Staatliches Hacking stellt für Menschenrechtsverteidiger*innen eine völlig neue Gefahr dar. Eine Veranstaltungseinladung, eine Forschungsanfrage, eine Nachricht mit Informationen zu Menschenrechtsverletzungen – hinter jedem Dokument und jedem Link kann sich in Wirklichkeit ein Virus verbergen. Ist das Handy infiziert, wird das Opfer nicht nur abgehört und sein*ihr Standort nachverfolgt. Jede Kommunikation wird sichtbar, das ganze Netzwerk der Person liegt offen. E-Mails und Nachrichten in sozialen Medien können im Namen des Opfers verschickt werden.
Während Massenüberwachung außerordentlich ressourcenintensiv ist und nur wenige Staaten auf der Welt die dafür notwendigen Mittel haben, benötigt gezielte Überwachung deutlich weniger finanzielle Mittel und technische Fähigkeiten. Zwar gibt es auch hier technisch ausgefeilte Programme wie die „Tailored Access Operations“ der NSA, oft laden Angreifer*innen aber auch einfach Schadsoftware aus dem Internet herunter und nehmen ein paar Änderungen vor.
Teilweise kaufen Angreifer*innen anspruchsvolle Spionagesoftware von westlichen Unternehmen. Viren wie der von einem deutsch-britischen Unternehmen hergestellte FinFisher oder die Pegasus-Software der israelischen NSO Group werden in unterschiedlichsten Ländern eingesetzt. Dabei lässt sich in der Regel nicht nachvollziehen, ob hinter dem Angriff ein Staat, staatsnahe Akteur*innen oder ganz andere Personen stehen – auch wenn die oben genannten Firmen ihre Software nur an Staaten verkaufen.
Ein prominentes Opfer dieser Angriffe ist der Blogger und Dichter Ahmed Mansoor aus den Vereinigten Arabischen Emiraten. Er bekam Links und Anhänge mit Viren verschiedenster Firmen – besonders spektakulär war aber eine SMS im Jahre 2016 mit einem Link, bei dessen Klick drei bislang unbekannte Sicherheitslücken im iPhone ausgenutzt worden wären und sein Handy mit der Pegasus-Software infiziert worden wäre. Zum Schutz gegen die Sicherheitslücke mussten alle iPhones auf der Welt aktualisiert werden. Es wird vermutet, dass der Kauf dieser nur wenige Male einsetzbaren Sicherheitslücken mindestens eine Millionen Euro gekostet haben muss. Seit 2017 sitzt Mansoor wegen Social-Media-Postings wieder in Haft.
Fast immer geht es bei dieser Art von Hacking vor allem darum, das Opfer auszutricksen, sodass es schädliche Links klickt, ohne dabei argwöhnisch zu werden. Einen ausführlichen Bericht zu einem Einzelfall aus Pakistan hat Amnesty International 2018 veröffentlicht: Seitdem Diep Saeda die Aufklärung des Verschwindens eines Freundes forderte, bekommt sie Nachrichten, die in Wirklichkeit Überwachungssoftware beinhalten. Der vollständige Bericht ist hier auf Englisch abrufbar.
Für Menschenrechtsverteidiger*innen entsteht so ein Klima der Angst. Sie können nicht sicher sein, ob die von ihnen erhaltenen E-Mails in Wirklichkeit Viren enthalten oder ob ihre Geräte nicht schon längst identifiziert sind. Asyl und Exil im Ausland bieten gegen solche Angriffe keinen Schutz. Hiergegen wird ein technischer und finanzieller Aufwand erforderlich, der so hoch sein kann, dass er die Arbeit der Menschenrechtsverteidiger*innen unmöglich macht.