"Das sollte uns mehr als alles andere Angst machen" – Seite 1
Paul Lewis ("The Guardian") führte für das Journalistenkonsortium The Pegasus Project dieses Interview. Wir publizieren es in einer leicht gekürzten Fassung.
Pegasus Project: Wie war Ihre erste Reaktion auf das, was das Pegasus Project herausgefunden hat?
Edward Snowden: Es ist schockierend. Wir sprechen hier über etwas in der Größenordnung von 50.000 Telefonnummern aus einer ganzen Reihe Länder, über etwas sehr Aggressives. Es geht um Journalisten, es geht um Regierungsvertreter, es geht um Vertreter der Opposition, es geht um Menschenrechtsaktivisten. Es ist furchtbar. Ich habe natürlich seit Langem den Verdacht, dass Missbrauch mit Überwachungsmöglichkeiten getrieben wird. Das haben wir 2013 gesehen. Aber damals waren es ausschließlich Regierungen, die größtenteils intern arbeiteten und Druck auf kommerzielle Anbieter ausübten. Das Ganze hatte noch eine Fassade von Legitimität oder Rechtmäßigkeit, Verfahren und Abläufen. Das reichte nicht, es war trotzdem ein gescheitertes Konzept, aber es war wenigstens etwas. Was das Pegasus-Project zeigt, ist, dass die NSO Group in Wirklichkeit Repräsentant eines neuen Markts für Schadware ist. Es handelt sich um ein gewinnorientiert arbeitendes Unternehmen. Denen sind Gesetze egal, denen sind Regeln egal. Sie verkaufen an jeden verlässlichen Kunden, bei dem sie das Gefühl haben damit durchzukommen und dass man ihnen nicht auf die Schliche kommt. Die gesamte Branche der kommerziellen Hersteller von Intrusion-Software basiert auf einer Lüge. Sie behaupten, Leben zu schützen und Verbrechen zu verhindern, aber in vielen Ländern wird diese Software Tag für Tag dazu genutzt, Menschen auszuspionieren, die keine legitimen Ziele sind.
PP: Was ist aus Ihrer Sicht die wichtigste Erkenntnis, was diese Enthüllungen und den Leak anbelangt?
Snowden: Es ist überall. Es handelt sich um einen Industriezweig, der überhaupt nicht existieren sollte. Wir sehen, was die NSO Group, die möglicherweise berühmteste dieser Truppen, im Schilde führt. Aber die NSO Group ist nur ein Unternehmen von vielen. Wenn dieses eine Unternehmen schon dermaßen übel riecht, was ist dann mit all den anderen? Das Pegasus-Projekt hat eine Branche aufgedeckt, die als einziges Produkt Infektionsvektoren anbietet. Es handelt sich nicht um Sicherheitsprodukte. Sie bieten keinerlei Form von Schutz, sind in keiner Form vorbeugend. Sie stellen keine Impfstoffe her. Das Einzige, was sie verkaufen, ist das Virus. Und zu sagen, dass sie ja nur an Staaten verkaufen, macht es nicht besser, wenn man sich ansieht, wer die Ziele sind, die gerade bekannt geworden sind.
PP: Im Laufe der Jahre kam es immer wieder zu Überwachungslecks und Enthüllungen, am wichtigsten war dabei zweifelsohne Ihre Arbeit. Wie sehen Sie diesen Fall im Vergleich?
Snowden: Das ist zweifelsohne einer der wichtigsten Fälle. Diese Art Material bekommt man nicht einfach so und wenn man Zugang dazu hat, dann teilt man ihn. Alle haben Angst: "Es ist so sensibel, darüber kann man nicht schreiben." Oder jemand sagt: "Mit Ihrem Vorgehen haben Sie eine laufende Ermittlung in Gefahr gebracht." Aber wie dieses Konsortium zusammenarbeitet … sie nehmen Nummern, deren Inhaber unbekannt sind, und bestätigen die Identität bestimmter Personen, ohne sie dafür zwingend kontaktieren zu müssen und dann erkennen sie: "Oh, diese Person ist Minister in einer Regierung, und diese Person ist Chefredakteur einer Zeitung …" Das sind große Zeitungen und zentrale Einrichtungen, auf die wir uns verlassen. Hier wird ein Vorhang zurückgezogen und eine Detailtiefe gezeigt, wie wir sie nie zuvor beobachtet haben.
PP: Sie haben bei früherer Gelegenheit Smartphones als "Spion in der Hosentasche" bezeichnet. Bestätigt dies Ihre Auffassung?
Snowden: Es ist sogar noch schlimmer. Als ich vom Spion in der Hosentasche sprach, ging es um das Potenzial, die Fähigkeit und dass diese Geräte mit dem Mobilfunknetz kommunizieren und Ihren Standort übermitteln. Facebook bespitzelt uns, aber das sind größtenteils Programme für kommerzielle Zwecke. Was wir dagegen hier beobachten, ist der Aufbau einer Industrie, die diese Telefone hackt und über das uns bereits bekannte Maß an Bespitzelung hinausgeht. Diese Leute übernehmen die volle Kontrolle über das Telefon und richten es gegen die Menschen, die es gekauft und dafür bezahlt haben, es aber in Wirklichkeit gar nicht mehr besitzen. Und diese Telefone sind Klone. Geräte wie zum Beispiel das iPhone laufen rund um die Welt mit derselben Software. Findet man also einen Weg, ein iPhone zu knacken, hat man einen Weg gefunden, sie alle zu knacken. Und das tun sie und das verkaufen sie. Das ist ein wissentlicher, absichtlicher und vorsätzlicher Angriff auf kritische Infrastruktur, auf die sich alle verlassen müssen. Es ist egal, unter welcher Flagge man lebt und welche Sprache man spricht, wir alle sind davon betroffen.
PP: David Kaye, ehemaliger Sonderberichterstatter der Vereinten Nationen für Meinungsfreiheit, sagte, die globale Überwachungsindustrie sei außer Kontrolle geraten. Hat er recht?
Snowden: Daran besteht nicht der geringste Zweifel. Bezahlte Überwachungsdienste hat es schon früher gegeben. Unternehmen konnten Wanzen herstellen, verborgene Mikrophone, und sie verkaufen. Aber der Staat bekommt sie oder die örtliche Polizei bekommt sie, aber sie muss dann in das Haus einer Person eindringen, in ihr Auto oder ihr Büro, und wir hoffen zumindest, dass es einen gültigen Gerichtsbeschluss dafür gibt. Derartige Operationen sind schwierig und kostspielig, insofern werden sie tatsächlich nur dort eingesetzt, wo sie unbedingt erforderlich sind und halbwegs im Verhältnis zu der Bedrohung stehen, die von der Person ausgeht, gegen die ermittelt werden soll. Aber wenn sie dasselbe aus der Entfernung tun können, die Kosten gering sind und keinerlei Risiko besteht, dann fangen sie an, das die ganze Zeit zu tun, gegen jeden, der auch nur ansatzweise von Interesse ist. Und das zeigt eine Liste von 50.000 betroffenen Personen. Man verwanzt keine 50.000 Häuser. Es gibt in all diesen Ländern schlichtweg nicht genügend Fachleute für Verwanzung, um etwas Derartiges durchzuführen. Aber wenn es ihnen möglich ist, sich einfach Zugriff auf das zu verschaffen, was Sie in Ihrer Tasche mit sich herumtragen, dann können sie das tun und werden es tun.
"Sie haben ihr Ziel erreicht"
PP: Ihre Enthüllungen rückten die Möglichkeiten ins Rampenlicht, die NSA und GCHQ zur Verfügung stehen. Glauben Sie, diese Regierungen könnten Spionage in dieser Form betreiben, ohne dabei von der privaten Sicherheitsindustrie unterstützt zu werden?
Snowden: Das hängt vom jeweiligen Land ab. Reden wir über ein sehr fortschrittliches Land – ja, klar. Verfügt man dort über einen hoch entwickelten Technikmarkt – klar. Aber viele der autoritärsten Länder, wir reden beispielsweise über Kasachstan, über Usbekistan, über Bahrain, stehen mit ihren geschlossenen Gesellschaften dem technischem Fortschritt nicht sehr freundlich gegenüber. Insofern ist es schwierig, sich diese Fähigkeiten zu beschaffen. Aber wenn man einfach jemanden bezahlt, diese als Dienstleistung bereitzustellen, dann kann man loslegen und alles tun, was man möchte. Eine derartige Politik verursacht keine Kosten. Was wäre die Alternative, wenn es diese Unternehmen nicht gäbe? Würden die Regierungen einfach sagen: "Wir können niemanden bespitzeln, wir können unsere Untersuchungen nicht fortsetzen, wir können nicht nach Kriminellen und Terroristen suchen?" Natürlich nicht. Sie würden ihre eigenen Entwickler darauf ansetzen, sie würden interne Lösungen erarbeiten, ihre eigenen Werkzeuge entwickeln. Das wäre ein schwieriges und kostspieliges Unterfangen. Es wäre ineffizient. Aber wir wollen das. Bei diesen Menschen handelt es sich nicht um Entwickler, sie entwickeln nichts Nützliches. Es handelt sich um Infizierer. Sie erschaffen Wege, eine Art Krankheit für Mobilfunkgeräte herbeizuführen. Sie finden Schwächen, ungeimpfte Zugangsorte. Das ist wie ein Industriezweig, der ausschließlich maßgeschneiderte Covid-Varianten entwickelt, die gegen die Impfstoffe immun sind.
Und genau das ist es, was sie verkaufen, für Ihr Telefon, für Ihren Computer. In anderen Bereichen, etwa der Entwicklung biologischer Waffen, können wir Staaten nicht aufhalten. Und was NSO erschaffen hat, befiel grenzüberschreitend Geräte, es hat Cluster in Gemeinden mit einem Patient Null infiziert. Sie infizieren all ihre Freunde, all ihre Kollegen, alle Menschen, die sie kennenlernen. Und das wäre nicht geschehen – jedenfalls nicht an so vielen Orten, nicht so leicht und zu denselben Kosten –, wenn diese Unternehmen nicht aus Gewinnmotiven heraus das Virus hätten verbreiten dürfen. NSO tut das nicht, um die Welt zu retten, sondern aus einem einzigen Grund heraus – um Geld zu verdienen.
PP: Wie ausgeklügelt ist Pegasus?
Snowden: Das Pegasus-Instrumentarium verfolgt wie alle Malware-Anbieter am Markt das Ziel der Remote-Code-Ausführung. Das gilt auch für die nicht kommerziellen Anbieter, mit deren Hilfe Hacker rund um den Globus PCs mit Ransomware bestücken und direkt Geld stehlen. Auf diese Weise kann man ohne das Zutun des Nutzers auf ein Gerät zugreifen, man kann nach Fehlern in der Software auf diesem Gerät suchen und ohne dass der Nutzer irgendeine Art Fehler begeht, kann man die eigene Software laufen lassen, die eigenen Programme, eigene Anweisungen geben. Und das ist es den öffentlichen Angaben zufolge, was Pegasus tut. Sie haben also ihr Ziel erreicht. Aber zu welchem Preis für die Gesellschaft?
PP: Vor wem sollten wir mehr Angst haben, vor der NSA oder der NSO?
Snowden: Das führt zurück zu einer Frage, die aufkam, als ich 2013 an die Öffentlichkeit ging. Die Leute sagten: "Warum haben Sie Angst vor dem Staat, wenn es kommerzielle Unternehmen gibt, die die Menschen ganz genauso bespitzeln?" Sie dachten an Facebook, Google, Amazon. Und die Antwort lautete stets: "So schlimm es ist, was die Unternehmen tun, sie können einen wenigstens nicht ins Gefängnis werfen. Sie können Ihr Auto nicht mit einer Rakete beschießen. Sie befehlen keine Drohnenangriffe." Also konzentrieren wir uns doch an allererster Stelle auf den Staat und nachdem wir den reformiert haben, kümmern wir uns um die Unternehmen. Die Staaten haben ihre Reformbemühungen eingestellt und was die kommerziellen Überwachungsmethoden angeht, gab es keinerlei Reformen. Seit 2013 sind nahezu zehn Jahre vergangen und wir haben die Geburt von Unternehmen wie der NSO Group miterlebt, die ein Geschäft betreiben, wie es nie zuvor eine Firma betrieben hat. Sie bieten nicht irgendwelche Dinge zum Verkauf an. Sie bringen Menschen ins Gefängnis, sie sorgen dafür, dass sie getötet werden. Wir sprechen hier über ein Privatunternehmen, das Hacks auf eine Art und Weise durchführt, wie es auch die NSA könnte. Und das sollte uns mehr als alles andere Angst machen, denn wir haben es nicht nur mit einem einzelnen Unternehmen zu tun, sondern mit einer ganzen Branche.
PP: Wen ziehen wir in diesem Fall zur Verantwortung? Das Unternehmen oder den Staat, der diese Spyware einsetzt?
Snowden: Die korrekte Antwort lautet natürlich: beide. Aber es geht nicht darum, wen man in beispielsweise Israel zur Rechenschaft zieht oder in beispielsweise diesem speziellen Unternehmen. Meiner Meinung nach sollten sich alle strafrechtlich verantworten müssen, die sich an diesem Markt beteiligen. Es muss ein globales Moratorium geben, was den kommerziellen Handel mit Exploits oder Angriffsvektoren angeht. Aber wir müssen Dinge wie Schutzforschung betreiben. Dazu verbieten wir den Handel und berauben die Menschen, die das tun, ihres Gewinnmotivs. Wenn die NSO Group damit kein Geld verdienen könnte, würde sie übermorgen den Laden zumachen, dasselbe gilt für all die anderen Unternehmen in diesem Feld. Aber wir müssen uns in Europa und den Vereinigten Staaten auch eine allgemeinere Frage stellen: Wie können diese Unternehmen kommerziell dermaßen erfolgreich sein und sich dermaßen kühn rund um den Globus ausbreiten? Ganz offensichtlich haben unsere Regulierungsmaßnahmen versagt. Seit zehn Jahren hat sich Europa gedacht: "Vielleicht können wir das ja kontrollieren, vielleicht lässt sich das Problem mit Exportkontrollen lösen?" Heute jedoch sehen wir, dass die Exportkontrollen voll und ganz an der Aufgabe gescheitert sind, die Auswirkungen zu kontrollieren, die die kommerzielle Malware-Industrie für die Öffentlichkeit hat. Und wenn Ausfuhrkontrollen und leichtere Regulierung nicht funktionieren, dann müssen wir über ernstere Maßnahmen nachdenken. Dieses Problem lässt sich meiner Meinung nach nur lösen, wenn wir den Handel mit dieser Art von Technologie mit einem globalen Moratorium belegen.
PP: Was können die Menschen zu ihrem Schutz tun?
Snowden: Was können die Menschen tun, um sich vor Atomwaffen zu schützen? Was können sie tun, um sich vor biologischen oder chemischen Waffen zu schützen? Es gibt bestimmte Industrien, bestimmte Wirtschaftszweige, vor denen es keinen Schutz gibt. Aus diesem Grund versuchen wir, die Weiterverbreitung dieser Technologien zu begrenzen. Wir dulden keinen kommerziellen Markt für Atomwaffen. Wir dulden keinen kommerziellen Markt für chemische oder biologische Waffen. Aber wenn es um diese digitalen boshaften Angriffsvektoren geht, unternehmen wir rein gar nichts. Wir müssen den Verkauf dieser Intrusiontechnologie stoppen. Das ist der einzige Weg, wie wir uns schützen können. Es geht darum, ein globales Moratorium für diesen Handel zu unterstützen.
Übersetzung: Matthias Schulz
Paul Lewis ("The Guardian") führte für das Journalistenkonsortium The Pegasus Project dieses Interview. Wir publizieren es in einer leicht gekürzten Fassung.
Pegasus Project: Wie war Ihre erste Reaktion auf das, was das Pegasus Project herausgefunden hat?
Edward Snowden: Es ist schockierend. Wir sprechen hier über etwas in der Größenordnung von 50.000 Telefonnummern aus einer ganzen Reihe Länder, über etwas sehr Aggressives. Es geht um Journalisten, es geht um Regierungsvertreter, es geht um Vertreter der Opposition, es geht um Menschenrechtsaktivisten. Es ist furchtbar. Ich habe natürlich seit Langem den Verdacht, dass Missbrauch mit Überwachungsmöglichkeiten getrieben wird. Das haben wir 2013 gesehen. Aber damals waren es ausschließlich Regierungen, die größtenteils intern arbeiteten und Druck auf kommerzielle Anbieter ausübten. Das Ganze hatte noch eine Fassade von Legitimität oder Rechtmäßigkeit, Verfahren und Abläufen. Das reichte nicht, es war trotzdem ein gescheitertes Konzept, aber es war wenigstens etwas. Was das Pegasus-Project zeigt, ist, dass die NSO Group in Wirklichkeit Repräsentant eines neuen Markts für Schadware ist. Es handelt sich um ein gewinnorientiert arbeitendes Unternehmen. Denen sind Gesetze egal, denen sind Regeln egal. Sie verkaufen an jeden verlässlichen Kunden, bei dem sie das Gefühl haben damit durchzukommen und dass man ihnen nicht auf die Schliche kommt. Die gesamte Branche der kommerziellen Hersteller von Intrusion-Software basiert auf einer Lüge. Sie behaupten, Leben zu schützen und Verbrechen zu verhindern, aber in vielen Ländern wird diese Software Tag für Tag dazu genutzt, Menschen auszuspionieren, die keine legitimen Ziele sind.