Staatstrojaner in Europa: Wenn Regierungen ihre Bürger überwachen

Mindestens 45 EU-Bürger wurden allein in einem einzigen dokumentierten Zeitraum mit der Spyware Pegasus überwacht — darunter Journalisten, Oppositionspolitiker und Menschenrechtsaktivisten. Was lange wie ein Szenario aus einem Spionageroman wirkte, ist europäische Realität: Staatstrojaner, also behördlich eingesetzte Schadsoftware, sind auf dem Kontinent längst kein Ausnahmefall mehr.

Was Staatstrojaner technisch leisten — und warum das beunruhigt

Ein Staatstrojaner ist im Kern eine Software, die verdeckt auf ein Endgerät — Smartphone, Tablet oder Computer — aufgespielt wird, ohne dass der Nutzer davon weiß oder dem zugestimmt hat. Im Unterschied zu klassischer Schadsoftware, die etwa auf Finanzdaten aus ist, dient ein Staatstrojaner dem systematischen Auslesen von Kommunikation, Standortdaten, Mikrofon- und Kamerainhalten sowie gespeicherten Dateien.

Pegasus, das Flaggschiff der israelischen NSO Group, nutzt dabei sogenannte Zero-Click-Exploits: Das Gerät muss für eine Infektion nicht einmal aktiv bedient werden. Eine einzige eingehende Nachricht — mitunter ohne sichtbaren Inhalt — reicht aus, um die vollständige Kontrolle über ein Smartphone zu übernehmen. Solche Sicherheitslücken werden als Zero-Day-Schwachstellen bezeichnet, also Lücken, die dem Hersteller des Betriebssystems noch nicht bekannt sind und für die es daher noch keinen Patch gibt. Sie werden auf dem Schwarzmarkt für teils mehrere Millionen US-Dollar gehandelt.

FinFisher, auch bekannt als FinSpy, verfolgt einen etwas anderen Ansatz: Die Software wird häufig über gefälschte Software-Updates oder infizierte Installationsdateien verbreitet. Das Ergebnis ist jedoch vergleichbar — vollständiger Zugriff auf das Gerät inklusive verschlüsselter Kommunikation über Dienste wie Signal oder WhatsApp, da die Überwachung vor der Verschlüsselung auf dem Gerät selbst ansetzt.

Die technische Besonderheit: Verschlüsselung wird umgangen, nicht gebrochen

Ein weit verbreitetes Missverständnis lautet, dass starke Verschlüsselung Überwachung unmöglich mache. Staatstrojaner setzen genau an diesem Trugschluss an. Statt die Verschlüsselung zu knacken — was bei modernen Standards wie AES-256 praktisch unmöglich ist — greifen sie die Daten direkt auf dem Endgerät ab, bevor diese verschlüsselt oder nachdem sie entschlüsselt werden. Dieser Ansatz wird in der Sicherheitsforschung als "Going Dark Bypass" bezeichnet. Für Nutzer bedeutet das: Selbst modernste Verschlüsselungstechnologie schützt nicht, wenn das Gerät selbst kompromittiert ist.

Diese Entwicklung steht in direktem Zusammenhang mit breiteren Debatten über digitale Souveränität in Europa — etwa jener um den EU AI Act: Europas KI-Regulierung als globalen Präzedenzfall, wo ähnliche Fragen nach staatlicher Kontrollmacht über digitale Systeme verhandelt werden.

Die europäischen Spyware-Affären im Überblick

Ungarn gilt als der bekannteste Pegasus-Anwender innerhalb der EU. Investigativjournalisten des Projekts "Forbidden Stories" und Amnesty International konnten belegen, dass mindestens ein Dutzend ungarischer Journalisten, Anwälte und Politiker mit der Software überwacht wurden. Die Regierung unter Viktor Orbán bestätigte den Einsatz, bezeichnete ihn jedoch als legal und für nationale Sicherheitszwecke notwendig.

In Spanien wurde Pegasus gegen katalanische Separatistenführer, Politiker und sogar gegen den spanischen Premierminister Pedro Sánchez selbst eingesetzt — was auf einen noch nicht aufgeklärten internen oder externen Akteur hindeutet. Der PEGA-Ausschuss des Europäischen Parlaments dokumentierte zudem Fälle in Polen, Griechenland und Zypern. Griechenland überwachte nachweislich den EU-Abgeordneten Nikos Androulakis mit der Pegasus-Konkurrenz-Software Predator.

Deutschland war lange Zeit vor allem als Exporteur betroffen: FinFisher, entwickelt von der Münchner Firma Gamma International, wurde unter anderem an Ägypten, Bahrain und den Sudan geliefert — Länder mit dokumentierten Menschenrechtsverletzungen. Die Staatsanwaltschaft München ermittelte, das Verfahren wurde jedoch eingestellt. Ein zweites Ermittlungsverfahren, initiiert von der Gesellschaft für Freiheitsrechte, führte immerhin zu einer Hausdurchsuchung beim Unternehmen.

Das Citizen Lab als wichtigste unabhängige Kontrollinstanz

Ohne das Citizen Lab der Universität Toronto wären viele dieser Fälle nie ans Licht gekommen. Die Forschungsgruppe entwickelte Methoden, mit denen Pegasus-Infektionen auf Geräten forensisch nachgewiesen werden können — ein technisch aufwendiges Verfahren, das die Analyse von Netzwerkverkehr, Prozessprotokollen und systemeigenen Logdateien kombiniert. Amnesty International veröffentlichte dazu das kostenlose Tool "Mobile Verification Toolkit" (MVT), das technisch versierten Nutzern eine eigenständige Überprüfung ermöglicht.

(Quelle: Citizen Lab, University of Toronto; Amnesty International Security Lab)

Anbieter, Produkte und Funktionen im Vergleich

Der rechtliche Rahmen — und seine Lücken

Aus rechtlicher Sicht bewegen sich Staatstrojaner in einem europäischen Graubereich. Die EU-Grundrechtecharta schützt das Recht auf Privatsphäre und den Schutz personenbezogener Daten (Artikel 7 und 8). Die Europäische Menschenrechtskonvention (EMRK) setzt ebenfalls klare Grenzen für staatliche Überwachung. Dennoch: Die konkrete Regulierung von Spyware-Einsatz liegt in der Zuständigkeit der Mitgliedstaaten, und deren Gesetze klaffen erheblich auseinander.

In Deutschland regelt die Strafprozessordnung den Einsatz sogenannter Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) — eine Form des staatlichen Trojaners, die ausschließlich laufende Kommunikation erfassen darf. Der Unterschied zu Pegasus: Deutsche Behörden dürfen theoretisch keine historischen Daten auslesen oder Mikrofon und Kamera aktivieren. In der Praxis ist die technische Begrenzung dieser Eingriffe jedoch schwer zu überprüfen.

Der PEGA-Ausschuss des Europäischen Parlaments empfahl in seinem Abschlussbericht ein EU-weites Moratorium für den Einsatz kommerzieller Spyware bis zur Einführung eines verbindlichen Regulierungsrahmens. Dieser Empfehlung wurde bislang nicht gefolgt. Diskutiert wird eine Einbeziehung von Überwachungstechnologie in den bestehenden Rahmen des EU AI Act: Europas KI-Regulierung als globalen Präzedenzfall, da viele moderne Spyware-Systeme KI-gestützte Verhaltensanalyse nutzen.

Laut einer Analyse des Bitkom-Verbands ist das Bewusstsein für digitale Überwachungsrisiken in der deutschen Bevölkerung in den vergangenen Jahren zwar gestiegen, jedoch mangelt es weiterhin an konkreten Schutzmaßnahmen auf individueller wie institutioneller Ebene. (Quelle: Bitkom e.V.)

Digitale Identität und staatliche Kontrolle — ein Spannungsfeld

Die Spyware-Debatte ist nicht isoliert zu betrachten. Sie steht in direktem Zusammenhang mit der Frage, wem digitale Infrastruktur und Identitätssysteme gehören und wer Zugang dazu hat. Wenn Staaten zunehmend digitale Identitätssysteme ausrollen — wie beim EU Digital Wallet: Europas digitale Brieftasche — entsteht zwangsläufig die Frage, ob die gleichen Staaten, die ihre Bürger überwachen, auch die Verwalter ihrer digitalen Identitäten sein sollten.

Ähnliches gilt für die Infrastruktur, auf der digitale Kommunikation läuft. Mobilfunknetze sind zentrale Angriffsvektoren für Staatstrojaner — ältere Netzgenerationen besonders. Insofern hat die Entwicklung hin zu neueren, sichereren Standards durchaus Relevanz für die Überwachungsdebatte, wie etwa die Entscheidung von A1 Telekom Austria, den 2G-Mobilfunkstandard zu beenden, der bekannte Sicherheitslücken wie IMSI-Catcher-Angriffe begünstigt. Auch die Konsolidierung der Telekommunikationsbranche durch Deals wie die Vodafone-Übernahme von Three für 5 Milliarden Euro verändert die Machtstrukturen in Netzen, über die Überwachung technisch abgewickelt werden kann.

Und schließlich die Halbleiterebene: Wer die Chips kontrolliert, kontrolliert potenziell auch die Backdoors. Die Diskussion um das TSMC-Werk in Dresden als Europas Weg zur eigenen Chip-Fertigung ist deshalb auch eine sicherheitspolitische — nicht nur eine wirtschaftliche.

Was Nutzer und Institutionen tun können

Vollständiger Schutz vor Staatstrojanern auf dem Niveau von Pegasus ist für Privatpersonen kaum möglich. Die Zero-Click-Technologie erfordert keine Fehler seitens der Nutzer. Dennoch gibt es Maßnahmen, die das Risiko senken: regelmäßige Betriebssystem-Updates schließen bekannte Sicherheitslücken schneller. Apple hat mit dem sogenannten "Lockdown Mode" eine Funktion eingeführt, die die Angriffsfläche drastisch reduziert, indem sie zahlreiche Funktionen deaktiviert — auf Kosten von Komfort. Journalisten, Anwälte und Aktivisten in Hochrisikoumgebungen sollten diese Option ernsthaft prüfen.

Für Institutionen empfehlen Sicherheitsexperten eine konsequente Mobile-Device-Management-Strategie, die auch forensische Analysefähigkeiten einschließt. Der Einsatz des MVT-Tools von Amnesty International kann bei begründetem Verdacht wertvolle Hinweise liefern.

Gartner prognostiziert, dass staatlich gesponserte Cyberangriffe auf Einzelpersonen und Institutionen in demokratischen Ländern in den kommenden Jahren weiter zunehmen werden — angetrieben durch die wachsende kommerzielle Verfügbarkeit von Spyware-as-a-Service-Modellen, bei denen Staaten ohne eigene technische Expertise auf schlüsselfertige Überwachungsinfrastruktur zurückgreifen können. (Quelle: Gartner Research)

IDC wiederum schätzt den globalen Markt für kommerzielle Überwachungstechnologie auf mehrere Milliarden US-Dollar jährlich — mit steigender Tendenz, trotz oder gerade wegen des wachsenden öffentlichen Drucks. (Quelle: IDC)

Demokratie unter Beobachtung

Die eigentliche politische Brisanz der Spyware-Affären liegt nicht allein in den technischen Möglichkeiten, sondern in ihrer Anwendung innerhalb von Staaten, die sich demokratischen Grundwerten verpflichtet fühlen. Wenn EU-Mitgliedstaaten Pegasus gegen Journalisten, Oppositionelle oder Parlamentarier einsetzen, ist das keine abstrakte Datenschutzverletzung — es ist ein Angriff auf die Grundpfeiler der Demokratie: freie Meinungsäußerung, politische Opposition und die Unabhängigkeit der Presse.

Die EU-Kommission steht vor der Herausforderung, dass sie einerseits auf rechtsstaatliche Verfahren in den Mitgliedstaaten angewiesen ist, andererseits aber zusehen muss, wie eben diese Rechtsstaatlichkeit durch den Einsatz von Staatstrojanern unterhöhlt wird. Ein verbindlicher EU-Rechtsrahmen für den Einsatz von Spyware existiert weiterhin nicht. Solange das so bleibt, sind die Bürger Europas nicht primär durch feindliche Mächte von außen bedroht — sondern durch Akteure aus den eigenen Reihen, ausgestattet mit Millionenbudgets und israelischer oder europäischer Überwachungstechnologie.

Dass ausgerechnet die gleiche EU, die mit dem TikTok-Verbot in den USA Bedenken über staatlichen Datenzugriff durch ausländische Mächte diskutiert, intern keine verbindlichen Standards für das Abhören eigener Bürger durchsetzen kann, ist eine der grundlegenden Widersprüchlichkeiten der europäischen Digitalpolitik der Gegenwart.