Eine Illustration zeigt ein Smartphone mit der Webseite von NSO. | AFP
Exklusiv

Umstrittene Firma in Israel BKA kaufte Spionagesoftware bei NSO

Stand: 07.09.2021 07:00 Uhr

Das BKA soll eine umstrittene Spionage-Software aus Israel eingekauft haben, mit der Smartphones überwacht werden können. Nun soll das Parlament darüber unterrichtet werden. 

Von Florian Flade, WDR, und Georg Mascolo, NDR/WDR

Was Sicherheitsbehörden können und was nicht, darüber sprechen sie aus guten Gründen nicht gerne. Ein besonders großes Geheimnis wird darum gemacht, ob Polizei, Verfassungsschutz oder BND die verschlüsselte Kommunikation von Zielpersonen überwachen können - etwa Chats über WhatsApp oder Gespräche über Skype. Um auf Smartphones oder Computern mitlesen oder mithören zu können, setzen die Behörden Spionagesoftware auf - entweder selbst entwickelte oder eingekaufte.

Florian Flade
Georg Mascolo

Das Bundeskriminalamt (BKA) soll nach Recherchen von NDR, WDR, "Süddeutscher Zeitung" (SZ) und "Die Zeit" im vergangenen Jahr eine solche Software erworben haben, und zwar ausgerechnet von der umstrittenen israelischen Firma NSO Group. Demnach sollen die deutschen Ermittler eine modifizierte Version des Programms "Pegasus" eingekauft haben, mit dem umfangreich Smartphones ausspioniert werden können. Am Dienstag soll der Innenausschuss des Deutschen Bundestages darüber unterrichtet werden. 

Liste mit Telefonnummern

Im Juli hatte ein Konsortium aus internationalen Medien sowie Amnesty International enthüllt, dass das Unternehmen NSO seinen "Pegasus"-Trojaner in zahlreiche Länder verkauft habe, in denen mit der Software offenbar nicht nur Terroristen und Schwerkriminelle überwacht worden seien, wie der Hersteller stets beteuert hatte. Auch Telefonnummern von etlichen Oppositionellen, Journalisten, Menschenrechtsaktivisten, Diplomaten und sogar Regierungschefs standen auf einer Liste, auf der die NSO-Kunden mögliche Ziele für Überwachungsmaßnahmen eingegeben hätten.

Auf der Liste standen Journalisten aus Ungarn, Mexiko und Aserbaidschan, sowie mehrere Personen aus dem Umfeld des 2018 in der Türkei ermordeten saudi-arabischen Dissidenten Jamal Khashoggi, ebenso Telefonnummern von Frankreichs Präsidenten Emmanuel Macron und dem Dalai Lama.

Produkte in Deutschland angeboten

Die Firma NSO hatte die Berichte bestritten, sie seien "voller falscher Annahmen und unbestätigter Theorien". Bei der Telefonliste handele es sich um gefälschte Informationen. Es sei keine Liste mit Zielen oder möglichen Zielen von NSO-Kunden. Die Firma habe auch keinen Zugang zu Daten ihrer Kunden.

In Deutschland soll die NSO Group bereits 2017 erstmals bei Sicherheitsbehörden vorstellig geworden sein, unter anderem beim BKA in Wiesbaden und beim bayerischen Landeskriminalamt (LKA) in München. Die IT-Fachleute sollen auf einer "Roadshow" ihre Produkte vorgestellt haben, allen voran den Trojaner "Pegasus". Zu einem Verkaufsabschluss aber soll es damals noch nicht gekommen sein.

Auf Anfrage hatte ein Sprecher des Bundesinnenministeriums im Juli erklärt, "zum Schutz der nachrichtendienstlichen und polizeilichen Arbeitsweisen" äußere man sich "grundsätzlich nicht zu Einzelheiten und Produkten der technischen Aufklärung und informationstechnischen Überwachung". Auch eine Anfrage nach dem Informationsfreiheitsgesetz zu Kontakten des Ministeriums und seiner nachgeordneten Behörden zur Firma NSO blieb ohne Erfolg. Das Ministerium gab keinerlei Unterlagen heraus.

Für Deutschland modifizierte Version

Aus Sicherheitskreisen heißt es nun, schon im Jahr 2019 habe das BKA einen Beschaffungsvorgang gestartet, um eine Spionage-Software zu erwerben, mit der verschlüsselte Kommunikation auf mobilen Endgeräten überwacht werden kann. Der "Pegasus"-Trojaner von NSO galt in seiner Standardversion allerdings als zu leistungsstark. Damit habe mehr überwacht werden können, als es die deutsche Gesetzeslage erlaube.

Das BKA habe schließlich, so sagen mit dem als "geheim" eingestuften Vorgang betraute Personen, eine modifizierte und angepasste Version der Software erworben. Auffällig ist, dass die Zentrale Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) in München nicht in die Beschaffung der Software involviert gewesen sein soll. Die Behörde wurde vor vier Jahren gegründet, um technische Lösungen für die Sicherheitsbehörden des Bundes zu entwickeln und auf dem kommerziellen Markt nach brauchbaren Produkten Ausschau zu halten. Ob der Trojaner bereits in Deutschland zum Einsatz kam, ist indes nicht bekannt.

Seit einer Änderung der Strafprozessordnung im Jahr 2017 darf die deutsche Polizei zur Strafverfolgung bei zahlreichen Delikten die sogenannte Quellen-Telekommunikationsüberwachung und die Online-Durchsuchung nach richterlicher Anordnung durchführen, um verschlüsselte Kommunikation zu überwachen und Computer oder Mobiltelefone heimlich zu durchsuchen. Dafür wird eine Spionagesoftware unbemerkt auf das Gerät aufgespielt. Das BKA hat mehrere solcher Programme selbst entwickelt und weitere kommerzielle Produkte eingekauft.

Über dieses Thema berichtete Deutschlandfunk am 07. September 2021 um 07:42 Uhr.