Dieser exklusive Bericht wurde von Ben Wagner und Claudio Guarnieri, führenden Wissenschaftlern zum Thema Überwachung und digitale Sicherheitstechnologien, verfasst. Die in Berlin ansässigen Experten arbeiten an der Forschungsstelle Internet & Menschenrechte an der European University Viadrina. 

Von Mexiko über Mosambik bis Pakistan gibt es umfangreiche Beweise dafür, dass Regierungen auf aller Welt Überwachungstechnologien, wie FinFisher verwenden, um ihre Bürger auszuspionieren. Das hat Forscher wie uns veranlasst, die Quellen zu betrachten: Wer stellt diese Technologien her? Wer profitiert vom Verkauf?

Deutschland ist ein Hauptexporteur dieser Technologien und, da die Privatssphäre der digitalen Kommunikation ein heißes Eisen der deutschen Öffentlichkeit ist, ist das Land als Akteur in diesem Bereich noch weiter ins Zentrum gerückt.

Aufgrund eines Abgleichs von Informationen eines massiven Datenlecks Mitte August mit den Ergebnissen einer aktuellen Parlamentarischen Anfrage in Deutschland, ergibt sich der Verdacht, dass die Mehrheit der von deutschen Unternehmen hergestellten Überwachungstechnologien unter dem Tisch – das heißt ohne Lizenz – gekauft und verkauft wurden. Die deutsche Regierung verlangt Lizenzen für den Verkauf von Gütern, die als “Dual-Use-Güter” betrachtet werden, also für Güter, die sowohl im zivilen als auch im militärischen Bereich verwendet werden können.

Im Zentrum der Anfrage steht das britisch-deutsche Unternehmen Gamma International, Hersteller der FinFisher Überwachungswerkzeuge. Ahnungslose Überwachungsziele laden FinFisher in der Regel herunter ohne es zu wissen, indem sie auf einen vermeintlich harmlosen Link oder E-Mail-Anhang klicken. Einmal installiert, erlaubt es dem Nutzer, auf alle gespeicherten Informationen zuzugreifen und selbst verschlüsselte Kommunikation zu überwachen. Tastenanschläge werden aufgezeichnet, Skype-Unterhaltungen aufgenommen und Kameras und Mikrofone können aus der Ferne aktiviert werden.

Kürzlich stellten Bundestagsmitglieder eine parlamentarische Anfrage bezüglich des Verkaufs von Überwachungstechnologien an ausländische Regierungen. In der Antwort stellte die Regierung fest, dass sie deutschen Unternehmen in den letzten zehn Jahren Ausfuhrlizenzen für Überwachungstechnologien an mindestens 25 Länder genehmigt hat – viele davon mit Vorgeschichten voller Menschenrechts­­verletzungen. Zwischen 2003 und 2013 wurde Überwachungstechnik in folgende Länder exportiert: Albanien, Argentinien, Chile, Indien, Indonesien, Katar, Kosovo, Kuwait, Libanon, Malaysia, Marokko, Mexiko, Norwegen, Oman, Pakistan, Russland, Saudi-Arabien, Schweiz, Singapur, Taiwan, Türkei, Turkmenistan, USA und Vereinigten Arabischen Emirate. Die Grünen-Abgeordnete Agnieszka Brugger veröffentlichte sämtliche Fragen und die offiziellen Regierungsantworten auf ihrer Website.

Wie funktioniert der der deutsche Exportmarkt?

Die Antworten der Bundesregierung sind schwer zu interpretieren, da die Unterlagen jedes IT-System erwähnen, welches “Bestandteile” von Überwachungstechnologien enthält. Zum Beispiel ein komplettes nationales Telefonsystem, das für insgesamt 10 Mio. $ verkauft wird, kann einen Überwachungsbestandteil zum Preis von 2 Mio. $ enthalten, aber das Produkt wird in den öffentlichen Unterlagen als exportiertes Produkt, welches lizenzierte Überwachungstechnologien enthält, im Wert von 10 Mio. $ aufgeführt.
 
Auf der Basis von Gesprächen mit zuständigen Regierungsbeamten und Individuen des Privatsektors sowie den zahlreichen geleakten Dokumenten ist es möglich einen relativ genauen Wert des Anteils dieser Technologien zu erhalten, der tatsächlich Überwachungstechnologien entspricht. Eine vorsichtige Schätzung geht davon aus, dass 20% der IT-Gesamtsysteme genau genommen Überwachungstechnologien sind und der Rest sind typische IT-Systeme. Zum Beispiel hat Deutschland 2010 IT-Systeme, die Überwachungssysteme enthalten, im Wert von 11.977.728€ exportiert. Wir schätzen also, dass von diesen aufgeführten IT-Systemen genau genommen nur 2.395.546 € Exporte von Überwachungstechnologien sind, während der Rest typische IT- oder Telekommunikationssysteme sind.

Diese Zahlen ermöglichen das folgende Diagramm der deutschen Exporte der Überwachungstechnologie von 2010 bis 2013:

Geschätzer Gesamtwert der lizenzierten Überwachungsexporte aus Deutschland in Mio. €, 2010-2013.

Wichtig ist, dass die deutsche Regierung ausdrücklich bestreitet, von Gamma einen Exportlizenzantrag für deren Produkt FinFisher nach Bahrain oder Äthiopien erhalten zu haben. Die offiziellen Angaben der Bundesregierung enthalten auch keine Exporte in Länder wie Bangladesch, die Niederlande, Estland, Australien, die Mongolei, Bahrain oder Nigeria, obwohl es zahlreiche Belege gibt, dass FinFisher in diese Länder verkauft wurde. (Sicherheitsexperten des Citizen Lab der Universität Toronto haben umfangreiche technische Untersuchungen der Nutzung von FinFisher-Produkten in einer ganzen Reihe von autoritären und demokratischen Ländern durchgeführt. Das gesamte Archiv dieser Untersuchungen kann hier eingesehen werden.)

Auf der Grundlage der geleakten FinFisher-Daten und der Analyse von Privacy International gehen wir davon aus, dass Gamma diese Überwachungstechnologien ohne Lizenz exportiert hat. Diese Behauptung beruht auf zahlreichen Dokumenten, wie Gamma mit Technologien handelt, und der aktuellen Erklärung der britischen Regierung, dass sie von Gamma per Gesetz fordert, eine Lizenz für FinFisher zu erlangen, wenn das Unternehmen es von Großbritannien aus exportieren wolle. Bestehende Kenntnisse und Recherchen ergeben, dass Gamma aus Großbritannien und Deutschland heraus operiert, und erhärten den Verdacht, dass diese Technologien aus Deutschland exportiert wurden. Und Deutschland hat wiederholt abgestritten, dass es Gamma eine Lizenz für den Verkauf in verschiedene Länder, von denen wir wissen, dass FinFisher dort genutzt wird, ausgestellt hat. Das führt uns zu der Schlussfolgerung, dass FinFisher ohne Lizenz aus Deutschland exportiert wurde.

Was bedeutet das für den deutschen Handel mit Überwachungstechnologien? Nun, die lizenzierten Überwachungstechnologieexporte erscheinen geradezu winzig im Vergleich zu den nicht-lizenzierten Exporten von FinFisher, von anderen Überwachungsprodukten gar nicht zu reden. Gamma verkauft im Moment mehr Überwachungstechnologie, als alle lizenzierten Exporte zusammen. Nachfolgend ein Vergleich von lizenzierten und nicht-lizenzierten deutschen Überwachungsexporten:

Geschätzter Gesamtwert der lizenzierten und nicht-lizenzierten Exporte aus Deutschland in Mio. €, 2010-2013.

Und das ist nur ein einziges Unternehmen – es gibt in Deutschland wahrscheinlich weitere, die dieser Geschäftsstrategie folgen. Obwohl eine exakte Summe der nicht-lizenzierten deutschen Überwachungsexporte schwer zu berechnen ist, sollte es nicht überraschen, da Experten des Branchenführers ISS World ihre globale Industrie auf 3 bis 5 Milliarden $ schätzen. Die deutliche Lücke zwischen den lizenzierten und nicht-lizenzierten Teilen der Überwachungstechnik-Industrie zeigt die Notwendigkeit einer zügigen und klaren internationalen Regulierung.

Was hat die deutsche Regierung bisher getan?

Die deutsche Regierung erklärte, dass sie weiter darauf hinwirken will, Überwachungstechnologien, die Menschenrechte gefährden, stärker zu regulieren – eine positive Entwicklung, die ein Verständnis für die Ernsthaftigkeit des Themas widerspiegelt. Angesichts dieser neuen Enthüllungen und dem Wunsch einiger Parteien, dieses Thema mit Priorität zu behandeln, können wir hoffen, dass weitere Änderungen vorgenommen werden, die die Lieferung von weiteren gefährlichen Technologien an repressive Regime verhindern können. Befunde wie diese legen nahe, dass in dieser Branche eine stärkere Regulierung benötigt wird.
 
Und es gibt Präzedenzfälle dafür. Deutschland blockierte 2008 Exporte der “Interception Management System”-Software (vergleichbar mit LIMS der deutschen Firma Utimaco) in den Iran. Vor Kurzem hat die Regierung vorgeschlagen, dass auch in die Türkei keine Überwachungstechnik mehr exportiert werden soll.

Die Daten zeigen auch, dass der globale Überwachungstechnologiemarkt stark von Großaufträgen mit einzelnen Ländern abhängig ist. Die Antworten auf die parlamentarischen Anfragen zeigen, dass größten Einzeldeals 2006 und 2007 Saudi-Arabien und die Türkei waren. Es ist schwer zu erahnen, auf welche Verträge sich diese Exporte genau beziehen, aber sie passen in das generelle Muster der zunehmenden Internetüberwachung, die seit 2005 kontinuierlich ausgebaut wird um mit größeren Datenmengen umgehen zu können. Tunesien hatte 2007 vor der Revolution ähnliche Probleme, woraufhin dort die Überwachungstechnik Deep Paket Inspection (DPI) eingeführt wurde, um zunehmende Datenmengen handhaben zu können.

Kampf für Überwachungsregulierung in der Post-Snowden-Welt

Linke Parteien in Deutschland sehen die Regulierung von Überwachungstechnologien jetzt als wichtiges politisches Thema an, für das es sich zu kämpfen lohnt. Sowohl die Grünen als auch die Sozialdemokraten wollen das Thema besetzen, was wohl der Grund dafür war, dass die parlamentarische Anfrage gestellt wurde. Obwohl die Politisierung dieser Themen sich nicht immer als hilfreich herausgestellt hat, ist es interessant zu beobachten, dass es einen politischen Wettbewerb zwischen deutschen Parteien über die Frage gibt, wer für eine bessere Regulierung der Überwachungstechnik im Interesse der Menschenrechte sorgen kann.

In jedem Fall zeigen die geleakten FinFisher-Dokumente, dass der Hersteller Gamma aktuell davon ausgeht, dass ihm jetzt oder in naher Zukunft Ausfuhrkontrollen in Deutschland auferlegt werden und bittet seine Kunden daher um zusätzliche Informationen, wofür die Produkte benutzt werden. Das sind Informationen, welche für einen regelkonformen Umgang mit der deutschen Exportkontrolle benötigt werden. Dies deutet darauf hin, dass Ausfuhrbestimmungen für Überwachungstechnologien wirksam geworden sind, bevor sie gesetzlich verankert wurden, da sogar einige der berüchtigtsten Unternehmen bereits reagieren, um sicherzustellen, dass sie die Auflagen erfüllen.

Globale Standards und das Wassenaar-Abkommen

Und es wird weitere Veränderungen geben. Die Unterlagen zeigen, dass die Bundesregierung die Notwendigkeit erkennt, weitere Überwachungstechnologien, die Menschenrechte verletzen, zu regulieren. Sie nennt explizit “Überwachungsbeobachtungszentralen”, die die Überwachung von E-Mails, SMS, Internetverbindungen und VoIP-Anrufen in einer Zentrale bündeln, da diese Technologie missbraucht werden kann und zusätzliche Regulierung benötigt.
Der bevorzugte Ansatzpunkt zur Verhandlung dieser Änderungen der Ausfuhrbestimmungen ist das Wassenaar-Abkommen, ein nicht-bindendes Abkommen zwischen Staaten, das bestimmte “Dual-Use-Technologien” international reguliert. Wassenaar enthält im Grunde eine lange “Kontrollliste” der Technologien, von denen alle Mitgliedsstaaten glauben, sie könnten missbraucht werden. Jeder einzelne Mitgliedsstaat in der EU implementiert diese Entscheidung dann in seinen nationalen Exportbestimmungen. Diese Listen werden jährlich bei einer großen Mitgliederkonferenz aktualisiert. Es dauert in der Regel ein Jahr, bis diese Änderungen innerhalb der nationalen Gesetze der verschiedenen Wassenaar-Mitgliedsstaaten in Kraft treten.

Wie viele andere Menschenrechtsverteidiger glauben wir, dass das Wassenaar-Abkommen die stärkste Plattform für die deutsche Regierung bietet, sich für diese Änderungen einzusetzen und sie hat gegenüber dem Bundestag wiederholt bestätigt, dies umfassend zu tun. Die bessere Regulierung von Überwachungstechnologien sei “von hoher politischer Bedeutung” für die Wassenaar-Mitgliedsstaaten, genauso wie für die Europäische Kommission, die diesen Bereich mit “hoher Priorität” einstuft

Deutschland drängt darauf, 2013 Änderungen der Wassenaar-Liste so schnell wie möglich auf EU-Ebene umzusetzen. “Herbst 2014″ ist eine eher optimistische Prognose, auch wenn die Bundesregierung auf verschiedenen Ebenen Schritte eingeleitet hat, um den Prozess zu beschleunigen. Wie realistisch dieser Zeitplan ist, bleibt abzuwarten, nach Jahren der Untätigkeit ist er aber zumindest ein deutliches politisches Signal der Bundesregierung.

Parteipolitik und der Gesamtzusammenhang

Über Überwachungstechnologien hinaus, hat SPD-Chef und Wirtschaftsminister Sigmar Gabriel erklärt, er wolle das Exportkontrollrecht in allen Bereichen strenger interpretieren. Die Werkzeuge dafür existieren seit einiger Zeit in Form der “Politische Grundsätze der Bundesregierung”, die von der rot-grünen Regierung im Jahr 2000 entwickelt, aber selten strikt durchgesetzt wurden. SPD-Minister Gabriel hat diese Prinzipien nun einfach strikter interpretiert um eine Vielzahl an Waffenexporten aus Deutschland zu stoppen. Zusätzliche Vorschriften für missbrauchsanfällige Überwachungstechnologien passen also sehr gut in seine Agenda. Gleichzeitig wurde Gabriel in der Presse und von der Grünen Partei kritisiert, weil er nicht dokumentieren konnte, dass er tatsächlich einen konkreten Antrag auf Export von Überwachungstechnologien abgelehnt hat.

Hier, wie in anderen Fällen auch, ist der Kampf ist in erster Linie eher politisch als inhaltlich. Es ist zu begrüßen, dass nun zwei politische Parteien beim Thema Regulierung von Überwachungstechnik miteinander konkurrieren. Beide haben klare, konkrete Absichten verkündet, die SPD als Regierungspartei war jedoch noch nicht in der Lage, diese vollständig zu dokumentieren. Was vielleicht am bemerkenswertesten ist: Die deutsche Regierung verfolgt weiterhin den Anspruch, eine führende Stimme in den internationalen Debatten über die Regulierung von Überwachungstechnologien zu werden. Es wird sich zeigen, ob sie tatsächlich in der Lage sind dieses Versprechen zu erfüllen, aber die aktuellen Anzeichen sind vielversprechend.