Trojanischer Missbrauch: „Die Infrastruktur für Pegasus ist auch in Deutschland da“
Die Software „Pegasus“ soll Kriminalität bekämpfen. Doch das ist einigen Staaten offensichtlich nicht genug: Sie spähen auch Medien und Opposition damit aus.
Überrascht war Adrien Beauduin nicht, als er vor zwei Monaten vom Investigativteam der „Pegasus Papers“ die Bitte erhielt, sein Telefon analysieren zu lassen. Beauduin, 35 Jahre alt, ist einer der über 300 Personen, die Ungarn von der Spionagesoftware „Pegasus“ überwachen lassen wollte. Zumindest befand sich seine Nummer auf der Liste.
Beauduin ist belgischer Doktorand in Prag und arbeitet nebenberuflich als Journalist für die belgische Zeitung „Le Soir“. Er hatte zuvor in Ungarn studiert, an der Central European University in Budapest. 2018 war er dort als Teilnehmer auf einer regierungskritischen Demonstration und wurde festgenommen. Die Anklage, Gruppengewalt gegen Polizisten, wurde nach zwei Jahren fallengelassen. Beauduin hatte Glück, bei der Überprüfung seines Telefons wurde keine Spionage festgestellt.
Internationalen Recherchen zufolge wurde die hochentwickelte Cyberwaffe „Pegasus“ von der israelischen Firma NSO Group von zahlreichen Regierungen dazu missbraucht, Journalist:innen und Menschenrechtsaktivist:innen auszuspähen und abzuhören.
Das Recherchenetzwerk „Pegasus Papers“ konnte eine Liste mit 50.000 Telefonnummern einsehen, eine davon ist Beauduins. Allein in Frankreich sind mindestens 30 Medienschaffende betroffen, 15.000 Nummern stammen aus Mexiko. EU-Kommissionspräsidentin Ursula von Leyen nannte die Vorkommnisse „komplett inakzeptabel“, sollten sich die Vorwürfe der Spitzelei gegen Journalisten in Europa bestätigen.
Pegasusähnliches System in Deutschland möglich
In Deutschland sind bisher keine betroffenen Personen bekannt. Aber auch hier könnten ähnliche Systeme eingesetzt werden. „Die vor wenigen Wochen in Deutschland per Gesetz ausgeweitete Quellen TKÜ kann im Prinzip fast das, was Pegasus auch kann“, sagt Jochim Selzer vom Chaos Computer Club. „Wir haben damit einen rechtlichen Rahmen geschaffen, der es uns ermöglicht, zur Bekämpfung von Kriminalität ein pegasusähnliches System einzusetzen.“
Pegasus gilt unter Fachleuten als das derzeit technologisch fortgeschrittenste und leistungsfähigste Spähprogramm für Handys. Es kann infiltrierte Smartphones in Echtzeit ausspähen und die Verschlüsselung von Chatprogrammen wie WhatsApp oder Signal umgehen.
[Wenn Sie aktuelle Nachrichten aus Berlin, Deutschland und der Welt live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]
In Deutschland sollen solche Programme ausschließlich zur Kriminalitätsbekämpfung eingesetzt werden. Entsprechende rechtliche Rahmenbedingungen sollen einen Missbrauch durch staatliche Akteure verhindern. „Aber die Infrastruktur dafür ist da“, sagt Selzer.
Handel mit Schwachstellen
Vor allem durch die vielen technischen Sicherheitslücken, über die Programme wie Pegasus unerkannt auf Smartphones installiert werden können. „Die deutschen Sicherheitsbehörden haben nicht genug Personal, um alle relevanten Sicherheitslücken selbst zu finden und halten gekaufte Sicherheitslücken teilweise bewusst offen“, sagt Selzer.
In den vergangenen Jahren hatte es auch in Deutschland immer wieder Debatten darum gegeben, ob und unter welchen Umständen staatliche Institutionen bereits bekannte Schwachstellen zurückhalten sollten, und ob es ein konsequenteres Vorgehen gegen den Handel mit diesen Schwachstellen geben muss.
"Frontalangriff auf den Rechtsstaat"
Der stellvertretende Vorsitzende der Grünen-Fraktion im Bundestag, Konstantin von Notz, forderte am Montag die Bundesregierung auf, „den Handel mit Sicherheitslücken zu beenden“ und eine „Meldepflicht“ für staatliche Stellen einzuführen, die auf Schwachstellen stoßen. „Es handelt sich bei Pegasus um einen Frontalangriff auf Grundprinzipien der Rechtsstaatlichkeit. Wenn es den demokratischen Staaten dieser Welt nicht gelingt, diese Technik rechtsstaatlich einzuhegen, werden wir über die Digitalisierung unsere Freiheit verlieren“, sagte von Notz.
Gegen Trojanersoftware wie Pegasus kann ein Einzelner wenig unternehmen, außer regelmäßig Updates zu installieren, um gefundene Sicherheitslücken zu umgehen. Die Schutzmöglichkeiten liegen vor allem in schärferen Kontrollmöglichkeiten des Staates bei der Zulassung und möglichen Anwendung von Spitzelsoftware.
Schwache rechtliche Garantien in Ungarn
Das Beispiel Ungarn zeigt, was passiert, wenn es wenig staatlichen Schutz gibt. „Die rechtlichen Garantien sind in Ungarn im europäischen Vergleich sehr schwach“, sagt Márta Párdavi, Co-Direktorin der Menschenrechtsorganisation „Hungarian Helsinki Committee“.
Schon 2014 hat der Europäische Gerichtshof für Menschenrechte in Straßburg in einem Fall entschieden, dass Ungarn Gesetze zur Kontrolle über die Zulassung und Anwendung von Geheimdienstüberwachung verschärfen muss. Bislang ist der Beschluss noch nicht umgesetzt worden. „Wo struktureller gesetzlicher Wandel notwendig ist“, betont Párdavi, „kann der Staat die Umsetzung jahrelang verschleppen.“
Maßnahmen folgen Mustern
Márta Párdavi ist Juristin. Sie kennt die Möglichkeiten der ungarischen Regierung sehr gut. „Die Existenz und Nutzung der Software Pegasus ist schon seit Jahren bekannt“, sagt sie. „Wir wussten auch, dass sie vermutlich in Ungarn eingesetzt wird.“ Schon 2018 wurden Mitarbeiter:innen ungarischer NGOs mit Hilfe des israelischen privaten Nachrichtendienstes Black Cube bespitzelt, um ihre Arbeit zu diskreditieren.
Ungarische NGOs kämpfen seit Jahren gegen Gesetze und Schmutzkampagnen, die ihre Arbeit einschränken und unmöglich machen. Diese Maßnahmen würden Mustern folgen, sagt Párdavi, mit denen autoritäre Regimes in Aserbaidschan, Russland oder der Türkei Menschenrechtsorganisationen oder Investigativjournalist:innen unter Druck setzen.
„Wir sind uns dessen bewusst und erkennen die Muster, auch wenn die Intensität eine andere ist.“ Was sie bei den neuen Enthüllungen mit Sorge erfüllt, ist die Perspektive dessen, was noch passieren könnte: „Da dreht sich mir der Magen um.“
Párdavi hofft gemeinsam mit Oppositionspolitiker:innen, dass sich im Parlament der Ausschuss für nationale Sicherheit mit den Pegasus-Enthüllungen befassen wird. Auf Anfrage des Investigativteams der „Pegasus Papers“ bestritt Ungarn von „jeglicher angeblicher Datensammlung“ zu wissen und betonte, dass Ungarn ein demokratischer Rechtsstaat ist, der immer „im Einklang mit geltendem Recht agiert“. Die Fidesz-Fraktion teilte am Montag der ungarischen Presseagentur MTI mit, dass die Geheimdienste die Gesetze „vollends einhalten“ würden.