Zwischenhändler – häufig auch Regierungen in Staaten mit laxen Regeln – haben die Ausbreitung von Spyware rund um den Globus befeuert. Sie senken nach Einschätzung der Atlantic-Council-Forscherin Jen Roberts, Mitautorin des Berichts und stellvertretende Direktorin der Cyber Statecraft Initiative, die Transparenz im Markt für offensive Cyberfähigkeiten: Sie verschleierten Lieferketten und sorgten bei Käufern für Unklarheit darüber, woher eine Fähigkeit oder deren Komponenten stammen. Nachfrage kommt vor allem aus Ländern, die selbst über keine belastbaren technischen Fähigkeiten verfügen und solche Werkzeuge auf dem offenen Markt suchen.
Getrieben wird das Ökosystem durch staatlichen Bedarf für Ermittlungen, Spionage und in vielen Fällen die Überwachung politischer Gegner und Dissidenten. 2025 wurden laut einer Analyse von Googles Threat Intelligence Group erstmals mehr Zero-Day-Exploits kommerziellen Überwachungsanbietern zugeschrieben als klassischen staatlich gesteuerten Gruppen. Zugleich habe die US-Regierung in den vergangenen Monaten mehrere Schritte unternommen – etwa die Reaktivierung gekündigter Verträge und die Aufhebung von Sanktionen –, die Anbietern von Überwachungstechnik den Weg geebnet hätten.
Drittparteien wie Broker und Reseller seien “das operative Rückgrat des Spyware-Marktes”, sagt Collin Hogue-Spears, Senior Director bei der Anwendungssicherheitsfirma Black Duck. Ihre Unternehmensstrukturen existierten gezielt, um Exportkontrollen ins Leere laufen zu lassen. Der Markt habe sich von einer reinen Anbieter-zu-Regierung-Pipeline zu einer modularen Lieferkette entwickelt, in der Zwischenhändler jede Lücke füllten, die der Käufer allein nicht schließen könne: Exploit-Entwicklung, operative Schulung, Einsatzinfrastruktur und vor allem einen rechtlichen Papierweg, der die Herkunft verberge.
Ähnlich argumentiert Julian-Ferdinand Vögele, leitender Bedrohungsforscher beim Threat-Intelligence-Unternehmen Recorded Future. Broker und Reseller verbänden Anbieter und Käufer, bündelten Werkzeuge mit Support oder Schulung und erschlössen neue Märkte, während sie Beziehungen verschleierten und unterschiedliche Rechtsräume ausnutzten. Über Sanktionen belegte Staaten könnten so Exportkontrollen umgehen und Überwachungstechnik kaufen oder verkaufen.
Besonders Reseller bereiten Roberts Sorge, weil sich beobachten lasse, wie sie politische Vorgaben wie Exportkontrollen und Handelsverbote umgingen. Im Februar 2024 starteten Großbritannien und Frankreich den Pall Mall Process, ein multilaterales diplomatisches Verfahren gegen den wachsenden Markt für Spyware und Hacking-Werkzeuge und deren unverantwortlichen Einsatz. Anlass war eine zunehmende Zahl von Fällen, in denen Spyware gegen Journalisten, Diplomaten, Politiker und Aktivisten eingesetzt wurde. Der Prozess läuft noch; die Teilnehmer arbeiten derzeit einen Verhaltenskodex für die Branche aus.
Einzelne Hersteller versuchen, ihr öffentliches Bild aufzubessern: Die NSO Group erklärte etwa, ein “Programm zur Einhaltung der Menschenrechte” eingerichtet zu haben – Kritiker bezweifeln solche Angaben. Der Atlantic-Council-Bericht empfiehlt, dass Staaten Anforderungen nach dem Prinzip “Know Your Vendor” befolgen, eine Zertifizierung für Broker und Reseller vorschreiben und entsprechende Register verbessern. Am wichtigsten sei kurzfristig, dass Regierungen und Öffentlichkeit überhaupt Einblick in den Markt erhielten. “Es ist schwierig, etwas zu regulieren, das man nicht beobachten kann”, so Roberts.
