Amnesty deckt Spionagesoftware-Exporte nach Indonesien auf
Die Menschenrechtsorganisation Amnesty International hat Anfang Mai einen Bericht über den internationalen Handel mit Überwachungstechnologien veröffentlicht. Am Beispiel von Indonesien zeigt die Untersuchung, wie Anbieter von digitaler Überwachungstechnik aus verschiedenen Ländern über komplexe Firmennetzwerke Aufsichtsbehörden und Exportbeschränkungen unterlaufen. Fehlende Transparenz mache es schwierig, Regulierungsmechanismen – sofern vorhanden – wirksam durchzusetzen, so der Bericht.
Für die Untersuchung hat Amnesty mit den Nachrichtenmedien Haaretz, Inside Story, Tempo, WAV research collective und Woz zusammengearbeitet und über mehrere Monate in Gewerbeunterlagen und öffentlichen Verzeichnissen recherchiert. Das Team habe dabei Beweise für den Verkauf und Einsatz invasiver Spionagesoftware und anderer Überwachungstechnologien an Unternehmen und Behörden zwischen den Jahren 2017 und 2023 in Indonesien gefunden. Dort seien Menschenrechtsverteidiger, Journalisten und Aktivisten in den vergangenen Jahren immer wieder Angriffen ausgesetzt gewesen – sowohl digitalen als auch physischen.
An den Lieferungen nach Indonesien sind laut Recherche einige der weltweit führenden Vertreiber von digitaler Überwachungstechnologie beteiligt. So wurden Produkte von Q Cyber Technologies (NSO Group), dem Intellexa-Konsortium, Saito Tech (Candiru) und Raedarius M8 Sdn Bhd sowie Wintego Systems (beide FinFisher) geliefert. Zu den Käufern hätten unter anderem die indonesische Nationalpolizei gehört sowie die IT-Sicherheitsbehörde “National Cyber and Crypto Agency”.
Die Untersuchung zeigt laut Amnesty beispielhaft auch das anhaltende Versäumnis mehrerer Länder auf, die Ausfuhr von Technologien mit doppeltem Verwendungszweck, sogenannte Dual-Use-Güter zu regulieren und für Transparenz zu sorgen. Diese Produkte können sowohl zivil als auch militärisch eingesetzt werden. Sie stellen laut Amnesty ein ernstzunehmendes Risiko für die Menschenrechte dar.
Die importierten Überwachungsprogramme ermöglichen den Angreifern unbegrenzten Zugriff auf ein Gerät. Auf Smartphones ist es beispielsweise möglich, Kameras einzuschalten oder das Mikrofon abzuhören. Die Gerätebesitzer bekommen von der Installation der Software in der Regel nichts mit und können auch im Nachhinein kaum herausfinden, welche Daten entwendet wurden.
Repression in Indonesien
Amnesty bezeichnet den Verkauf der Überwachungstechnologien nach Indonesien als besonders besorgniserregend und verweist auf einen Bericht aus dem Jahr 2022, in dem die Organisation bereits zahlreiche Menschenrechtsverletzungen in Indonesien dokumentiert hatte. Amnesty hatte damals berichtet, dass Angriffe auf die Meinungsfreiheit, das Versammlungsrecht und das Recht auf persönliche Sicherheit und Freiheit in den letzten Jahren zugenommen hätten. Sicherheitsbehörden und das Militär seien mehrfach gewalttätig gegen Demonstrierende und politisch Andersdenkende vorgegangen, Rechte seien eingeschränkt worden.
“Menschenrechtsverteidiger und Aktivisten waren in Indonesien wiederholt online Repressionen ausgesetzt. Das Gesetz über elektronische Informationen und Transaktionen (EIT) und andere restriktive Gesetze wurden genutzt, um Menschenrechtsverteidiger, Aktivisten, Journalisten, Akademiker und andere strafrechtlich zu verfolgen und einzuschüchtern. Der undurchsichtige Handel mit Spionagesoftware nach Indonesien stellt ein weiteres gefährliches Instrument zur potenziellen Einschüchterung dar. Das darf nicht so weitergehen“, sagte Carolina Rocha da Silva, Betriebsleiterin im Sicherheitslabor von Amnesty International.
Undurchsichtige Netzwerke
Die Lieferungen nach Indonesien stammten aus Israel, Singapur und Malaysia, wobei nur einige der eigentlichen Anbieter dort angesiedelt sind. Es bestehe ein “undurchsichtiges Netz von Lieferanten, Maklern und Wiederverkäufern auf lokaler und internationaler Ebene”. So sei es äußerst schwierig festzustellen, wo die invasiven Technologien verkauft werden und zu kontrollieren, ob die Lieferanten die Gesetze für Ausfuhrgenehmigungen befolgen oder ihre Sorgfaltspflichten in Bezug auf die Menschenrechte erfüllt haben.
In Singapur beispielsweise hätten Importe über Zwischenhändler stattgefunden, die bereits zuvor Überwachungstechnologien und Spionagesoftware an staatliche Stellen in Indonesien geliefert hätten. Wer die eigentlichen Eigentümer dieser Maklerfirmen sind, sei oftmals nicht festzustellen gewesen, berichtet Amnesty. “Durch diese Art der Verschleierung des wirtschaftlichen Eigentümers wird die Überprüfung der gesamten Lieferkette für Dual-Use-Güter nahezu unmöglich […].”
Welche Unternehmen die exportierten Spionageprogramme entwickelt haben, steht allerdings fest: Q Cyber Technologies gehört beispielsweise zur israelischen NSO Group. Diese wurde Ende 2021 auf die Sanktionsliste der USA gesetzt, weil mithilfe ihrer Software Pegasus weltweit Aktivisten, Medienschaffende und Oppositionelle überwacht wurden.
Der Hersteller Intellexa und seine Tochterfirmen steht seit Mitte 2023 auf der Sanktionsliste der USA, weil er mit seinen Geschäften die Privatsphäre und Sicherheit von Einzelpersonen und Organisationen weltweit bedroht. Unter anderem sollen mithilfe der Überwachungssoftware Predator Medienschaffende und Politiker in Griechenland ausspioniert worden sein.
Saito Tech ist auch unter dem Namen Candiru bekannt, das sich ebenfalls auf der US-Sanktionsliste findet. Forscher des Citizen Labs an der Universität Toronto hatten Mitte 2021 die Programme von Candiru auf mehr als 750 gefälschten Webseiten gefunden, die Internetauftritten von Nichtregierungsorganisationen wie Amnesty International oder Black Lives Matter nachempfunden waren.
Raedarius M8 Sdn Bhd, und Wintego Systems seien Tochterfirmen des Überwachungssoftware-Anbieters FinFisher (heute: Vilicius Holding GmbH). Dessen Programme wurden in den vergangenen Jahren sowohl gegen türkische als auch ägyptische und bahrainische Oppositionelle eingesetzt.
Außer den Lieferungen hat das Rechercheteam zudem missbräuchliche Internetseiten und Netzwerkinfrastrukturen ausgemacht. Die Webseiten hätten die Portale von Nachrichtenmedien oder Oppositionsparteien nachgeahmt. Riefen Zielpersonen die Seiten auf ihren Geräten auf und interagierten dort, wurde die Schadsoftware Predator von Candiru und Intellexa installiert.
Amnestys Forderungen
Um Straffreiheit zu verhindern und Prävention zu fördern, fordert Amnesty Regierungen dazu auf, den Markt besser zu überwachen und die Einhaltung der bestehenden (Export-)Regeln durchzusetzen. Strafen müssten hoch genug sein, um abschreckende Wirkung zu entfalten. Es sei eine Kombination aus Technologie, Ressourcen und internationaler Zusammenarbeit nötig, um Exporte wirksam zu überwachen und zu regulieren.
Amnesty International fordert darüber hinaus alle Länder auf, den Verkauf, die Weitergabe, den Export und die Verwendung von invasiver Spionagesoftware zu verbieten, die nicht mit den Menschenrechten vereinbar ist. Bis ein Rechtsrahmen geschaffen ist, der die Menschenrechte schützt, sollen Staaten ein Moratorium verhängen und den Verkauf sowie Einsatz von Überwachungstechnologien stoppen. Exportlizenzen für die involvierten Unternehmen müssten überprüft werden.
Von den Anbietern der Überwachungstechnologien fordert Amnesty, die Entwicklung, den Verkauf und die Ausfuhr der gefährlichen Produkte zu stoppen, solange sie keine technischen Sicherheitsvorkehrungen enthalten, die eine rechtmäßige Nutzung im Rahmen der Menschenrechte sicherstellen. Alle Aktivitäten, die zu Menschenrechtsverstößen führen, sollen eingestellt werden. “Dazu gehört die sofortige Beendigung der Nutzung, der Unterstützung und des Verkaufs ihrer Technologien in Staaten, in denen staatliche Behörden in der Vergangenheit Mitglieder der Zivilgesellschaft digital und/oder physisch angegriffen haben oder in denen es keine angemessenen rechtlichen Schutzmaßnahmen gegen Missbrauch gibt”, erklärt Amnesty.
Die Überwachungsfirmen sollen zudem Personen, die durch die Technologien der Unternehmen Opfer rechtswidriger Überwachung wurden, entschädigen. (hcz)