Ramy Raoof ist Technologe und Privatsphäre-Forscher aus Ägypten, der derzeit ehrenamtlich in der libanesischen Hauptstadt Beirut tätig ist. Im November 2016 arbeitete er gerade im Büro der Ägyptischen Initiative für Persönlichkeitsrechte (EIPR), als etwas Merkwürdiges geschah: Die Organisation erhielt einen Anruf von einem Journalisten, der eine Frage zu einer bevorstehenden Pressekonferenz hatte. Es war aber gar keine Pressekonferenz geplant.
Raoof erfuhr bald, dass hunderte E-Mails unter der Adresse der Organisation an Journalisten, Aktivisten und zivilgesellschaftliche Gruppen versendet worden waren. In diesen E-Mails wurden sie zu einer fiktiven Pressekonferenz zu einem Gesetzentwurf eingeladen, der Nichtregierungsorganisationen in Ägypten faktisch verbieten würde.
Raoof erinnert sich: „Die Journalisten hatten den Köder natürlich geschluckt, weil die Angreifer unsere Logos, Sprache, Adresse und Telefonnummer benutzt hatten. Ich bat darum, die E-Mail lesen zu dürfen und in dem Augenblick, in dem ich sie sah, war mir klar: Da greift uns gerade jemand an.“
Die immer noch anhaltende und großflächige Phishing-Attacke war Teil eines umfassenden Vorgehens gegen die Zivilgesellschaft und Andersdenkende in Ägypten. Hunderte Aktivisten wurden – und werden nach wie vor – auf diese Weise angegriffen: Sie werden dazu verleitet, auf sogenannte Malware-Links zu klicken oder Passwörter und Codes zur Zwei-Faktor-Authentifizierung und Passwort-Wiederherstellung freizugeben.
Raoof und seine Forscherkollegen gaben dieser weitflächigen Serie an Angriffen den Spitznamen „Nile Phish“. Der erste Teil des Namens basiert auf einem Wortspiel – im Englischen werden die Wörter „fish“ und „phish“ gleich ausgesprochen –, während sich der zweite Teil auf den Nil bezieht, der durch Ägypten fließt.
Raoof veröffentlichte im Februar 2017 einen Forschungsbericht zu den anhaltenden Angriffen, der in Zusammenarbeit mit einigen Kollegen vom Citizen Lab an der University of Toronto entstanden war. Eine Erklärung für die Zunahme der Angriffe sahen sie darin, dass freie und quelloffene Software, die eigentlich dazu gedacht ist, die Sicherheit von Netzwerken zu testen, auch für Angriffe missbraucht werden kann.
Raoof denkt jeden Tag über technische Angriffe wie den „Nile Phish“ nach. Er erklärt: „Als Technologe und Privatsphäre-Forscher arbeite ich mit vielen verschiedenen zivilgesellschaftlichen Organisationen zusammen.“ (Um nur eine seiner Referenzen zu nennen: Er ist unter anderem derzeitiges Vorstandsmitglied des Tor-Projekts.)
Raoof stellt fest, dass sowohl gezielte Überwachung als auch Massenüberwachung mit der Zeit komplexer geworden sind. Anfang der 2000er führten die Regierungen oft noch selbst Überwachungsmaßnahmen durch. Heute ist es anders. „Ihre Taktik hat sich geändert“, erklärt Raoof. Irgendwann hätten die Regierungen damit begonnen, Überwachungsaufträge an Privatunternehmen und -personen auszulagern. „Das hält die Spuren auf einem Minimum und ist wesentlich effizienter.“
Nationen und Unternehmen teilen sich mitunter ihre Überwachungsinstrumente. Raoof zufolge stellen nicht alle Länder ihre eigenen Instrumente her; stattdessen kaufen sie die anderer. „Einige Länder, Italien zum Beispiel, kennen wir eher dafür, dass sie sich auf gezielte Überwachung konzentrieren. Andere Länder hingegen sind für Massenüberwachung bekannt, wie Israel.“
Raoof betont, dass es keine allgemeingültige Anleitung dafür gibt, wie sich zivilgesellschaftliche Organisationen schützen können.
„Ich richte meine Ratschläge an einigen bestimmten Variablen aus“, sagt er und zählt als Beispiele Ort und Art der Tätigkeit auf. Einem Aktivisten, der gegen Folter in Libyen protestiert, gibt Raoof zum Beispiel eine ganz andere Reihe an Tipps als einem Bürgerrechtler in Lateinamerika. „Einige technische Lösungen würden in Libyen oder Syrien zum Beispiel nie funktionieren“, erklärt er. Von einem verbreiteten Privatsphäre-Tool wie einem VPN (Virtual Private Network) wäre dort dringend abzuraten, da diese von den entsprechenden Regierungen aktiv durchgefiltert würden.
Auf die Frage, ob öffentliche Initiativen ein Mittel gegen unrechtmäßige Überwachung wären, reagiert Raoof sowohl optimistisch als auch frustriert. „Öffentlicher Aktivismus bewirkt immer was“, sagt er. „Aber es werden noch viele, viele Jahre vergehen, bis wir kleine Fortschritte machen.“
Aus diesem Grund müssen öffentliche Initiativen parallel zu schnelleren Reaktionsmechanismen verlaufen – ein Stichwort ist Verschlüsselungstechnologie. Und das ist Raoofs Leidenschaft. „Du und ich, wir könnten zusammen an effektiverer Datenschutz-Technologie arbeiten und so mehr Menschen in kürzerer Zeit helfen.“