Staatstrojaner in Europa: Wenn Regierungen ihre Bürger überwachen
Pegasus, FinFisher, NSO Group — der aktuelle Stand der Spyware-Affären
Die Nachricht traf die europäische Öffentlichkeit wie ein Schlag: Journalisten, Aktivisten und Oppositionspolitiker waren systematisch mit einer Spyware namens Pegasus überwacht worden. Das Programm der israelischen Firma NSO Group ermöglicht es, Smartphones vollständig zu infiltrieren – ohne dass die Betroffenen etwas bemerken. Hunderte Fälle wurden dokumentiert, viele davon in vermeintlich liberalen Demokratien wie Frankreich, Spanien und Griechenland. Seitdem ist eine unbequeme Debatte entfacht: Wenn Staaten die technologischen Mittel haben, ihre eigenen Bürger zu überwachen – welche Mechanismen halten sie dann wirklich davon ab?
Kerndaten: In Europa wurden mindestens 180 dokumentierte Fälle bekannt, in denen Pegasus gegen Journalisten, Aktivisten und Politiker eingesetzt wurde (Quelle: EU-Parlament, PEGA-Untersuchungsausschuss, 2023). Die NSO Group beschäftigt schätzungsweise 700 bis 800 Mitarbeiter und erzielte zuletzt einen Jahresumsatz von über 240 Millionen US-Dollar (Quelle: Bloomberg, 2021). Das Citizen Lab der Universität Toronto identifizierte Pegasus-Infrastruktur in mindestens 45 Ländern weltweit. In Deutschland unterliegt der staatliche Einsatz vergleichbarer Software dem Telekommunikationsgesetz sowie dem Urteil des Bundesverfassungsgerichts von 2016, das strenge Subsidiaritätsprinzipien vorschreibt. Das Europäische Parlament hat mit dem PEGA-Ausschuss eine eigene Untersuchungskommission eingesetzt; die EU-Kommission prüft seit 2023 verbindliche Regulierungsrahmen für den Einsatz kommerzieller Spyware durch Mitgliedstaaten.
Staatliche Überwachung per Spyware: Wie Pegasus technisch funktioniert
Um zu verstehen, warum Pegasus und ähnliche Programme so gefährlich sind, muss man ihre technische Funktionsweise kennen. Bei klassischer Schadsoftware müssen Nutzer in der Regel einen Link anklicken oder eine verdächtige Datei öffnen – ein Moment der menschlichen Unachtsamkeit, den Angreifer ausnutzen. Pegasus arbeitet anders, erheblich perfider. Die Software nutzt sogenannte Zero-Click-Exploits: Sicherheitslücken, die keinerlei Interaktion des Opfers erfordern. Eine präparierte iMessage, eine WhatsApp-Anfrage, ein PUSH-Paket – das reicht aus. Der Angriff findet statt, bevor der Nutzer überhaupt etwas wahrnimmt.
Technisch basiert Pegasus auf Zero-Day-Schwachstellen – also Lücken, die dem jeweiligen Hersteller zum Zeitpunkt des Angriffs noch unbekannt sind. Das Citizen Lab der Universität Toronto dokumentierte 2021 den sogenannten FORCEDENTRY-Exploit, der eine Schwachstelle im Apple-eigenen Image-Rendering-System ausnutzte, um iPhones ohne jeden Nutzerklick zu kompromittieren. Apple schloss die Lücke mit iOS 14.8 – doch die NSO Group hatte zu diesem Zeitpunkt bereits Monate lang darauf zugegriffen.
Ist Pegasus einmal installiert, gibt es auf dem Gerät praktisch nichts mehr, das verborgen bleibt. Die Spyware kann Anrufe aufzeichnen, SMS lesen, verschlüsselte Nachrichten in Messenger-Apps wie Signal oder WhatsApp abgreifen, bevor diese verschlüsselt werden, sowie Kamera und Mikrofon in Echtzeit aktivieren. Passwörter und Zwei-Faktor-Authentifizierung bieten keinen Schutz mehr, da der Angreifer nicht das Netzwerk abhört, sondern direkt auf dem kompromittierten Gerät operiert. Besonders alarmierend ist die Spurenarmut: Pegasus verbraucht wenig Speicher, erscheint nicht in der App-Liste und hinterlässt im Systemprotokoll kaum verwertbare Einträge. Forensische Analysen erfordern spezialisierte Tools wie das Mobile Verification Toolkit (MVT) des Citizen Lab.
Die NSO Group argumentiert, ihre Produkte seien ausschließlich zur Verfolgung von Schwerkriminellen und Terroristen bestimmt und würden nur an staatliche Behörden verkauft, nicht an private Unternehmen. Die dokumentierten Fälle zeichnen ein anderes Bild: Journalisten, die über Korruption berichteten, wurden ausspioniert. Angehörige des saudischen Dissidenten Jamal Khashoggi standen vor seiner Ermordung unter Beobachtung. In Griechenland wurde der Journalist Thanasis Koukakis mit Pegasus überwacht – parallel dazu setzte der griechische Staat eine eigene Variante namens Predator ein. Das deutet auf systematischen Missbrauch hin, der weit über die erklärten Einsatzzwecke hinausgeht. Besonders in autoritären Systemen zeigt sich, wie TikTok-Verbot in Europa: Fünf EU-Länder sperren die App — kommt Deutschland nach? – auch solche Kontrolltechnologien zur Kontrolle der Bevölkerung genutzt werden können.
Die kommerzielle Spyware-Industrie: NSO Group, FinFisher und weitere Anbieter
NSO Group und Pegasus: Marktführer unter Druck
Die NSO Group wurde 2010 in Israel gegründet – der Name leitet sich von den Initialen der Gründer Niv Carmi, Shalev Hulio und Omri Lavie ab. Das Unternehmen entwickelte sich zur weltweit bekanntesten Anbieterin staatlicher Überwachungstechnologien. Der Einsatz solcher Technologien durch staatliche Akteure ist dabei eng mit der Frage von Kontrollmechanismen verbunden. Friedrich Merz: Die ersten 100 Tage als Bundeskanzler hat sich in Deutschland mit Fragen der Überwachungsgesetzgebung befasst. Auch Zwischenbilanz nach einem Jahr: Wie Bürger die Merz-Regierung bewerten zeigt, dass Datenschutz und Überwachungspraktiken zunehmend Wahlthemen werden. Überdies wird die Frage der Überwachung im Kontext europäischer Sicherheitspolitik bedeutsam – etwa bei Trump und Europa: Was die US-Außenpolitik für uns bedeutet.
