Überwachungsexporte wirksamer kontrollieren

Die Überwachung moderner Kommunikationskanäle schränkt das Menschenrecht auf Presse-, Informations- und Kommunikationsfreiheit systematisch ein. Reporter ohne Grenzen setzt sich deshalb seit mehr als drei Jahren kontinuierlich dafür ein, dass Exporte digitaler Überwachungstechnologie besser kontrolliert werden. Denn in vielen Ländern stellen weitreichende Überwachungspraktiken eine schwere Bedrohung für Journalisten dar: Aufgrund der digitalen Ausforschung können sie ihre Quellen nur schwer schützen und laufen selbst Gefahr, wegen ihrer Tätigkeit ausgespäht und verfolgt zu werden.

Der in dieser Legislaturperiode gegründete Bundestagsausschuss Digitale Agenda hat sich am Mittwoch (16. Dezember) erstmals mit der Forderung nach wirksameren Exportkontrollen für digitale Überwachungstechnologien beschäftigt. In der öffentlichen Anhörung gab ROG-Geschäftsführer Christian Mihr ausführlich Auskunft darüber, welche Verbesserungen aus Sicht von Reporter ohne Grenzen nötig sind und warum der ungehinderte Zugang zu sicherer Verschlüsselungstechnologie überlebenswichtig für Journalisten und Bürgerjournalisten ist.

Kaum verlässliche Zahlen verfügbar

Die politische Aufmerksamkeit für die Brisanz von Überwachungsexporten hat in Deutschland zwar nicht zuletzt durch die Arbeit von ROG und anderen Menschenrechtsorganisationen erheblich zugenommen. Verbesserungsmöglichkeiten gibt es aber unter anderem bei der Transparenz über solche Geschäfte: Verlässliche Zahlen über Exporte sogenannter Dual-Use-Güter sind bislang fast nur durch parlamentarische Anfragen zu gewinnen. Dabei wäre eine glaubwürdige Haltung im Umgang mit Überwachungstechnologie wichtig – auch, damit Deutschland nicht in der Exportpraxis den eigenen Anspruch konterkariert, auf UN-Ebene dem Rechts auf Datenschutz im digitalen Zeitalter zur internationalen Anerkennung zu verhelfen.

Unzureichend sind aus ROG-Sicht etwa die derzeitig vorgesehenen Vorabprüfen von Exportanfragen anhand von Unterlagen, die die Unternehmen selbst einreichen. Interne, auf zwei Twitter-Konten veröffentlichte Dokumente der Firmen Hacking Team und FinFisher (ehemals Gamma International) zeigen, dass die Verkäufe in der Regel über Tochter- und Vermittlerfirmen abgewickelt werden. Deshalb sollte eine explizite Endanwenderkontrolle verpflichtend werden.

Reporter ohne Grenzen liegen zudem bislang nicht veröffentlichte stichhaltige Hinweise vor, dass das deutsche Unternehmen Atis nach dem Inkrafttreten der Änderungen von Ende 2013 am Wassenaar-Abkommen Monitoring-Center nach Ägypten sowie in andere Länder mit einer gleichfalls problematischen Menschenrechtssituation exportiert hat.

Für dringend geboten hält ROG eine zusätzliche Kontrolle sogenannter Monitoring Center und Lawful-Intercept Anlagen sowie verwandter Dienstleistungen wie Schulungen und direktem Support für Überwachungstechnologien. Denn die geleakten Firmenunterlagen von FinFisher/Gamma haben gezeigt, dass der IT-Support des Unternehmens Überwachungsmaßnahmen wie die Infektion von Zielrechnern mit einem Trojaner zum Teil aktiv unterstützt. Wichtig ist, dass die Bundesregierungen solche Änderungen nach Möglichkeit im europäischen Kontext vornimmt, damit die Firmen nicht einfach in andere europäische Länder ausweichen können.

Auch Dienstleistungen für Überwachungstechnik effektiv kontrollieren

Bei Behördenentscheidungen über Exportanfragen im Bereich der Überwachungstechnologie ist unbedingt eine genaue Qualitätskontrolle der Softwarelösungen nötig, um etwa die Vorgeschichte der betreffenden Firmen zu durchleuchten und zu verhindern, dass Hintertüren für einen unberechtigten Datenzugriff eingebaut wurden. Die größte Unabhängigkeit und Kompetenz für eine solche Prüfung hat nach Einschätzung von ROG die Behörde des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Auch Dienstleistungen rund um einschlägige Überwachungssysteme müssen vor, während und nach dem Kauf effektiv kontrolliert werden, ebenso laufende Dienstleistungsverträge von Überwachungstechnikfirmen mit autoritären Ländern.

Nötig sind auch effektivere Sanktionsmechanismen, um Exporte hoch intrusiver Technologien mit großem Missbrauchspotenzial in autoritäre Staaten international zu ächten.

Die Regelungen zur fortwährenden Kontrolle bestimmter Verschlüsselungstechnologien, wie sie die EG-Dual-Use-Verordnung in ihrer aktuellen Fassung vorsieht, hält ROG für schlicht überholt; sie sollten gestrichen werden. Dies gilt nicht zuletzt aufgrund der mittlerweile in vielen Produkten standardmäßig eingesetzten Verschlüsselung sowie vor dem Hintergrund von Bedrohungen wie zunehmender IT-Kriminalität und der Ausforschung durch Geheimdienste. Eine Exportkontrolle von sogenannten Zero-Day-Schwachstellen hält ROG für unnötig, da diese nur in wenigen Fällen für die direkte Überwachung oder den Einsatz von Schadsoftware verwendet werden. Auch könnte eine solche Kontrolle die Arbeit von Sicherheitsforschern gefährden.

Um den Rechtsrahmen der Exportkontrollen insgesamt flexibler und anpassungsfähiger an technische Entwicklungen zu gestalten, könnte ein Ansatzpunkt aus Sicht von ROG die Aufnahme von Überwachungstechnologie in die EU-Folterverordnung sein.