Mehrere Netzwerkkabel stecken in einem Stecker. | REUTERS
Exklusiv

Spionagesoftware "Pegasus" Darf's ein bisschen mehr sein?

Stand: 19.07.2021 05:00 Uhr

Die israelische Firma NSO wollte die umstrittene Spionagesoftware "Pegasus" auch an deutsche Behörden verkaufen. Bislang wohl ohne Erfolg. Der Trojaner kann mehr, als das deutsche Recht erlaubt.

Von Christian Baars, Florian Flade und Georg Mascolo, NDR/WDR

In einem unscheinbaren Bürogebäude im Münchner Osten befindet sich eine ziemlich unbekannte Behörde. Die Zentrale Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) wurde 2017 ins Leben gerufen. Sie ist so etwas wie Deutschlands Hackerbehörde. Als "Start-up" unter den Behörden bezeichnet sich ZITiS selbst und wirbt mit einer lockeren Arbeitsatmosphäre. Mitarbeiter müssen weder Schlips noch Sakko tragen. Wer möchte, darf seinen Hund mit zur Arbeit bringen. Behördenchef Wilfried Karl, ein ehemaliger BND-Mann, parkt im Winter sogar manchmal sein Motorrad im Büro.

ZITiS soll den deutschen Sicherheitsbehörden bei den Herausforderungen der Zukunft helfen. Die IT-Fachleute in München sollen forschen und entwickeln - zum Beispiel Cyberwerkzeuge, mit denen Polizei und Verfassungsschutz verschlüsselte Kommunikation von potenziellen Terroristen oder Drogendealern überwachen können. Aber es geht längst nicht nur um Forschung und Entwicklung, auch die Marktsichtung gehört zu den Aufgaben der noch jungen Behörde. ZITiS soll sich weltweit nach Produkten umschauen, deren Kauf sich lohnen könnte.

Angebotstour bei deutschen Behörden

Schon kurz nachdem ZITiS gegründet worden war, gab es Besuch aus Israel. Vertreter der Firma NSO Group wurden in München vorstellig, sie waren auf einer Art Roadshow und präsentierten ihr Portfolio. Darunter auch die Spionagesoftware "Pegasus", mit der Smartphones heimlich überwacht, komplett ausgespäht und sogar zu Wanzen umgewandelt werden können, um unbemerkt Gespräche mitzuschneiden.

Ein Jahr zuvor, im Oktober 2017, wurde NSO schon beim Bundeskriminalamt (BKA) in Wiesbaden vorstellig. Ebenso gab es Gespräche mit dem BND und dem Bundesamt für Verfassungsschutz. Mit den Cyberexperten vom bayerischen Landeskriminalamt (LKA) trafen sich die Vertreter der israelischen Firma im Jahr 2019 sogar gleich zwei Mal. Bei einer weiteren Vorführung im September 2019 im Innenministerium in München war sogar Minister Joachim Herrmann anwesend, wie ein Sprecher mitteilte.

Die deutschen Sicherheitsexperten waren sehr beeindruckt von der Technologie von NSO, berichten Teilnehmer der Produktvorführungen. Schließlich wurde hier der Traum vieler Ermittler präsentiert: Eine Software mit der unbemerkt die komplette Kommunikation auf dem Mobiltelefon einer Zielperson überwacht werden kann - egal ob SMS, E-Mails oder verschlüsselte Chats.

Auch Fotos und Videos können durchsucht und Passwörter ausgelesen werden. Und das alles sogar aus der Ferne, ohne physischen Zugriff auf das Telefon zu haben. An 60 unterschiedliche Behörden in 40 Ländern der Welt hat NSO seine Produkte nach eigenen Angaben bereits verkauft, offenbar für viele Millionen Euro. In Deutschland aber bekam die israelische Firma wohl nur Absagen.

"Pegasus" ist zu mächtig

Eine Umfrage von NDR, WDR, "Süddeutscher Zeitung" und "Zeit" unter den Bundesländern ergab, dass zumindest die dortigen Polizeibehörden keine Software der Firma eingekauft haben. Zu den Verfassungsschutzbehörden hingegen machten die meisten Innenministerien keine Angaben. Aus Berlin und Nordrhein-Westfalen hieß es, auch der Inlandsnachrichtendienst nutze dort keine Produkte von NSO.

Der Grund für die Zurückhaltung deutscher Behörden bei der israelischen Software dürfte sein: "Pegasus" ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt. Seit einer Änderung der Strafprozessordnung im Jahr 2017 dürfen Polizeibehörden staatliche Überwachungssoftware nach richterlicher Anordnung zur Strafverfolgung einsetzen, um verschlüsselte Kommunikation wie WhatsApp-Chats mitzulesen.

Diese Form der Überwachung wird Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) genannt und unterliegt strengen rechtlichen Vorgaben. So darf zum Beispiel nur laufende Kommunikation überwacht werden, beziehungsweise jene Chats ab dem Zeitpunkt der richterlichen Anordnung.

Wenn ein Smartphone oder ein Laptop allerdings mit Spionagesoftware heimlich durchsucht wird, stellt dies nach deutschem Recht eine Online-Durchsuchung dar. Für diese Maßnahme gelten noch höhere rechtliche Hürden, denn es handelt sich nach Ansicht des Bundesverfassungsgerichts um einen sehr schwerwiegenden Grundrechtseingriff. Der "Kernbereich privater Lebensgestaltung", so haben die Richter in Karlsruhe entschieden, seit stets zu schützen - etwa das Liebesleben von Verdächtigen.

"Gezähmte Version" - Staatstrojaner

Wie aber soll das geschehen, wenn eine Software geradezu alles abfischt, was sich auf einem Smartphone befindet und abspielt? "Pegasus" kennt die Unterscheidung der deutschen Rechtslage zwischen Quellen-TKÜ und Online-Durchsuchung nicht. Mit dem Trojaner kann de facto das gesamte Handy ausgespäht werden, egal ob Kommunikation oder gespeicherte Daten, Fotos oder Videos. Damit deutsche Behörden sie einsetzen dürften, müsste die Software demnach verändert, quasi abgespeckt werden. Einen solchen gezähmten Trojaner habe der Hersteller allerdings nicht im Angebot, sagen deutsche Sicherheitsbeamte. Die "deutschen Sonderwünsche" hätten bei den Israelis sogar eher für Kopfschütteln gesorgt.

Im BKA hat man in langjähriger Arbeit eine eigene Version einer staatlichen Überwachungssoftware, eines sogenannten "Staatstrojaners" entwickelt. Dieses Programm funktioniert allerdings nicht auf allen Geräten und nur bei wenigen Apps und ist daher wenig praxistauglich, weshalb das BKA zusätzlich ein kommerzielles Produkt der Firma FinFisher eingekauft hat. Bislang kamen diese "Staatstrojaner" allerdings kaum zum Einsatz, nur in sehr wenigen Verfahren ist dies überhaupt versucht worden.

Noch immer gilt es als zu aufwendig und kompliziert, die Software unbemerkt auf ein Zielgerät aufzubringen. Durch eine Gesetzesänderung ist es seit Kurzem nun auch den deutschen Geheimdiensten - BND, Verfassungsschutz und Militärischer Abschirmdienst - erlaubt, die Quellen-TKÜ durchzuführen. Einer solchen Überwachung muss allerdings die G10-Kommission zustimmen, ein geheim tagendes Gremium, das über Abhörmaßnahmen der Dienste entscheidet. Welche Software die deutschen Dienste in Zukunft dafür verwenden wollen, ob ZITiS diesen Trojaner selbst entwickeln oder schlichtweg einkaufen soll, ist noch unklar. Ebenso, ob die Befugnis überhaupt rechtmäßig ist.

Die FDP-Bundestagsfraktion hat in der vergangenen Woche eine entsprechende Klage beim Bundesverfassungsgericht eingereicht. Die Rechts- und Innenexperten der Partei halten den Einsatz von "Staatstrojanern" durch die Geheimdienste für verfassungswidrig.

Über dieses Thema berichtete das ARD-Morgenmagazin am 19. Juli 2021 um 05:47 Uhr.