NSO GroupZwölf EU-Länder nutzen Pegasus-Staatstrojaner

Der Staatstrojaner-Hersteller NSO Group teilte dem EU-Parlament mit, dass derzeit zwölf EU-Länder die Spionagesoftware Pegasus nutzen. Mit zwei weiteren gab es Verträge, die mittlerweile beendet wurden. Um welche Länder es geht, ist nur zum Teil bekannt.

Eine bronzene Pegasusfigur lehnt an einem Smartphone
Mehr EU-Staaten als bisher bekannt nutzen den Staatstrojaner Pegasus. – Alle Rechte vorbehalten IMAGO/Christian Ohde

Eine Delegation aus dem EU-Pegasus-Untersuchungsausschuss ist nach Israel gereist, um nach Antworten im Spionagesoftware-Skandal rund um den Staatstrojaner Pegasus suchen. Dafür besuchten die EU-Abgeordneten israelische Forscher:innen und Menschenrechtsverteidiger:innen, aber auch den Staatstrojaner-Hersteller NSO Group selbst. Seit März versucht der Ausschuss unter anderem aufzuklären, welche EU-Staaten die Spähsoftware Pegasus oder ähnliche Werkzeuge eingesetzt haben und wo es dabei zu Menschenrechtsverletzungen und Gesetzesbrüchen kam.

Währenddessen hat der Pegasus-Hersteller NSO Group dem Ausschuss schriftliche Antworten auf zuvor eingereichte Fragen geschickt. Daraus geht hervor: Zwölf der 27 EU-Staaten nutzen derzeit insgesamt 15 Pegasus-Systeme. Manche Länder haben demnach mehr als ein System gekauft. Die Anzahl der Behörden, die Zugriff auf Pegasus-Systeme haben, beläuft sich auf 22. Doch NSO Group hatte zuvor offenbar mehr Kunden unter den Mitgliedstaaten: Mit zwei weiteren Ländern seien Verträge mittlerweile beendet worden. Von welchem Vertragspartner, geht aus der Antwort nicht hervor.

Zusammengenommen hat oder hatte NSO Group demnach Geschäftsbeziehungen mit 14 EU-Staaten – mehr als die Hälfte der Mitgliedsländer. Die Berichterstatterin des Ausschusses Sophie in ‚t Veld sagte: „Das Unternehmen hat Spionagesoftware an vierzehn EU-Regierungen verkauft und dabei von der israelischen Regierung ausgestellte Exportlizenzen genutzt.“ Der Besuch habe neue Erkenntnisse verschafft, „auch über die Unwirksamkeit der Schutzmaßnahmen gegen Missbrauch“.

„Aussagen der Firmenchefs komplett nutzlos“

Die EU-Abgeordnete Cornelia Ernst (LINKE) ist enttäuscht von den Antworten, die der Ausschuss bekommen hat. „Erstmals haben wir jetzt Zahlen zur Nutzung der NSO-Spionagesoftware in der EU, das war’s dann aber auch“, schreibt sie. „Die Aussagen der Firmenchefs im EU-Parlament wie auch beim Treffen mit meinen Kolleg:innen aus dem Untersuchungsausschuss in Israel waren ansonsten komplett nutzlos.“ Sie wirft den Firmenangehörigen von NSO Group unter anderem vor, Dinge zu verdrehen und herunterzuspielen. Treffen mit israelischen Akademiker:innen und Aktivist:innen sowie Spähsoftware-Opfern aus palästinensischen Gebieten hätten „deutlich mehr Erkenntnisse“ gebracht.

Der Ausschussvorsitzende Jeroen Lenaers bezeichnete die Reise in der Ausschuss-Pressemitteilung auf der einen Seite als „interessant und fruchtbar“. Gleichzeitig kommt der niederländische Christdemokrat zum Ergebnis: „Es ist noch zu früh für Schlussfolgerungen. Aber dieser Besuch hat sicherlich die Notwendigkeit unterstrichen, dass es zusätzliche Anstrengungen auf europäischer Ebene braucht, um den Missbrauch dieser Technologie in Zukunft zu verhindern. Viele Fragen sind noch offen und müssen weiter untersucht werden.“

Dass von dem Staatstrojaner-Hersteller selbst keine aufschlussreichen Informationen zu erwarten waren, hatte der israelische Anwalt Eitay Mack dem Untersuchungsausschuss in seiner letzten Sitzung vor der Reise bereits prophezeit: „Sie werden in Anzügen und mit freundlicher Attitüde kommen und in eurer Sprache sprechen“, sagte er in der Sachverständigenanhörung. Fakten aber seien keine zu erwarten. Auch in einer vorangehenden Anhörung im Juni blieb ein Vertreter von NSO Group viele Antworten schuldig. Damals hatte er noch von „mindestens fünf“ EU-Staaten geredet, die Pegasus nutzten.

Polen, Ungarn, Deutschland, Spanien

Welche Länder aus der EU es sind, die Pegasus nutzen oder genutzt haben, sagt NSO Group nicht. Ein EU-Land, das Pegasus nutzte, ist Polen. Dort waren Oppositionelle während des Wahlkampfs ausgespäht worden. Auch Ungarn gehörte zu den Kunden von NSO Group. Bekannt ist, dass unter anderem ungarische Investigativjournalist:innen ins Visier der Software gerieten, einige Betroffene wehren sich mittlerweile vor Gericht gegen die Überwachung.

Sowohl in Polen als auch Ungarn gibt es starke Zweifel an der Rechtsstaatlichkeit des Einsatzes. Anfang des Jahres standen beide Länder nicht mehr auf einer Liste von Ländern, in die israelische Firmen Überwachungstechnologie exportieren dürfen.

In Deutschland veröffentlichten Medien, dass sowohl BKA als auch BND über Pegasus verfügen. Viele Details darüber sind nicht bekannt, da die Bundesregierung eine öffentliche Beantwortung von Fragen weitgehend verweigert. Das Bundeskriminalamt soll laut Recherchen jedoch über eine angepasste Version des Staatstrojaners verfügen und diese in etwa einem halben Dutzend Fälle eingesetzt haben.

Bekannt ist ebenso der Pegasus-Gebrauch aus Spanien: Dort setzte der spanische Geheimdienst CNI den Staatstrojaner ein, um unter anderem katalanische Politiker:innen und Aktivist:innen zu bespitzeln. Im Zuge dieser Spionage-Affäre verlor die damalige Geheimdienstchefin ihren Posten und die Regierung geriet unter Druck. Im Gegensatz zu Polen und Ungarn wird der Untersuchungsausschuss jedoch keine Delegation in das Land senden.

Berichte über Pegasus für Belgien und die Niederlande

Laut Medienberichten sollen ebenso der niederländische Geheimdienst AIVD und die belgische Polizei den Staatstrojaner genutzt haben. Eine offizielle Bestätigung dafür steht jedoch noch aus.

Das bedeutet: Es gibt noch viele bisher unbekannte EU-Staaten, die Kunden von NSO Group sind oder waren. Für Cornelia Ernst ist es wichtig, die Geheimdienste stärker in den Blick zu nehmen. „Während Polizeien für die Verfolgung der Opposition im Inland mit Pegasus zuständig sind, spitzeln die Dienste damit auch im Ausland – das gilt wohl auch für die EU-Staaten“, so die Linken-Politikerin. Die Rechtfertigung, Einsätze seien transparent und erfolgten nach Recht und Gesetz, hält sie für „Humbug“.

„Diese Praxis ist nur mit einer generellen Ächtung von Cyberwaffen aufzuhalten, denn es gibt allein in Israel Dutzende weitere Hersteller von Spionagesoftware.“ Dass NSO Group nur eines von zahlreichen Spähsoftware-Unternehmen ist, stellt auch die Ausschussberichterstatterin Sophie in ‘t Veld fest. Die niederländische EU-Abgeordnete stellt fest, NSO Group sei zwar nicht der einzige Verkäufer, aber einer der größten. Der Besuch habe die Abgeordneten darin bestärkt, „dass die EU den Verkauf, den Kauf und die Verwendung solcher Spionageprogramme viel strenger regulieren muss“.

Menschenrechtsorganisationen und IT-Sicherheitsexperten forderten angesichts der Pegasus-Enthüllungen ein Moratorium für den Verkauf und Einsatz von industriellen Staatstrojanern, bis ihre Verwendung weltweit aufgearbeitet und reguliert ist.


Fragen des Untersuchungsausschusses und Antworten von NSO Group

How many EU Member States are currently under contract to use Pegasus? How many contracts were terminated?

There are 12 EU member countries that use 15 Pegasus systems (some countries have purchased more than one system). In total there are 22 government organzations in EU countries using the Pegasus system (in some countries the system was purchased for use by more than one organization, each of which sign the end use cerificate). We had contracts for Pegasus with 2 additional EU member countries which have since been terminated.

In which EU countries do you currently operate or have operated any Pegasus-related infrastructure? Do you have any data servers within the EU and where?

As we stated clearly in the session in Brussels, NSO does not operate any of the Pegasus related infrastructure but provides all infrastructure to its customer and they are the only ones operating it. The data servers of the Pegasus system are part of the infrastructure located on premises of each customer.

1 Ergänzungen

  1. „Diese Praxis ist nur mit einer generellen Ächtung von Cyberwaffen aufzuhalten, denn es gibt allein in Israel Dutzende weitere Hersteller von Spionagesoftware.“

    Kurz- bis langfristig führt kein Weg an sicheren Systemen mit standardisierten architekturellen Bestandteilen sowie daran orientierter Beschaffungspolitik vorbei. Das heißt nicht: Monokultur. Hardware, Software, Beschaffung, mal als Minidreirad im Bild.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.