Die Datensammler von Abu Dhabi
von Eva Thiébaud
Wir sind unterwegs auf der vierspurigen Autobahn Richtung Dubai. Hinter uns liegt Abu Dhabi, die reiche konservative Hauptstadt der Vereinigten Arabischen Emirate (VAE), vor uns das liberale Zentrum Dubai, eine Touristenhochburg und Drehscheibe für den internationalen Handel. Wieder klingelt das Telefon des Taxifahrers und auch mein Handy vibriert. Auf dem Display erscheint eine Unfallmeldung. Dabei hat sich keiner von uns beiden für irgendeinen Warndienst registriert. Ein Blick auf die Straße bestätigt: Der Unfall hat sich auf der Gegenfahrbahn ereignet.
Diese Handywarnung ist ein Beispiel für die permanente digitale Kontrolle, die das Leben in den Emiraten komfortabler machen soll. Im Leben der Emirater, die mit durchschnittlich 18 Gigabyte pro Person und Monat die weltweit größten Mobildatenverbraucher sind1 , ist die Überwachung ein ständiger Begleiter.
Den Emiratern ist durchaus bewusst, dass sie digital überwacht werden. Einige halten das für ein notwendiges Übel, weil ihr Land zahlreichen geopolitischen Bedrohungen ausgesetzt ist. „Die Digitalisierung führt zu wirtschaftlichem Wohlstand und erhöht gleichzeitig die Sicherheit“, meint der Politikwissenschaftler Abdulkhaleq Abdulla. „Vor diesem Hintergrund sind viele Menschen bereit, Kompromisse zu machen, wenn es um das Recht auf Privatsphäre geht.“
Die digitale Kontrolle wird auch dadurch erleichtert, dass die Bevölkerung der VAE vergleichsweise klein ist – etwa 10 Millionen Menschen leben in den sieben Emiraten. Davon besitzen nur 10 Prozent die emiratische Staatsbürgerschaft, 30 Prozent kommen aus anderen arabischen Staaten oder Iran, 50 Prozent aus Südostasien und 10 Prozent aus dem westlichen Ausland. „Die Emirater sind eine Minderheit im eigenen Land. Doch mittels der Überwachungstechnologie sind sie überall“, sagt Andreas Krieg, der Defence Studies am King’s College in London lehrt.
Dass die Massenüberwachung auch die Meinungsfreiheit einschränkt, wird von meinen Gesprächspartnern nicht geleugnet. „Man weiß oder vermutet zumindest, dass man ständig überwacht wird und man nichts verschicken darf, was politisch heikel ist, auch nicht über Whatsapp“, erklärt ein europäischer Expat, der anonym bleiben möchte.
„Die Anschläge vom 11. September 2001 waren ein Wendepunkt in diesem Land“, erklärt ein Wissenschaftler, der ebenfalls nicht namentlich zitiert werden möchte. Seitdem werden alle Formen des politischen Islam kategorisch unterdrückt und die Moscheen verschärft überwacht.
Weil die Emirate auf ausländische Arbeitskräfte angewiesen sind, habe sich auch ihre Einwanderungspolitik geändert: „Bis 2001 hat das Land viele Migranten aus den arabischen Ländern aufgenommen“, erklärt er. „Nach dem 11. September verschärften die VAE die Hintergrundkontrollen für einige von ihnen, vor allem für Personen, die im Bildungswesen und im religiösen Bereich arbeiten wollten. Im Gegensatz dazu kamen Migranten aus Südostasien, die man für fügsamer hielt, viel leichter an Visa.“
Überwachen und filtern
Die Kontrolle über Religion und Zuwanderung reichte jedoch nicht aus. Der Staat ist Mehrheitseigner der einzigen beiden Telekommunikationsunternehmen im Land, Etisalat und Du (früher Emirates Integrated Telecommunications Company). Dadurch kontrolliert die Regierung die Kommunikation und ermöglicht den Sicherheitsdiensten den Zugriff auf diese Daten. „Etisalat und Du sind verpflichtet, die Inhalte, die in ihren Netzen zirkulieren, gemäß den Prioritäten des Staats zu filtern“, schreibt die Anwaltskanzlei Simmons & Simmons.2
Mit der sogenannten Deep Packet Inspection können Datenpakete überwacht und gefiltert werden. Zudem ermöglicht sie den Zugriff auf Metadaten, das heißt auf Informationen darüber, wer sich wann irgendwo einloggt, aber auch auf die Inhalte unverschlüsselter Kommunikation.
Die dafür erforderliche Technologie kaufen die Emirate im Westen ein, zum Beispiel beim US-Unternehmen McAfee.3 „Wie bei Rüstungsgütern handelt es sich beim Kauf von elektronischen Überwachungsinstrumenten nicht um normale Handelsgeschäfte“, erklärt Tony Fortin vom Observatoire des Armements, einer Organisation, die sich für mehr Transparenz beim Handel mit Rüstungsgütern einsetzt. „Es geht dabei um Partnerschaften im nachrichtendienstlichen Bereich, die die betroffenen Länder langfristig eingehen.“
James Shires, der an der niederländischen Universität Leiden zum Thema Cybersicherheit forscht, hält es daher für wahrscheinlich, dass „Abu Dhabi passiv Daten gesammelt und an Washington geliefert hat“, um die USA in ihrem Antiterrorkampf zu unterstützen. Nach den Anschlägen vom 11. September waren es vor allem die arabischen Volksaufstände von 2011, die die emiratischen Behörden darin bestärkten, alles zu überwachen und zu unterdrücken, was sie als „inneren Feind“ bezeichnen.
Im März 2011, wenige Wochen nach der Entmachtung der Präsidenten in Tunesien und Ägypten, wurde Chalifa bin Zayid Al Nahyan, damals Präsident der VAE und Emir von Abu Dhabi, in einer Petition aufgefordert, demokratische Reformen in die Wege zu leiten. Kurz darauf wurden einer der Unterzeichner der Petition, der Menschenrechtsaktivist Ahmed Mansoor, sowie vier seiner Mitstreiter festgenommen und wegen Beleidigung des Emirs verurteilt. Später wurden die Aktivisten begnadigt.
„In Bezug auf die Sicherheitspolitik markiert das Jahr 2011 eine radikale Wende“, sagt ein Gesprächspartner. „Abu Dhabi fürchtete, dass die Aufstände in der arabischen Welt auf die Emirate übergreifen könnten. Man schürte die Angst vor dem religiösen Extremismus und instrumentalisierte sie, um die Schrauben im Sicherheitsbereich anzuziehen und die Unterdrückung zu legitimieren.“
Vor allem die Muslimbruderschaft, die in Ägypten nach dem Sturz Mubaraks sehr aktiv war und auf der Arabischen Halbinsel über zahlreiche Verbindungsstellen verfügte, geriet ins Visier des Sicherheitsapparats. Man rechnete damit, dass die Bruderschaft im Falle eines demokratischen Übergangs in mehreren arabischen Ländern Wahlen gewinnen und die Macht übernehmen könnte; was in Ägypten dann auch der Fall war. Während des Arabischen Frühlings wurden die Muslimbrüder insbesondere von Katar unterstützt, dem großen Rivalen der VAE.
Um jede Form von politischem Protest im Keim zu ersticken, wurde 2012 die Nationale Behörde für elektronische Sicherheit (Nesa) geschaffen, die auf die gesamte Kommunikation im Land zugreifen kann. Die Behörde ist dem Obersten Rat für Nationale Sicherheit unterstellt, dessen stellvertretender Direktor kein Geringerer ist als Tahnoun bin Zayed Al Nahyan, der Bruder des heutigen VAE-Präsidenten Mohammed bin Zayed Al Nahyan (MBZ).
Neben der Überwachung der Telekommunikation werden auch die Social-Media-Kanäle ständig durchleuchtet. „Während des Arabischen Frühlings haben die sozialen Netzwerke den Menschen die freie Meinungsäußerung ermöglicht und galten als Technologie der Befreiung“, sagt Andreas Krieg. „Aus diesem Grund wurden sie später stark reguliert.“ Auch die Videoüberwachung wurde stark ausgebaut. In den Straßen von Abu Dhabi, Dubai und in Schardscha sind tausende Kameras installiert.
Die Offensichtlichkeit, mit der überwacht wird, hat laut ihrer Verfechter noch einen anderen Effekt: Die Menschen verhielten sich anders, wenn sie wüssten, dass sie beobachtet werden oder auch nur glaubten, dass man sie beobachtet. Im Falle eines „terroristischen Angriffs“ habe man die Möglichkeit, die Ereignisse im Nachhinein zu rekonstruieren und die Täter zu identifizieren.
Die Massenüberwachung erlaube es zudem, die gesammelten Daten mit Hilfe von künstlicher Intelligenz (KI) zu durchforsten und so verdächtige Verhaltensweisen aufzuspüren. Nach Meinung des kanadischen Kriminologen Stéphane Leman-Langlois haben solche KI-Analysewerkzeuge, mit denen sogenannte verwertbare Informationen aus großen Datensätzen extrahiert werden, bislang aber noch keine wirklichen Ergebnisse im Antiterrorkampf geliefert.4
Obwohl ihre Wirksamkeit also umstritten ist, sind solche Tools in den VAE sehr beliebt. Zu den Softwareprogrammen, mit denen dort große Datenmengen verarbeitet werden, gehört auch Gotham, das von dem US-amerikanischen Softwareunternehmen Palantir Technologies entwickelt wurde. Zu Palantirs Kunden gehören auch die US-Geheimdienste, der französische Inlandsdienst DGSI und deutsche Polizeibehörden. „Die Gotham-Software wurde äußerst intransparent an zahlreiche Anwender in der ganzen Welt verkauft, und die Golfregion ist ein großer Markt“, erklärt Shires. „Allerdings muss das Programm von Spezialisten bedient werden.“
Deshalb bieten die Unternehmen auch Ausbildungsprogramme für ausländische Agenten an. Im Fall der VAE ging das sogar noch weiter: Lori Stroud, eine ehemalige Agentin der National Security Agency (NSA), enthüllte Anfang 2019 gegenüber der Nachrichtenagentur Reuters, dass die auf Cyberoffensive spezialisierte Abteilung der Nesa – sie ist zuständig für die Installierung von Spyware auf Telefonen oder Computern von Zielpersonen – ihre Tätigkeit an das US-Unternehmen Cyberpoint outgesourct hatte.5
Laut Stroud, die 2014 von Cyberpoint angeworben worden war, sollten insgesamt 10 bis 20 ehemalige NSA-Agenten so lange für das Unternehmen arbeiten, bis die emiratischen Geheimdienstler selbst ausreichend qualifiziert wären, um die Überwachungssoftware zu bedienen.
Die Ex-Agenten aus den USA wurden allerdings nicht nur im Bereich Terrorismusbekämpfung eingesetzt. Sie sollten auch inländische Kritiker wie Ahmed Mansoor zum Schweigen bringen. Allerdings konnte Cyberpoint bestimmte Grenzen nicht überschreiten, Hackerangriffe auf US-Bürger oder -Unternehmen waren offiziell tabu.
Einschüchtern und ausschalten
Um diese Beschränkungen zu umgehen, beschloss Abu Dhabi Mitte der 2010er Jahre, ein eigenes Cybersecurity-Unternehmen aufzubauen: Darkmatter. Einige der ehemaligen US-Agenten, die zuvor für Cyberpoint gearbeitet hatten, wurden für teures Geld abgeworben.
Drei von ihnen – Marc Baier, Ryan Adams und David Gericke – wurden im September 2021 von einem US-Bundesgericht zu Geldstrafen in Höhe von mehreren hunderttausend Dollar verurteilt; das entspricht den Gehaltszahlungen, die sie im Rahmen von Operationen zur Destabilisierung Katars, aber auch für Überwachungsoperationen gegen US-Ziele von den VAE erhalten hatten. In dem Urteil vom September 2021 heißt es: „Die Beklagten haben sich illegal Zugangsdaten verschafft, um auf Computer und Mobiltelefone in den Vereinigten Staaten und anderswo zuzugreifen.“
Im Laufe der Zeit wurden immer fortschrittlichere Überwachungstechniken eingesetzt, gegen Ahmed Mansoor auch die Software Pegasus der israelischen Firma NSO Group. Mansoor wurde 2017 unter anderem wegen „Schädigung des Ansehens der Vereinigten Arabischen Emirate“ zu 10 Jahren Haft verurteilt.6 Es darf angenommen werden, dass Tel Aviv vom Verkauf der Pegasus-Software an Abu Dhabi wusste: „Alles, was wir tun, tun wir mit der Erlaubnis der israelischen Regierung“, sagte Shalev Hulio, einer der Gründer von NSO, in einem Interview mit dem New Yorker.7
„Diese Überwachung dient nicht nur dazu, Informationen herauszufiltern“, sagt Marwa Fatafta von Access Now, einer Organisation, die sich international für digitale Bürgerrechte einsetzt. „Es ist auch und vor allem eine Einschüchterungstaktik. In die Privatsphäre einzudringen und sogar die Kommunikation unter Verwandten und Freunden auszuspionieren, ist eine Form psychologischer Gewalt, die darauf abzielt, Kritiker zum Schweigen zu bringen.“
Frauen seien in dieser Hinsicht besonders angreifbar. So entdeckte etwa die libanesische Al-Dschasira-Journalistin Ghada Oueiss auf Twitter Bilder von sich im Bikini. Die Fotos stammten von ihrem eigenen Telefon, das gehackt worden war. Oueiss hat vor einem US-Gericht Klage gegen den saudischen Kronprinzen Mohammed bin Salman (MBS) eingereicht, aber auch gegen den VAE-Präsidenten Mohammed bin Zayed und das Unternehmen Darkmatter.
Potenziell kann jede:r ins Visier der emiratischen Überwachungsbehörden geraten – was auf eine geschickt geschürte Unsicherheit hinausläuft. „Wissenschaftler und Journalisten müssen ständig befürchten, rote Linien zu überschreiten, denn die sind nicht immer leicht zu erkennen“, sagt ein Universitätsangestellter. Es sei auch möglich, dass neben dem Inhalt die Sprache eine Rolle spielt. „Ein Text, der auf Arabisch und Englisch veröffentlicht wird, könnte als sensibler angesehen werden als einer auf Deutsch oder Französisch.“
Nach den Enthüllungen von Reuters könnte es sein, dass bereits andere Strukturen an die Stelle von Darkmatter getreten sind. „Das ist eine Strategie, die für diese Art von Unternehmen typisch ist“, erklärt Fatafta. „Sie werden aufgelöst, um dann unter anderem Namen wiederaufzutauchen.“ So machte ein neues Unternehmen aus den VAE von sich reden, die Group 42 (G42). Die Firma wird von Tahnoun bin Zayed geleitet, der inzwischen zum nationalen Sicherheitsberater aufgestiegen ist. Nach eigener Darstellung ist G42 auf KI und Cloud-Computing spezialisiert.
Das Unternehmen steht auch hinter dem Messengerdienst Totok, der seit 2019 in den VAE Telefongespräche übers Internet (VoIP) anbietet. International viel genutzte Anwendungen wie Whatsapp oder Skype sind in den Emiraten verboten. Bevor eine Recherche der New York Times im Dezember 2019 enthüllte, dass die von den Nutzern geteilten Informationen für Regierungsstellen einsehbar sind, wurde Totok millionenfach heruntergeladen.8
Die Recherche brachte auch ans Licht, dass Totok auf Grundlage der chinesischen App Yeecall entwickelt wurde. In der Tat greifen die Emirate zunehmend auf chinesische Technik zurück, um ihren digitalen Durst zu stillen – zum großen Missfallen der USA. Die Entscheidung Abu Dhabis, den Aufbau seines 5G-Netzwerks dem chinesischen Betreiber Huawei anzuvertrauen, führte zu heftigen Spannungen mit Washington. Auf der Münchner Sicherheitskonferenz 2020 warnte US-Außenminister Mike Pompeo unmissverständlich: „Huawei und andere von China unterstützte Technologieunternehmen sind trojanische Pferde des chinesischen Geheimdienstes.“
Die US-Regierung stellte Abu Dhabi vor die Wahl: Entweder ihr steigt aus dem Huawei-Vertrag aus oder ihr bekommt keine hochmodernen F-35-Kampfjets von uns. Doch Abu Dhabi blieb stur. „Der Bereich Digitalisierung war für uns zu wichtig“, erklärt der Politikwissenschaftler Abdulla. „Es war eine schwierige Entscheidung, aber wir haben uns für das chinesische 5G-Netz entschieden.“ Am Ende profitierte Frankreich von dem Streit: Im Dezember 2021 verkündeten die Vereinigten Arabischen Emirate, man werde 80 französische Rafale-Jets anstelle der F-35 kaufen.
In Zukunft könnten sich die Beziehungen zwischen den VAE und China weiter vertiefen. „Die Emirater sehen die USA als absteigende und China als aufstrebende Macht“, sagt Sicherheitsforscher Krieg. „Außerdem spielt in China der Schutz der Privatsphäre keine Rolle. So können sehr große Datenmengen gesammelt werden, auf die sich die KI-Forschung stützt.“ Die Herrscher in Abu Dhabi seien davon überzeugt, dass der Krieg der Zukunft vor allem digital ausgefochten wird. „Daher setzen sie auf die Weiterentwicklung dieser chinesischen Technologien.“
Eines machen alle diese Entwicklungen deutlich: Abu Dhabi ist fest entschlossen, nicht nur auf dem Gebiet der Überwachung, sondern auch in der raumbezogenen Aufklärung (Geospatial Intelligence) zu militärischen und sicherheitspolitischen Zwecken weit voranzuschreiten.
1 „Les pays du Golfe, laboratoires de la 5G“, Les Échos, 21. Oktober 2021.
7 Ronan Farrow, „How democracies spy on their citizens“, The New Yorker, 18. April 2022.
Aus dem Französischen von Jakob Farah
Éva Thiébaud ist Journalistin.
Zu wenig Regeln
von Eva Thiébaud
Das Ausmaß der Massenüberwachung ist spätestens seit den Snowden-Leaks bekannt. 2013 enthüllte der ehemalige NSA-Mitarbeiter Edward Snowden die systematische Abschöpfung der weltweiten Netzkommunikation durch die US-amerikanischen und britischen Geheimdienst- und Sicherheitsbehörden.
2021 machte dann der Pegasus-Skandal deutlich, wie weit verbreitet auch der Einsatz von Software zur gezielten Überwachung einzelner Personen ist – ob durch demokratisch gewählte Regierungen oder durch autokratische Regime. In der Folge kam es zu zahlreichen Gerichtsverfahren gegen das israelische Unternehmen NSO Group, den Entwickler der Pegasus-Spyware, und gegen die Länder, die die Software mutmaßlich eingesetzt hatten.
Der Pegasus-Skandal hat vor allem die Lücken in den nationalen und internationalen Gesetzen aufgedeckt, die den Kauf und Verkauf von Überwachungstechnologie regeln. Entsprechende Hard- und Software wird rechtlich generell von konventionellen Waffen unterschieden und eher den sogenannten Dual-Use-Gütern zugerechnet – also Produkten oder Technologien, die sowohl zivil als auch militärisch genutzt werden können.
Um den internationalen Export von Dual-Use-Gütern zu regeln, wurde das 1996 beschlossene internationale Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen 2012 und 2013 ergänzt: Zukünftig sollten auch Lieferanfragen zu Überwachungstechniken (Schadsoftware, die auf Zielrechnern installiert wird) und zu IP-basierten Überwachungssystemen dem Wassenaar-Büro in Wien gemeldet werden. Die Liste von Produkten und Technologien, deren Ausfuhr kommuniziert werden soll, wird ständig erweitert. Mittlerweile haben 42 Staaten – China und Israel sind nicht dabei – das Abkommen unterzeichnet. Es ist allerdings nicht rechtlich bindend. Daher können keine Exportverbote oder Sanktionen ausgesprochen werden.
In der Europäischen Union, in der alle Länder das Wassenaar-Abkommen unterzeichnet haben, wurde die Verordnung über Dual-Use-Güter 2021 überarbeitet. Das hat zu mehr Transparenz geführt: Die Mitgliedstaaten müssen nun Informationen über genehmigte und abgelehnte Ausfuhranträge veröffentlichen.
Doch NGOs bleiben skeptisch: „Die Vorschriften sollten Garantien gegen Menschenrechtsverletzungen durchsetzen, die Möglichkeit des Entzugs von Exportlizenzen für Unternehmen, die zu Missbräuchen beitragen, und Mechanismen festlegen, die den Opfern Rechtsmittel zugänglich machen“, sagt Likhita Banerji, die bei Amnesty International für das Programm „Technologie und Menschenrechte“ zuständig ist.
In den USA hat der Pegasus-Skandal dazu geführt, dass das Handelsministerium die NSO Group zusammen mit mehreren anderen Herstellern von Spähsoftware auf eine schwarze Liste gesetzt hat: Die Aktivitäten dieser Unternehmen seien gegen die nationale Sicherheit oder die außenpolitischen Interessen der USA gerichtet. Der Handel zwischen dem israelischen Unternehmen und US-Firmen wird künftig durch einen Lizenzmechanismus geregelt.
Solche Maßnahmen sind weit schwächer als das, was von mehreren NGOs gefordert wird: Ein Moratorium für Spyware, bis ein Rechtsrahmen geschaffen wird, der den Schutz der Menschenrechte garantiert. Bis heute hat sich Costa Rica als einziger Staat für diesen Schritt ausgesprochen.