder, also über 50, die jetzt hier von der NSO Group dann auch irgendwie eingeräumt wurden, Vertragspartner waren. Deutschland gehört dazu.
Aber das wussten wir glaube ich schon vorher. Das ist jetzt keine Information aus dem Ausschuss. Die kamen auch nicht. Also BKA, das deutsche Bundeskriminalamt hat abgelehnt auch nur ein Wort zu sagen.
Hat auch nichts schriftlich abgegeben, soweit ich weiß. Die Deutschen haben aber der Vertreterin übrigens, das war auch eine bizarre Vorstellung, weil da sitzt ja Katharina Barley von der SPD als Abgeordnete und die hat ihre Sprechzeit ja wirklich teilweise zur Verteidigung der deutschen Überwachungspolitik benutzt, es war ein Schauspiel. Es lohnt sich manchmal auch einzelne Untersuchungsausschusssitzungen anzusehen, aber die deutschen Vertreter sind nicht gekommen.
Katharina Barley war Bundesjustizministerin und hat Gesetzesänderungen durchgesetzt, mit denen deutsche Polizei- und Geheimdienstbehörden viel mehr staatstreuender einsetzen konnten als vorher, weswegen es auch nicht verwunderlich ist, dass sie ihre eigenen Gesetzesinitiativen von ein paar Jahren vorher jetzt nicht sofort umfassend kritisiert.
Leider saß da gerade Ilf und war der Sachverständige und musste sich also, habt ihr das auf Deutsch gemacht? Habt ihr das auf Deutsch gemacht? Dann wird der dann übersetzt. Teilweise. Mit den deutschen Abgeordneten habe ich Deutsch geredet, mit den anderen Englisch. Und musste sich auch noch mit Katharina Barley auseinandersetzen, die ja so die Defensive geriet. Es war ein Schauspiel. Lohnt sich. Hast du hinterher so ein Achievement bekommen für nicht laut loslachen oder sowas?
Ich wollte ja mit Katharina Barley noch wetten. Und zwar geht es ja immer nur darum, dass Staatstrojaner noch gegen ganz böse Kriminelle, Schwerstkriminelle und so eingesetzt werden. Und das war gerade die Zeit, als in München ein paar Klimaaktivistinnen in Untersuchungshaft saßen, ohne Gerichtsprozess oder gar Urteil. Gewahrsam.
Gewahrsam. Und ich wollte mit ihr noch wetten, dass wir das innerhalb der nächsten Jahre auch in Deutschland, Staatstrainer-Einsätze gegen Klimaaktivistinnen sehen würden. Und da hat sie gesagt, na auf keinen Fall, das wird so nicht passieren. Wetten wollte sie mit mir aber nicht. Aber nachdem wir jetzt das Telefon der letzten Generation schon abgehört haben, also mit genau dieser rechtlichen Befugnis können die Polizeibehörden und Staatsanwältinnen auch Staatsdräne aufspielen.
Eine Sache fand ich auch sehr spannend, die bei dem Untersuchungsausschuss rauskam. Und zwar haben sie selber gesagt, es sind 60 Kunden in 45 Ländern. Und da merkt man schon, es ist halt nicht, da kauft nicht ein Land ein, sondern eine Behörde und es können einfach auch mehrere Behörden in einem Land sein.
Und das finde ich irgendwie sehr, sehr spannend, wenn da so Hacking-Beflugnisse sind, dass die sich da auch, weiß ich nicht, ob die da miteinander oder gegeneinander arbeiten oder so, aber sozusagen, dass da zum Beispiel in Deutschland verschiedene Polizeien, verschiedene Geheimdienste und die könnten das irgendwie alle haben. Und alle einzeln sind die alle einzelnen Kundinnen und vielleicht reden die auch noch nicht mal miteinander.
Also tatsächlich so, die haben halt auch ein bisschen größere Pfasse aufgemacht. Also das fing so an mit technischen Details zu erklären, die Ergebnisse der technischen Analysen, dann so ein bisschen auf das Rechtliche natürlich zu gucken, dann die einzelnen Länder anzugucken, wo es Skandale gab.
Also die haben auch versucht den Markt zu beleuchten. Das war auch gerade zu der Sitzung, wo ich selber da war so. Also was hat sich da eigentlich verändert? Welche Länder haben eigentlich in Europa jetzt schon lange die Erlaubnis für Staatstrojaner?
Also die blicken teilweise ja schon auf ein Jahrzehnt Gesetzgebung zurück. Das sind vor allen Dingen Frankreich, das ist aber auch Deutschland, Italien, dann Großbritannien, die sie noch mitgezählt haben, Niederlande und Polen, wo man einfach schon teilweise, man hat da Urteile, lange Berichte von Kontrollinstanzen und so. Die haben also richtig versucht, auch da reinzugucken. Das haben aber teilweise auch die in Auftrag gegebenen Studien gemacht. Die sind auch öffentlich.
Die kann man auch nachlesen. Da haben wir so Juristen oder manchmal auch Kanzleien. In einem Fall haben sie so eine große Kanzlei bei Auftrag, die Rechtslagen so abzuklopfen. Ist halt auch komplex in vielen EU-Ländern. Aber der klare Befund ist, kann man nicht anders ausdrücken, das ist auch irgendwie jetzt nicht weiter überraschend, das ist ein riesengroßer Markt. Demokratien sind Käufer in hohem Maße.
Wir, wir als Europa, aber auch wir als Deutschland und wir befeuern diesen Markt und wir haben auf keinen Fall in den Ländern, die besonders betroffen waren, also wie Ungarn, Polen, Spanien, aber auch Griechenland zum Beispiel, Portugal, die in dem Bericht auch nochmal extra genannt sind, nicht ausreichende Kontrollinstanzen.
Wir haben sozusagen nicht genug rechtliche Schranken und eine teilweise rechtswidrige Gesetzgebung, die gegen die Verdikte, die es gibt vom Europäischen Menschenrechtsgerichtshof und gegen die Urteile des EuGH verstoßen. Und das merken die natürlich dann in dem Bericht auch an. Und für die einzelnen Länder, die teilweise rechtswidrig diese Spionagetroff-Fair eingesetzt haben, haben sie halt für jedes Land auch spezielle Empfehlungen. Was heißt denn rechtswidrig in dem Fall?
Naja, wir haben eine Gesetzgebung, also die Urteile zum Beispiel vom Europäischen Menschenrechtsgerichtshof sind unmittelbar wirksam in jedem Land, die die Menschenrechtskonvention ratifiziert haben. Auch die Urteile des EuGHA sind bindend. Aber das klingt so abstrakt. Diese Gerichte sind ja anscheinend nicht, Staatsgewänder sind verboten oder doch?
A. Ne, aber da steht ein bisschen mehr drin. Zum Beispiel, dass du Kontrollinstanzen haben musst, wie diese Kontrollinstanzen aussehen, wann die was prüfen bei Staatsrödereinsätzen, welche Berichtspflichten du hast. Auch das kann rechtswidrig sein, wenn du das einfach nicht hast an deinem Gesetz oder einfach so eingesetzt wurde. Also das merken die auch pro Land an. Jeweils für alle Länder.
Aber der sozusagen, also für die Leute wichtig, die sagen jetzt nicht drin, nicht negativ drin sind, ist, der europäische Menschengerichtshof hat nicht verboten Staatsröhren einzusetzen, aber der Einsatz ist an bestimmte Bedingungen geknüpft und die sozusagen werden dann in der einen oder anderen oder mannigfaltigen Form irgendwie gebrochen und das wird dann okay. Ihr habt aber erzählt, dass da auch die Opfer zu Wort kamen.
Waren da auch Schwerverbrecher? A. Null. Kein einziger Schwerverbrecher, der einen Staatsreihender auf dem Telefon hatte, war da. Wir wissen nicht, inwieweit von diesen ganzen Nummern wirklich recherchiert wurde, sodass man jetzt sagen kann, also da waren wirklich jetzt irgendwie Terror- oder Verbrechensfälle, bin ich nicht informiert, weiß ich nicht. Also die haben natürlich nur die Missbrauchsfälle und die sind ja nur, also mehrere hundert, die sind natürlich jetzt schon breit.
Breit. Und sie haben aber oft Verbände oder zivilgesellschaftliche Organisationen eingeladen, die für die Opfer gesprochen haben oder die teilweise in Ländern, also Diktaturen oder so, sich für die Menschenrechte einsetzen. Die haben jetzt nicht immer nur, sie haben einzelne Opfer in Land, aber sie haben teilweise Verbände, die sich um solche Opfer kümmern. Die hätten teilweise
außer Landes gebracht werden müssen und so im Segment. Und jetzt stelle ich mir aber vor, es gibt sozusagen zwei Arten von Opfern, die offensichtlich, also wenn du in der Diktatur Du lebst in einer Diktatur, da wird dir eine Software aufgespielt, dann wirst du irgendwie verknackt, verklappt oder umgebracht, weil du dich durch diese Software irgendwie inkriminiert hast. Dann ist mir
Moral ist klar, dass das scheiße ist, aber wo, also begeht halt diese Firma formell eine Rechtswidrigkeit? Also ich stelle mir vor, in der Diktatur gibt es natürlich Gesetze, die sagen, Staatstrojaner, mega gut, macht alle. Nein, die haben dann einfach keine. Oder die haben einfach keinen, genau. Naja, klar. Wir haben so ein paar Regeln hier in Europa, die betreffen Dual Use und Export. Da haben wir konkrete Regularien.
Aber das könnte in der israelischen Firma ja egal sein. Ja, aber wir haben ja nur noch andere Anbieter. Wir haben auch Anbieter innerhalb von Europas. Da könnte man Fragen stellen. Dann natürlich die einzelnen Gesetze, die Mitgliedsstände. Also es gibt keine globale Regelung. Das ist auch ein Manko. Wir sollten eine haben.
Man könnte sich ja eine UN-Konvention oder so vorstellen. Sowas gibt es bisher nicht, aber das ist natürlich auch eine langjährige Forderung von vielen Organisationen, dass man da mal wenigstens eine Form von Regulierung haben sollte und das nicht so als selbstverständlich hinnimmt. Und selbst wenn die europäischen Exportregelungen nicht für Israel gelten, es gibt ja in Israel auch Exportregelungen.
Also da wird ja auch sozusagen, gerade bei der NSO Group, müssen die auch nachfragen und sagen, hier wir wollen jetzt da und da und da irgendwas machen. Das muss auch freigegeben werden. Ein wichtiger Punkt ist, dass die USA im Folge der Veröffentlichung von Pegasus Project diesen speziellen Anbieter, also die NSO Group, auf ihre schwarze Liste gesetzt hat.
Das war ein wichtiger Punkt, auch ein wichtiges Signal. Aber sie hat natürlich trotzdem, das hat die New York Times dann fünf Tage danach oder veröffentlichten mit dieser NSO Group einen Geheimvertrag gehabt. Also es ist natürlich durchsichtig, aber es gibt natürlich auch Regularien, die du gegen Länder, in denen du spionierst, verstoßen kannst. Also wenn du etwa auf solchen Listen stehst, Exportverbot-Listen.
Also da kann man sich jetzt drüber streiten, aber mir ist auch letztlich dieses rechtliche Klein-Klein, wird glaube ich eher in den Ländern verhandelt und nicht jetzt auf dieser europäischen Ebene. Es mir wünschen, aber dafür reichen diese Empfehlungen dann auch wiederum nicht aus. Denn Ilf hat es kurz erwähnt, wir haben halt, wir haben das Problem, dass die staatsfeuernden Regelungen in der Regel nationale Gesetzgebungen sind. Die EU hat keine Gesetzgebungsmacht für diesen Bereich.
Und die andere Art von Opfer ist ja sozusagen, habt ihr gesagt, in Spanien, der Putschdämon Oppositionsführer sozusagen, da ist ja dann nicht, also hoffe ich zumindest, direkte Lebensgefahr damit verbunden. Wie weit verbreitet ist das?
Das ist dann einfach rechtswidrig, das hat jetzt erst mal zu Rücktritten geführt, aber natürlich auch zu Diskussionen, weil zum Beispiel in Polen, das eben mitten im Wahlkampf war und da waren Oppositionspolitiker betroffen, also das ist ja dann auch eine politische Diskussion. Aber da gibt es vor allem, du hast noch eine dritte Opfergruppe vergessen und das sind sozusagen die Leute, die zur Familie gehören oder im Büro sind. Nee, aber erst mal bei denen bleiben, waren davon auch welche da?
Na ja, der baskische, ja immer da war ja der baskische Abgeordnete mit dem Namen, den ich mir aussprechen kann. Pustemau. Danke, genau. Aber ich kann mich jetzt ja nicht erinnern, ob Sie jemanden aus Europa da hatten. Doch, es gab mehrere PolitikerInnen, es gab Oppositionspolitiker aus Polen, einen Bürgermeister, es gab griechische PolitikerInnen aus der Opposition,
die mit einem anderen Staatstrojaner als Pegasus überwacht worden von ihrer Regierung. Und vor allem gab es jede Menge Journalistinnen, Anwältinnen, andere Menschenrechtsverteidiger, Aktivistinnen, die innerhalb der EU, aber natürlich auch weit darüber hinaus damit überwacht wurden und von denen einige auch vor dem Ausschuss ausgesagt haben. Die kamen da nicht hin, sondern die sind dann, wenn die in die Länder gereist sind,
haben auch direkt mit denen gesprochen. Also in Brüssel ist, glaube ich, keiner hingekommen? Doch, doch. Es gab alle drei. Es sind Opfer, saßen in Brüssel und haben die Elektronerverordnung gesprochen. Einige über Videocall und manche waren auf den Treffen, die die Ausschussdelegation dann in einzelnen Reisen hatte, wie in Polen, Israel und Griechenland. Wie ist das für die im Nachhinein? Also was haben die da erzählt? Wie muss ich das vorstellen?
Die haben sehr, ähm, eindrücklich geschildert, wie krass, äh, was für ein krasser Einschnitt das ist. Du hast jetzt so ein bisschen flapsig gesagt, wenn keiner gestorben ist, dann ist es ja vielleicht nicht illegal. Ja. Also erstens, äh, fängt das Gesetz schon an, eh jemand ermordet wird. Natürlich. Äh, zweitens gibt's auch noch den Unterschied zwischen legal und legitim. Mhm.
Ähm, und drittens für die einzelnen Betroffenen. Ja. Jetzt müssen wir uns mal vorstellen, ähm, Staatsrainer sind mit das Intimste, ähm, so ein eigenes IT-Device, das teilweise mehr über dich weiß als du selbst, wann du wo bist, wo du schläfst, wo du überall eingeloggt bist, deine jahrelangen Archive und Bilder und vertrauliche Kommunikation. Wenn das von einem Geheimdienst, einer Polizei, mit möglicherweise sogar politischen Motiven, wenn darin eingedrungen wird,
das ist ein unglaublicher Vertrauensbruch. Die Leute hatten Probleme, dass ihren Partnern, ihren Umfeld, ihren Kommunikationspartnerinnen, ihren journalistischen Quellen, ihren Mandantinnen, wenn sie Anwältinnen waren oder so, zu verklickern und auch selbst damit klarzukommen, dass sie keinerlei Rückzugsraum mehr haben, denn wo hält man sich schon auf, wo dieses blöde Gerät nicht in der Nähe ist und das Mikrofon anmachen kann, die Kamera anmachen kann oder irgendwie das mitlockt.
Also die persönliche Erfahrung der Opfer war echt beeindruckend. Auch in der Berichterstattung schon, es gab Leute, nicht nur die Überwachung, dass jemand anders in der Privatsphäre ist, von manchen journalistinnen wurden dann irgendwie nackt bilder erstellt und die wurden in irgendwelchen komischen blogs dann veröffentlichen obwohl leute dann einen shitstorm damit entfachen auch das kann,
folge von dieser überwachung sein. War das dann aber von den akteuren sozusagen eine aktion oder hat dann sozusagen jemand der mit diesem trojaner gearbeitet hat das. Für private zwecke ausgeschleust also wie kommt es in sowas das war glaube ich in ungar von direkt 36 nicht mehr an die spezifika von dem fall aber ich glaube da ist die vermutung dass er geheimdienst oder war das aserbaidschan, diese operation gemacht hat und dann ob ich glaube das ist wieder so dass es gezielt.
Es die die annahme ist dass es gezielt passiert ist ob das jetzt gerichtsfest vom ausschuss bewiesen ist glaube ich schwer zu sagen aber so war das schon in der ursprünglichen medienberichterstattung die überhaupt das zu diesem ausschuss geführt und was man glaube ich noch hinzufügen muss ist. Dieses trauma in bezug auf die auf den das eigene smartphone ist ja die eine sache aber die zweite ist natürlich dass alle mit denen man kommuniziert dadurch ja auch komprimiert sind.
Also was ich alles auf meinem Smartphone habe, ich kommuniziere mit Leuten, ich schicke Sachen hin und her und so weiter, das ist natürlich nochmal umso krasser, wenn ich irgendwie in der Opposition irgendwo bin, wenn ich irgendwie Journalistin bin, weil es auch alles meine Quellen betrifft und so weiter.
Und es ist natürlich auch, wenn dann, ich hab's vorhin so scherzhaft auch gesagt, wenn dann wirklich jemand stirbt, Khashoggi ist so ein Fall, wo die Vermutung ja ist, dass das über das Smartphone der Frau ging oder der, als der. Von Saudi-Arabien? Genau, der in der saudi-arabischen Botschaft in der Türkei zerstückelt wurde.
Wo das sozusagen über sein Umfeld, also seine zu werdende Frau, glaube ich, gewesen ist. Das heißt, das muss man sich natürlich auch überlegen. Diese Leute, wie viel da jetzt passiert oder nicht, die nehmen natürlich auch mit, ich war das, die die anderen Leute mit reingerissen haben. Das ist halt sozusagen diese Verbindung, die wir natürlich mit diesen Smartphone-Kommunikationsmitteln alle haben. Und was für sich irgendwelche Pläne, die man macht und so weiter.
Und wir haben übrigens auch Morde. Also es gibt mehrere Journalistinnen zum Beispiel in Mexiko, die nur wenige Tage nachdem ihr Gerät mit Pegasus infiziert wurde, tot aufgefunden wurde.
Nun ist Mexiko immer ein krasser Fall, weil da wirklich sehr viele Journalisten pro Jahr zur Tode kommen. Aber es gibt auch noch einen riesigen indischen Skandal, der immer, der auch englischsprachig berichtet wurde, wo offenbar die Polizei als Staatsrheinland benutzt hat, immer wieder Daten manipuliert hat auf einem Telefon, auch erfolgreich und Leute in den Knast gebracht hat.
Krasse Geschichten, die Andy Greenhaus hier gegraben hat und veröffentlicht hat. Also es gibt natürlich den Missbrauch des Missbrauchs auch noch. Ich fand die Geschichten, ich konnte die mir kaum auf Video ansehen. Ich habe die dann in dem Schriftlichen nachgelesen, weil ich das auch sehr emotional fand.
Weil du bist halt, du bist auch wirklich der, der, du bist sozusagen der, oder dein Umfeld ist der stinkende Kollateralschaden. Du bist ja für die, die können ja nix dafür. Du hast ja auch ziemlich viele private und auch teilweise intime Daten von anderen, nicht nur von dir selbst. Und das ist halt schon, also mir geht es immer relativ nahe dazu lesen, weil die eben bei dir ihr Trauma auch beschreiben und auch, das ist ja auch so ein bisschen, also wie gehst du denn danach damit um?
Okay, du bist dann erstmal die Spyware los und du hast vielleicht noch eine Idee, wer der Auftraggeber war, aber das ändert ja trotzdem, wie du emotional zu so Geräten und dieser ganzen digitalen Gesellschaft stehst, wenn du einmal darunter gerätst. Und die Normalisierung dieser Staatsräume, das hat mich wirklich aufregt daran.
Also ich möchte an dieser Stelle sagen, weil wir haben die technische Seite, lassen wir heute so ein bisschen außen vor, man muss einfach einmal ganz explizit sagen, Staatsrojana ist im Prinzip nicht unterschiedlich zu das Handy in der Hand haben. Also man kann halt einfach alles machen.
Man kann alles lesen, man kann alles anwerfen, man kann alles mitschneiden, man kann es also wie, du hast das Handy selber in der Hand, aber es ist halt nicht deins und derjenige, der es hat, kriegt, wenn ich es richtig verstanden habe, zum großen Teil auch gar nicht mit, was da passiert. Naja, Staatsrojana sogar heute auch legal, auch in Deutschland ein bisschen mehr.
Du kannst nicht nur auf das Smartphone selber zugreifen, sondern du kannst legalistisch auch die Daten, die mit dem Smartphone verbunden sind, die meisten Leute haben heute irgendeine Cloud-Lösung oder so, abgreifen. Also schon ein bisschen mehr. Also bereitet sich so ein bisschen wurzelartig auch. Auch die Dienste, die du auf dem Smartphone nutzt, können sie legal abgreifen.
Und das ist übrigens auch Teil von diesem, wir haben ganz am Anfang ein bisschen darüber gesprochen, was eigentlich eine Dienstleistung ist. Es ist halt auch, wo ein technisches Vorwissen heute liefert an diese Behörden.
Du kriegst das quasi hingestellt und brauchst das nur noch klicky-bunt zu benutzen. Du brauchst kein technisches Vorwissen mehr, soweit ist das sozusagen schon gedient. Die machen dir im Internet, die haben eine Hotline, wenn mal was nicht geht, die stellen dir das hin und du schreibst den Vertrag. Und dann kannst du sagen, wer kriegt die Spielenarchitektur. Das ist schon echt eine ausdifferenzierte Branche.
Und dass das überhaupt legal möglich ist, dass wir darüber überhaupt reden müssen, dass wir denen Schranken setzen, finde ich schon krass. Das ist eine Normalisierung, die mir vor zehn Jahren, ich meine, wie alt ist das Urteil in Deutschland? 2008.
2008. Ich habe die ganze Zeit immer im Kopf sozusagen über diesen Gedanken sind Freispruch und sozusagen diese Freiheit des Selbst. Also ich kann, das ist ja das, was die meisten Leute auch irgendwie im Smartphone haben. Also was da drin ist, ist ja keiner Rechenschaft schuldig. Und der Vergleich sozusagen ins Gehirn einzubrechen, liegt da nicht so fern. Das finde ich ist auch so ein Punkt. Also ich meine, das erzählen wir auch seit irgendwie zehn Jahren oder 15 Jahren.
Aber ich finde es total wichtig, darauf hinzuweisen, bei der Anhörung 2007 vom Bundesverfassungsgericht, da hat der Informant… Das ist eine andere Anhörung. Das ist nicht die von dem… Doch, doch, doch, Staatssoziale Anhörung. 2007 war das schon, überleg mal. Zu dem Urteil von 2008. Aber in Deutschland. In Deutschland, genau, in Deutschland. Das ist nicht die EU-Anhörung, über die wir die ganze Zeit…
Entschuldigung, genau. 2007 war die mündliche Anhörung und dann das Urteil war 2008 mit dem Urteil zur Gewährleistung des Cyber und so weiter. Da hat der Informatiker, ähm, äh, Andreas Pfitzmann, der hat sozusagen, äh. Geantwortet bei der Namensgebung Online-Durchsuchung, weil es so eine Hausdurchsuchung klingt, wir durchwühlen deine Socken und deine Schubladen und so weiter.
Der hat gesagt, nee, wenn ihr eine Analogie haben wollt, dann ist es die Analogie des Verabreichens von bewusstseinsverändernden Drogen und danach eine Befragung durchzuführen. Das ist die Analogie und ich finde, das ist nach wie vor eine, das ist die Analogie eines Informatikprofessors, um zu erklären, was da passiert. Das haben die glaube ich damals ja nicht so verstanden, was der eigentlich sagen wollte, nämlich dass du in diese Denken eingreifst. War doch ein bisschen früh.
Genau und noch eine zweite Sache, die hat sich zu damals auch geändert, also dieses Intimsphäre und so weiter, also nicht abschätzig, aber das haben wir jetzt besprochen, das ist ein Aspekt, aber der zweite Aspekt geht ja noch weiter. Mittlerweile ist ja das Smartphone auch so ein Universalschlüssel geworden. Ich will irgendwie eine Banküberweisung machen, dann kriege ich irgendwie die Tannen auf mein Smartphone oder ich muss meine, muss Sachen absegnen als zweiter Faktor.
Das heißt, und auch für DissidentInnen, wenn ich irgendwelche, irgendwelche Art von Sicherheit haben will und so weiter, das Smartphone ist eben nicht mehr nur irgendwie meine, meine Schaltzentrale für mein Leben, sondern eben auch eine Sicherheitszentrale für ganz viele andere Sachen. Und das kommt ja jetzt noch dazu. Das war halt vor zehn Jahren zum Beispiel noch nicht so. Also da tut sich auch was in der Nutzung. Und umso umso krasser ist natürlich dieser Eingriff.
Wir sollten das ruhig mal offenlegen. Wir schreiben gerade an der Stellungnahme jetzt gerade für das Bundesverfassungsgericht, weil wieder über Staatsräume entscheiden wird, nämlich über die Staatsräume in Deutschland in der Strafprozessordnung, wir in einem unglaublich frechen Hauruckverfahren waren, ohne eine ordentliche Sachverständigenanhörung durchs Parlament gezogen wurden, in der früheren Regierung natürlich, darüber schreiben wir
gerade und haben uns versucht Gedanken darüber zu machen, was hat sich eigentlich wirklich verändert. Technisch, wie gehen wir heute damit um? Und das ist so ein bisschen die Essenz, die die Rainer jetzt so ein bisschen zusammengefasst hat. Also es wird auch in Deutschland nochmal ein Urteil dazu geben, aber eine EU-Regulierung und überhaupt mal so Basisregeln wären natürlich ein wichtiger Schritt.
Bevor wir da hinkommen, was das Ende, was das Fazit und was vielleicht Forderungen daraus sind, nochmal, wir waren jetzt bei den Betroffenen, die da befragt wurden. Ihr habt gesagt, aber es sind nicht nur Befragungen, ne stopp, bei den Befragungen habe ich noch ein Interessent, weil ihr habt gesagt, dass NSO dann unter Druck doch noch irgendwie so eine Länderliste rausgesagt hat. Das kann ich mir gar nicht vorstellen.
Nee, nee, Liste nicht. Liste nicht. Sie haben allgemein gesagt, wir haben so 60 Kunden in 45 Ländern. Das ist das, was wir euch sagen. Okay, aber trotzdem, da kann ich mir das schlecht vorstellen, die sitzen dann da und das ist ja sozusagen nur der Brieföffner eines Rechtsgebildes, in dem sie auch gar nicht hauptsächlich agieren, aber das hat dann doch sozusagen genug Gravitas irgendwie, dass die, wenn die dann vor Ort sind, dass das doch einen Effekt hat?
Also es war eigentlich nicht mein Eindruck. Es gibt ja einmal, dass jemand da war von der NSO in Brüssel und einmal gab es ja die Reise. Und mein Eindruck war, von dem Vertreter, der da war, der hat das weitgehend abtropfen lassen, weil er einfach gesagt hat, also wir bekämpfen Terrorismus und Verbrechen.
Wissen Sie, wir machen was gegen Verbrecher und Terroristen. Bei uns geht es um Terror und Verbrechen. Also ein ständiges Wiederholen, da dringst du ja nicht durch mit irgendeinem ethisch-moralischen Argument oder so. Wir sind ja alle nur Verbrecher. Aber wie hat der denn darauf reagiert? Zu dem Zeitpunkt muss doch schon klar gewesen sein, dass eben genau das nicht der Fall ist. Nein, wir machen was gegen, verstehst du nicht, Terror und Verbrechen.
Und sogar noch mehr, sie haben wortwörtlich gesagt, wir retten Leben. Wir retten Leben. Das ist das Mindset oder zumindest das offengelegte. Sorry. Ja und in Israel ist glaube ich noch mal was anderes. In Israel muss man glaube ich, also da stößt man natürlich auf ein Komplex.
Die Anbieter dieser Software sind im wesentlichen aktive oder ehemalige Militär- und Polizeiangehörige. Das ist ja alles ein einziger Zusammengehörigerkomplex und die sind natürlich auch ganz klar von der Regierung gewollt und kontrolliert. In dem Sinne, nicht im Sinne von kontrolliert wie eine Kontrollbehörde, sondern kontrolliert im Sinne von bestimmen die Aufgaben. Das ist auch überhaupt nicht umstritten. Wenn man das in den israelischen Zeitungen nachliest,
gereicht das auch nicht wirklich mehr zum Skandal. Da hat sich auch niemand dafür interessiert, dass da die Fragen gestellt werden. Also ich fand das, ja, also eigentlich ein bisschen augenöffnend. Okay. War da noch eine Öffnung? Als Ergänzung zu dem NSO-Vertreter im Ausschuss. Der hat gesagt, es geht nur um Terror und schwerste Kriminalität. Aber der ganze Aufhänger des Ausschusses ist ja, dass es hunderte Beispiele auf der ganzen Welt gab, wo es nicht so ist.
Und dazu meinte er, also was in der Zeitung steht, das muss man nicht glauben. Die Medienberichte, die müssen nicht wahr sein. Das ist alles ganz anders, als öffentlich dargestellt wird. Und dann so eine Art Schizophrenie. Einerseits, wenn es Missbrauch gibt, dann sind dafür nur die Staaten, die Kunden verantwortlich und wir haben damit nichts zu tun.
Andererseits, wenn NSO als Hersteller von Missbrauch erfährt, dann gucken die bei den Kunden auch nach, ob das wirklich so war und beenden dann möglicherweise sogar das Geschäftsverhältnis mit einzelnen Staaten. Das aber nur in zwölf Fällen jemals passiert und normalerweise machen sie Terror und Verbrechen, nur nochmal um das sicherheitshalber zu sagen. Einer dieser zwölf Fälle, wo sie dann abgesagt haben? Sie haben nur die Anzahl genannt und sie haben kein Land genannt.
Aber öffentlich kann man schon sagen, dass als ein Land Saudi-Arabien nach dem Kaschoggi-Mord kurzzeitig nicht mehr Kunde war, bis dann durch Diplomatie sie das doch wieder bekommen haben und dass auch Ungarn mindestens kurzzeitig aus der Kundenliste geflogen ist, wenn nicht sogar dauerhaft, aber niemand will genau sagen, ob das heute noch so ist oder nicht. Sie haben quasi eine Verwarnung bekommen.
Eine gelbe Karte. Also wenn sie zuordnen können, also die Mobilnummern sind ja offenbar der Schlüssel für die Spionagesoftware. Sie gucken schon, dass sie etwa bei Ländern wie Großbritannien oder den USA etwas vorsichtiger sind, weil sie wissen, sie wollen ihre Hauptkunden auch nicht vergrätzen.
Hier ist es aber sehr vage. Also da wissen wir leider zu wenig über die technischen Details. NSO behauptet gleichzeitig, wir können überhaupt nicht gucken, was die Kunden machen, weil das ist ja nationale Sicherheit.
Wenn die Geheimdienste von irgendeinem Land jemand überwachen, dann dürfen das nicht eine israelische Firma irgendwie die ganzen Inhalte haben. Also einerseits sagen sie, die können da gar nicht reingucken. Andererseits sagen sie, ja, aber wenn wir von Missbrauch erfahren, dann gucken wir natürlich rein. Also das ist so ein bisschen Schrödingers Übersicht. Einerseits können sie das, andererseits nicht.
Und es ist ja auch irrsinnig, wenn ihr Hauptzellingpoint ist quasi Überwachung as a Service, wir machen alles für euch, wir richten euch das alles ein, aber wir können natürlich nirgendwo reingucken, ist natürlich Unsinn. Aber ich wollte noch eine Sache zu dem, wie gewollt das ist. Hat sich Deutschland vertraglich zusichern lassen, großes Indianer Ehrenwort. Jawohl. Ja genau, knock on Trojanerwood. Ne, aber auch...
Ob wie das gewollt ist oder nicht. Also NSO, das sind ja drei Typen gewesen. NSO sind die Anfangsbuchstaben von deren Nachnamen, glaube ich, die wurden 2011 gegründet und die waren eigentlich eine Bude, die so Fernwartung angeboten haben. Die haben gesagt, hey, so wie irgendwie früher Teamviewer, ja, du kommst mit deinem Rechner, dein Drucker funktioniert nicht und so weiter und dann schalten wir uns auf deinen Rechner und dann können wir da sozusagen alles fernsteuern.
Das war das war deren Geschäftsmodell und irgendwann kamen dann halt mal staatliche Stellen und meinten so, sag mal könnt ihr das eigentlich auch, wenn die Ziele das nicht wollen. Und da haben die sich erstmal auch innerlich irgendwie ne gefetzt und was weiß ich und dann irgendwann haben sie gesagt na gut machen wir so. Wie auch immer.
Es gibt auch einige gefühlige Geschichten, da spielt jetzt Reiter drauf an, die haben auch schon ein paar Homestories gemacht vor allen Dingen der einer von den Gründern und hat er erzählt wie er mit seinem Gewissen gerungen hat, oh bitte ey. Jaja, also bei denen. Aber jetzt verkämpfen sie ja Terror und Verbrechen des Bundes. Genau. Ja, und das, was sie auf dem Lohnzettel kriegen, das beruhigt das Gewissen auch meistens. Das muss man, glaube ich, auch sagen.
Aber ich wollte nur sagen, da haben sich auch welche gefunden, die was können und die was wollen. Nur von wegen, wie gewollt es ist. Ihr habt auch erzählt, dass der Untersuchungsausschuss auch sozusagen so Studien in Auftrag geben kann. Da war jetzt schon das eine, was du gesagt hattest, juristische Sachen. Gibt es da noch mehr? Also gab es auch so eine explizit angefragte gesellschaftliche, soziologische, politische, was auch immer, Komponenten?
Nee, die haben schon alle einen juristischen Fokus, aber sie hatten durchaus auch Forscher da. Mir ist vor allen Dingen eine holländische Forscherin in Erinnerung, die jetzt nicht speziell Juristin war, sondern auch so ein bisschen versucht hat, eine gesellschaftliche Perspektive reinzubringen, die 100, was jetzt bei uns hier so zwischendurch rauskam. Nämlich, dass es sehr, sehr wenig faktische Forschung gibt und ganz viel Wissenraten ist.
Die hat auch sehr betont, und das ist auch Teil der Empfehlung geworden, dass man da unbedingt mehr Forschung reinstecken muss. Dass man sich nicht nur auf die Versicherungen von diesen shady Firmen da verlassen kann. Also wie wenig das genehmigt wird, wenn man da mal so Drittmittelprogramme macht, dass es in manchen europäischen Ländern überhaupt keine Forschung dazu gibt. Also die haben schon versucht, das reinzunehmen. Aber Forschung zu was?
Na, zu diesem ganzen Feld. Also a, was die technisch machen, zum Beispiel auch ein bisschen vergleichende rechtliche Studien. Was gibt es überhaupt für Möglichkeiten der Kontrolle? Wie könnte man die Urteile, die es dazu gibt, praktisch umsetzen, wenn man jetzt an die Gesetzgebung denkt und so weiter. Oder auch technische Analyse. Das sind ja faktisch zwölf Hanseln, die das auf der Welt machen.
Das ist ja wirklich, das ist ja lächerlich wenig. Wenn sich jetzt dieses Konsortium dieser internationalen Medien nicht dahinter geklemmt hätte, würde auch glaube ich die Aufmerksamkeit dafür gering sein. Am bekanntesten ist sicherlich das Citizen Lab, die sind aus Kanada und Amnesty Tech. Aber wirklich, das sind ja einfach ein paar Leute nur.
Und die waren eigentlich alle da, wenn du jetzt mal über die gesamte Zeit, da ging im April 2022 los, also ziemlich genau ein Jahr so, die waren alle da, aber dann hatten sie auch alle gesprochen, die davon Ahnung haben, außer die Anbieter selbst und das ist natürlich zu wenig, die setzen die ein wie die Blöden. Das ist ja eine ganz starke Proliferation, wenn du so willst.
Aber die Forschung hängt total hinterher und wenn, dann ist sie auch noch eine halb zivilgesellschaftliche und nicht mal eine wirklich gut finanzierte. Da müssen wir unbedingt was tun und das ist auch Teil der Empfehlung dann geworden. Apropos Teil der Empfehlung, was ist denn sozusagen der Untersuchungsausschuss? Eine Untersuchung möchte ich noch erwähnen. Das ist die von der sogenannten FRA, der EU-Grundrechteagentur.
Die hat sich auch, welche EU-Staaten nutzen Staatstrojaner, wie funktionieren Staatstrojaner, welche rechtlichen Voraussetzungen gibt es dafür, angeguckt und auch mehrere hundert Seiten Bericht dazu veröffentlicht. Und die haben auch vor dem Ausschuss ausgesagt. Alle haben. Also die haben die immer eingeladen. Das fand ich auch gut. Du musst mal immer sehen. Also die haben nicht nur Akten zu Abheften abgegeben, sondern die wurden immer auch befragt.
Der Frabericht, es gab schon früher mal den Versuch, so ein bisschen Rechtsvergleichung zu machen. Also diese Agentur arbeitet schon immer strukturiert, aber die sind natürlich dann auch nicht sehr genau. Das kann sich jeder, der sich den Teil über Deutschland ansieht und die deutsche Rechtslage kennt, was Staatsräume sind, mal durchlesen. Dann merkt man natürlich, das bleibt relativ oberflächlich, weil wir einfach viele EU-Staaten haben.
Lesbar, also wirklich, man sollte sich das durchlesen, wer sich dafür interessiert. Also so sollte es jetzt nicht klingen. Okay, kommen wir also zum Ende. Der Untersuchungsausschuss hat seine Arbeit abgeschlossen und Empfehlungen abgegeben. Mitte Juni jetzt erst so. Was wir schon gehört haben, ist, er hat der EU-Kommission empfohlen, da mal tätig zu werden. Noch?
Einen langen Bericht, was ist der Stand der Staatsgerichtsanwendung in Europa von europäischen Staaten und politische Empfehlung, was folgt daraus, was sollten wir politisch tun. Und beide Dokumente können wir auch zum Lesen empfehlen. Aber sind das so, da würde ich gerade fragen, machen die sich dann auch noch die Mühe sozusagen das irgendwie in verschiedenen Formen darzubieten, weil ich stelle mir fest, so ein Abschlussbericht ist schon relativ groß im Umfang.
Ja, Pressekonferenz. Gibt es auch One Pager mit einer Management Zusammenfassung oder gibt es nur die 165 Seiten? Ja, die haben eine Pressekonferenz gemacht, die haben versucht das zusammenzufassen. Leider ist das überhaupt nur in Englisch wirklich lesbar, die Übersetzungen sind richtig deutschschlimm. Aber also die haben sich schon bemüht da auch Presse zu finden. Also das ist jetzt nicht so, dass das nur der Bericht ist. Und es gab eine Plenardebatte, also die Parlamentarier.
Das ist sozusagen auch so eine Art Adelsschlag für den Untersuchungsausschuss, wenn das ein großes Ding ist. Das ist glaube ich auch vorgeschrieben. Also ich glaube Plenum muss halt sein. Also aber da positionieren sich ja auch immerhin Parlamentarier dazu. Also so nicht. Ich bin damit generell in der Gesamtsituation unzufrieden. Ne, ich freue mich, dass es das gibt, aber ich ärgere mich, wie wenig das berichtet wurde.
Aber was sind denn noch konkrete Empfehlungen sozusagen? Oder sind die Empfehlungen, ihr müsst euch mal damit beschäftigen? Oder sagen sie schon sowas wie, das muss alles verboten und angezündet werden? BG'IN DR. Nein, das wird schon sehr konkret. Also das eine ist, sie konnten sich zu diesem Moratorium, worüber viel gesprochen wurde, zwar nicht durchringen, aber sie sagen, der schadstreuende Einsatz sollte begrenzt werden.
Er sollte auch zeitlich begrenzt werden. Da geht es ja auch manchmal darum, muss das jetzt wochenlang sein oder reicht das vielleicht auch für einen Tag oder so. Diese Dinge. Also es sollte die Ausnahme bleiben. Das finde ich ein wichtiger Punkt.
Und sie haben für die speziellen Länder, wo Missbrauch nachgewiesen ist, aus ihrer Ungarn, Polen, Griechenland, Zypern, Spanien spezielle Empfehlungen gemacht, wo sie sich die Fälle angesehen haben und gesagt haben, also das sind eure Defizite, hier wird es recht widrig, das müsst ihr tun. Und sie haben 19, mit mir recht, in Sinne Standards etabliert, die sie dafür wollen.
Und was ich eben schon ansprach, was ich ziemlich wichtig finde, ist, dass sie gesagt haben, wir wollen, die nennen das EU-Tab, nee, EU-Lab, Tech-Lab, nee, also sie wollen einen Labor und ein Neulabor. Was ich wirklich die Analyse, und das soll auch finanziert werden, widme, damit sie mehr und bessere Informationen über diese Staatsräume haben, was ich für wichtig erachte.
Denn das haben natürlich viele der Aktivisten und auch der Juristen, klar, wir wissen zu wenig, wir können uns nicht nur darauf verlassen, was die versichern. Und in den einzelnen Ländern, also da will ich es jetzt nicht wiedergeben, warten, sag ruhig. Ihr schüttelt mit dem Kopf? Ich würde dir in so ziemlich allen Punkten widersprechen. Let's go! Also, der Abschlussbericht ist, ich finde den enttäuschend.
Sie haben im Endeffekt gesagt, es läuft extrem viel schief im Markt, in den Produkten, wie es eingesetzt wird, gegen wen es eingesetzt wird und in der EU. Und im Endeffekt bleibt die Konsequenz, bitte lasst es uns in Zukunft richtig machen.
Aber es gibt wenig total konkrete Dinge. Also wir haben es vorhin schon angesprochen, das Europaparlament kann gar keine Gesetze vorschlagen, geschweige denn durchspringen oder ändern, sondern es wird jetzt gebeten, bitte mal kurz anzuhalten und in Zukunft alles richtig zu machen und die EU-Kommission wird gebeten, irgendein neues Gesetz zu machen, während die ganze Zeit in dem Ausschuss die EU-Staaten schon gesagt haben,
wir lassen uns überhaupt nicht von der EU in unsere nationale Sicherheit, in unsere Staatstreuer, in unsere Polizei, in unsere Geheimdienste reinreden und wir werden das auch in Zukunft nicht tun. Ich habe keinerlei Hoffnung, dass irgendetwas realpolitisch daraus folgt. Und das Lab ist auch eine Erfindung, wo man sich echt an den
Kopf greift. Wir reden hier davon, dass staatliche Institutionen in unsere Geräte einbringen, und die Konsequenz ist jetzt, dass wir eine staatliche Institution gründen, wo wir unsere Geräte hinbringen können, wenn wir einen Verdacht haben, dass die da eingedrungen sind. Das wird doch niemand, der klar bei Verstand ist, nutzen. Wir brauchen mehr unabhängige Forschung, die nicht staatlich finanziert oder organisiert ist, die es ja da draußen schon gibt. ist das nicht.
Ich glaube, das ist eine andere Forderung. Ja, natürlich. Da kommen wir ja noch dazu. Wir haben alle andere Forderungen, gar keine Frage. Aber ich denke schon, dass es wichtig ist, dass die formuliert haben, was Standards sein müssten. Natürlich können sie niemanden dazu bringen, die zu beschließen. Europa hat diese Macht tatsächlich nicht.
Das mal aufzuzählen, zu sagen, also hört mal zu gegen diese, die nicht und diese Standards habt ihr verstoßen und die stellen wir erstmal auf, diese Standards, die sind notwendig, wenn ihr das überhaupt einsetzt, das finde ich erstmal nicht falsch. Und ich finde auch das EU-TechLab nicht falsch, denn das soll ja unter anderem auch eine forensische Analyse liefern.
Also du kannst da tatsächlich mit der Hardware hingehen, wahrscheinlich werden sie die Vorarbeit von anderen nutzen, aber sei es drum, dann kannst du dir sozusagen einen Beweis, einen konferenzischen Beweis geben lassen für zum Beispiel eine Spionagesoftware. Ich halte das schon nicht für unwichtig, wenn du dann quasi... Also der Unterschied, den ich gerade bemerke, ist sozusagen, du glaubst an das politische System und bist eher skeptisch. Das sind ja irgendwie beides valide Perspektiven.
Naja, also dieses Tech Lab, so wie ich es verstanden habe, ist ja auch so nach dem Vorbild von dem Citizen Lab, das ja Uni Toronto gemacht. Und es ist natürlich schön da jetzt irgendwie Hardware hinzugeben und auch diese Art von Forschung selber zu machen. Auch empirisch kann man ja auch viel skalierend, wenn man sich auch dann mit so einem Lab mit den anderen Ländern zusammenschließt. Da gibt's ja auch, man kann ja auch Allianzenbildung machen und so weiter.
Ich glaube, der Unterschied zwischen den beiden Extremen ist so... Das Ilf halt sagt, naja mehr wäre viel cooler gewesen, aber wenn man überlegt, was so ein Ausschuss überhaupt leisten kann, dann ist er da auch ziemlich dolle rangekommen an das, was er leisten kann. Nämlich zu sagen, guck mal, das läuft alles total schief. Also das hat sich schon ein bisschen im Rahmen seiner Möglichkeit bestens bemüht.
Naja, also das würde ich jetzt nicht unterschreiben. Also das ist wie, wie du Hans Lanz sagst. Nee, aber das ist ja sozusagen, wie viel das EU-Parlament machen kann oder nicht. Das hat ja nichts mit Pegasus zu tun. Das ist ja eine EU-Architekturfehler. Okay, aber das ist gerade ein Punkt, der ist mir noch entgangen, weil ihr habt es am Anfang ja gesagt und dann hatten wir auch noch ein anderes konkretes Beispiel.
Wir haben jetzt immer über Pegasus geredet, aber der Untersuchungsausschuss sollte ja auch ähnliche Dinge, was ist da noch rausgekommen? Wie viele Firmen gibt es? Haben wir in Deutschland eine multiple Anzahl von verschiedenen Staatsroyalern oder war es dann letztlich doch zu fangen hier so nach? Na die haben sich dafür diesen sogenannten Global Spy Index nochmal erklären lassen. Das gibt ja auch ein bisschen systematische Forschung darüber, wie viele Anbieter gibt es.
Das machen verschiedene NGOs, die die zusammentragen und Forscher, die sich auf den Messen umsehen. Die führen so eine öffentliche Raw Data Liste und da wird im HADAT eingetragen, was international berichtet wird. Also wir reden so ein bisschen über 75 Länder sind da jetzt drauf. Und da sind auch die Anbieter benannt, so es sie noch gibt. Es gibt ja häufig auch Umbenennungen und Neugründungen und so. Also die versuchen ein bisschen diesen Markt zu tracken.
Aber es gibt natürlich auch noch die Art, das halte ich auch für sehr wichtig, die tatsächlichen ausgenutzten Exploits anzusehen. Also welche Betriebssysteme werden angegriffen, mit welchen Methoden. Die technische Ebene gibt es auch noch. Und ja.
Also ich würde noch konkret ergänzen, ja, es gibt mehrere Dutzend Hersteller und Produkte für Staatstrojaner da draußen und der Untersuchungsausschuss in Europa hat sich neben Predator vor allem, äh, neben Pegasus, vor allem ein Produkt namens Predator angeguckt, das vor allem in Griechenland extrem viel gefunden wird. Die haben aber auch mit Augen an Fynn Fischer aus Deutschland, Kandiru auch aus Israel ähnliche Produkte angeguckt.
Leider war der Hauptfokus aber meistens auf NSO und Pegasus, weil das ja auch im Ausschuss des Namens und im Ausschuss des Pegasus-Projekts so prominent war und weil er auch einer der derzeit großen und mächtigen und weit verbreiteten Tools ist. Es ist aber bei weitem nicht der einzige. Deutschland hat das BKA zum Beispiel in den eigenen Trojaner programmiert.
Also es gibt mehrere Trojaner, die Staaten besitzen. Auch Deutschland hat mehr als drei Staatstrojaner in petto, die sie einsetzen können. Toll. Naja, das liegt natürlich ein bisschen daran, muss man jetzt auch mal sagen. Also ich meine, die NSO hat da wen hingeschickt. Natürlich war das sozusagen so eine Art lebender Chat-GPT oder so. Also ich meine, der hat sich ja auch sehr stark wiederholt und so.
Aber die haben da wen hingeschickt und kein anderer Vertreter kam da. Also nicht, als ob die Branche ihr ständig eingegeben hätte. Predator ist deswegen interessant, weil dort auch kommerzielle Firmen, die meistens Software machen, um Spionages auf Fähr abzuwehren, da gibt es schon einen großen Bericht von Talos etwa, also die haben da auch eine gute technische Analyse.
Wenn man die hat, dann kann man halt auch drüber sprechen. So ähnlich bei dem Wiener Anbieter, den Ilf vorhin schon ansprach, DS-IRF, die sind ja nicht mehr am Markt offenbar, die haben sich aus Wien wieder verabschiedet, aber da waren einige Unterlagen aus dem Unternehmen und auch technische Unterlagen abhanden gekommen, das kann man sich dann mal ansehen, wisste. Also falls ihr gerade diesen Podcast hört und bei einem Trojaner Hersteller arbeitet, dann...
Achso, der CCC nimmt weiterhin Semperts entgegen, ja. Weiterhin sehr gern. Jetzt wäre ein guter Zeitpunkt. Immer ist ein guter Zeitpunkt. Was sind denn jetzt sozusagen, also wir haben schon festgestellt, ihr habt diese Ergebnisse des Untersuchungsausschusses, haben ja verschiedene Bewertungen, unterschiedliche Bewertungen erfahren. Was sind jetzt eure Forderungen oder was hättet ihr denn gerne sozusagen, wie dieses Szenario in Zukunft behandelt wird?
Ich würde noch einen Satz voranschieben. Wir haben jetzt relativ viel gesagt, ob uns die Empfehlungen reichen oder nicht. Wir haben aber relativ wenig konkret gesagt, was sie denn jetzt sind. Ich würde es mal ein bisschen flapsig zusammenfassen. Der Rest der EU sollte das ungefähr so machen wie in Deutschland. Also wirklich nur gegen Terroristen und wirklich nur gegen Kriminelle, nur mit Richterbeschluss und nur wenn die Überwachten danach darüber informiert werden.
Und nur wenn es irgendeine Aufsicht darüber gibt, die auch funktioniert. Großes Ehrenwort. Ja aber Verzeihung, das ist nicht nur die deutsche Gesetzgebung, sondern das ist auch die höchstrichterliche Rechtsprechung, die sie zu erfüllen haben. Das sind Minimalstandards. In Deutschland. Aber im Endeffekt sagt der EU-Abschlussbericht, bitte lieber andere 26 EU-Staaten, macht das ungefähr so auf dem Level wie Deutschland.
Sie haben auch ein paar Standards drin, die wir in Deutschland nicht erfüllen, zum Beispiel dass man eine ordentliche Prüfung vorab geben muss. Haben wir bei uns nicht. Ist nicht gesetzlich vorgeschrieben. Ein Risikomanager. Ich würde vom BKA wieder widersprechen, nämlich dass die Polizei sehr wohl eine Prüfung durchführt, die uns natürlich nicht genügt, ist korrekt.
Uwe, Sie haben parlamentarische Protokolle gegeben und du hast da selber darüber geschrieben, dass die Anbieter den Quellcode nicht rausrücken und dass auch die Prüfbehörden den Quellcode nicht haben dürfen und dass wenn sie auch nur gucken wollen erstmal eine Nutzungsrebühr zu zahlen ist. Also ich meine, das ist in Deutschland nicht vorgeschrieben, aber sie wollen halt eine sogenannte Ex-Ante-Prüfung, also eine Vorprüfung und eine danach.
Und da reicht nicht sozusagen eine Versicherung auf dem Papier. Aber sie wollen noch ein paar andere Sachen, die wir nicht haben. Sie haben sehr viel stärkere Transparenzpflichten vorgeschrieben, sozusagen bei der Nutzung von Staatsräumen und auch eine Transparenzpflicht für die Kontrollbehörden, die mit Verlaub bei uns nicht alle Kontrollbehörden haben. Transparenz gegenüber der Öffentlichkeit oder gegenüber dem Parlament? So genau steht es jetzt nicht drin.
Aber überhaupt eine Transparenz finde ich ja schon mal schön, oder? Naja. Naja, also das scheint mir wie eine Feigenblatt-Forderung anzusagen. Transparent müsste sein, von wem dürft ihr Stimmen erweitern? Nein, nicht nur in der Märchenstunde vom PKGR. Ja, die Kontrollbehörden. Das ist der parlamentarische Unterzugsausschuss. Kontrollgremium. Kontrollgremium, genau, was in Deutschland dafür zuständig ist, eigentlich die Geheimdienste zu kontrollieren.
Ach, der Ilfert ja recht. So, also genau. Okay, was sind denn jetzt die Forderungen? Reiner, du wolltest noch was sagen? Unsere? Ja. Nee, ich wollte nur noch erweitern, dass diese Forderungen natürlich auch deswegen nicht reichen, weil es in selbst Deutschland nicht so der Fall ist, dass es nur gegen Terrorismus benutzt wird.
Da wird so ein juristischer Kniff benutzt und gesagt, na guck mal, die Online-Durchsuchung machen wir nur gegen große Güter der Allgemeinheit und Terror und konkrete Anhaltspunkte und dann gibt es aber noch die Quellen-TKÜ. Das ist eigentlich genau das gleiche wie der Staatstrojaner, aber der verspricht ganz hoch und heilig mit Ehrenwort, dass er nur auf Kommunikation zugreift. Und das wird halt nach...
Das ist glaube ich eine Sache, die man kurz erklären muss. Also Quellen-TKÜ meint, es gibt Kommunikation, die kann man nicht mehr wie früher, kann sich nicht der Mann an die Telefonleitung hängen und das abhören, weil das verschlüsselt ist. Weil das verschlüsselt ist und deswegen sagt man gut, wir hören das Gespräch ab, aber auf dem Gerät, wo es geführt wird und Gespräch ist dann manchmal auch ein Chat und das ist dann die Quellen-Telekommunikationsüberwachung.
Korrekt, genau das. Wir haben sogar drei Projana in deutschen Gesetzen. Also wir haben die Online-Durchsuchung, die das volle Gerät durchsuchen darf und wir haben die QNTKÜ, die jetzt Renner ansprach, also laufende Kommunikation abzuhören, unterschiedlicher Art, Messenger oder Mail oder so. Aber wir haben auch noch die sogenannte Quellen-TKÜ Plus, die kann, ja, ich fand, ja, ja. Das hört sich an wie so ein Ticket von der Bahn.
Ja, oder wie in Waschbereich. Manche sagen, dass man Juristen auch die kleine Online-Durchsuchung, weil man nämlich dann etwas mehr darf. Man darf die laufende Kommunikation plus zum Beispiel auch zugreifen auf andere Dienstleistungen. Also das ist so ein Zwischen-Oh ja, ne. Das ist aber auch was, was jetzt aktuell gerade mit einer Verfassungsbeschwerde.
Um sozusagen abzuschließen genau was ich, was ich damit eben sagen wollte, wie Konstanze jetzt schön auch detailliert beschrieben hat, da wird halt juristisch ein Unterschied aufgemacht, der technisch überhaupt nicht existiert. Das heißt zu sagen, macht es wie in Deutschland.
Bezieht sich nur auf das, was hier auch online-durchsuchen genannt wird und das andere, was unter falscher Flagge oder unter dem falschen Pferdeschwanz fährt, das müsste man eigentlich erstmal diskutieren, aber ich wäre froh, wenn wir europäisch das überhaupt so differenziert argumentieren würden.
Also ich meine, auch die Deutschen haben sich diese Quellenticke-Konstrukt ausgedacht, ich meine, was für ein genialer Schachzug, sie haben einfach einen Teil der Staatsfrau Jana Anders benannt und haben dafür andere Regeln. Und damit meine ich Betäubungsmüllegesetz und Urkundenfälschung.
Also, hier möchte ich nochmal einhacken. Die sogenannte Quellenticker-Telekommunikationsüberwachung, wo ein Staat heimlich in ein IT-Gerät eindringt, die Integrität bricht und abhört, aber in jahrelangem Worte, wir beschränken uns auf laufende Telekommunikation, die ist überall möglich, wo auch ein normales Telefon abgehört wird.
Wird. Das ist ein langer Katalog an 26 Straftaten. Aber es ist nicht so, dass eine Online-Durchsuchung, wo alles abgehört werden kann, was auf dem Gerät ist, besonders viel weniger Einschränkungen hat. Die dürfen angeblich auch nur gegen besonders schwere Straftaten eingereicht werden. Diese Liste ist aber ähnlich lang und auch darunter fallen Dinge wie Verleitung zur missbräuchlichen Asylantragstellung, Steuerdelikte und so. Also es sind nicht nur die Dinge, an die wir
so verdenken, nämlich Mord, Totschlag und ähnliche. Sowohl die Quellen-TKÜ als auch die Online-Durchsuchungen sind für eine ganze Reihe an legal definierten schweren Straftaten bis hin zur Verleitung zu missbräuchlichen Asylantragstellungen legal möglich in Deutschland heute. Auch die Quellen-TKÜ Plus, an die ich nochmal erinnern möchte. Wir vergessen immer den dritten schönen Trojaner. So, was ist jetzt eure Forderung?
Also, wer will anfangen? Also, ich meine, das eine ist, wir haben mehrfach angesprochen, Wir reden darüber, dass wir unsere IT-Sicherheit generell jetzt gegen einen Markt verteidigen. Und so muss man, finde ich, auch an diesen Markt ran. Man muss diesen Markt austrocknen. Und wie man das angeht, ist, glaube ich, nicht unbedingt nur eine deutsche Aufgabe, sondern auch eine europäische. Aber da ist für mich sozusagen the root of all evil.
Denn gegen diese Mechanismen des Marktes zu kämpfen, der einfach auch ein wirklicher Multimillionenmarkt geworden ist über die letzten zehn Jahre, ist sozusagen die, ja, so ein bisschen der Ei des Kolumbus in dieser Sache. Und der RoboSpit hat eine große Rolle als Käufer, aber auch als Exporteur und also auch als potenter Käufer. Klar, da gibt man eine Menge Geld für aus und deshalb kann man da natürlich versuchen anzusetzen. Aber anzusetzen, wie?
Naja, du kannst dir jetzt überlegen, was du tust. Also entweder machst du bestimmte Dinge illegal, die nicht mehr verkauft oder exportiert werden können. Oder du setzt dabei an, wo die Sicherheitslücken oder die konkreten Exploits gehandelt werden. Also mir geht's um diesen Markt. Und die Forderung, das ist okay. Ja, aber willst du den verbieten oder willst du den nicht da rüberstellen? Naja, man kann ja zumindest erstmal sagen, dass man da selber erstmal nicht mitmacht.
Also wenn wir sagen, wir sind halt irgendwie die westlichen und so weiter in Anführungsstrichen Staaten und so weiter. Das ist ja genau die Begründung für alle anderen Staaten zu sagen, guck mal, die machen das auch. Nicht nur irgendwie moralisch, sondern auch einfach mit Geld. Wenn die europäischen und US-Staaten diesen Markt nicht so befeuern würden, dann wäre der viel viel kleiner.
Das heißt selber da nicht mitmachen ist sozusagen der der schritt hin zum austrocknen und auch zur delegitimierung und die zweite forderung muss natürlich sein man genommen es gäbe diesen markt jetzt nicht mehr und dann gibt es immer noch die selbstgebauten trojaner von bnd und so weiter die jetzt nicht so viel können aber aber trotzdem schlimm genug.
Das muss natürlich auch trotzdem aufhören also dieses instrument an sich das muss natürlich komplett verboten werden weil dieser dieser integritätsverlust der ist sozusagen das ist die entscheidende hürde ins in den geist des menschen in sozusagen die externalisierung das heißt selbst wenn wir die selbst gebaut nur hätten,
wäre die zweite forderung eben dann dieses ganze instrument abzuschaffen und auch zu schauen sozusagen ist ja nicht das ende des abendlandes es gibt ja auch andere möglichkeiten irgendwie ermittlungen zu führen und das ist also dieses instrument hat so viel kollateralschäden auch insgesamt global dass wir sowas überhaupt gar nicht einsetzen sollten. Also, ich würde das gerne noch ein bisschen konkreter machen. Erstmal bei dem Markt, nochmal zur Vergegenwärtigung.
Wir haben es hier mit Hacking zu tun, dem unbefugten Eindringen des Staates in IT-Geräte. Dazu nutzen sie meistens Sicherheitslücken aus, und zwar Sicherheitslücken, die den Herstellern noch nicht bekannt sind, sonst gäbe es ja ein Patch dafür. Wir haben im Koalitionsvertrag stehen, dass der Staat keine Sicherheitslücken ausnutzt, sondern sie immer schnellstmöglich schließt. Das ist jetzt keine Forderung vom CCC, das ist Forderung der Bundesregierung.
Aber davon eine vom CCC. Ja, das ist auch weiterhin eine Forderung des CCC und das ist auch richtig und logisch und die einzig wichtige Regelung, wie einer von 192 Nationalstaaten in dieser globalen Welt mit Sicherheitslücken umgehen sollte. Es kann doch nicht sein, dass wir Milliarden iPhones und Androids auf der ganzen Welt hackbar halten, nur damit die deutsche Polizei zwölf Drogendealer pro Jahr hackt. Das ist nämlich das, wo die das zur Zeit einsetzen.
Und da kommen wir dann nämlich auch zu dem Punkt, wo die spanische Regierung, der Geheimdienst, das gegen angebliche Separatisten in Katalonien einsetzt und gleichzeitig mit genau demselben, Produkt, mit genau derselben Sicherheitslücke der marokkanische Geheimdienst den spanischen Staatspräsidenten hackt. Das kann doch nicht sein, dass wir unsere IT-Gegenwart, die überall heraus erreichbar ist per Internet für alle unsicher halten, damit wir einen minimalen öffentlichen Sicherheitsgewinn
für ein paar polizeiliche Ermittlungen bekommen. Es dürfen niemals unbekannte Schwachstellen von Staaten ausgenutzt werden, sondern sie müssen immer schnellstmöglich geschlossen werden und da gibt es einen Markt da draußen und der muss ausgetrocknet werden, indem zum Beispiel die Staaten selber mitkaufen und Sicherheitsforscherinnen belohnen, um diese Lücken für alle schließen zu können, denn das ist ein bisschen wie bei Pandemien, niemand ist sicher, bis alle sicher sind.
Das sind die Schwachstellen, aber auch zu den Firmen ist es weit wichtiger, als wir sollten dann nicht ... Gibt's weit mehr, als wir sollten dann nicht so viel mitspielen. In den USA gab's nach Pegasus Project nicht nur Sanktionen, sondern vor ein paar Wochen hat das Weiße Haus eine neue Richtlinie rausgebracht.
Und zwar ist es US-Behörden verboten, mit Firmen Geschäfte zu machen, die entweder die nationale Sicherheit der USA bedrohen, heißt deren Produkte könnten auch gegen US-Interessen eingesetzt werden. Konkretes Beispiel, Pegasus wurde in Uganda gegen US-Diplomaten eingesetzt, weswegen die USA gesagt haben, so, das heißt US-Behörden dürfen dieses Produkt nicht mehr kaufen. Wir hatten eine US-Bürgerin im Ausschuss, das war die Facebook-Vertreterin, das war eine US-Bürgerin.
Das war auch noch eine US-Bürgerin und also das Weiße Haus sagt ganz klar. Produkte, die gegen die USA eingesetzt werden, dürfen von den USA nicht gekauft werden. Und sie gehen sogar noch weiter und sagen, Produkte, die in Diktaturen, von Diktaturen zur Unterdrückung der kritischen Öffentlichkeit, der Zivilgesellschaft eingesetzt werden, dürfen von US-Behörden nicht genutzt werden. Das ist aktive, sogenannte wertegeleitete Außenpolitik.
Das ist das, mit dem die Grünen draußen hausieren können. Das sollten wir auch machen. Das ist jetzt auch keine Nischenforderung von irgendwelchen Radikalos auf der Straße. Das ist das fucking weiße Haus. Warum kriegt es Deutschland und Europa nicht hin, diese beiden Dinge genauso zu grünen und sogar nach dem nächsten Schritt zu gehen?
Nicht nur, wir kaufen das nicht, sondern wir sanktionieren diese Firmen, die diese Tools produzieren und international verkaufen, wie eben NSO mit ihrem Pegasus, damit sie keine US-Produkte wie Android-Geräte, iOS-Geräte, Amazon Cloud und WhatsApp-Programme nutzen können. Was das Weiße Haus gerade jetzt tut. Ich habe trotzdem eine Frage.
Ich glaube, von allen Regierungen der Welt ist das Weiße Haus wahrscheinlich die, die das am wohlfeilsten machen kann, weil die wahrscheinlich die Ressourcen haben, das Inhouse zu lösen. Europa ist doppelt so groß wie die USA, hat doppelt so viele Einwohner, eine größere Wirtschaftsleistung. Warum sollte Europa das nicht genauso gut können? Zumal das nicht auf meine nächsten Forderungen eingeht. Ich habe nämlich noch ein paar mehr. Ich glaube, wir alle. Okay, wie viel Zeit haben wir?
Naja, also ich finde es schon erstaunlich, wie die USA, also Yves hat das eben umschrieben, wie sie sich hinstellt haben, aber natürlich muss man sehen, dass die Presse, die US-amerikanische Presse zumindest in Zweifeln aufgedeckt hat, dass sie das selber hintergehen. Das liegt natürlich daran, dass die Geheimdienste dort Geheimverträge einfach machen und man
mal Glück hat, wenn Journalisten die bekommen. Also da gibt es natürlich auch wieder, die haben eine offizielle Policy, aber die hintergehen sie auch selbst. Aber dennoch ist das ein wichtiges Zeichen. Das halte ich schon für wichtig und das Zeichen hat Europa noch nicht hingekriegt. Nicht nur können sie es nicht, die wollen es nicht. Die USA haben Pegasus sanktioniert und Deutschland ist trotzdem weiter Kunde.
Deutschland besitzt jetzt in diesem Moment NSO Pegasus und die Polizei kann das meinetwegen gegen die letzte Generation einsetzen. Und sie könnten genauso gut sagen, nein wollen wir nicht, weil das auch gegen unseren Kanzler oder unsere kritische Infrastruktur oder unsere sonst was eingesetzt werden könnte oder weil das von Diktatoren wie Saudi-Arabien und Mexiko am Morden von Journalistinnen genutzt wird. Das wollen sie politisch nicht, das könnten sie und sollten sie jetzt tun.
Und dass diese verbote sind ja auch. Immer sehr national geleitet also bei usa so lange es noch westbridge technologies waren die den pegasus irgendwie phantom genannt haben war alles okay aber als das das erste mal gegen us bürgerin benutzt wurde da war es dann nicht mehr okay, mit dem mit dem nicht wollen das finde ich tatsächlich auch sehr wichtig man könnte natürlich auch nicht nur druck auf die firmen machen sondern gerade bei der nso group ist es ja so.
Die sind ja in Israel und die sind ja auch gewollt und da kann man ja auch sozusagen mal mit Brüderstaaten, Schwesterstaaten mal sprechen, dass das vielleicht keine gute Idee ist. Hacking Team war in Italien, Finnfischer war irgendwie Deutschland und Niederland oder so. Ist ja nicht so, dass die Hackerbuden alle in Nordkorea sitzen oder so. Das ist gerade nicht so.
Also man könnte natürlich auch noch mal eine Ebene darüber denken, man könnte sich natürlich schon auch hinstellen und sagen, wir bräuchten doch mal eine ordentliche EU-Konvention, dass man über Digitalwaffen anders redet. Das mag erst mal faktisch wenig ändern, das ist ungefähr so ähnlich wie die Beschlüsse des Weißen Hauses, da werden jetzt nicht alle die Buden gleich zubrachen, aber dann hat man erst mal eine Regel, die würde sogar global gelten.
Das hielt ich schon für wichtig. Aber man muss die Gegenseite leider sehen. Das liest sich zum Beispiel in dem FRA-Bericht, also in dem Bericht der Grundrechteagentur. Wir haben halt den Trend in Europa, dass immer mehr Länder gesetzliche Regeln machen. Wir haben in Deutschland eine massive Ausweitung. Und das war auch echt ein Hinweis für die anderen Länder, gar keine Frage. Klar, das wird jetzt verhandelt, aber das wird fünf Jahre später in Karlsruhe verhandelt.
Verhandelt und wir wissen auch noch nicht, was rauskommt. Aber der Trend ist schon andersrum, eindeutig. Ich bin zumindest froh darüber, dass die sich sehr klarer haben. Oder sie haben sich zu klaren Worten bei Regeln durchgerungen und der Parlament hat die auch erstmal angenommen. Aber jetzt geht es um deine Forderung oder eure.
Ich kann mich da komplett anschließen. Ich hätte gerne aber auch nochmal auf der internationalen Ebene, ich hätte auch schon gerne eine UN-Konvention, die sich damit auseinandersetzt oder ist auch rediktionell dagegen. Aber die Liste ist länger.
Dann mal los, viel Zeit haben wir nicht mehr. Genau, kann man ja nur anschließen, diese UN-Konvention muss natürlich das Ziel sein und das kann auch noch zehn Jahre dauern, aber irgendwo muss man anfangen. Eine Sache finde ich noch total wichtig, ich kenne das auch aus eigenen Gesprächen, wenn BKA-Leute, wenn man denen sagt, ja okay, ihr nutzt diese Sachen und genau mit den Lücken, die ihr jetzt nutzt und nicht schließt, werden dann halt Oppositionelle im Iran gefangen, geföltert und ermordet.
Dann sagen die halt ja ist halt nicht unsere Aufgabe die Leute im Iran zu schützen. Unsere Aufgabe ist halt hier Verbrechen aufzuklären. Aber der Witz ist ja wenn ihr mal auf die oder die Hörenden mal auf Webseiten gehen von den Wirtschaftsministerien entweder in den Ländern oder im Bund, da gibt es irgendwo immer so ein gerade ein Projekt Cyber Security, Cyber Sicherheit, Wirtschaftsspionage, wie sie sich schützen können und das BSI hat so eine Programme.
Und das muss man mal zusammenbringen, dass das eine genau die Kehrseite des anderen ist, genau deswegen funktioniert der ganze Sicherheitskram nicht so ordentlich und genau deswegen kommt diese ganze Wirtschaftsspionage und die Cyber-Sicherheitsprobleme und so weiter, weil auf der anderen Seite genau diese Lücken ein riesengroßer Markt sind.
Und die Sachen zusammenzubringen, das ist, glaube ich, auch einer der Schritte, um auch irgendwie Mehrheiten zu organisieren, um da wirklich zu sagen, hier, wir müssen es politisch wollen und dann geht es auch. Und wir müssen es wollen genau deswegen. Es geht nicht nur um die Aktivist, die irgendwie in Ghana oder so, sondern es geht halt auch irgendwie um den Schraubenhersteller im Schwabenland. Also ne, so leid mir es tut. Das muss, teilweise ist das das größere Argument. Das muss man halt auch bedenken.
Es wird spannend, ob das nicht verstanden wird oder nicht verstanden werden will. Das werden wir wahrscheinlich nicht rauskriegen. Du hattest noch eine lange Liste, Elf. Ich habe noch ein paar Forderungen. Ja, sag mal. Rainer hat vorhin gesagt, staatliches Hacking dringt so tief in unsere Geräte ein, dass es den Kernbereich privater Lebensgestaltung verletzt und eigentlich grundsätzlich niemals erlaubt sein sollte. Ich bin nicht sicher, dass das eine realistische Forderung ist.
Erforderung ist, das ist aber ein wichtiger Punkt, der unbedingt immer mit diskutiert werden muss. Mir würde für den Anfang, also nicht reichen, aber es wäre ja schon mal schön, wenn die Behauptungen der Politiker stimmen würden. Wenn Staatssozialer nämlich wirklich nur zur Verhinderung von Terroranschlägen genutzt würden, wie sie ursprünglich mal eingeführt wurden. Oder meinetwegen heute wirklich nur gegen Terror, Mord und Totschlag.
Aber das ist nicht der Fall. Staatssozialer werden gegen Drogendelikten und wegen der Verleitung zur missbräuchlichen Asylantragstellung eingesetzt. Ich würde fordern, dass jeder Grundrechtseingriff, auch Staatströmer, unbedingt notwendig und verhältnismäßig sein müssen. Das ist bis heute nicht bewiesen. Die Polizei und der Heimdienste behaupten immer, es gäbe ein Going Dark, nur weil jetzt verschlüsselt wird, wären sie blind und taub.
Das Gegenteil ist der Fall. Sie hatten noch nie so viele Daten zur Verfügung wie heute und die Aufklärungsquoten von Straftaten gehen die ganze Zeit hoch. Es gibt auch Alternativen zum Staatströmer-Einsatz. Es ist nicht immer notwendig und es ist nicht immer verhältnismäßig.
Selbst wenn es die Fälle gibt, dass in begrenzten Fällen das notwendig und verhältnismäßig ist, hatten wir schon angesprochen, es sollten keine unbekannten Schwachstellen eingesetzt werden, weil wir uns da selber mehr schaden als nutzen. Es gibt aber auch noch andere Möglichkeiten, Staatströmer heimlich auf Geräte zu installieren.
Nicht nur komplett unbemerkt per sogenannten Zero-Click, das haben wir gar nicht ausführlich erklärt, aber es gibt auch jede Menge Staaten, die Hacking-Tools aufspielen, indem sie quasi fishing machen indem sie eine sms eine e-mail eine andere nachricht schicken und sagen hier klicke mal diesen link teilweise unter mitwirkungspflicht von mobilfunkanbietern teilweise wir haben es im ecosystem project gesehen,
dass in spanien leute bürgerinnen eine sms angeblich von ihrem sozialamt bekommen haben mit ihrer korrekten sozialversicherungsnummer, und einem korrekten Link, den gesagt hat, du musst jetzt darauf klicken. Und es sollte verboten sein, dass sich Polizei und Geheimdienste als andere Institutionen, wie auch andere staatliche Stellen ausgeben.
Denn wie wollen wir denn Leuten sagen, klickt nicht auf staatliche Links, nutzt Elster oder vertraut der digitalen Kommunikation mit dem Staat, wenn man davon ausgehen muss, dass staatliche Institutionen diese Möglichkeit zweckentfremden, dass mein Bescheid vom Finanzamt vielleicht in Wirklichkeit ein Staatsträuner ist. Wir schließen uns damit in der Digitalisierung dieser Gesellschaft ins eigene Knie.
Also staatliche Stellen sollten sich niemals als irgendjemand anderes ausgeben, sondern immer mit offenem Visier spielen. Staatstrainer sollten immer nur, wenn überhaupt, gegen Einzelpersonen und einzelne Geräte eingesetzt werden und niemals gegen Infrastrukturieren, niemals gegen Servern, niemals gegen Netze, niemals gegen Telekommunikationsanbieter. Ist jetzt auch geltendes Recht.
Wir haben heute eine Mitwirkungspflicht im deutschen Gesetz, wo die deutsche Telekom und ein Internetanbieter verpflichtet sind, auf Anordnung Traffic in deinen Internetverkehr einzuschleusen, damit die Polizei und der Verfassungsschutz einfacher Staatsträger installiert werden können. Das ist ein Unding.
Wir sollten unsere Internetinfrastruktur in unserer digitalisierten Welt so behandeln, wie das Rote Kreuz, oder den roten Halbmond in Krisengebieten, dass die immer neutral zu sein haben und dass der Staat die nicht einfach für seine eigenen Zwecke, zweckentfremden kann. Und eine ganz wichtige Forderung, neben vielen weiteren, die Privacy International, Access, E3 und so noch haben, die mir ganz wichtig ist.
Wir leben in einer Welt mit 193 Nationalstaaten, aber einem globalen Internet und jedes Gerät ist nur ein paar Millisekunden auf der Welt entfernt. Staatstrojaner sollten gefälligst niemals über Grenzen eingesetzt werden, ohne dass der Zielstaat zustimmt. Wenn es wirklich nur um Terror und schwerste Kriminalität geht, wie immer behauptet wird, dann ist es doch wohl genauso wie bei einer Telefonüberwachung oder bei gemeinsamen Strafermittlungen möglich, im Zielstaat zu sagen,
Übrigens, Polen, das BKA überwacht diesen polnischen Bürger. Damit bist du doch wohl einverstanden. Das wollen die aber nicht, weil es denen nicht darum geht. Ihnen geht es nicht um Kriminalität, ihnen geht es um Spionage und Vormachtstellung. Aber wir müssen an dieses Thema ran. Staatsträuner über Grenzen hinweg nur mit Zustimmung des Zielstaats.
Das war jetzt eine lange Predigt. Es sind nicht alle Forderungen. Wie gesagt, es gibt noch mehr von Privacy International, Access Now und E-Ready kann ich nur empfehlen. Das war mir jetzt zu realpolitisch. Wir haben die auch immer wieder hingestimmt über die Jahre, aber ich glaube, was heute eigentlich rauskommen sollte, ist, dass wir nicht reden über morgen, sondern dass wir über die vergangenen Jahre geredet haben und was schon passiert ist.
Also das ist ja mittlerweile nicht mehr, also das ist ein Abwehrkampf gegen die Realität, wie sie schon ist. Weil das ist Teil, was der Peker-Ausschuss gezeigt hat, was in dem Pekersus-Projekt steht, und was sozusagen wir jetzt als Realität annehmen müssen. Während wir, als wir vor, weiß ich nicht, zehn Jahren darüber geschrieben haben, das immer so gewarnt haben, aber die Zeit ist vorbei. Und was Ylv jetzt vor allen Dingen gesagt hat, es gelte das Recht hier.
Ja, wir haben diese drei Arten Trojaner definiert, wir haben den 100a mit einer langen Liste an Straftaten, die auf keinen Fall nur schwerste Kriminalität sind und immer nur irgendwie Menschen oder den Staat an sich wirklich bedrohen oder so, sondern wird es wesentlich tiefer angesetzt. Und die haben noch die Frechheit besessen, das in diesem parlamentarischen Schnellverfahren hintenrum einzuschleusen.
Da was übrigens in der aktuellen Verfassungsbeschwerde auch nochmal echt angemerkt wird, die haben Wir haben also auch noch unser Parlament dabei verarscht, das muss man schon so deutlich sagen. Und wir können nur hoffen, dass zumindest ein Teil davon zurückgedreht wird, weil das Signalwirkung hat. Für mich ist der Unterschied vor allen Dingen, dass es eben bereits ein Kind ist, das im Brunnen gefallen ist,
was wir jetzt rauszuholen haben. Und früher war es eher so, ey, mach das mal lieber nicht. Und wir sagen euch, das ist eine Gefahr für die innere Sicherheit und so. Und mittlerweile ist es aber eher wirklich... Ihr macht es schon, seht, was du herauskommt. Gibt es da momentan irgendwie gerade so konkrete Daten oder Ansatzpunkte, die mit dem Thema zu tun haben? Oder ist das jetzt so eine laufende politische Arbeit?
Naja, einmal gibt es das Verwaltungsbeschwerdeverfahren, wo wir lange gewartet haben, weil diese FDP-U-Änderung oder die Änderung der Strafprozessordnung, die so unglaubliche Ausweitung ist, die ist von 2018, wenn ich mich recht erinnere. Und wir haben jetzt, falls ihr jemanden hört, an der Zukunft 2023. Also jetzt läuft gerade sozusagen die schriftliche Anhörungsphase. Da sind jetzt eine Menge Sachverständigen angefragt, unter anderem wir.
Wir hoffen natürlich, dass sie einen Teil davon zurückdrehen, weil die natürlich auch gegen das geltende Recht hier verstoßen. Aber unter, also in der ganzen Zeit ist einfach technisch viel passiert. Das haben wir heute umrissen. Es ist rechtlich viel passiert. Es gibt auch höchstrechtliche Urteile. Und diese ganze Branche hat sich sozusagen von so einer kleinen, klandestinen Ecke zu einem richtig schön auch offen werbenden, prosperierenden Markt entwickelt.
Das ist natürlich auch, wenn man in der IT-Sicherheit gegen die Mechanismen des Marktes kämpft, echt schwer. Weil diese jetzt seit Jahren bestehende IT-Sicherheitspatronskrise, über die wir jeden Tag lesen können, die besteht ja auch deswegen. Ich habe bemerkt, ich weiß nicht, ob es dir auch befallen ist, in den letzten Jahren erreichen eigentlich nur noch die wirklich krassen, so Riesen-Ransomware-Angriffe oder wenn mal wieder eine ganze Stadt wochenlang ist,
Die mediale Öffentlichkeit, der ganze Kleinscheiß, der passiert, wird nicht mal mehr berichtet, weil das so ein gravierendes Problem ist. Das kostet uns alle unendlich Geld. Das hat auch noch andere Gründe, aber das ist sozusagen die mediale Öffentlichkeit. Ein Teil der Gründe besteht darin, dass wir selber diesen ganzen Markt finanzieren. Und vor allen Dingen mit Gründen, die – naja, du musst einfach sehen, damit meine ich, Auftragshacker sind heute sozusagen der Standard.
Und das ist auch Wurst, wer denen Geld gibt. Das sind dann halt Auftragshacker. Und wenn du dich als Demokratie entscheidest, da richtig viel Geld reinzustecken, hast du schon irgendwie auch mit Schuld. Ich würde gern trotzdem noch zwei Ergänzungen machen, auch wenn du das zum Abschluss führen würdest. Konstanz, ich weiß nicht ganz genau, wo der Bundestag übergangen wurde, denn die letzten beiden Änderungen wurden vom Bundestag beschlossen.
2017 hat die große Koalition, die Abgeordneten, beschlossen, sie wollen es, dass Polizeibehörden immer dann, wenn ein Telefon abgehört werden kann, jetzt auch der Staatstrojaner eingesetzt werden kann, bei alltäglicher Kriminalität. Und 2021 hat dieselbe große Koalition, die Abgeordneten, nochmal beschlossen, sie wollen das, dass auch die Geheimdienste, alle 19 Geheimdienste, die wir in Deutschland haben, von Bund und Ländern, Staatsträuner einsetzen können.
Moment. Das ist nicht nur Sache der Exekutive. Nee, aber da muss man schon... Noch eine zweite Ergänzung. Du hast, ihr habt jetzt von der Gegenwart geredet und der Vergangenheit. Ich finde das ganz wichtig, den Blick auch noch mal in die Zukunft zu legen. Wir haben relativ viel früher über Laptops und verschlüsselte E-Mails und dann irgendwann war Skype und heutzutage ist eigentlich alles nur um Smartphones geredet. Da hört es ja aber nicht auf. Wir reden von sämtlichen IT-Geräten.
Wir haben Internet of shit, smart TVs, wir haben Router, wir haben Netzwerkinfrastruktur, die gehabt werden kann und heutzutage eben medizinische Geräte, Computer, die wir in unseren Körper pflanzen und fahrende Autos und fahrende fliegende Flugzeuge, die heutzutage Computer sitzen, in die wir unsere Körper setzen und all das kann von Staaten gehackt werden.
Und dafür gibt es kommerzielle Software. Und dazu gibt es auch staatliche Institutionen wie die CITES, die explizit daran hackt, Autos zu hacken. Also wir sollten auch ein bisschen davon wegkommen, als ob es nur um Messenger und nur um Smartphones geht. Jetzt musst du kurz CITES erklären. CITES ist die zentrale Stelle für Informationstechnik im Sicherheitsbereich.
Eine ohne Gesetz gegründete Behörde in München, die den Auftrag hat, Polizei und Geheimdienste mit Informationstechnik, also Hard- und Software- und Tools zur unter anderem Überwachung, Analyse, Forensik zu unterstützen. Und interessant ist, der Chef ist ein Ex-BN-Dealer und die sitzen auf dem Campus der Bundeswehr. Nur zu dem zivilen Kontext dieser Agentur. Ich wollte noch mal kurz reagieren auf diese 2018 beschlossen vom Bundestag. Leute!
Nee, nee, nee, Moment. Das ist nämlich total wichtig, weil das war nicht eine ewig lange Diskussion, wurde es deliberativ in einem demokratischen Prozess, sondern das Format, was sie gewählt haben, war die sogenannte Formulierungshilfe. Das ist eine Möglichkeit, wie man bei einem Gesetz, kurz bevor es abgestimmt wird, dann nochmal einen Punkt reinsetzen kann oder einen Komma oder da vielleicht noch einen erklärenden Satz mit reinmachen.
Formulierungshilfe heißt das. Und da wurde dann dieser 100a mit reingeschrieben, das können wir noch machen. Also das war, egal wie man irgendwie zu dem Bundestrojaner oder irgendwas steht, ist das aus demokratischer Prozesssicht ein absolutes No-Go. Das ist, glaube ich, auch nochmal ein Punkt, wo man… Mein Punkt bleibt, die Abgeordneten von CDU, CSU und SPD wollten das, sie haben mit ihrer Stimme genau dafür gestimmt. Es war ihnen bekannt und sie wollten das bewusst.
Okay, nächste Haltestelle, Bundesverfassungsgericht. Wir haben noch keine Daten, also jetzt im Sommer endet sozusagen ein schriftliches Anhörungsverfahren. Und die Stellungnahmen werden eingeholt. Also alle Sachverständigen wissen immer, wie die anderen Sachverständigen heißen, aber wir wissen jetzt sozusagen nicht, wie es nach dem Juli weitergeht. Aber man kann davon ausgehen, dass sie sicherlich im Herbst nochmal eine Anhörung machen.
Und man kann natürlich davon ausgehen, dass es ein Urteil geben wird, sonst würden sie sich damit nicht so intensiv beschäftigen. Also sie weisen in der Regel keine Verfassungsbeschwerde ab, mit der sie sich so intensiv auseinandersetzen. Und natürlich, man kriegt die als Sachverständige zugeschickt und die ist meiner Meinung nach auch überhaupt öffentlich verfügbar.
Die zeigt natürlich sehr deutlich, in welcher Weise die geltende Gesetzgebung, also jetzt in diesem konkreten Fall die Strafprozessordnung, rechtswidrig ist. Also die poken schon sehr auch in den Schwächen des Gesetzes. Also das heißt, dieses Jahr noch gibt es vielleicht Neuigkeiten? Ja, aber also weiß man jetzt nicht, wie lange es dauert, bis ein Urteil kommt.
Ein Urteil dann wahrscheinlich erst nächstes Jahr. Ja, aber wenn sie eine Anhörung machen, dann wahrscheinlich dieses Jahr, aber man kann ja beim Karlsruher-Richtlinien auch wissen. Ich finde aber wichtig, dass sie es tun und wir alle müssen dafür sorgen, dass das eine Öffentlichkeit hat. Und wenn wir darüber nicht mehr debattieren und mir scheint, das ist ein Non-Thema, das zeigt dieser Pegasus-Ausschuss.
Ja, das ist ein Skandal, den einige EU-Politiker als mit Watergate verglichen haben, aber das reicht auf keinen Fall medial daran. In manchen Ländern Europas ist es so gut wie überhaupt nicht berichtet worden, aber betreffend tut es natürlich alle. Insofern, wir müssen daran mitwirken. Aber wir haben heute hier einen kleinen Unterschied gemacht.
Ilf, Rainer, Konz, ich danke euch, dass ihr da wart und ich finde es sehr spannend, euch geduldig bemüht habt, das komplexe Thema in kurzer Zeit mal aufzurollen. Ich hoffe, das hat ein bisschen funktioniert. Ja, danke dir, dass du das Chaos versucht hast zu beherrschen. Ich stelle dir nur Fragen. Liebe HörerInnen, ich hoffe es hat euch gefallen. Schreibt uns gerne in die Kommentare, falls ihr noch Fragen habt.
Ansonsten bleibt mir noch eine Sache zu sagen. Lasst euch nicht überwachen und verschlüsselt immer schön eure Backups. Tschüss! Music.