Als Google 2010 bekanntgab, einen Hacking-Angriff der chinesischen Regierung entdeckt zu haben, wurde erstmals bekannt, dass Staaten es auch auf «Zivilpersonen» abgesehen haben. Adobe Systems und Juniper Networks bestätigten daraufhin, dass auch sie Opfer derselben Offensive geworden waren, und weitere Untersuchungen zeigten, dass Yahoo und Symantec ebenfalls angegriffen wurden. Gleichzeitig nutzte die chinesische Regierung ähnliche Taktiken, um gegen tibetische NGO vorzugehen. Ihre Angriffe auf tibetische Ziele werden bis heute fortgesetzt.

Seitdem ist es für Regierungen aus aller Welt eine gängige Praxis geworden, Hacking-Angriffe auf AktivistInnen durchzuführen, um Zugang zu ihren Kommunikationsdaten, Netzwerken und Online-Aktivitäten zu erhalten. Als sich 2011 eine Welle revolutionärer Aufstände in der arabischen Welt ausbreitete, brachte sie eine gegen Aktivistengruppen gerichtete Überwachungskampagne mit sich.

Anwälte, Journalistinnen, Aktivisten im Visier der Behörden

Die marokkanische Regierung nutzte eine kommerzielle Spähsoftware des italienischen Spionagesoftware-Herstellers Hacking Team, um Mamfakinch, eine marokkanische Organisation von JournalistInnen, zu hacken. Bahrain Watch, eine NGO, die Waffenverkäufe an die bahrainische Regierung überwacht, wurde – neben weiteren bekannten bahrainischen Aktivistinnen sowie Anwälten – mithilfe von FinFisher, einem anderen kommerziellen Spionagesoftware-Paket, angegriffen. FinFisher wird in Deutschland hergestellt und von der britischen Firma Gamma Group vertrieben.

In den Vereinigten Arabischen Emiraten öffnete Ahmed Mansoor, ein Mitglied des Beratenden Ausschusses der Nahost-Abteilung von Human Rights Watch, ein schädliches Dokument, das Spionagesoftware der Firma Hacking Team auf seinem Computer installierte. Dadurch konnten die lokalen Behörden seine Bewegungen verfolgen und seine E-Mails lesen. Eine die syrische Regierung unterstützende Hacker-Gruppe, die sich Syrische Elektronische Armee nennt, führte ebenfalls mehrere Hacking-Angriffe durch, wovon eine Reihe von NGO sowie Human Rights Watch betroffen waren.

Mittelbare Hacking-Angriffe

Allerdings treten diese Aktivitäten auch ausserhalb der arabischen Welt auf. Die Nachrichtendienste des Vereinigten Königreichs fingen private Kommunikationsdaten von Amnesty International ab. Ende 2012 wurde das US-amerikanische Center for Democracy and Technology von Gruppen angegriffen, die von der chinesischen Regierung unterstützt wurden. Im Dezember 2013 wurden Angestellte der Electronic Frontier Foundation (EFF) in den USA, die mit vietnamesischen AktivistInnen zusammengearbeitet hatten, Opfer von Hacking-Angriffen durch Gruppen, die mit der vietnamesischen Regierung in Verbindung standen.

Das Vorgehen gegen die Organisation EFF war Teil einer gezielten Operation, die Jahre andauerte. Zu ihr zählten auch Angriffe auf einen Journalisten der Associated Press, einen vietnamesischen Akademiker mit Sitz in Frankreich und den Gründer von «Ba Sam», einem der beliebtesten regimekritischen Blogs Vietnams. Im August 2015 wurde ein weiterer EFF-Aktivist Opfer einer aufwändigen Phishing-Attacke durch Personen, die mit der iranischen Regierung in Verbindung stehen.

Die Spitze des Eisbergs

Diese nachweisbaren Angriffe sind aller Wahrscheinlichkeit nach nur die Spitze des Eisbergs. Die Untersuchung solcher Vorfälle mit dem Ziel, fundierte Aussagen über die Hacker machen zu können, erfordert Zeit und Fachkenntnisse, und selbst dann ist es möglich, dass sie keine schlüssigen Ergebnisse liefert. So schien eine Online-Attacke auf die NGO Committee for the Protection of Journalists aus dem Jahr 2012 politisch motiviert zu sein, konnte aber keiner Regierung eindeutig zugeordnet werden.

Es gibt noch weitere Gründe, aus denen Angriffe gegen NGO nicht ausreichend belegt werden. Viele der Organisationen verfügen einfach nicht über die Infrastruktur, die zum Erkennen eines Angriffs notwendig wäre. Selbst wenn ihnen etwas auffällt, wie beispielsweise eine Phishing-E-Mail, verfügen sie häufig nicht über das nötige interne Know-How oder wissen nicht, wo sie zusätzliche Unterstützung bekommen können. In anderen Fällen zögern sie, Hilfe einzuholen, da sie dann eingestehen müssten, einem solchen Angriff zum Opfer gefallen zu sein. Darüber hinaus entscheiden sich viele Nichtregierungsorganisationen gegen eine Bekanntmachung ihrer Sicherheitsprobleme, weil sie befürchten, damit das Vertrauen, das UnterstützerInnen in sie setzen, zu erschüttern.

Stillschweigen spielt den Angreifern in die Hände

Was können Menschenrechtsorganisationen also tun? Zunächst einmal müssen sie verstehen, dass die Verschlüsselung ihrer Kommunikation allein nicht ausreichend Schutz bietet. Der nächste Schritt ist der Entwurf eines Aktionsplans für den Umgang mit gezielten Angriffen. Dieser sollte den Aufbau eines Netzwerks von ExpertInnen, die im Notfall kontaktiert werden können, sowie die Finanzierung von Fachpersonal für Infrastruktur und Sicherheit beinhalten.

Schliesslich sollten Organisationen es in Betracht ziehen, staatliche Hacking-Angriffe öffentlich zu machen. Stillschweigen spielt bloß den Angreifern in die Hände. Der Öffentlichkeit zugängliche Informationen über staatliche Angriffe helfen anderen NGO, die ähnlichen Bedrohungen ausgesetzt sind. Weitere potentielle Opfer erhalten so die Informationen, die sie benötigen, um für einen besseren Schutz zu sorgen. Zudem ermöglicht dies einen Dialog darüber, welchen Bedrohungen AktivistInnen in aller Welt ausgesetzt sind und wie sie besser geschützt werden können.

Quelle: Amnesty International

Autor/innen:  Morgan Marquis-Boire und Eva Galperin