WASHINGTON (AP) – Die US-Regierung wird die Verwendung kommerzieller Spyware-Tools, die zur Überwachung von Menschenrechtsaktivisten, Journalisten und Dissidenten auf der ganzen Welt verwendet wurden, gemäß einer am Montag von Präsident Joe Biden erlassenen Durchführungsverordnung einschränken.
Die Bestellung reagiert auf wachsende US-amerikanische und globale Bedenken über Programme, die Textnachrichten und andere Handydaten erfassen können. Einige Programme – sogenannte „Zero-Click“-Exploits – können ein Telefon infizieren, ohne dass der Benutzer auf einen schädlichen Link klickt.
Regierungen auf der ganzen Welt – einschließlich der USA – sind dafür bekannt, große Datenmengen zu sammeln für Geheimdienst- und Strafverfolgungszwecke, einschließlich Mitteilungen von ihren eigenen Bürgern. Die Verbreitung kommerzieller Spyware hat leistungsstarke Tools für kleinere Länder neu verfügbar gemacht, aber auch Möglichkeiten für Missbrauch und Unterdrückung geschaffen, warnen Forscher und Menschenrechtsaktivisten.
Das Weiße Haus hat die Executive Order im Vorfeld seines zweiten Gipfels für Demokratie veröffentlicht diese Woche. Der Befehl „zeigt die Führungsrolle und das Engagement der Vereinigten Staaten bei der Weiterentwicklung von Technologien für die Demokratie, einschließlich der Bekämpfung des Missbrauchs kommerzieller Spyware und anderer Überwachungstechnologien“, sagte das Weiße Haus in einer Erklärung.
Bidens Anordnung, die als Verbot der Verwendung kommerzieller Spyware angepriesen wird, „die Risiken für die nationale Sicherheit darstellt“, lässt einige Ausnahmen zu.
Die Anordnung erfordert, dass der Leiter jeder US-Behörde, die kommerzielle Programme verwendet, bescheinigt, dass das Programm kein signifikantes Spionageabwehr- oder anderes Sicherheitsrisiko darstellt, sagte ein hochrangiger Verwaltungsbeamter.
Zu den Faktoren, die zur Bestimmung des Sicherheitsrisikos herangezogen werden, gehört, ob ein ausländischer Akteur das Programm zur Überwachung von US-Bürgern ohne gesetzliche Genehmigung oder zur Überwachung von Menschenrechtsaktivisten und anderen Dissidenten verwendet hat.
„Es soll eine hohe Messlatte sein, beinhaltet aber auch Abhilfemaßnahmen, die ergriffen werden können … bei denen ein Unternehmen argumentieren kann, dass sein Tool nicht missbraucht wurde“, sagte der Beamte, der Reporter unter der Bedingung der Anonymität im Weißen Haus informierte Grundregeln.
Das Weiße Haus werde im Rahmen der Exekutivverordnung keine Liste verbotener Programme veröffentlichen, sagte der Beamte.
John Scott-Railton, ein Forscher am Citizen Lab der University of Toronto, der sich seit langem mit Spyware befasst, schrieb der Biden-Regierung den Versuch zu, neue globale Standards für die Branche zu setzen.
„Die meisten Spyware-Unternehmen sehen den Verkauf in die USA als möglichen Ausweg“, sagte Scott-Railton. „Das Problem ist, dass die USA ihre Kaufkraft bisher nicht wirklich eingesetzt haben, um die Industrie dazu zu drängen, es besser zu machen.“
Letztes Jahr forderte der Kongress US-Geheimdienste auf, die Verwendung von Spyware im Ausland zu untersuchen, und erteilte dem Büro des Direktors des Nationalen Geheimdienstes die Befugnis, jeglichen Behörden die Verwendung kommerzieller Programme zu verbieten.
Der Abgeordnete Jim Himes aus Connecticut, der oberste Demokrat im Geheimdienstausschuss des Repräsentantenhauses, sagte letztes Jahr in einer Ausschussanhörung, dass kommerzielle Spyware eine „sehr ernsthafte Bedrohung für unsere Demokratie und Demokratien auf der ganzen Welt“ darstelle. Er sagte am Montag, die neue Ordnung sollte von anderen Demokratien befolgt werden, die Schritte gegen Spyware unternehmen.
„Es ist eine sehr starke Aussage und ein gutes Werkzeug, aber allein wird es nicht reichen“, sagte er.
Das vielleicht bekannteste Beispiel für Spyware, die Pegasus-Software der israelischen NSO Group, wurde verwendet, um mehr als 1.000 Menschen in 50 Ländern anzugreifenlaut Sicherheitsforschern und einer globalen Medienuntersuchung vom Juli 2021, unter Berufung auf eine Liste mit mehr als 50.000 Handynummern. Die USA haben bereits Exportbeschränkungen erlassen auf die NSO Group, wodurch der Zugang des Unternehmens zu US-Komponenten und -Technologie eingeschränkt wird.
Beamte wollten nicht sagen, ob US-Strafverfolgungsbehörden und Geheimdienste derzeit kommerzielle Spyware verwenden. Das FBI bestätigte letztes Jahr, dass es das Pegasus-Tool der NSO Group „nur zum Testen und Bewerten von Produkten“ und nicht für betriebliche Zwecke oder zur Unterstützung von Ermittlungen gekauft hatte.
Beamte des Weißen Hauses sagten am Montag, sie glauben, dass 50 Geräte, die von US-Regierungsangestellten in 10 Ländern verwendet werden, von kommerzieller Spyware kompromittiert oder angegriffen wurden.
Trotz der Behauptungen von NSO, dass das Programm zur Bekämpfung von Terrorismus und Kriminalität eingesetzt werden soll, fanden die Forscher die Zahlen von mehr als 180 Journalisten, 600 Politikern und Regierungsbeamten und 85 Menschenrechtsaktivisten.
Die Verwendung von Pegasus wurde am häufigsten mit Mexiko und Ländern im Nahen Osten in Verbindung gebracht. Amnesty International hat behauptet, Pegasus sei nur vier Tage vor der Ermordung des Journalisten im saudischen Konsulat in Istanbul im Jahr 2018 auf dem Telefon von Jamal Khashoggis Verlobter installiert worden. NSO hat die Behauptung zurückgewiesen, dass seine Software im Zusammenhang mit Khashoggis Ermordung verwendet wurde.
Die Familie von Paul Rusesabagina, dem zugeschrieben wird, mehr als 1.200 Leben während des Völkermords in Ruanda gerettet zu haben, eine Geschichte, die im Film „Hotel Rwanda“ dargestellt wird, hat auch behauptet, dass es von Spyware angegriffen wurde. Rusesabagina wurde unter falschen Vorwänden nach Ruanda zurückgelockt und vor seiner Freilassung letzte Woche wegen Terrorismusvorwürfen inhaftiert. Ruanda hat den Einsatz kommerzieller Spyware bestritten.