Der Staat als Hacker

Der Journalist und Aktivist Jamal Khashoggi betrat am 2. Oktober 2018 das saudi­arabische Konsulat in Istanbul. Er wollte dort Papiere abholen, die die Scheidung von seiner Exfrau bestätigen würden. Es war der letzte Schritt, der notwendig war, damit der in den USA lebende Khashoggi seine Verlobte in Istanbul hätte heiraten können.

Doch Khashoggi kam nie wieder aus dem Konsulat raus. Zwei Wochen später, nachdem der türkische Geheim­dienst verschiedene Beweise vorgelegt hatte, war klar: Khashoggi, ein dezidierter Kritiker des saudi­arabischen Kronprinzen Muhammad bin Salman, war im Konsulat ermordet worden.

Die Cybersecurity-Experten des Citizen Lab der Universität Toronto machten in den Jahren danach in mehreren Recherchen publik: Das engste Umfeld von Khashoggi war vor seiner Tötung durch die Königs­familie der Saudis überwacht worden – und zwar mit einer Spyware namens Pegasus.

Pegasus ist eine schädliche Software – man sagt auch: Malware – die aus der Distanz auf ein Endgerät gespielt wird. Einmal auf dem Smart­phone installiert, lassen sich über das Programm Mikrofone und Kameras aktivieren und eintreffende und ausgehende Nachrichten, auch verschlüsselte, in Echtzeit mitlesen. Die Software kann auch auf Bilder, Videos und sämtliche anderen Inhalte des Geräts zugreifen. Es ist, als ob einem jemand permanent über die Schulter auf den Bild­schirm schauen würde – ohne dass man es merkt.

Weil diese Überwachungs­programme vor allem von staatlichen Stellen eingesetzt werden, nennt man sie im Volksmund auch «Staats­trojaner». Die NSO Group benannte ihr Produkt ebenfalls nach einer Figur aus der griechischen Mythologie: einem geflügelten Pferd.

Die Citizen-Lab-Berichte zeigen: Die saudischen Sicherheits­behörden hatten die Pegasus-Spyware im April 2018 auf das Android-Smartphone von Khashoggis Noch-Ehefrau Hanan Elatr installiert. Auch das Smartphone eines engen Freundes von Khashoggi war mit der Malware infiziert worden. Die beiden Freunde tauschten sich vor Khashoggis Ermordung regelmässig digital darüber aus, wie sich der Widerstand gegen den Kronprinzen organisieren liesse – und die saudische Herrscher­familie las in Echtzeit mit.

Der Staats­trojaner und die Schweiz

Entwickelt wurde Pegasus von der israelischen NSO Group. Sie hat stets versichert, dass ihr Produkt ausschliesslich an staatliche Nachrichten­dienste und Strafverfolgungs­behörden verkauft werde und einzig zur «Verhinderung und Untersuchung von Terror und schwerer Kriminalität» verwendet werden dürfe.

Nur, überprüft wird das von niemandem. Nicht nur das Umfeld von Khashoggi wurde «geschäfts­widrig» abgehört. Im Sommer 2021 publizierte ein Konsortium von 17 Medien­häusern, koordiniert vom Netzwerk «Forbidden Stories», die Recherche «Pegasus Project». Die Journalisten werteten die von einer Quelle zugesteckte Liste von 50’000 Telefon­nummern von potenziellen Überwachungs­zielen aus – und entdeckten etliche Handys, die mit dem Pegasus-Virus infiziert worden waren.

Darunter die Smartphones von Journalistinnen, Menschenrechts­anwälten, Politikerinnen, Aktivisten, in Indien, Mexiko oder Marokko, aber auch in EU-Staaten wie Ungarn, Spanien oder Polen. Die «New York Times» bezeichnete den Staats­trojaner als die «mächtigste Cyberwaffe der Welt».

Ob auch die Schweiz in diesen Spionage­skandal involviert war, blieb lange Zeit unklar.

Bereits früh gab es Indizien, dass es auch auf Smartphones von Schweizer Einwohnerinnen zu «Pegasus-Infektionen» gekommen ist. Die Forscher des Citizen Lab konnten in einem Report im September 2018 digitale Spuren von Pegasus im Swisscom-Netz nachweisen. Damit war erwiesen: Gewisse Personen, die sich auf Schweizer Boden befanden und das Schweizer Telecom­netz nutzten, waren Opfer dieses Staats­trojaners geworden. Inzwischen wissen wir noch mehr: Betroffen waren unter anderem die Handys von katalanischen Separatistinnen, die in jenem Zeitraum in der Schweiz im Exil lebten.

Wer gab den Auftrag für diese Überwachungen? Dies heraus­zufinden, ist bei Spyware praktisch unmöglich. Die NSO Group verwendet komplizierte und verkettete Server­infrastrukturen, um die Spuren zu ihren Kunden zu verschleiern. Eine Recherche der Republik im Sommer 2021 zeigte beispiels­weise, dass die NSO Group für ihre Operationen die Server der Schweizer Firma Akenes SA verwendete. Deren Infrastruktur wurde 2020 ohne ihr Wissen für das Hochladen und Verbreiten von Staats­trojanern genutzt. Im Fall der Katalaninnen gibt es laut Citizen Lab einige Evidenz dafür, dass sich die spanische Regierung hinter den Angriffen verbarg.

Doch waren oder sind auch Schweizer Behörden Kunden der NSO Group?

Die NZZ kam durch eigene Recherchen nach dem Pegasus-Skandal zum Schluss: ja. Auch das Westschweizer Fernsehen berichtete, dass die Schweizer Ermittlungs­behörden einen Trojaner einsetzten, der zumindest «Pegasus-ähnlich» sei.

Was bis anhin jedoch nicht bekannt war: Die Schweizer Strafverfolgungs­behörden beschafften sich Pegasus bereits zu einem frühen Zeitpunkt, nämlich im Jahr 2017.

Schweigen im Situation Room

Ein knappes Jahr vor dem Mord am saudischen Journalisten Jamal Khashoggi – also im Herbst 2017 – treffen sich mehrere Herren am Holzikofenweg 8 in Bern zu einem Meeting beim Bundesamt für Polizei Fedpol.

Anwesend sind Verkäufer und Informatiker der NSO Group, Kantons­polizistinnen, Staats­anwälte, ein Berater des Consulting­unternehmens AWK Group und IT-Forensiker des Fedpol. Die ersten Medien­berichte über die Israelis und ihre Wunder­waffe Pegasus sind da schon vor einiger Zeit erschienen, hauptsächlich mit negativen Schlag­zeilen: etwa darüber, wie 2016 das Smartphone eines Menschenrechts­anwalts aus den Vereinigten Arabischen Emiraten angegriffen worden ist.

Das scheint das Interesse der Schweizer Ermittler jedoch nicht zu dämpfen, sondern eher noch zu steigern. Lange haben sie auf die Live­demonstration im Jahr 2017 gewartet, die Plätze sind sehr begehrt.

Die beiden israelischen Verkäufer haben das Equipment neben sich in einem kleinen Koffer aufgestellt, samt Antenne. Schritt für Schritt demonstrieren sie ihr Produkt und zeigen, was Pegasus alles kann.

In einer Livedemonstration steuern sie das Testsmartphone eines anwesenden Forensikers. Der schaut auf den Bildschirm seines Geräts und bemerkt – nichts Ungewöhnliches. Der Bildschirm sieht so aus wie immer. Doch was immer er gerade anklickt und anschaut, wird allen eins zu eins auf einer Leinwand ausgespielt. Die Vertreter der NSO Group schalten die Kamera und das Mikrofon ein, rufen die Kalender­einträge auf, zeigen die letzten Nachrichten von Whatsapp an. Der Raum wird gespenstisch still.

Pegasus macht das Rennen

Diese Szenen sind Schilderungen mehrerer Teilnehmer gegenüber John Doe, dem Whistle­blower, der in Folge 2 dieser Serie eine zentrale Rolle spielte. Er selbst war an diesem Tag nicht am Holzikofenweg. «Man sagte mir, dass es nach der Demonstration eine längere Pause gab. Alle mussten nach draussen gehen und Luft schnappen», erzählt er. Zwei andere Personen aus dem Umfeld der Bundes­polizei bestätigen diese Schilderungen. Auch sie hatten nach dem Treffen mit Teilnehmerinnen gesprochen, die vor Ort gewesen waren. Die Präsentation sei «mind-blowing» gewesen. Die anwesenden Polizisten seien begeistert gewesen.

Die Schweizer Behörden bezeichnen Staats­trojaner als Govware (Government Software) oder auch «besondere Informatik­programme». Im Rahmen des Beschaffungs­prozesses des Bundes mussten damals alle kommerziellen Govware-Anbieterinnen einen Frage­bogen zur Selbst­deklaration ausfüllen, der der Republik vorliegt. Er ist datiert auf den 10. Februar 2017. Die Hersteller mussten angeben, inwiefern mit ihrer Software verschlüsselte Kommunikations­inhalte abgefangen und an das Fedpol ausgeleitet werden können. Und ob sie bereit wären, eine Dokumentation der gesamten Architektur offenzulegen.

Wer die meisten Punkte beim Fragebogen und bei der Live­demonstration erzielte, gewann den Zuschlag. Er fiel damals auf die NSO Group, wie John Doe und zwei andere Quellen aus der Bundes­polizei bestätigt haben. Auch die Kantone prophezeiten dieser Software eine grosse Zukunft. In einer Umfrage der Eidgenössischen Finanz­kontrolle im Jahr 2018 antworteten unter den Kantonen, dem Fedpol und der Bundes­anwaltschaft 17 von 18 mit «Ja» auf die Frage, ob sie davon ausgingen, dass «aufgrund der zunehmenden Verschlüsselung in Zukunft vermehrt Govware eingesetzt werden wird».

Heute stellt sich die Frage: Hat sich diese Prognose bewahrheitet?

Es spricht einiges dafür. Schweizer Bundes­behörden und Kantone nutzen nachweislich bis heute unterschiedliche Govware-Produkte, die allesamt in Israel entwickelt worden sind.

• Gemäss den der Republik vorliegenden Informationen und mehreren Quellen im Umfeld der Bundes­polizei haben die Kantone, das Fedpol und der Nachrichten­dienst des Bundes (NDB) Pegasus mindestens bis 2022 genutzt. Ob der Trojaner heute noch im Einsatz ist, wissen wir nicht. Die Behörden – dazu später mehr – halten sich dazu so bedeckt wie nur irgendwie möglich.

• Dieselben Quellen bestätigen auch: Die Bundes­behörden haben die Software Predator der israelisch-irischen Firma Intellexa zumindest getestet. Einer breiteren Öffentlichkeit bekannt geworden ist diese Software durch eine umfangreiche Recherche der «Wochen­zeitung» (WOZ), die gemeinsam mit dem «Spiegel», «Mediapart» und weiteren Medien­häusern durchgeführt wurde. Das Fedpol bestätigte gegenüber den Journalistinnen der WOZ lediglich, dass es Gespräche mit dem Hersteller gegeben habe, der auch eine Tochter­firma in der Schweiz hat. Der Vorteil der Predator-Spyware: Sie «überlebt» einen Neustart des Smartphones.

• Heute breit im Einsatz sowohl bei der Bundes­polizei als auch in Kantonen wie dem Kanton Bern ist die Software der Firma Cellebrite, die auch aus Israel stammt. Mit ihr können konfiszierte Handys von verhafteten oder verdächtigten Personen entsperrt und Verschlüsselungen geknackt werden. Nicht immer geht es dabei um Terror oder schwere Verbrechen: Die Bundes­polizei entsperrte 2021 die Handys von drei Klima­aktivisten aus Lausanne. Cellebrite wird weltweit eingesetzt und wurde unter anderem auch zur «Durchsuchung» der Handys der Mitarbeiterinnen des russischen Oppositionellen Alexei Nawalny durch die russische Regierung verwendet.

Wie die Staats­hacker arbeiten

Immer wieder betonen die Ermittler: Der Einsatz von Govware sei die «Ultima Ratio», das letzte Mittel. Sie werde nur bei Verdacht auf besonders schwere Straftaten eingesetzt – bei Pädokriminalität, bei Gefahr für Leib und Leben oder bei Terrorismus. Zudem ist der Einsatz von Staats­trojanern bewilligungs­pflichtig: Er muss im Falle einer Straf­verfolgung von einem Zwangsmassnahmen­gericht, bei einer Überwachung durch den NDB vom Bundesverwaltungs­gericht sowie von der Vorsteherin des Verteidigungs­departements, derzeit also Viola Amherd, und zwei weiteren Bundes­rätinnen abgesegnet werden.

Spyware wie Pegasus kommt oftmals erst dann zum Einsatz, wenn die Analyse der Meta­daten mithilfe anderer Überwachungs­massnahmen (über die wir in Folge 2 berichteten) nicht mehr ausreicht. Statistiken des Überwachungs­diensts zum Einsatz von Staats­trojanern gibt es seit dem Jahr 2019. Pro Jahr gab es seither maximal ein Dutzend Einsätze.

Diese Zahl wirkt erst einmal beruhigend niedrig – doch sie ist mit Vorsicht zu lesen. Erstens handelt es sich dabei nur um die Einsätze, die das Fedpol im Auftrag der Kantone und der Bundes­anwaltschaft durchgeführt hat. Jene des Nachrichten­diensts werden nicht erfasst. Er muss keine öffentliche Auskunft geben – und gibt auch keine. Zwar wird die Gesamt­zahl der bewilligungs­pflichtigen Überwachungs­massnahmen in den Lage­berichten aufgeführt, diese werden jedoch nicht nach Kategorien wie Govware aufgeschlüsselt.

Zweitens gelingt das Aufspielen von Govware längst nicht jedes Mal, wenn es versucht wird. Es ist ein technisch sehr komplexer Angriff. De facto ist die Zahl der Anläufe wohl um ein Vielfaches höher als die der erfolgreichen Überwachungen.

Schliesslich sind die Fedpol-Überwachungen mithilfe von Staats­trojanern auch deshalb nicht häufiger, weil deren Einsatz wahnsinnig teuer ist. Gemäss dem Stand vom August 2022 verrechnet das Fedpol den Kantonen eine Pauschal­gebühr von 3100 Franken pro Woche und Zielgerät.

Die Kantone selbst haben in der Regel nicht die nötige IT-Kompetenz für diese komplexen Operationen. Daher ist eine spezifische Arbeits­teilung entstanden: Das Bundesamt für Rüstung Armasuisse beschafft die Trojaner, das Fedpol kümmert sich um den Rest: Die dafür geschulten Staats­hacker schleusen im Auftrag der Kantone Malware auf die Smartphones einer verdächtigten Person. Das Fedpol hat diesen Bereich in den letzten Jahren zentralisiert und professionalisiert.

Entstanden ist dabei eine staatliche «Hacker­zentrale», wie mehrere Insiderinnen bestätigen: das «Kompetenz­zentrum FMÜ P4 Govware» – FMÜ steht für Fernmelde­überwachung, «P4» heisst das Govware-Programm der Bundes­behörden. Früher war dieses Zentrum am Holzikofenweg beheimatet. Heute hat es seinen Sitz gemäss Insidern beim Fedpol-Gebäude im Berner Wankdorf-Quartier (siehe Infobox).

Einblick unerwünscht

Es ist schwierig, mehr über die Anwendung von Pegasus und Co. zu erfahren. Auf konkrete Anfragen dazu verweigern die Behörden kategorisch die Auskunft. Bleibt die Möglichkeit, zu versuchen, an Dokumente zu gelangen. Aber auch das ist nicht einfach. Schon allein deshalb nicht, weil viele Absprachen zwischen Behörden und Spyware-Herstellerinnen mündlich gemacht werden.

Journalisten und Anwältinnen haben in den letzten drei Jahren gestützt auf das Öffentlichkeits­gesetz mehrere Gesuche eingereicht, um etwas Licht auf die Beschaffung und die Nutzung von Spyware durch den Bund werfen zu können. Das Fedpol und der Nachrichten­dienst liessen bisher all diese Gesuche abblitzen.

Sie berufen sich dafür auf Ausnahme­regelungen im Beschaffungs- und Öffentlichkeits­recht und behaupten, die Preisgabe gefährde die innere und äussere Sicherheit der Schweiz. Der Walliser Anwalt und ehemalige Daten­schützer Sébastien Fanti will nun erwirken, dass die Verträge des Fedpol mit der NSO Group – falls es denn tatsächlich solche gibt – offengelegt werden müssen. Vor dem Bundesverwaltungs­gericht erlitt er am 9. Januar 2024 allerdings eine Niederlage.

Die Begründung der Richter: Wenn die Öffentlichkeit von einem Govware-Produkt Bescheid wisse, torpediere dies dessen Wirksamkeit – weil die mutmasslichen Täter dann wüssten, wie sie sich davor schützen könnten. Angesichts der Tatsache, dass man sich vor dem Upload von Spyware-Programmen kaum schützen kann, eine doch eher abenteuerliche Begründung. Fanti wird den Fall deshalb ans Bundes­gericht weiterziehen.

Auch die Republik hat versucht, an weitere Informationen rund um die staatliche Hacker­zentrale «P4 Govware» zu gelangen. Doch das Bundesamt mauerte auf der ganzen Linie. Die Fedpol-Juristinnen bestätigten zwar die Existenz aller eingeforderten Dokumente (Skizze der IT-Architektur, Konzepte und Evaluationen), lehnten das Gesuch jedoch vollständig ab. Nach einer Schlichtungs­sitzung und nach einer Empfehlung des eidgenössischen Datenschutz­beauftragten hat die Republik nun eine entsprechende Verfügung beim Fedpol verlangt. Die Bundes­­polizei muss nun nochmals über die Bücher. Beharrt sie weiterhin auf ihrem Nein, so wäre der nächste Schritt für die Republik ebenfalls das Bundes­verwaltungsgericht.

Gemäss der norwegisch-amerikanischen Sicherheits­expertin Runa Sandvik, die lange für die «New York Times» tätig war und heute mit ihrem Start-up Granitt Journalisten in puncto digitaler Sicherheit berät, ist die Schweiz da keine Ausnahme. Sie beobachtet schon länger, wie auch die EU-Staaten alle Initiativen für mehr Transparenz abblocken: «Die europäischen Regierungen wollen nichts preisgeben. Sie möchten, dass wir ihnen einfach vertrauen, dass sie diese Waffe ‹richtig› einsetzen.»

Sandvik dokumentiert unter anderem Cyber­angriffe auf die Zivil­gesellschaft, die laut der Firmen­politik der Spyware-Hersteller gar nicht passieren dürften. Sie trackt und publiziert weltweit bekannt gewordene Fälle von Politikerinnen, Stars, Aktivisten und Journalistinnen, deren Handys mit Pegasus oder Predator infiziert worden sind. Namen von Schweizerinnen befinden sich bisher keine auf der Liste.

Werden Journalisten bald legal abgehört?

Dass die Anfragen von Journalistinnen abgeblockt werden, ist das eine. Doch bald könnten sie auch selbst «Mittel zum Zweck» werden – und ganz legal ausgehorcht werden. Solche Möglichkeiten werden derzeit in Brüssel verhandelt.

Eigentlich sollte das Europäische Medienfreiheits­gesetz die Situation von Medien­schaffenden verbessern, etwa beim Versuch politischer Einfluss­nahme durch die Verlags­häuser. Doch nun könnte sich die Lage von Journalisten in einem entscheidenden Punkt sogar verschlechtern. Sieben EU-Staaten, darunter Frankreich, Italien, Finnland und Griechenland, haben im Dezember einen Vorstoss eingereicht, der es möglich machen soll, «im Namen der nationalen Sicherheit» Staats­trojaner auf das Handy von Journalistinnen zu schleusen.

Seither ringen die Mitglieds­länder heftig um Formulierungen, die ihnen weitgehende Kompetenzen für die Geheim­dienste und die Straf­verfolgung einräumen. Ein finaler Text steht noch aus.

Mit der Legalisierung von Spyware auf den Handys von Journalisten wäre der Quellen­schutz – ein in der Europäischen Menschenrechts­konvention verankertes Recht – faktisch tot.

Auch hierzulande könnte der Nachrichten­dienst den Einsatz von Spyware ausweiten, auf Anwältinnen, Ärzte und Journalistinnen. Im ersten Halbjahr 2024 wird eine zweite Vernehmlassung zur Revision des Nachrichtendienst­gesetzes gestartet. Beim ersten Anlauf im Jahr 2022 wollte der Nachrichten­dienst erreichen, dass die Spionage­tätigkeit in gewissen Fällen auch auf diese bislang geschützten Berufs­gruppen hätte angewandt werden dürfen. Faktisch wären dadurch das Berufs­geheimnis und der Quellen­schutz aufgehoben worden. Der Einsatz von Staats­trojanern etwa auf den Handys von Journalisten wäre legal geworden.

Die Kritik an der Vorlage war dann jedoch derart gross, dass sie nun noch einmal überarbeitet wird. Dazu, ob an dieser Ausweitung der Überwachungs­möglichkeiten in der Version 2.0 festgehalten werden soll, will sich der Nachrichten­dienst nicht äussern.

Ausbau statt Regulierung

Während das Uno-Menschenrechts­büro vor Spyware warnt und die USA die NSO Group sogar auf eine schwarze Liste gesetzt haben, zeigen Politikerinnen in der EU und in der Schweiz kein grosses Interesse daran, diese Schad­programme zu regulieren – obwohl Mitarbeiter der EU-Kommissionen oder der französische Präsident Emmanuel Macron selber von Pegasus betroffen waren. Zu wichtig ist der Einsatz von Staats­trojanern für Geheim­dienste und die Straf­verfolgung mittlerweile offenbar geworden.

Eine Untersuchung des EU-Parlaments zeigt: Insgesamt 22 Behörden in 12 verschiedenen EU-Staaten waren Kunden der NSO Group. Die niederländische EU-Abgeordnete Sophie in ’t Veld, Mitglied der liberalen Fraktion Renew Europe, brachte es gegenüber dem Medien­portal «Euractiv» folgender­massen auf den Punkt: «Spyware ist zu einer Hydra geworden, und Europa ist ihr sicherer Hafen.» Waren es ursprünglich die deutsche Firma FinFisher und das italienische Hacking Team, die die ersten Trojaner für Europa auf den Markt brachten, bringen sich laut einer «Politico»-Recherche heute immer mehr europäische Spyware-Hersteller in Stellung.

In der Schweiz stellten bisher nur wenige Parlamentarier kritische Fragen. Eine Ausnahme machte der mittlerweile abgewählte GLP-Nationalrat Jörg Mäder, der 2021 wissen wollte, ob die Schweizer Behörden Pegasus oder ähnliche Spyware einsetzten und ob es Richt­linien für deren Einsatz gebe. Verteidigungs­ministerin Viola Amherd blieb in ihrer Antwort vage. Und stellte klar: «Zum operativen Einsatz äussert sich der Bundesrat aus Sicherheits­gründen nicht.»

Bemerkenswert ist auch, was derzeit in Zürich auf kantonaler Ebene passiert. Die Sicherheits­direktion möchte in der Teil­revision des Zürcher Polizei­gesetzes, zu der es im Sommer 2023 eine Vernehmlassung gab, festschreiben, dass sie sich künftig mithilfe von «besonderen Informatik­programmen» in geschlossene Nutzer­foren einschleusen darf. Und dies sogar bei Straftat­beständen wie «Aufruf zu schweren Sach­beschädigungen».

Die Frage, ob damit der Einsatz von Staats­trojanern ermöglicht werden soll, will die Zürcher Sicherheits­direktion seit sechs Monaten partout nicht beantworten. Die Medien­stelle möchte sich erst nach Auswertung der Vernehmlassung zu dieser Frage äussern. Die Digitale Gesellschaft und die Piraten­partei sehen in diesem Paragrafen einen Freipass für noch mehr Einsätze von Spionage­programmen.

Staatliches Hacken als «Kompromiss»

Insgesamt ist davon auszugehen, dass das Katz-und-Maus-Spiel vorerst weiter­gehen wird: Auf der einen Seite stehen die Big-Tech-Konzerne, die stets versuchen, Sicherheits­lücken in ihren Programmen möglichst rasch zu schliessen. Und auf der anderen Seite die Spyware­industrie, die unermüdlich nach neuen Sicherheits­lücken sucht und Programme entwickelt, um diese auszunutzen – finanziert und gefördert von westlichen Regierungen.

Beim Thema Staats­trojaner manifestiert sich ein grundlegender Interessen­konflikt: zwischen Cyber­sicherheit und Straf­verfolgung. Der Staat hat ein legitimes Interesse an einem sicheren Internet, das seine Bürgerinnen möglichst vor Angriffen schützt. Gleichzeitig nutzt er technische Defizite und Sicherheits­lücken, um Täter aufzuspüren (ein Interessen­konflikt, der sich im Übrigen auch bei der Entstehung des neuen Bundesamts für Cyber­security zeigte).

Der Einsatz von Spyware ist für die Ermittlerinnen so gesehen ein «Kompromiss»: Die Verschlüsselungen in unseren Handys bleiben insgesamt unangetastet, in Einzel­fällen werden sie jedoch mit «Spezial­werkzeugen» wie Spyware umgangen.

Eine Win-win-Situation für die Gesellschaft und den Staat? Nicht ganz.

Dass die Behörden die Erlaubnis haben sollen, Überwachungen durch­zuführen und digitale Spuren auszuwerten, ist in der Schweiz politisch praktisch unbestritten. Ebenso besteht ein breiter Konsens, dass Sicherheits­behörden und Geheim­dienste dafür entsprechende technische Mittel benötigen.

Doch die «Lizenz zum Hacken», die dem Staat damit ausgestellt wird, hat eine Kehrseite. Es stellt sich die Frage: Möchten wir wirklich, dass der Staat technische Sicherheits­lücken bewusst offen lässt und sich Schad­code beschafft, um diese Sicherheits­lücken für die Überwachung auszunutzen? Oder möchten wir, dass er in erster Linie versucht, seinen Beitrag zu leisten, damit diese Lücken geschlossen werden?

Das oft geäusserte Standard­argument «Wer nichts zu verbergen hat, hat nichts zu befürchten» wird spätestens beim Thema Trojaner zur gefährlichen Floskel. Denn wenn der Staat immer mehr Staats­trojaner einsetzt, um Verschlüsselungen aufzubrechen, betrifft das eben nicht nur jene, die überwacht werden.

Wenn Staaten wie die Schweiz in der digitalen «Unterwelt» bei dubiosen Dealern Programme einkaufen, fördern sie einen Schwarz­markt, auf dem sich auch Cyber­kriminelle eindecken. Und wenn sie Sicherheits­lücken zur Überwachung ausnutzen, statt sie zu schliessen, gefährden sie die Cyber­sicherheit überhaupt – und damit die ganze Gesellschaft. Niemand möchte seine persönlichen Daten im Darknet von Kriminellen verkauft sehen.

Zivilgesellschaftliche Organisationen wie Amnesty Tech oder die Schweizer Organisation Digitale Gesellschaft fordern deshalb vehement ein Moratorium für oder gar ein Verbot von Spyware.

Die Spuren der Überwachung

Ob nun bei der anstehenden Revision des Nachrichtendienst­gesetzes oder beim Kampf gegen die Verschlüsselung durch den neuen Mobilfunk­standard, über den wir in Folge 2 berichtet haben: Die Schweizer Bundes­behörden werden weiter nach Möglichkeiten suchen, die Überwachung Schritt für Schritt auszuweiten. Mit dem neuen, bürgerlicheren Bundes­parlament dürfte der Bundesrat auf Mehrheiten für Law-and-Order-Gesetze zählen können. Und die Arbeit von Investigativ­journalistinnen dürfte noch schwieriger werden.

Doch die immer invasiveren staatlichen Eingriffe in unsere digitale Privat­sphäre hinterlassen Spuren. Eine neue Studie des Instituts für Kommunikations­wissenschaft und Medien­forschung der Universität Zürich zeigt: Die Zahl der Schweizer Internet­nutzer, die eine Verletzung der Privat­sphäre durch die Regierung befürchten, ist seit 2021 um 10 Prozent­punkte gestiegen – auf 37 Prozent.

Unsere Recherchen haben gezeigt: Diese Furcht ist durchaus begründet.

Die Serie «Surveillance fédérale» ist mit dieser 3. Folge abgeschlossen. Doch die Geschichte rund um die staatliche Überwachung wird weitergehen.

Wir bleiben dran.