Mehr als sechs Monate sind vergangen seit Sicherheitsforscher:innen des kanadischen Citizen Lab öffentlich machten, dass dutzende Mitglieder der katalanischen Regierung und des Parlaments mit den Staatstrojanern Pegasus und Candiru ausspioniert wurden. Mehr als 50 Geräte wurden nachweislich gehackt, mehr als 60 Personen ins Visier genommen, darunter auch der ehemalige katalanische Präsident und heutige EU-Abgeordnete Carles Puigdemont.
Der Skandal, der im April unter dem Namen CatalanGate bekannt wurde, verursachte in Spanien ein politisches Erdbeben – und platzte mitten hinein in die bereits laufende Arbeit eines Ausschusses im EU-Parlament, der gegründet wurde, um den Missbrauch von Staatstrojanern in anderen EU-Ländern zu untersuchen. Im Fokus damals: Ungarn und Polen.
Doch CatalanGate steht offenbar weit unten auf der Prioritätenliste im Ausschuss. So plante der Ausschuss als Teil seiner Mission mehrere Reisen – unter anderem nach Polen und Ungarn, die ersten beiden EU-Staaten, aus denen bekannt wurde, dass Presse und Opposition mit Pegasus ausspioniert wurden, und nach Israel, wo Pegasus hergestellt wird.
Nach den Enthüllungen von Citizen Lab sollte auch Spanien auf dieser Agenda landen. Doch im Juni hieß es dann, eine Reise nach Spanien sei erst mal nicht geplant. Die Entsendung von Delegationen nach Israel, Polen und Ungarn hätte Vorrang.
Katalanische Politiker:innen kritisieren „Doppelmoral“
Die Entscheidung sorgte für Empörung bei katalanischen Politiker:innen. Erika Casajoana Daunert, stellvertretende Vertreterin der katalanischen Regierung bei der EU, sprach von „Doppelmoral“ im Umgang mit den betroffenen Ländern. Sie sagt, spanische Abgeordnete im Ausschuss wie Juan Antonio Zoido würden Ermittlungen verhindern, um ihre Regierung zu schützen.
Zoido war von 2016 bis 2018 in der konservativen Regierung von Mariano Rajoy spanischer Innenminister. In diese Zeit fiel auch das katalanische Unabhängigkeitsreferendum. Die Abhörangriffe auf katalanische Politiker:innen und ihr Umfeld, die Citizen Lab dokumentierte, fanden vor allem in den Jahren von 2017 bis 2020 statt. Ab 2018 regierte in Spanien allerdings bereits die sozialistische PSOE und Ministerpräsident war Pedro Sánchez. So könnten beide Regierungen von einer Untersuchung belastet werden.
Carles Puigdemont, der über Angriffe auf die Geräte seiner Ehefrau und Mitarbeiter ausgespäht wurde und inzwischen als EU-Abgeordneter mit im Untersuchungsausschuss sitzt, kritisiert in einem aktuellen Beitrag vor allem die Untätigkeit der EU-Kommission und deren Präsidentin Ursula von der Leyen. Die Nachricht, die sie damit an Regime auf der ganzen Welt sende, sei „zutiefst verstörend“, schreibt der Abgeordnete. Denn wie könne die EU verhindern, dass autokratische Regime im Ausland eine so gefährliche Technologie einsetzen, wenn sie in den eigenen Mitgliedsstaaten nicht mal entschieden dagegen vorgehe?
Reisen oder nicht reisen?
Auf Nachfrage von netzpolitik.org, wie es um die Mission nach Spanien steht, antwortet das Sekretariat des Untersuchungsausschusses: „Der PEGA-Ausschuss hat noch nicht entschieden, ob er nach Spanien fahren wird oder nicht.“ Doch die Uhr tickt. Der Ausschuss soll planmäßig bis April 2023 seine Arbeit abgeschlossen haben. Auf die Frage, ob und für wann eine Entscheidung anstehe, kam bis Redaktionsschluss keine Antwort.
Die Berichterstatterin Sophie in‘ t Veld von der liberalen Fraktion Renew setzt sich für eine Reisedelegation in alle Länder ein, aus denen zwischenzeitlich Einsätze von Spionagesoftware bekannt geworden ist, darunter auch Spanien. Auch ihr Büro schreibt, dass eine Reise nach Spanien bislang nicht ausgeschlossen wurde, sie sei aber auch nicht bestätigt worden – und die Zeit werde knapp.
Die Termine und Pläne für den Ausschuss werden in einer Organisationsgruppe koordiniert, in der Vertreter:innen aller Fraktionen sitzen.
Allerdings hätte der Ausschuss tatsächlich viel zu tun, würde er in alle betroffenen Länder reisen. Auch in Frankreich, Finnland und Belgien wurde der Einsatz von Pegasus inzwischen „forensisch bestätigt“, in den Niederlanden könnte er „möglicherweise“ passiert sein, zu diesem Schluss kommt eine Studie des Europäischen Parlaments vom Juli. Und auch das deutsche Bundeskriminalamt hat bestätigt, eine modifizierte Version von Pegasus erworben und eingesetzt zu haben, der Bundesnachrichtendienst nutzt den Trojaner ebenfalls. Ein Anhörungstermin für Deutschland ist im Ausschuss am 14. November geplant.
Die Linken-Abgeordnete im Ausschuss Cornelia Ernst wollte die Entscheidung offenbar nicht abwarten. Sie befindet sich derzeit gemeinsam mit einem weiteren Abgeordneten auf einer inoffiziellen Reise nach Madrid und Barcelona, um dort mit betroffenen Politiker:innen, Journalist:innen und NGOs zu sprechen. Auf dem Plan stehen Termine mit Vertreter:innen der katalanischen Regierung und der separatistischen Bürgerbewegung ANC, deren Vorsitzende ebenfalls jahrelang ausgespäht wurden.
Zahlreiche Indizien deuten auf spanische Regierung hin
Laut der Analyse von Citizen Lab sind in Spanien mindestens 65 Personen mit den Staatstrojanern Pegasus und Candiru gehackt worden. Die Hacks trafen Akademiker:innen oder Mitarbeiter:innen von NGOs. Auch die katalanische Regierung und mehrere Abgeordnete wurden im großen Ziel ins Visier genommen.
Im Fall der fünf katalanischen EU-Abgeordneten konnte Citizen Lab bei dreien von ihnen direkte Infektionen nachweisen. Bei zwei weiteren, darunter dem von Spanien aus dem Amt gejagten Puigdemont, wurden Geräte von Menschen in ihrem Umfeld gehackt.
Citizen Lab konnte die Angriffe nicht eindeutig einer bestimmten Regierung zuordnen. Die forensischen Spuren, die Pegasus auf den Geräten hinterlässt, können nur belegen, dass oder wann ein Angriff stattgefunden hat, nicht wer der Angreifer ist. Im Bericht der kanadischen Forscher:innen steht aber auch, dass zahlreiche nicht-technische Indizien auf die spanische Regierung hindeuten. So hätten die Angriffe jeweils unmittelbar vor Ereignissen stattgefunden, die für die spanische Regierung von Interesse gewesen seien. Auch sei es schlicht unwahrscheinlich, dass eine fremde Regierung über derart lange Zeit und in so einem großen Ausmaß hochrangige katalanische Politiker:innen ausspähen würde. Die Gefahr, dabei aufzufliegen, sei zu groß.
Im Fall des Professors Jordi Sànchez etwa konnte Citizen Lab Angriffe unmittelbar vor dem geplanten Unabhängigkeitsreferendum in 2017 und nochmal kurz vor seiner Festnahme nachweisen. Sànchez war einer von neun Katalanen, die für ihre Rolle beim illegalen Unabhängigkeitsreferendum verurteilt und später wieder begnadigt wurden.
Spanien auf der Kundenliste von NSO Group
Dass Spanien auf der Kundenliste der NSO Group, dem Hersteller von Pegasus, steht, ist bereits seit 2020 bekannt. Damals deckte El País auf, dass der spanische Geheimdienst Centro Nacional de Intelligencia (CNI) Pegasus einsetzt. Zuvor hatten mehrere katalanische Politiker öffentlich gemacht, dass ihre Telefone mit Pegasus gehackt wurden, WhatsApp und Citizen Lab hatten sie über den Angriff durch eine Sicherheitslücke in der App informiert.
Die ehemalige Chefin der CNI Paz Esteban hatte nach der Veröffentlichung von Citizen Lab eingestanden, dass ihre Behörde mehrere katalanische Politiker:innen mit richterlicher Anordnung überwacht hatte. Sie wurde kurz darauf entlassen. Im Mai wurde außerdem bekannt, dass auch Ministerpräsident Pedro Sánchez und Verteidigungsministerin Margarita Robles mit Pegasus ausspioniert wurden. Wer hinter den Angriffen steht, ist nicht klar.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.