Spähsoftware des BKAFreiheitsrechtler reichen Datenschutz-Beschwerde gegen Einsatz von Pegasus ein

Von wenigen Wochen wurde bekannt, dass auch das Bundeskriminalamt zu den Kunden der israelischen NSO Group zählt und deren Trojaner Pegasus einsetzt. Die Gesellschaft für Freiheitsrechte sieht das als Verstoß gegen Grundrechte – und fordert eine Überprüfung durch den Bundesdatenschutzbeauftragten.

Kaufte offenbar den Pegasus-Trojaner: BKA-Chef Holger Münch. Horst Seehofer soll nicht informiert gewesen sein. (Archivbild) – Alle Rechte vorbehalten IMAGO / Political-Moments

Die Gesellschaft für Freiheitsrechte (GFF) hat beim Bundesdatenschutzbeauftragten Ulrich Kelber Beschwerde gegen den Einsatz der Spähsoftware Pegasus in Deutschland eingereicht. Anfang September war bekannt geworden, dass auch das Bundeskriminalamt die Spähsoftware der israelischen Firma NSO Group beschafft hat und Pegasus seit Anfang des Jahres einsetzt.

Das BKA gibt an, dass es sich dabei um eine stark abgespeckte Version der Spähsoftware handelt. Doch auch diese Version verstößt nach Ansicht der GFF gegen geltende Vorgaben. „Durch den Einsatz des Trojaners erhält ein privates, ausländisches Unternehmen, das mutmaßlich im Auftrag autoritärer Staaten auch Journalist*innen und Menschenrechtler*innen ausspäht, Zugriff auf hochsensible Daten der Bürger*innen in Deutschland“, so David Werdermann, Verfahrenskoordinator der GFF.

Die Spähsoftware Pegasus und die dahinter stehende NSO Group sind seit Jahren berüchtigt. Organisation wie das IT-Labor Citizen Lab an der University of Toronto haben immer wieder nachgewiesen, wie aus autoritären Staaten Pegasus zur Überwachung von Menschenrechtsaktivist*innen und Oppositionellen missbraucht haben. Erst im Juli wurde durch Recherchen von Amnesty International und einem internationalen Medienkonsortium bekannt, wie weit dieser Missbrauch geht. Journalist*innen, Menschenrechtler*innen, Rechtsanwält*innen, Oppositionelle, selbst Regierungschefs standen auf einer Liste von Spionagezielen der NSO-Kunden.

Kelber soll abgespeckte Version prüfen

Bei einer Anhörung im Innenausschuss Anfang September gab eine Vertreterin des BKA erstmals zu, die Spähsoftware Ende 2019 bei NSO Group eingekauft und Ende 2020 abgenommen zu haben. Bis dahin hatten die Regierung und Behörden jegliche Auskunft zum Thema verweigert. Die GFF bezweifelt nun in ihrer Beschwerde, dass die Software den Anforderungen genügt, die das deutsche Recht an den Einsatz von Staatstrojanern stellt.

Tatsächlich hatte das BKA hier ein Problem, weil Pegasus wesentlich mehr kann als in Deutschland erlaubt ist. So fordert das deutsche Recht eine Trennung zwischen der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und der Onlinedurchsuchung. Bei ersterem dürfen Ermittler*innen nur laufende Kommunikation mitlesen, bevor diese etwa verschlüsselt wird. Bei zweiterem dürfen sie weitere Daten auf dem Gerät durchsuchen. Informationen aus dem „Kernbereich der privaten Lebensführung“, sprich Nacktbilder oder sexuelle Nachrichten, darf das BKA dabei nicht anrühren.

NSO Group soll deswegen nach Verhandlungen mit dem BKA eingewilligt haben, einen „Pegasus-Light“ für die spezialisierten Bedürfnisse der Deutschen zu entwickeln. Das BKA sagte dazu, in dieser deutschen Version werde der Schutz des Kernbereichs durch eine sofortige und separate Datenlöschung sichergestellt, die nachträglich eingebaut worden sei.

Zusicherungen reichen nicht

Die GFF bezweifelt jedoch, dass das rechtskonform passieren kann. Denn die Server-Infrastuktur für Pegasus stellt die NSO Group selbst – und damit eine Firma, die sich außerhalb der EU befindet und in der Vergangenheit dafür bekannt geworden ist, dass Mitarbeiter die Möglichkeiten zum Ausspähen missbraucht haben sollen. Wenn intime Nachrichten oder Nacktbilder zunächst über Server der NSO Group fließen und erst nachträglich gelöscht würden, verstoße das gegen Grundrechte, so die GFF. Die Organisation sieht darin einen möglichen „Unzureichende[n] Schutz gegen unbefugte Nutzung und Kenntnisnahme“.

Das BKA habe sich nach eigenen Angaben von der NSO Group zwar vertraglich zusichern lassen, dass keine Daten an das Unternehmen abfließen. Doch: „Eine solche vertragliche Zusicherung wird den Anforderungen an den Schutz des Trojaners und der mit seiner Hilfe erhobenen Daten nicht gerecht.“ Wie genau die Funktion des eingekauften Staatstrojaners eingeschränkt wurde, ist bisher unbekannt. Wie Tagesschau.de berichtet, ist der gesamte Vorgang als „geheim“ eingestuft.

Kein Verbot, aber womöglich weitere Informationen

Mit ihrer Beschwerde will die GFF erreichen, dass der Datenschutzbeauftragte Ulrich Kelber die Software überprüft und den Einsatz durch das BKA beanstandet. Kelber weiß laut Angaben des BKA bereits seit Ende 2020 von Pegasus, er sei allerdings lediglich „im Abnahmeprozess“ über den Kauf informiert worden, zu einem Zeitpunkt also, als der Deal längst abgeschlossen war. Vorab prüfen konnte er nicht.

Eine Beanstandung des Datenschutzbeauftragten hätte zwar erst mal keine konkreten Auswirkungen für das BKA – Kelber kann den Einsatz von Pegasus nicht verbieten. Allerdings müsste sich die Regierung dann mit der Beanstandung beschäftigen. Außerdem erhofft sich der Verein dadurch, so überhaupt weitere Informationen über den Einsatz zu bekommen.

„Das Problem ist, dass wir keine Einsicht haben und die Software im Detail nicht kennen“, sagt David Werdermann, der die Beschwerde bei der GFF koordiniert. „Deswegen ist der Beauftragte erst mal der geeignete Ansprechpartner, um Licht ins Dunkel zu bringen.“ Eine strategische Klage, wie die GFF sie sonst häufig verfolgt, sei in diesem Fall ohnehin nicht möglich gewesen, denn dazu braucht es eine betroffene Person. Im Fall von Pegasus ist bislang niemand in Deutschland bekannt, dessen Telefon ausgespäht wurde. Das BKA sprach im Innenausschuss von einer „mittleren einstelligen Zahl“ von Einsatzfällen.

Neuer Pegasus-Fall in Ungarn

Unterdessen wurde gestern bekannt, dass ein weiterer Journalist in Ungarn mit Pegasus ausgespäht worden ist. Dániel Németh ist ein Fotojournalist aus Budapest, der vor allem damit befasst war, das luxuriöse Leben der ungarischen Elite im Umfeld von Victor Orbán zu dokumentieren. Wie das ungarische Investigativportal Direkt 36 berichtet, waren zwei seiner Telefone mit Pegasus ausspioniert worden.

Németh hatte sich an Sicherheitsforscher*innen des Citizen Lab gewandt, nachdem im Sommer bekannt geworden war, dass Pegasus auf den Telefonen von mehreren ungarischen Oppositionellen, Anwälten und Journalisten gefunden wurde. Eine forensische Analyse seiner Telefone bestätigte daraufhin, dass auch er abgehört wurde. Forscher*innen von Amnesty International konnten die Infektion später bestätigen.

Die Angriffe auf sein Telefon erfolgten laut Direkt 36 im Juli dieses Jahres, kurz nachdem Németh von einer Reise nach Neapel zurückgekehrt ist, wo er Aufnahmen von Lőrinc Mészáros machen wollte, einem Kindheitsfreund von Ministerpräsident Orbán, der inzwischen als einer der reichsten Männer Ungarns gilt. Zuvor hatte das Konsortium bereits aufgedeckt, dass fünf andere Journalisten in Ungarn ausspioniert worden waren, zwei davon sind Investigativreporter in der Redaktion von Direkt 36. Das Portal berichtet regelmäßig kritisch über die ungarische Regierung und die Verstrickungen Orbáns.

Eine Ergänzung

  1. The Biden administration blacklisted the NSO Group, an Israeli cyber-surveillance company, on Wednesday, saying that the company had supplied spyware that was used by foreign governments to “maliciously target” government officials, businesspeople, academics and journalists.

    NSO said in an emailed statement that it was “dismayed by the decision.”

    “Our technologies support U.S. national security interests and policies by preventing terrorism and crime, and thus we will advocate for this decision to be reversed,” the company said.
    https://www.nytimes.com/2021/11/03/business/nso-group-spyware-blacklist.html

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.