Ein Jahr nach dem Projekt Die Folgen der Pegasus-Recherche
Vor einem Jahr enthüllten Journalisten und Aktivisten, dass die israelische Spionagesoftware Pegasus weltweit gegen Oppositionelle, Medienvertreter, Menschenrechtsaktivisten und Staatschefs eingesetzt wird. Was hat sich seitdem getan?
Normalerweise wäre die Erwähnung im "Time"-Magazin wohl ein Grund zur Freude. Der israelische Softwarehersteller NSO Group findet sich auf der Liste der "100 einflussreichsten Unternehmen des Jahres 2022" - allerdings in der wenig schmeichelhaften Kategorie "Disruptor", auf Deutsch "Störer". Und das hat mit dem erfolgreichsten Produkt der Firma zu tun - der umstrittenen Spionagesoftware Pegasus.
Es handelt sich um ein mächtiges Überwachungsprogramm, das heimlich auf Smartphones von Zielpersonen aufgespielt wird und mit dem das Opfer umfassend ausspioniert werden kann. Mit Pegasus lässt sich nahezu jegliche Kommunikation überwachen, nicht nur Telefonate, SMS und E-Mails, sondern auch eigentlich verschlüsselte Chatnachrichten über Messengerdienste.
Auch gespeicherte Dateien wie Fotos und Videos können durchsucht werden, ebenso kann das Handy geortet und über Bewegungsdaten verfolgt werden. Sogar die Kamera und das Mikrofon können mit dem Trojaner heimlich eingeschaltet und das Gerät somit als Abhörwanze missbraucht werden.
Weltweiter Einsatz durch autoritäre Regime
Vor einem Jahr hat ein internationales Konsortium aus zahlreichen Medien, darunter auch WDR, NDR, "Süddeutsche Zeitung" und "Zeit", gemeinsam mit Amnesty International und dem Citizen Lab der Universität Toronto enthüllt, dass NSO seine Pegasus-Software weltweit offenbar an autoritäre Regime und in Krisengebiete verkauft hat - etwa nach Aserbaidschan, Marokko, Mexiko, Uganda, Ungarn, Saudi-Arabien und in die Vereinigten Arabischen Emirate. Und dass der Trojaner offenbar zur Überwachung von Oppositionellen, Journalisten, Anwälten, Menschenrechtsaktivisten und sogar Staats- und Regierungschefs wie Frankreichs Präsident Emmanuel Macron eingesetzt wurde. NSO bestreitet, dass die Pegasus-Software bei Macron eingesetzt worden sei.
Seitdem ist einiges passiert. Das US-Handelsministerium hat die NSO Group mittlerweile in eine Sanktionsliste aufgenommen. Es gebe Beweise, hieß es zur Begründung im November 2021, dass die Firma Spionagesoftware an ausländische Regierungen verkauft habe, die zur "Überwachung von Regierungsbeamten, Journalisten, Geschäftsleuten, Aktivisten, Wissenschaftlern und Botschaftsmitarbeitern" eingesetzt worden sei.
Der Verkauf solcher kommerziellen Hacking-Werkzeuge bedeute eine Gefahr für die nationalen Sicherheits- und außenpolitischen Interessen der USA. Und so soll kürzlich auch eine wohl geplante Übernahme der NSO Group durch das US-amerikanische Rüstungsunternehmen L3Harris geplatzt sein, offenbar aufgrund einer Intervention der Biden-Administration.
Apple verklagt NSO
Ende 2021 wurde bekannt, dass nach WhatsApp (Meta-Konzern) nun auch Apple die NSO Group verklagt. Der iPhone-Hersteller teilte mit, die Firma müsse "für die Überwachung von und den gezielten Angriff auf Apple-Nutzer" zur Verantwortung gezogen werden. Der NSO Group werde außerdem jegliche Nutzung von Software, Dienstleistungen und Geräten von Apple untersagt. Gleichzeitig kündigte Apple an, die Arbeit von Amnesty International und dem Citizen Lab mit einer Millionenspende unterstützen zu wollen.
In Israel sollen die zuständigen Regierungsstellen außerdem die Liste jener Länder, in die Spionagesoftware verkauft werden darf, nach Enthüllungen zu Pegasus um rund ein Drittel gekürzt haben. Sie soll nur noch 37 statt zuvor 102 Staaten umfassen. Nach einem Bericht der israelischen Zeitung "Calcalist" sollen etwa Länder wie Marokko, Saudi-Arabien oder Mexiko von der Exportliste gestrichen worden sein.
Das EU-Parlament wiederum hat im März dieses Jahres einen Untersuchungsausschuss zur Verwendung der Pegasus-Software und vergleichbarer Programme eingesetzt. Die Abgeordneten wollen klären, in welchem Umfang die Technologie, "Spyware" genannt, in der europäischen Union eingesetzt wird - und gegen wen. Erste Zeugen, darunter Vertreter der Herstellerfirma NSO Group aus Israel, wurden bereits befragt.
"Catalangate" sorgt für Aufregung
Durch weitere Recherchen konnte in den vergangenen Monaten zudem aufgedeckt werden, dass der Pegasus-Trojaner offenbar innerhalb der EU öfter eingesetzt wurde als bislang bekannt war. So sollen spanische Behörden die Software dazu benutzt haben, die Separatisten-Bewegung in Katalonien auszuspionieren. Mindestens 18 Telefonnummern von katalanischen Politikern sollen mit der israelischen Software überwacht worden sein.
Die Maßnahmen erfolgten offenbar mit richterlicher Genehmigung, dennoch sorgte "Catalangate", wie die Affäre genannt wird, für eine heftige politische Diskussion in Spanien. Im Mai wurde als Reaktion schließlich die spanische Geheimdienstchefin Paz Esteban entlassen. Wie die Regierung in Madrid anschließend mitteilte, soll auch Spaniens Ministerpräsident Pero Sánchez und die Verteidigungsministerin Margarita Robles Fernández mit Pegasus ausgespäht worden sein - allerdings wohl aus dem Ausland heraus.
Einsatz gegen PiS-Kritiker in Polen
Auch in Polen soll Pegasus wohl zum Einsatz gekommen sein, und zwar gegen Kritiker der dortigen nationalkonservativen PiS-Regierung, wie Untersuchungen des Citizen Lab der Universität von Toronto nahelegen. Zu den überwachten Personen soll demnach die Staatsanwältin Ewa Wrzosek gehört haben, die die Justizreformen der Kaczynski-Regierung kritisiert hatte, sowie der prominente oppositionelle Anwalt Roman Giertych und der Senator Krzysztof Brejza.
Polens Regierungschef Jarowslaw Kaczynski räumte im Januar ein, dass polnische Behörden die Pegasus-Software erworben hatten. "Es wäre schlecht, wenn die polnischen Geheimdienste diese Art Werkzeug nicht hätten", so Kaczynski. Ein Ausspähen von Oppositionellen aber dementierte er.
BKA erwarb maßgeschneiderten Staatstrojaner
In Deutschland darf die Polizei nach einer Reform der Strafprozessordnung im Jahr 2017 Spähsoftware - sogenannte "Staatstrojaner" - nach einer richterlichen Genehmigung einsetzen, um verschlüsselte Kommunikation von Tatverdächtigen zu überwachen oder auch Festplatten zu durchsuchen.
Mehrere Versuche der NSO Group, den Pegasus-Trojaner an deutsche Behörden zu verkaufen, waren jedoch in der Vergangenheit zunächst gescheitert. Denn die Software kann mehr, als die verfassungsrechtlichen Vorgaben hierzulande erlauben.
Die NSO Group hatte dann allerdings ein maßgeschneidertes Produkt für den Einsatz in Deutschland entwickelt. Das Bundeskriminalamt (BKA) erwarb diese modifizierte Pegasus-Version im Herbst 2021, wie die Behörde schließlich in einer geheimen Sitzung vor Parlamentariern im Deutschen Bundestag zugab.
Zuvor habe es umfangreiche Prüfungen der Software gegeben, so die BKA-Vizepräsidentin. Wie oft der Trojaner bislang eingesetzt wurde, dazu will sich das BKA nicht offiziell äußern. In Sicherheitskreisen ist die Rede von weniger als einem halben Dutzend Fällen, vor allem im Bereich Terrorismus und Organisierter Kriminalität. Neben dem BKA soll zudem der Bundesnachrichtendienst (BND) die Spähsoftware einsetzen, wie inzwischen bekannt wurde.
Angeblich nur eine Medienkampagne
NSO selbst sieht sich als Opfer einer Medienkampagne. Bei der Anhörung vor dem EU-Parlament versicherte ein Vertreter des Unternehmens erneut, dass Pegasus nur an staatliche Stellen verkauft würde - und zwar auch nur in Ländern, die ein Mindestmaß an Rechtsstaatlichkeitsprinzipien erfüllen würden. Außerdem müssten die Staaten zusichern, die Software ausschließlich im Kampf gegen Terrorismus und Kriminalität einzusetzen. Bei einem Verdacht auf einen möglichen Missbrauch prüfe NSO den Einsatz und könne auch das System abschalten.