Warum Datenschutz allein nicht gegen illegale Überwachung hilft

Subhashis Banerjee schreibt: Ausgefeilte Überwachungsversuche wie Pegasus, die Datenschutzarchitektur und Regulierungsaufsicht umgehen, müssen mit öffentlicher Empörung konfrontiert werden, die nur aus dem Bekenntnis zur verfassungsmäßigen Moral hervorgehen kann.

Politiker, Menschenrechtsaktivisten und Journalisten waren nach Angaben eines internationalen Medienkonsortiums unter denen, die von der israelischen Firma NSO Group Technologies an verschiedene Regierungen verkauft wurden.

Die jüngsten Vorwürfe und Berichte von Arsenal Consulting und Amnesty International zur gezielten elektronischen Überwachung ausgewählter Aktivisten, Politiker, Journalisten, Geschäftsleute und sogar Wissenschaftler sind gelinde gesagt beunruhigend. Die Raffinesse der Angriffe erzeugt nicht nur ein Gefühl resignierter Hilflosigkeit, sondern die Vorfälle haben – wenn sie wahr sind – auch eine abschreckende Wirkung auf die persönlichen und bürgerlichen Freiheiten, die für das Funktionieren einer Demokratie entscheidend sind. Was noch besorgniserregender ist, ist, dass es eine bedeutende, verschleierte öffentliche Meinung zu geben scheint – unter Freunden und Familien –, die solche Übertretungen im Namen der nationalen Sicherheit rechtfertigt.

Wenn die Anklagen gegen einige der inhaftierten Aktivisten im Fall Bhima Koregaon tatsächlich hauptsächlich auf Beweisen in den beschlagnahmten Festplatten beruhen, dann sollten die Arsenal-Berichte – wenn sie überprüft werden – die Gründe erheblich schwächen. Den Arsenal-Berichten zufolge gibt es eindeutige Beweise dafür, dass die belastenden Dateien von Unbekannten auf die Festplatten von entfernten Kommando- und Kontrollzentren gelegt wurden, noch bevor die Festplatten beschlagnahmt wurden, und dass die Aktivisten anscheinend nicht einmal wussten, wie sie waren Existenz. Während einige Teile der forensischen Analyse von Arsenal auf proprietären Tools basierten, sollten mehrere andere Aspekte der Berichte von unabhängigen Experten – und viele in Indien sollten dies tun können – anhand öffentlich zugänglicher Ressourcen überprüft werden. Die beleidigenden Dateien wurden offenbar durch das Einbringen einer Trojaner-Malware namens NetWire injiziert, indem eine Art Phishing-Angriff auf die ahnungslosen Aktivisten inszeniert wurde. Diese Art von Angriff ist ziemlich normal und das Vorhandensein von NetWire kann anscheinend sogar von einigen der allgemein verfügbaren Viren- und Malware-Scanner erkannt werden. Angesichts der Tatsache, dass solche Angriffe heute Realität sind, müssen Regierungen und Justizbehörden sicherstellen, dass digitale Beweise aus solchen forensischen Analysen vor Gericht zulässig sind.

Im Gegensatz dazu sind die im Bericht von Amnesty International beschriebenen Pegasus-Angriffe deutlich ausgeklügelter, und es wird fast unmöglich sein, sich gegen solche Angriffe selbst durch vorsichtige und informierte Opfer zu verteidigen. Es handelt sich um Zero-Click-Angriffe, die nicht einmal einen Fehler eines Opfers erfordern, um erfolgreich zu sein. Sie nutzen sorgfältig analysierte Schwachstellen in Software und Apps aus oder orchestrieren Angriffe auf Netzwerkinjektionen durch geschickte Umleitungen mit taktischen Geräten, kompromittierten Netzwerkgeräten oder sogar betrügerischen Mobilfunkmasten.


Zum Beispiel nutzten sie offenbar unbekannte Sicherheitslücken in den WhatsApp- und iMessage-Apps aus, um Malware-Nutzlast durch gefälschte WhatsApp-Videos und iPhone-Nachrichten einzuschleusen. Bei Allzweckgeräten mit einer Vielzahl von Anwendungen wird es für die Hardware- und Software-Designer fast immer rechenintensiv sein, sicherzustellen, dass kein kompromittierter Zustand jemals erreicht werden kann. Daher sind Sicherheitslücken unvermeidlich und werden wahrscheinlich entdeckt, wenn eine große Anzahl gut bezahlter erfahrener Angreifer es versucht. Angesichts der aktuellen Legacy-Netzwerkzugriffsprotokolle ist es außerdem ziemlich schwierig, einen entschlossenen und einfallsreichen Angreifer daran zu hindern, erfolgreich Silent Network Injection-Angriffe in handelsüblichen Benutzergeräten durchzuführen.

Darüber hinaus ist es schwierig, Angriffe wie Pegasus zu erkennen, da sie häufig Methoden und Signaturen ändern. Pegasus war offenbar auch darauf ausgelegt, sich bei Entdeckungsversuchen selbst zu zerstören, was laut Amnesty-Bericht jedoch nicht ganz gelang und Spuren hinterließ. Während man die Möglichkeiten theoretisch immer verstanden hat, ist es sicherlich ein Augenöffner, dass solche James-Bond-ähnlichen Werkzeuge tatsächlich existieren und von Regierungen verwendet werden.

Was kann man also tun? Kann ein Datenschutzgesetz Opfern dabei helfen, Wiedergutmachung zu suchen und die Täter zur Rechenschaft zu ziehen, wie von Justice B N Srikrishna (IE, 23. Juli) vorgeschlagen? Vielleicht unwahrscheinlich, denn für jeden Fall eines Amnesty-Berichts wird es wahrscheinlich viele weitere unentdeckte Fälle von Pegasus-ähnlichen Verstößen geben. Stealth-Angriffe sind nicht nur schwer zu erkennen, sondern auch schwer zu beweisen und leicht zu leugnen, sodass eine nachträgliche Wiedergutmachung immer ungewiss sein wird.

Dies soll nicht heißen, dass ein Datenschutzgesetz nicht erforderlich ist. Ein solcher Rahmen ist unerlässlich, um die Konturen einer rechtmäßigen Überwachung und Datenverarbeitung zu definieren. Der Staat hat möglicherweise einige legitime Anforderungen an die Überwachung, wenn er uns schützen muss, aber sie dürfen nicht außerhalb des Geltungsbereichs des Gesetzes liegen. Es besteht kein Zweifel, dass das Land dringend Überwachungsreformen und Datenschutzstandards benötigt. Damit sie jedoch wirksam sind, müssen sie neben der Analyse der Verhältnismäßigkeit der Überwachungsanforderungen auch die operativen Aspekte der rechtlichen und technischen Standards berücksichtigen, die für eine wirksame Datenschutzarchitektur erforderlich sind. Es bedarf klarer Standards zur Definition von Berechtigungsketten und Zweckbestimmung sowie technischer Garantien zur Zweckbindung, Zugangskontrolle und Verhinderung von Berechtigungsverletzungen. Dies wiederum würde manipulationssichere Protokolle, behördliche Aufsicht und Audits erfordern. Der Schwerpunkt muss auf der Ex-ante-Prävention statt auf der nachträglichen Aufdeckung von Verstößen liegen.

Was aber, wenn ein so ausgeklügelter Malware-Injektions- und Überwachungsversuch wie Pegasus die Datenschutzarchitektur und die behördliche Aufsicht komplett umgeht? Dann können Widerstand innerhalb der Organisationen sowie starke öffentliche Empörung und Missbilligung vielleicht die einzige wirksame Abschreckung für solche Missgeschicke sein. Ohne diese können weder Recht noch Technik viel helfen. Damit ein solcher Widerstand jedoch ausreichend Gehör findet, muss die Gesellschaft auf den Glauben an die verfassungsmäßige Moral vertrauen.

Das Recht auf abweichende Meinungen ist ein Kennzeichen der Demokratie, und wir müssen letztendlich lernen, Kritik und Proteste von Terrorismus und anderen kriminellen Handlungen zu unterscheiden. Leider hat es in letzter Zeit eine erhebliche Erosion der verfassungsrechtlichen Werte gegeben, und sie lehren wahrscheinlich nicht einmal mehr verfassungsrechtliche Prinzipien an unseren Schulen. Das Engagement für das Recht auf freie Meinungsäußerung und Freiheit – wie es in den Artikeln 19 und 21 unserer Verfassung verankert ist – scheint nicht nur bei Regierungsfunktionären und -verwaltungen, sondern auch in der Öffentlichkeit insgesamt zu schwanken. Der Kampf gegen unrechtmäßige Überwachung durch Stealth-Angriffe und der Schutz der Privatsphäre werden daher eine schwierige Aufgabe sein.

Diese Kolumne erschien erstmals in der Printausgabe am 27. Juli 2021 unter dem Titel „Guardrails of Privacy“. Der Autor ist am Department of Computer Science der Ashoka University, derzeit beurlaubt vom IIT Delhi