Storsender

AI Newsfeed

🇺🇸 USA: Führender Investor in kommerzielle Spyware

Quelle: Ars Technica, 11. September 2025

🧠 Kontext

Die Vereinigten Staaten sind laut einem neuen Bericht des Atlantic Council mittlerweile der weltweit größte Investor in kommerzielle Spyware. Diese Technologie wird zur geheimen Überwachung von Journalisten, Menschenrechtsaktivisten, Diplomaten und Politikern eingesetzt und stellt eine ernsthafte Bedrohung für Menschenrechte und nationale Sicherheit dar.

📊 Datenpunkte

  • Investoren weltweit (1992–2024): 128 identifiziert
  • US-Investoren: 31 (davon 20 neu in 2024)
  • EU + Schweiz: ebenfalls 31 (davon 12 aus Italien)
  • Israel: 26 Investoren

🏢 Beteiligte US-Firmen

  • D.E. Shaw & Co.
  • Millennium Management
  • Jane Street
  • Ameriprise Financial → Investitionen in Cognyte, ein israelischer Anbieter mit Verbindungen zu Überwachungsfällen in Aserbaidschan und Indonesien

🕵️ Fallstudie: Paragon Solutions

  • 2024 von AE Industrial Partners (USA) übernommen
  • Vertrag mit ICE reaktiviert
  • Verwicklung in Überwachung italienischer Journalisten
  • Kritik durch zivilgesellschaftliche Organisationen

🌐 Neue Akteure im Spyware-Markt

  • Länder: Japan, Malaysia, Panama
  • Anbieter: Bindecy (Israel), SIO (Italien)
  • Reseller: KBH (Panama), Mecale (Mexiko)
  • Lieferanten: Coretech Security (UK), ZeroZenX (VAE)

⚖️ Politische Spannungen

  • Trotz US-Sanktionen weiterhin Investitionen in Saito Tech (ehemals Candiru)
  • Beteiligung öffentlicher US-Pensionsfonds an Spyware-Finanzierung
  • Diskrepanz zwischen US-Regierungspolitik und Investitionspraxis

🛡️ Handlungsempfehlungen

  • Erweiterung von Executive Order 14105 auf Spyware-Investitionen
  • Beibehaltung von Executive Order 14093 zur Einschränkung staatlicher Nutzung
  • Forderung nach mehr Transparenz gegenüber der US-Bevölkerung

Source: The US is now the largest investor in commercial spyware – Ars Technica

🧠 Warum vollständige Isolation notwendig wird

  • KI kann Muster erkennen, die Menschen übersehen Selbst wenn keine vertraulichen Dokumente durchsickern, reichen Tonalität, Wortwahl und Kommunikationsfrequenz, um Rückschlüsse auf Strategie, Stimmung und Prioritäten zu ziehen.
  • Externe Cloud-Dienste sind Einfallstore Microsoft 365, Google Workspace, Slack, Zoom – all diese Dienste sind potenzielle Datenquellen für KI-gestützte Analyse, ob durch eigene Modelle oder durch Dritte.
  • Metadaten sind mächtiger als Inhalte Wer kommuniziert mit wem, wie oft, zu welchen Zeiten – das reicht oft aus, um interne Strukturen und Entscheidungsprozesse zu rekonstruieren.

🛡️ Konsequenz: Vollständiger Umstieg auf GrapheneOS + isoliertes Netzwerk

  • GrapheneOS als Endpunkt-Schutz Keine Google-Dienste, keine Telemetrie, keine Cloudbindung – das ist die Grundlage für vertrauenswürdige mobile Kommunikation.
  • Eigenes VPN + App-Verteilung Apps dürfen nur über ein internes Repository kommen, idealerweise mit Signaturprüfung und Hash-Verifikation.
  • Keine externe E-Mail-Clients oder Messenger Kommunikation muss über interne, auditierbare Systeme laufen – z. B. Matrix, XMPP oder selbst gehostete Signal-Instanzen.
  • Air-Gap für sensible Systeme Strategische Kommunikation sollte auf Geräten stattfinden, die physisch vom Internet getrennt sind – oder nur über kontrollierte Schnittstellen kommunizieren.

🇪🇺 EU Chatkontrolle 2.0: Parlamentarische Zustimmung? Nicht existent

Quelle: Piratenpartei Deutschland, 23. September 2025

🧠 Kontext

Der EU-Ratsvorsitz behauptet, das Parlament fordere die verpflichtende Chatkontrolle (CSAR-Verordnung). Laut Ex-MdEP Patrick Breyer ist diese Aussage nachweislich falsch. Es existiert keine Entscheidung, kein Gesetzentwurf und keine parlamentarische Beratung zur Verlängerung der bisherigen Regelung. Die Behauptung dient als Druckmittel, um eine flächendeckende Überwachungsinfrastruktur durchzusetzen.

📊 Technische Details & politische Brüche

  • LIBE-Ausschuss: Schlug lediglich eine einjährige Verlängerung der freiwilligen Regelung vor
  • Fehlerquote der Technologie: 50–75 % – massenhafte Falschverdächtigungen
  • Staatliche Ausnahmen: Sicherheitsbehörden und Ministerien sollen von der Kontrolle ausgenommen werden
  • Medienpraxis: Presseaussendungen werden oft ungeprüft übernommen
  • Politische Strategie: Dänischer Ratsvorsitz erzeugt künstlichen Entscheidungsdruck
  • Deutsche Regierung: Gespalten – Justizministerium (Ablehnung), Innenministerium (Kompromissdruck)

🔥 Grundrechtsrisiko

Die geplante Chatkontrolle 2.0 zerstört das digitale Briefgeheimnis. Private Nachrichten würden flächendeckend und verdachtslos gescannt – als würde die Post jeden Brief öffnen und durchschnüffeln.

→ Kommunikation unterliegt keiner Vertraulichkeit mehr – auch geschützte Räume für Missbrauchsopfer sind betroffen

→ Fehlerhafte Algorithmen führen zu hunderttausenden Falschverdächtigungen jährlich

→ Sicherheitsapparat nimmt sich selbst aus – ein doppelter Standard, der Vertrauen untergräbt

→ Einvernehmliches Verhalten (z. B. Sexting unter Jugendlichen) wird kriminalisiert

→ Ermittlungsbehörden werden durch Fehlalarme überlastet

🛡️ Konsequenz

→ Betroffene verlieren den Schutz vertraulicher Kommunikation

→ Missbrauchsopfer riskieren den Verlust sicherer Austauschräume

→ Jugendliche geraten in strafrechtliche Verfahren trotz einvernehmlicher Kommunikation

→ Ermittlungsbehörden werden ineffizient – Ressourcenbindung durch algorithmisch erzeugte Fehlmeldungen

→ Vertrauen in staatliche Kommunikation wird untergraben – Ausnahmen für Ministerien offenbaren systemische Heuchelei

🇺🇸 Systemische Sicherheitsarchitekturen: Vergleich Intel ME, Google Titan M2, Apple Secure Enclave

Quellen:

  • Ars Technica: Intel ME als Sicherheitsrisiko
  • Google Security Blog: Titan M2 Architektur
  • Apple Support: Secure Enclave Dokumentation
  • Intel AMT Dokumentation
  • MacTechNews: Apple Boot-Sicherheitsarchitektur

Kontext

Intel ME, Titan M2 und Apple Secure Enclave sind tief integrierte Sicherheitsmodule, die unabhängig vom Betriebssystem operieren. Sie verwalten kryptografische Schlüssel, Bootprozesse und Zugriffskontrolle – jedoch nicht quelloffen, nicht deaktivierbar und juristisch außerhalb der Nutzerhoheit.

Technische Vergleichsmatrix

KomponenteZugriffsebene / ArchitekturAuditierbarkeit / KontrolleJuristische Verortung / Risiko
Intel MEMikrocontroller mit eigenem OS (MINIX-basiert), Ring −3Nicht auditierbar, nicht abschaltbarUS-kontrolliert, aktiv auch bei Stromzufuhr
Google Titan M2RISC-V-basierter Sicherheitschip, isolierter MicrokernelFirmware proprietär, Schlüsselverwaltung lokalUS-kontrolliert, nicht deaktivierbar
Apple Secure EnclaveARM-basierter Sicherheitsbereich im SoCProprietär, keine Community-KontrolleUS-kontrolliert, tief integriert in iCloud

🏢 Herstellerbindung & Firmwarekontrolle

  • Intel: Firmware-Updates nicht transparent, keine Nutzerkontrolle
  • Google: Titan M2 bleibt aktiv auch unter GrapheneOS – Firmware nicht offen
  • Apple: Secure Enclave fest mit iOS/macOS verbunden – keine Trennung möglich

📉 Symbolische Risiken

  • Unsichtbare Kontrolle: Intel ME operiert unterhalb des OS – keine Sichtbarkeit im Taskmanager
  • Sicherheitslabel als Tarnung: Titan M2 und Secure Enclave werden als „Privacy Features“ vermarktet, obwohl sie strukturell übergriffig sind
  • Cloudbindung: Apple und Google koppeln Sicherheitsfunktionen an Cloud-Dienste – Schlüsselverwaltung bleibt außerhalb der Nutzerhoheit

🛡️ Handlungsempfehlungen für sichere Infrastruktur

✅ Vermeidung proprietärer Sicherheitsmodule in kritischen Routinen

Sinnhaftigkeit: Hoch

  • Direkte Maßnahme gegen Chips wie Intel ME, Titan M2, Secure Enclave
  • Verhindert strukturell übergriffige Kontrolle unterhalb des OS
  • Voraussetzung für auditierbare Hardware-Infrastruktur

✅ Umstieg auf RISC-V Boards mit quelloffener Firmware (z. B. BeagleV, StarFive)

Sinnhaftigkeit: Hoch

  • RISC-V Architektur erlaubt offene Implementierung ohne versteckte Management-Engines
  • Firmware kann verifiziert, ersetzt und dokumentiert werden
  • Ermöglicht vollständige Kontrolle über Bootprozesse und Schlüsselverwaltung

✅ Integration in MDM-Frameworks mit Hardware-Whitelisting und dokumentierter Schlüsselverwaltung

Sinnhaftigkeit: Mittel bis Hoch

  • Relevant für institutionelle Kontrolle über Geräteflotten
  • Whitelisting verhindert Einsatz nicht verifizierbarer Hardware
  • Schlüsselverwaltung muss jedoch auf auditierbarer Hardware basieren – sonst bleibt Black Box erhalten

🇪🇺 EU: eEvidence-Verordnung

Die eEvidence-Verordnung (EU-Verordnung 2023/1543) ist ein supranationales Instrument zur grenzüberschreitenden Herausgabe und Sicherung elektronischer Beweismittel in Strafverfahren. Sie wurde am 12. Juli 2023 verabschiedet und tritt ab August 2026 vollautomatisiert in Kraft.

🧠 Kernlogik der Verordnung

Ziel: Ermittlungsbehörden in einem EU-Staat können direkt bei Diensteanbietern in anderen EU-Staaten digitale Beweise anfordern – ohne richterliche Kontrolle im Empfängerland.

Instrumente:

  • EPOC (European Production Order Certificate): Herausgabeanordnung
  • EPOC-PR (Preservation Order): Sicherungsanordnung zur Datenbewahrung

Fristen:

  • Antwortzeit: 8 Stunden bis max. 10 Tage – je nach Dringlichkeit

📦 Welche Daten sind betroffen?

DatentypBeispielhafte Inhalte
Subscriber DataName, Adresse, Zahlungsdaten, gebuchte Dienste
Access DataIP-Adresse, Login-Zeitpunkt, User-ID
Transactional DataKommunikationsmetadaten: Absender/Empfänger, Geolokation, Protokolle
Content DataInhalte von E-Mails, Messenger-Nachrichten, VoIP, Online-Games, Marktplatz-Kommunikation

Quelle: BfDI – E-Evidence Fachthema

⚠️ Kritikpunkte

  • Grundrechte ausgehebelt: Kein Richtervorbehalt im Empfängerland
  • Automatisierte Datenübermittlung: Ab 2026 ohne manuelle Prüfung
  • Providerpflichten: Auch außereuropäische Anbieter müssen EU-Anordnungen befolgen, wenn sie Dienste in der EU anbieten
  • Missbrauchsrisiko: Datenherausgabe auch bei Straftaten, die im Herkunftsland des Nutzers nicht strafbar sind

🛡️ Handlungsempfehlungen für sichere Kommunikation

Angesichts der eEvidence-Verordnung und systemischer Zugriffsmöglichkeiten durch US- und EU-Infrastrukturgesetze empfiehlt sich ein vollständiger Umstieg auf auditierbare, lokal kontrollierte Kommunikationsarchitektur. Konkret:

  • GrapheneOS auf Pixel-Geräten: Keine Google-Telemetrie, Modem-Isolation, Verified Boot – ideal für mobile Endpunkte ohne Cloudbindung.
  • Selbstgehostete Messenger-Infrastruktur: Matrix, XMPP oder Signal-Server mit eigener Domain und TLS-Zertifikat – keine Drittanbieter, keine Metadatenweitergabe.
  • Air-Gap für strategische Kommunikation: Geräte ohne Internetzugang, mit kontrollierter Schnittstelle für Datentransfer (z. B. QR-basiert oder via USB mit Hash-Verifikation).
  • App-Verteilung über internes Repository: Signaturprüfung, Hash-Check, keine App-Stores – verhindert Backdoor-Updates.
  • Vermeidung proprietärer Sicherheitsmodule: Intel ME, Apple Secure Enclave, Google Titan M2 sind strukturell nicht auditierbar – RISC-V-Boards mit quelloffener Firmware sind vorzuziehen.
  • MDM-Frameworks mit Hardware-Whitelisting: Für institutionelle Kommunikation – dokumentierte Kontrolle über Geräteflotten und Schlüsselverwaltung.

Diese Maßnahmen sind nicht paranoid, sondern strukturell notwendig, um Kommunikationshoheit zurückzugewinnen und strategische Selbstbestimmung zu sichern.