Mit der Schadsoftware Pegasus von der israelischen Firma NSO Group wurden und werden Menschen auf der ganzen Welt überwacht. Eine großangelegte Recherche zeigt, wie die Software in elf Ländern gegen Aktivist:innen, Oppositionelle, Journalist:innen, Politiker:innen und Rechtsanwält:innen eingesetzt wurde. Da sich die Berichte und Artikel auf viele Medien verteilen, stellen wir einen Überblick zu den wichtigsten Themen der koordinierten Recherche zur Verfügung.
Was ist der Auslöser?
Dass die Geschichte überhaupt so groß wurde, ist der Menschenrechtsorganisation Amnesty International und dem Medienprojekt Forbidden Stories zu verdanken. Während das Security Lab von Amnesty die technische Untersuchung unternahm, fungierte Forbidden Stories als Knotenpunkt für die Recherchen. Ungeklärt ist, auf welchem Weg der NSO-Datensatz von 50.000 Telefonnummern zu Amnesty und Forbidden Stories gelangte, der die Recherchen in Gang setzte. Aus Gründen des Quellenschutzes machen die beteiligten Medien keine Angaben zur Herkunft der Daten.
Wer recherchiert zum Fall?
Am Pegasus-Projekt arbeiteten mehr als 80 Journalist:innen aus 17 Medienorganisationen in zehn Ländern. Zu ihnen gehören: Aristegui Noticias, Daraj, Die Zeit, Direkt36, The Guardian, Haaretz, Knack, Le Monde, Le Soir, The Organized Crime and Corruption Reporting Project, PBS Frontline, Proceso, Radio France, Süddeutsche Zeitung, the Washington Post und The Wire.
Wo finde ich die Recherchen zum Pegasus-Projekt?
Viele der beteiligten Medien haben Übersichts- und Projektseiten angelegt:
In welchen Ländern wurde Pegasus laut der Recherchen eingesetzt?
In den veröffentlichten Dokumenten ist der Einsatz der Schadsoftware in den elf Ländern Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Togo und den Vereinigten Arabischen Emiraten nachgewiesen. Die NSO Group unterhält mit vielen anderen Ländern Geschäftsbeziehungen.
Wer sind die Kunden der NSO Group?
Neben den Ländern, über die im Rahmen der Recherche berichtet wird, gibt es noch zahlreiche weitere Länder, die Kunden der NSO Group sind. Citizen Lab hat insgesamt 45 Länder identifiziert:
Algerien, Ägypten, Bahrain, Bangladesch, Brasilien, Elfenbeinküste, Frankreich, Griechenland, Großbritannien, Indien, Irak, Jordanien, Jemen, Kanada, Katar, Kasachstan, Kenia, Kuwait, Kirgistan, Lettland, Libanon, Libyen, Marokko, Mexiko, Niederlande, Oman, Pakistan, Palästina, Polen, Ruanda, Saudi-Arabien, Singapur, Südafrika, Schweiz, Tadschikistan, Thailand, Togo, Tunesien, Türkei, Vereinigte Arabische Emirate, Uganda, USA, Usbekistan und Sambia.
Wie ist Deutschland verwickelt?
Das Bundeskriminalamt hat sich die Trojaner-Software Pegasus im Jahr 2017 von der NSO Group vorführen lassen. Dort waren die IT-Experten begeistert, berichtet Zeit Online. Im Jahr 2019 sprach die Überwachungsfirma dann beim Joachim Herrmann, dem bayerischen CSU-Innenminister, vor. In beiden Fällen führte die Präsentation nicht zum Kauf von Pegasus, sie zeigt aber, dass auch Deutschland offen für eine Nutzung der umstrittenen Software war.
Wer wurde überwacht?
Mit der Schadsoftware werden und wurden zahlreiche Aktivist:innen, Oppositionelle, Journalist:innen, Rechtsanwält:innen, Geschäftsleute und Politiker:innen überwacht. Auf 37 Smartphones fanden IT-Experten die Software oder Reste davon. Die Zahl der Überwachten ist aber viel höher, die Recherchen gehen allein von 180 betroffenen Journalist:innen aus. Sie arbeiten unter anderem beim Wall Street Journal, CNN, New York Times, Al Jazeera, France 24, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, Agence France-Presse, Economist, Reuters and Voice of America.
Die mittlerweile bekanntesten Fall der Überwachung sind der französische Präsident Emmanuel Macron und der EU-Ratspräsident Charles Michel, berichtet Tagesschau.de. Dort heißt es weiter: „Zudem sollten offenbar im Jahr 2019 auch der damalige Premierminister Édouard Philippe sowie mehrere Ministerinnen und Minister in Frankreich ausgespäht werden, unter ihnen die noch amtierenden Kabinettsmitglieder Außenminister Jean-Yves Le Drian, Wirtschaftsminister Bruno Le Maire und Bildungsminister Jean-Michel Blanquer. Es fanden sich auch die Nummern des damaligen Budget- und heutigen Innenministers Gérald Darmanin, seines Vorgänger im Innenressort, Christophe Castaner, und der damaligen Justizministerin Nicole Belloubet.“
Bis das bekannt wurde, war der bekannteste Fall von Pegasus-Überwachung die Familie des ermordeten Journalisten Jamal Khashoggi, die vor und nach dessen brutaler Ermordung ausspioniert wurde.
Mit Pegasus überwacht wurden nicht nur Zielpersonen durch autokratische Staaten, sondern auch im EU-Land Ungarn. Das Pegasus-Rechercheteam entdeckte die Telefonnummern der beiden Journalisten Szabolcs Panyi und András Szabó in den Daten. Sie arbeiten für das Investigativmedium Direkt36, einem der letzten Medien, die nicht unter dem Einfluss von Orbáns Regierung stehen. Das Technik-Team von Amnesty fand daraufhin bei seiner Analyse Spuren der Software auf deren Smartphones, die darauf hindeuten, dass die beiden 2019 für mehrere Monate ausgespäht wurden. In dieser Zeit recherchierten sie zu Banken-Deals und anderen pikanten Geschichten. In der Liste potentieller Zielpersonen fanden sich außerdem die Nummern von mindestens zehn Anwält:innen und einem Oppositionspolitiker, auch drei weitere Journalisten waren darunter, berichtet der The Guardian. Sie wollten ihre Telefone jedoch entweder nicht analysieren lassen oder besaßen sie nicht mehr, sodass ein Nachweis der Installation nicht möglich war.
In Mexiko wurde Pegasus vielfach genutzt. Der mexikanische Journalist Cecilio Pineda Birto wurde ermordet, nachdem er über Korruption berichtet hatte. In den Wochen zuvor hatte Pineda eine Reihe von anonymen Morddrohungen erhalten. Etwa zur gleichen Zeit wurde seine Handynummer von einem mexikanischen Kunden der Spyware-Firma NSO Group als mögliches Ziel für eine Überwachung ausgewählt. Doch das ist nicht der einzige Fall. Allein zwischen 2016 und 2017 wurden in Mexiko 15.000 Menschen ins Visier genommen. In dem Datensatz, der im Zuge des Pegasus-Projekts ausgewertet wurde, befinden sich die Telefonnummern von 26 mexikanischen Journalisten, etwa der frühere Bürochef der „New York Times“, ebenso eine CNN-Produzentin, dazu die Familie und das Umfeld des heutigen Präsidenten und damaligen Oppositionsführers André Manuel López Obrador.
Im autoritären Aserbaidschan wurden mit Pegasus zahlreiche Journalist:innen und Menschenrechtsaktivisten überwacht. Marokko hat das investigative Medienprojekt Mediapart in Frankreich überwachen lassen. Auch in Indien wurden Vertreter der Opposition überwacht.
Der Chef von Whatsapp, Will Cathcart, gab am Samstag bekannt, dass im Jahr 2019 hohe Regierungsvertreter weltweit, darunter auch „Alliierte der USA“, von Pegasus ausspioniert worden seien. Dies sei im Rahmen eines großen Angriffs mit der Spionagesoftware gegen 1.400 Whatsapp-Nutzer geschehen.
Wie rechtfertigt sich die NSO Group für Pegasus?
Die NSO Group behauptet auf ihrer Webseite, dass es seine Software nur zum Zwecke der Bekämpfung von Terrorismus und Kriminalität verkaufe. Auf Anfrage des internationalen Rechercheteams im Rahmen des Pegasus-Projekts teilte die NSO Group mit, dass es sich bei vielen der in der gesamten geplanten Berichterstattung aufgeführten Punkte um „falsche Behauptungen“ handele. Es gebe für sie „keine faktische Grundlage“. Zu einzelnen Kunden will sich das Trojaner-Unternehmen nicht äußern. Man befinde sich auf einer „Lebensrettungsmission“. Die NSO Group fügte hinzu, die 50.000 Mobilnummern hätten für das Unternehmen „keine Relevanz“.
Shalev Hulio, einer der Gründer der NSO Group, sagte in Reaktion auf die Presseberichte, dass der Durchschnittsmobiltelefonnutzer „nichts zu befürchten hätte“. Er verband diese Aussage mit einer kaum verhohlenen Werbung für das Produkt Pegasus. Zwar könne die Spyware seiner Firma in aktuelle Mobiltelefone mit der neuesten Betriebssystemversion eindringen, meist sogar ohne Zutun des Nutzers, aber sie richte sich „ausschließlich gegen Kriminelle“.
Gibt es Reaktionen von den Ländern, die Pegasus eingesetzt haben?
Ja, es gibt Reaktionen. Ruanda streitet ab, die Software eingesetzt zu haben. Ungarn sagt, es sei ein Rechtsstaat und man solle die Fragen doch an Deutschland und die USA schicken. Marokko streitet ab, Verbindungen zur NSO Group zu haben. Frankreichs Regierung kündigte daraufhin eine Untersuchung an, wie Regierungssprecher Gabriel Attal mitteilte. Indien behauptet, dass es keine nicht-autorisierte Überwachung gegeben habe. The Guardian hat die Reaktionen im Wortlaut.
Gibt es Reaktionen von Israel auf die Firma, die von ihrem Land aus operiert?
Zunächst gab es keine Reaktion von der israelischen Regierung. Sie hat enge Verbindungen zur NSO Group. Laut dem Spiegel interessiert sich Israel nicht dafür, ob Journalisten oder Aktivisten ins Visier geraten. Der Anwalt Eitay Mack klagt seit Jahren gegen ihren Export – vergeblich. Hier sagt er, wie die Cyberwaffe Israel politisch nützt.
Am Mittwoch meldete Reuters dann, es würde nun wohl doch ein Arbeitsstab eingerichtet. Diese Task Force solle die Vorwürfe gegen die NSO Group bewerten. Am Donnerstag bestätigte Ram Ben-Barak, eine ehemaliger Vize des Mossad, dass eine Kommission zur Prüfung einberufen wurde.
Was sind unmittelbare Reaktionen anderer?
Amazon hat das Servernetz der NSO Group bei sich abgeschaltet.
Was kann Pegasus?
Oft wird das Produkt der NSO Group schlicht Spyware genannt, also eine Spionagesoftware, die verdeckt auf dem Mobiltelefon plaziert wird. Mit Pegasus können Anrufe, E-Mails, SMS und mit Signal, WhatsApp oder anderen Messengern verschlüsselte Chats überwacht werden. Der Trojaner kann Fotos und Videos auf dem Handy durchsuchen und Passwörter auslesen. Pegasus ist auch zur Raumüberwachung tauglich, weil man mit dem Trojaner das Mikrofon und die Kamera des Geräts einschalten kann. Darüber hinaus lässt sich mit dem Trojaner die exakte Position des Handys orten.
Wie funktioniert Pegasus technisch?
Pegasus ist ein so genannter Trojaner. Das ist eine Software, die getarnt auf einem System von außen steuerbar ist und dort bestimmte Anwendungen ausführt. Um den Trojaner auf einem Handy zu installieren, gibt es laut der Tagesschau zwei Möglichkeiten: Bei der ersten wird die Zielperson dazu verleitet, einen Link zu klicken und den Download der Schadsoftware selbst in die Wege zu leiten. Bei der zweiten wird eine „unsichtbare“ Nachricht verschickt, welche dannn unter Ausnutzung einer Sicherheitslücke den Trojaner auf dem Smartphone installiert. Ist der Trojaner installiert, kann er von außen angesprochen werden und Daten nach außen ausleiten.
Zur Technik von Pegasus und wie man die Software und Software-Reste auf den infizierten Smartphones entdecken konnten, hat das Security Lab von Amnesty International einen ausführlichen Bericht veröffentlicht. Der Bericht dokumentiert die Pegasus-Spyware-Angriffe seit 2018 und enthält Details zur Infrastruktur der Spyware, darunter mehr als 700 Pegasus-bezogene Domains. Das kanadische Citizen Lab hat dabei in einem Peer-Review die Untersuchungen von Amnesty nachvollziehen und bestätigen können.
Wie kann man sich schützen?
Wer mit Pegasus ausgespäht werden soll, ist weitgehend schutzlos. „Es gibt keine wirksame technische Möglichkeit für einen Benutzer, gegen diese Art von Angriffen vorzugehen“, warnt der IT-Sicherheitsexperte Claudio Guarnieri vom Amnesty International Security Lab. Er bezieht sich dabei auf die gängigen Betriebssysteme auf Mobiltelefonen, vor allem iOS und Android.
Wie kann ich rausfinden, ob ich selbst betroffen bin?
Es gibt eine Art Werkzeugkasten, mit dem technisch versierte Menschen herausfinden können, ob sie infiziert sind. Bei TechCrunch gibt es eine Anleitung, wie das geht.
Welche politischen Forderungen gibt es?
Die Reaktionen gehen in verschiedene Richtungen. Manche Stimmen fordern das komplette Verbot des Verkaufs solcher Software, andere das Verbot des Verkaufs in autoritäre Regime.
Es gibt aber auch Kritik an der grundlegenden Erfassung von Mobilfunknummern, die es Geheimdiensten und anderen Behörden erleichtert, Zielpersonen zu finden und auszuspionieren. Kritik kommt aber auch an Gesetzen, die den Einsatz von Staatstrojanern erlauben auf, weil sie die rechtliche Grundlage für solche Überwachungstechniken schaffen.
Der Whistleblower Edward Snowden fordert ein Moratorium für den Handel mit Cyberwaffen. Die Organisation Reporter ohne Grenzen fordert ein Verbot des Handels von solchen Überwachungstechnologien. Der Deutsche Journalistenverband fordert Aufklärung, ob deutsche Journalist:innen von der Überwachung betroffen sind.
Der ehemalige UN-Sonderberichterstatter David Kaye und die frühere EU-Abgeordnete Marietje Schalke nennen die Spähsoftware eine „Gefahr für die Demokratie“. Sie fordern ein sofortiges Moratorium auf Handel und Weitergabe solcher Software, eine funktionierende Exportkontrolle und die Schaffung von Wegen, um Regierungen und Überwachungsfirmen zu verklagen. Kaye erläutert dies auch nochmal im Interview mit der Süddeutschen.
Die Vereinten Nationen nennen die Berichte alarmierend und fordern eine menschenrechtszentrierte Regulierung solcher Überwachungssoftware.
EU-Kommissionsvorsitzende Ursula von der Leyen nannte die Berichte ebenfalls „alarmierend“. Sie stellte aber klar, dass die Medienberichte noch überprüft werden müssten: „Wenn dies der Fall ist, dann ist das völlig inakzeptabel und ein Verstoß gegen alle Werte und Regeln, die wir in der EU in Bezug auf Medienfreiheit haben.“ Die Grünen im EU-Parlament fordern eine Untersuchung und ein Vertragsverletzungsverfahren gegen Ungarn.
Was sind die Reaktionen der deutschen Politik?
Die Bundesregierung verwies in der Bundespressekonferenz darauf, dass in Deutschland Recht und Gesetz gelten würden. Die Regierung wollte sich weder zu Pegasus noch zu ähnlichen Programmen, welche deutsche Behörden nutzen, äußern. Grundsätzlich werde niemand überwacht, weil er journalistischer Arbeit nachgehe. Zu Ungarn wollte sich die Bundesregierung nicht äußern. Die Opposition, aber auch Vertreter der SPD sprachen sich gegen Pegasus und gegen den Einsatz von Staatstrojanern generell aus.
Update 18:25 Uhr:
Der Artikel wurde aktualisiert und die Überwachung des französischen Präsidenten Emmanuel Macron hinzugefügt.
Update Montag, 26. Juli:
Der Artikel wurde um Reaktionen erweitert.
Der Artikel sollte die Verwendung von Pegasus gegen katalanische Politiker durch die spanische Regierung nicht außer acht lassen und entsprechend eingeordnet werden.
Glücklicherweise wurde auch in anderen Medien darüber in der Vergangenheit über die konkreten Fälle berichtet. Leider findet man Spanien jedoch nicht unter den aufgelisteten Staaten, die Pegasus gegen politische Gegner eingesetzt haben, obwohl dass offensichtlich der Fall ist.
https://www.tagblatt.ch/international/unheimliche-erkenntnis-projekt-pegasus-deckt-neuen-weltweiten-ueberwachungsskandal-auf-die-6-wichtigsten-fragen-und-antworten-ld.2164961
„Im Frühling 2019 wurde auch die in die Schweiz geflohene Ex-Abgeordnete der separatistischen Partei CUP im katalanischen Parlament, Anna Gabriel, mit der Software überwacht.“
https://www.derstandard.at/story/2000118725363/katalanischer-politiker-soll-ziel-von-spyware-durch-regierung-gewesen-sein
https://www.heise.de/tp/features/Pegasus-Spionagesoftware-gegen-Journalisten-und-Aktivisten-im-Einsatz-6142288.html
https://www.n-tv.de/politik/Madrid-soll-Katalanenchef-ausspioniert-haben-article21911036.html
AmnestyTech bietet auf GitHub auch noch eine Liste an, wie man eine Infektion erkennen kann.
Unter anderem welche eMail Adressen und URLs genutzt werden.
https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso
Auch wenns etwas spät ist: Wie die Whashington Post selbst schreibt, handelt es sich bei den 45 Ländern nicht um eine List der NSO-Kunden. Es ist eine Liste an Ländern, in welchen mit Pegasus infizierte Geräte entdeckt wurden. Die Ausspähung kann aber auch aus dem Ausland erfolgen (Macron wird sich ja nicht selbst ausspionieren).