Ein von der US-Einwanderungs- und Zollbehörde mit dem israelischen kommerziellen Spyware-Anbieter Paragon Solutions unterzeichneter Vertrag über 2 Millionen US-Dollar wurde ausgesetzt und einer Compliance-Prüfung unterzogen, wie WIRED erfahren hat.
Die Prüfung des Vertrags durch das Weiße Haus stellt den ersten Test der Durchführungsverordnung der Biden-Regierung dar, mit der der Einsatz von Spyware durch die Regierung eingeschränkt wird.
Der Einjahresvertrag zwischen Paragons US-Tochtergesellschaft in Chantilly, Virginia, und ICE Homeland Security Investigations (HSI) Division 3 wurde am 27. September unterzeichnet und erstmals am 1. Oktober von WIRED gemeldet. Ein paar Tage später, am 8. Oktober, erließ HSI einen Arbeitsstopp für die Auszeichnung, „um die Einhaltung der Executive Order 14093 zu überprüfen und zu verifizieren“, sagte ein DHS-Sprecher gegenüber WIRED.
Die von Präsident Joe Biden im März 2023 unterzeichnete Durchführungsverordnung zielt darauf ab, den Einsatz kommerzieller Spyware-Technologie durch die US-Regierung einzuschränken und gleichzeitig deren „verantwortungsvollen Einsatz“ zu fördern, der mit dem Schutz der Menschenrechte im Einklang steht.
Das DHS hat nicht bestätigt, ob der Vertrag, der eine „vollständig konfigurierte proprietäre Lösung einschließlich Lizenz, Hardware, Garantie, Wartung und Schulung“ abdeckt, den Einsatz von Paragons Flaggschiffprodukt Graphite umfasst, einem leistungsstarken Spyware-Tool, das Daten hauptsächlich aus extrahieren würde Cloud-Backups.
„Wir haben sofort die Führung des DHS engagiert und sehr kooperativ zusammengearbeitet, um genau zu verstehen, was umgesetzt wurde, welchen Umfang dieser Vertrag hatte und ob er den Verfahren und Anforderungen der Executive Order entsprach oder nicht“, sagte ein hochrangiger Amerikaner offiziell. Ein Verwaltungsbeamter mit direktem Wissen über die Funktionsweise der Durchführungsverordnung sagte gegenüber WIRED. Der Beamte bat um Anonymität, um offen über die Überprüfung des ICE-Vertrags durch das Weiße Haus zu sprechen.
Paragon Solutions reagierte nicht auf die Bitte von WIRED um einen Kommentar zur Vertragsüberarbeitung.
Der in der Durchführungsverordnung beschriebene Prozess erfordert eine gründliche Due-Diligence-Prüfung sowohl des Anbieters als auch des Tools, um festzustellen, ob Probleme wie Spionageabwehr, Sicherheit und Risiken bei unangemessener Verwendung auftreten. Darin heißt es auch, dass eine Behörde kommerzielle Spyware frühestens sieben Tage nach der Übermittlung dieser Informationen an das Weiße Haus oder bis der nationale Sicherheitsberater des Präsidenten zustimmt, operativ einsetzen darf.
„Letztendlich muss die Abteilungsleitung eine Entscheidung treffen. Basierend auf den uns vorliegenden Informationen und Fakten könnte das Ergebnis sein, dass dieser spezielle Anbieter und dieses Tool keinen Verstoß gegen die Anforderungen der Executive Order darstellt“, sagte der hochrangige Beamte.