ÜberwachungBundeskriminalamt soll Pegasus-Trojaner gekauft haben

Deutschland hat offenbar eine Version der Überwachungssoftware Pegasus gekauft. Der Staatstrojaner war zuletzt international wegen der Überwachung von Journalisten, Aktivistinnen und Oppositionellen in die Schlagzeilen geraten. Die Bundesregierung mauert und hat den Vorgang als „geheim“ eingestuft.

BKA-Chef Holger Münch
Kaufte offenbar den Pegasus-Trojaner: BKA-Chef Holger Münch. (Archivbild) – Alle Rechte vorbehalten IMAGO / Political-Moments

Das Bundeskriminalamt (BKA) soll nach Recherchen von NDR, WDR, Süddeutscher Zeitung und Die Zeit Ende 2019 eine Spionagesoftware bei der israelischen Firma NSO Group beschafft haben. Es soll sich um eine modifizierte Version des Staatstrojaners „Pegasus“ handeln. Laut Tagesschau.de soll am heutigen Dienstag der Innenausschuss des Deutschen Bundestages darüber unterrichtet werden.

Ende Juli hatte eine großangelegte Recherche von Amnesty International und zahlreichen Medienhäusern gezeigt, wie Pegasus in elf Ländern eingesetzt wurde. Auch Aktivist:innen, Oppositionelle, Journalist:innen, Politiker:innen und Rechtsanwält:innen wurden mit Pegasus überwacht. Die Recherchen über den Missbrauch hatten einen weltweiten Aufschrei und heftige Kritik an der Überwachungsindustrie ausgelöst.

Mit Pegasus können Anrufe, E-Mails, SMS und verschlüsselte Chats mit Signal, WhatsApp oder anderen Messengern mitgeschnitten werden. Der Trojaner kann Fotos und Videos auf dem Handy durchsuchen und Passwörter auslesen. Pegasus ist auch zur Raumüberwachung tauglich, weil man mit dem Trojaner das Mikrofon und die Kamera des Geräts einschalten kann. Darüber hinaus lässt sich mit dem Trojaner die exakte Position des Handys orten.

Ende 2019 in Geschäft gekommen

Bislang war bekannt, dass das BKA im Jahr 2017 das erste Mal mit der NSO Group in Kontakt war. Damals ließ sich die Behörde den Staatstrojaner vorführen und hatte laut Berichten Bedenken wegen der zu weitgehenden Fähigkeiten des Spionageprogramms. Stattdessen versuchte man sich in Deutschland auch an der Eigenentwicklung eines Staatstrojaners.

Nun berichtet Zeit Online:

Offenbar entschied sich das BKA angesichts der mageren Bilanz dafür, neben der Eigenentwicklung doch auf NSOs Superwaffe Pegasus zurückzugreifen. Dem Vernehmen nach soll das BKA ab Ende 2019 mit NSO ins Geschäft gekommen sein. Nach Informationen der ZEIT bestanden die deutschen Beamten darauf, dass nur diejenigen Funktionen freigeschaltet werden, die mit den Vorgaben des Bundesverfassungsgerichtes vereinbar sind.

Vorgang als „geheim“ eingestuft

Wie genau die Funktion des eingekauften Staatstrojaners eingeschränkt wurde, ist bisher unbekannt. Wie Tagesschau.de berichtet, ist der gesamte Vorgang als „geheim“ eingestuft. Mit dem Vorgang betraute Personen sagten, das BKA habe eine modifizierte Version gekauft. Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll nicht in die Beschaffung involviert gewesen sein.

Darüber hinaus gibt es noch keine Informationen, ob, wie oft, wann und gegen wen Pegasus bislang eingesetzt wurde. Keine der bekannten Anfragen dazu beantwortete die Bundesregierung. Gegenüber den Linken-Politikerin Martina Renner antwortete die Bundesregierung, das Informationsrecht der Bundestagsabgeordneten müsse hinter den „staatswohlbegründeten Geheimhaltungsinteressen ausnahmsweise zurückstehen“. Eine Informationsfreiheitsanfrage von netzpolitik.org zum Thema lehnte das Bundeskriminalamt wegen „Geheimhaltungsinteressen“ und einer angeblichen Gefährdung der öffentlichen Sicherheit ab.

Der Einsatz von Staatstrojanern wurde immer wieder ausgeweitet. Schon 2017 hatte die Große Koalition der Polizei ihren Einsatz bei vielen Straftaten erlaubt. Im Jahr 2020 hatten Union und SPD den Einsatz von Staatstrojanern für alle deutschen Geheimdienste erlaubt. Gleichzeitig laufen mehrere Verfassungsbeschwerden auf Bundes- und Länderebene gegen die Überwachungswerkzeuge.

#1MillionForDigitalRights

Wir brauchen eine Million Euro für ein Jahr netzpolitik.org. Eine Million für ein ganzes Jahr kritischen und unabhängigen Journalismus: Denkanstöße, Berichte aus Brüssel, Analysen, Meldungen, Kommentare, Aufklärung, investigative Recherchen und Leaks. Wir machen Druck für Grund- und Freiheitsrechte in der digitalen Welt. Bis wir unser Spendenziel erreichen, fehlt noch sehr viel Geld. Deswegen:

Hier klicken und sofort spenden!

Hier klicken und sofort spenden!

7 Ergänzungen

  1. „Nach Informationen der ZEIT bestanden die deutschen Beamten darauf, dass nur diejenigen Funktionen freigeschaltet werden, die mit den Vorgaben des Bundesverfassungsgerichtes vereinbar sind.“

    Man muss bei solchen Auskünften inzwischen jedes Wort mit der Goldwaage messen: wenn die Beamten also lediglich darauf „bestanden“ haben, dann muss es ja nicht zwangsläufig auch genau so gekommen sein. Wäre nicht das erste mal.

  2. Das BKA habe eine legale Version erworben, erklärt die Vizechefin der Behörde

    Das BKA habe allerdings nicht die Standardversion der Software erworben, erklärte Vizebehördenchefin Link im Bundestag. Denn „Pegasus“ könne viel mehr, als das deutsche Gesetz erlaube. Das herkömmliche Programm unterscheide normalerweise nicht zwischen Quellen-Telekommunikationsüberwachung, also dem Mitlesen von Chats, und Online-Durchsuchung, also dem Ausspähen von gespeicherten Dateien auf einem Smartphone. Zudem sei nicht ausreichend nachvollziehbar, was die Software eigentlich so mache auf einem Zielgerät.

    Die israelische Herstellerfirma habe allerdings auf Wunsch des BKA eine technische Anpassung vorgenommen und eine Software entwickelt, die verfassungskonform eingesetzt werden könne, sagte Link. Dieser maßgeschneiderte Trojaner sei durch das BKA umfangreich überprüft worden. Man habe sich dabei auch mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) abgestimmt. Es seien außerdem Sicherheitsvorkehrungen getroffen worden, so würden die überwachten Telefonnummern durch Hashwerte verschleiert, sodass die Herstellerfirma die Zielpersonen nicht identifizieren könne. Darüber hinaus habe man sich von NSO vertraglich zusichern lassen, dass keine Daten an die Firma abfließen, sondern an das BKA.

    Quelle: https://www.sueddeutsche.de/politik/pegasus-spionage-bka-trojaner-1.5403678

    Ob Pegasus überhaupt verfassungskonform betrieben werden kann und im Einzelfall konform betrieben worden ist, müsste durch ein *unabhängiges* Gutachten in jedem Einzelfall nachweisbar sein.

    Bekanntlich machen Behörden im Allgemeinen und die Polizei im Besonderen immer wieder auch gravierende Fehler – wie alle anderen eben auch.

    Doch wie kann der rechtskonforme Einsatz überhaupt überprüft werden, wenn man den gesamten Bereich „Staatstrojaner“ unter den Schleier der Geheimhaltung stellt?

    1. „so würden die überwachten Telefonnummern durch Hashwerte verschleiert, sodass die Herstellerfirma die Zielpersonen nicht identifizieren könne“
      Schickt eben das infiltrierte Handy die eigene Nummer an die Firma. Möglichkeiten gibt es heutzutage tausende. Vielleicht als direct message über Twitter? Oder einfach als DNS-request getarnt? Natürlich immer verschlüsselt.

      „Darüber hinaus habe man sich von NSO vertraglich zusichern lassen, dass keine Daten an die Firma abfließen, sondern an das BKA.“
      Und an den Mossad. Und an die CIA. Und an wer weiß noch wen! Ich habe wenig vertrauen darauf, dass von einem durch das BKA infiltrierten Handy wirklich nur Daten an das BKA fließen werden. Und ich weiß jetzt schon, dass es dem BKA gleichgültig sei wird, weil das schon immer so war.

    2. Ich finde ja den Satz „so würden die überwachten Telefonnummern durch Hashwerte verschleiert, sodass die Herstellerfirma die Zielpersonen nicht identifizieren könne“ sehr sehr gruselig.

      Warum wird da überhaupt irgendetwas an die Herstellerfirma übermittelt? Das weckt bei mir jedenfalls nicht gerade Vertrauen, dass da in irgendeiner Weise datensparsam und datenschutzkonform gearbeitet wird.

    3. Diese „Sicherheitsvorkehrungen“ sind allesamt Makulatur. Die NSO Group bekommt nach dieser Darstellung zunächst nur einen Hash der Telefonnummer des Opfers. Aber spätestens wenn der Staatstrojaner alle Daten des Telefons auf deren Server hochlädt, haben sie Zugriff auf die gespeicherten Kontakte und somit die Telefonnummer. Und auf die Telefonnummer aller Kontakte des Opfers. Und auf alle anderen auf dem Telefon gespeicherter Daten. Und auf alle Sensoren (auch Kamera und Mikrofon!) des Telefons.

      Dass NSO Zugriff auf diese Daten hat erkennt man am letzten zitierten Satz. Hätten sie keinen Zugriff darauf, müssten sie auch nicht vertraglich zusichern, dass sie keinen Scheiß damit machen. Kontrollieren können die deutschen Unsicherheitsbehörden das natürlich nicht.

  3. Meine Gegenmaßnahmen:

    – GNU/Linux als OS (meine Empfehlung: Debian)
    – verschlüsselt über eine VPN Verbindung kommunizieren
    – zwei Computer: einer fürs Internet (Tor-Browser) und der andere ohne LAN/WLAN Verbindung zum Internet mit verschlüsselter Partition
    – E-Mails mit persönlichen (vertraulichen) Inhalten werden – wo immer möglich – nur noch PGP verschlüsselt übertragen oder die Inhalte als Dateianhang symmetrisch verschlüsselt an den Empfänger weitergeleitet

    Weitere Informationen, wie man seine Privatsphäre schützen kann, findet man unter dem Link https://prism-break.org

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.