Mit der Schadsoftware Pegasus von der israelischen Firma NSO Group wurden und werden Menschen auf der ganzen Welt überwacht. Eine großangelegte Recherche zeigt, wie die Software in elf Ländern gegen Aktivist:innen, Oppositionelle, Journalist:innen, Politiker:innen und Rechtsanwält:innen eingesetzt wurde. Da sich die Berichte und Artikel auf viele Medien verteilen, stellen wir einen Überblick zu den wichtigsten Themen der koordinierten Recherche zur Verfügung.
Was ist der Auslöser?
Dass die Geschichte überhaupt so groß wurde, ist der Menschenrechtsorganisation Amnesty International und dem Medienprojekt Forbidden Stories zu verdanken. Während das Security Lab von Amnesty die technische Untersuchung unternahm, fungierte Forbidden Stories als Knotenpunkt für die Recherchen. Ungeklärt ist, auf welchem Weg der NSO-Datensatz von 50.000 Telefonnummern zu Amnesty und Forbidden Stories gelangte, der die Recherchen in Gang setzte. Aus Gründen des Quellenschutzes machen die beteiligten Medien keine Angaben zur Herkunft der Daten.
Wer recherchiert zum Fall?
Am Pegasus-Projekt arbeiteten mehr als 80 Journalist:innen aus 17 Medienorganisationen in zehn Ländern. Zu ihnen gehören: Aristegui Noticias, Daraj, Die Zeit, Direkt36, The Guardian, Haaretz, Knack, Le Monde, Le Soir, The Organized Crime and Corruption Reporting Project, PBS Frontline, Proceso, Radio France, Süddeutsche Zeitung, the Washington Post und The Wire.
Wo finde ich die Recherchen zum Pegasus-Projekt?
Viele der beteiligten Medien haben Übersichts- und Projektseiten angelegt:
In welchen Ländern wurde Pegasus laut der Recherchen eingesetzt?
In den veröffentlichten Dokumenten ist der Einsatz der Schadsoftware in den elf Ländern Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Togo und den Vereinigten Arabischen Emiraten nachgewiesen. Die NSO Group unterhält mit vielen anderen Ländern Geschäftsbeziehungen.
Wer sind die Kunden der NSO Group?
Neben den Ländern, über die im Rahmen der Recherche berichtet wird, gibt es noch zahlreiche weitere Länder, die Kunden der NSO Group sind. Citizen Lab hat insgesamt 45 Länder identifiziert:
Algerien, Ägypten, Bahrain, Bangladesch, Brasilien, Elfenbeinküste, Frankreich, Griechenland, Großbritannien, Indien, Irak, Jordanien, Jemen, Kanada, Katar, Kasachstan, Kenia, Kuwait, Kirgistan, Lettland, Libanon, Libyen, Marokko, Mexiko, Niederlande, Oman, Pakistan, Palästina, Polen, Ruanda, Saudi-Arabien, Singapur, Südafrika, Schweiz, Tadschikistan, Thailand, Togo, Tunesien, Türkei, Vereinigte Arabische Emirate, Uganda, USA, Usbekistan und Sambia.
Wie ist Deutschland verwickelt?
Das Bundeskriminalamt hat sich die Trojaner-Software Pegasus im Jahr 2017 von der NSO Group vorführen lassen. Dort waren die IT-Experten begeistert, berichtet Zeit Online. Im Jahr 2019 sprach die Überwachungsfirma dann beim Joachim Herrmann, dem bayerischen CSU-Innenminister, vor. In beiden Fällen führte die Präsentation nicht zum Kauf von Pegasus, sie zeigt aber, dass auch Deutschland offen für eine Nutzung der umstrittenen Software war.
Wer wurde überwacht?
Mit der Schadsoftware werden und wurden zahlreiche Aktivist:innen, Oppositionelle, Journalist:innen, Rechtsanwält:innen, Geschäftsleute und Politiker:innen überwacht. Auf 37 Smartphones fanden IT-Experten die Software oder Reste davon. Die Zahl der Überwachten ist aber viel höher, die Recherchen gehen allein von 180 betroffenen Journalist:innen aus. Sie arbeiten unter anderem beim Wall Street Journal, CNN, New York Times, Al Jazeera, France 24, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, Agence France-Presse, Economist, Reuters and Voice of America.
Der bekannteste Fall von Pegasus-Überwachung ist derzeit die Familie des ermordeten Journalisten Jamal Khashoggi, die vor und nach dessen brutaler Ermordung ausspioniert wurde.
Mit Pegasus überwacht wurden nicht nur Zielpersonen durch autokratische Staaten, sondern auch im EU-Land Ungarn. Das Pegasus-Rechercheteam entdeckte die Telefonnummern der beiden Journalisten Szabolcs Panyi und András Szabó in den Daten. Sie arbeiten für das Investigativmedium Direkt36, einem der letzten Medien, die nicht unter dem Einfluss von Orbáns Regierung stehen. Das Technik-Team von Amnesty fand daraufhin bei seiner Analyse Spuren der Software auf deren Smartphones, die darauf hindeuten, dass die beiden 2019 für mehrere Monate ausgespäht wurden. In dieser Zeit recherchierten sie zu Banken-Deals und anderen pikanten Geschichten. In der Liste potentieller Zielpersonen fanden sich außerdem die Nummern von mindestens zehn Anwält:innen und einem Oppositionspolitiker, auch drei weitere Journalisten waren darunter, berichtet der The Guardian. Sie wollten ihre Telefone jedoch entweder nicht analysieren lassen oder besaßen sie nicht mehr, sodass ein Nachweis der Installation nicht möglich war.
In Mexiko wurde Pegasus vielfach genutzt. Der mexikanische Journalist Cecilio Pineda Birto wurde ermordet, nachdem er über Korruption berichtet hatte. In den Wochen zuvor hatte Pineda eine Reihe von anonymen Morddrohungen erhalten. Etwa zur gleichen Zeit wurde seine Handynummer von einem mexikanischen Kunden der Spyware-Firma NSO Group als mögliches Ziel für eine Überwachung ausgewählt. Doch das ist nicht der einzige Fall. Allein zwischen 2016 und 2017 wurden in Mexiko 15.000 Menschen ins Visier genommen. In dem Datensatz, der im Zuge des Pegasus-Projekts ausgewertet wurde, befinden sich die Telefonnummern von 26 mexikanischen Journalisten, etwa der frühere Bürochef der „New York Times“, ebenso eine CNN-Produzentin, dazu die Familie und das Umfeld des heutigen Präsidenten und damaligen Oppositionsführers André Manuel López Obrador.
Im autoritären Aserbaidschan wurden mit Pegasus zahlreiche Journalist:innen und Menschenrechtsaktivisten überwacht. Marokko hat das investigative Medienprojekt Mediapart in Frankreich überwachen lassen. Auch in Indien wurden Vertreter der Opposition überwacht.
Wie rechtfertigt sich die NSO Group für Pegasus?
Die NSO Group behauptet auf ihrer Webseite, dass es seine Software nur zum Zwecke der Bekämpfung von Terrorismus und Kriminalität verkaufe. Auf Anfrage des internationalen Rechercheteams im Rahmen des Pegasus-Projekts teilte die NSO Group mit, dass es sich bei vielen der in der gesamten geplanten Berichterstattung aufgeführten Punkte um „falsche Behauptungen“ handele. Es gebe für sie „keine faktische Grundlage“. Zu einzelnen Kunden will sich das Trojaner-Unternehmen nicht äußern. Man befinde sich auf einer „Lebensrettungsmission“.
Gibt es Reaktionen von den Ländern, die Pegasus eingesetzt haben?
Ja, es gibt Reaktionen. Ruanda streitet ab, die Software eingesetzt zu haben. Ungarn sagt, es sei ein Rechtsstaat und man solle die Fragen doch an Deutschland und die USA schicken. Marokko streitet ab, Verbindungen zur NSO Group zu haben. Frankreichs Regierung kündigte daraufhin eine Untersuchung an, wie Regierungssprecher Gabriel Attal mitteilte. Indien behauptet, dass es keine nicht-autorisierte Überwachung gegeben habe. The Guardian hat die Reaktionen im Wortlaut.
Gibt es Reaktionen von Israel auf die Firma, die von ihrem Land aus operiert?
Nein, der israelische Staat hat enge Verbindungen zur NSO Group. Laut dem Spiegel interessiert sich Israel nicht dafür, ob Journalisten oder Aktivisten ins Visier geraten. Der Anwalt Eitay Mack klagt seit Jahren gegen ihren Export – vergeblich. Hier sagt er, wie die Cyberwaffe Israel politisch nützt.
Was sind unmittelbare Reaktionen anderer?
Amazon hat das Servernetz der NSO Group bei sich abgeschaltet.
Was kann Pegasus?
Mit Pegasus können Anrufe, E-Mails, SMS und mit Signal, WhatsApp oder anderen Messengern verschlüsselte Chats überwacht werden. Der Trojaner kann Fotos und Videos auf dem Handy durchsuchen und Passwörter auslesen. Pegasus ist auch zur Raumüberwachung tauglich, weil man mit dem Trojaner das Mikrofon und die Kamera des Geräts einschalten kann. Darüber hinaus lässt sich mit dem Trojaner die exakte Position des Handys orten.
Wie funktioniert Pegasus technisch?
Pegasus ist ein so genannter Trojaner. Das ist eine Software, die getarnt auf einem System von außen steuerbar ist und dort bestimmte Anwendungen ausführt. Um den Trojaner auf einem Handy zu installieren, gibt es laut der Tagesschau zwei Möglichkeiten: Bei der ersten wird die Zielperson dazu verleitet, einen Link zu klicken und den Download der Schadsoftware selbst in die Wege zu leiten. Bei der zweiten wird eine „unsichtbare“ Nachricht verschickt, welche dannn unter Ausnutzung einer Sicherheitslücke den Trojaner auf dem Smartphone installiert. Ist der Trojaner installiert, kann er von außen angesprochen werden und Daten nach außen ausleiten.
Zur Technik von Pegasus und wie man die Software und Software-Reste auf den infizierten Smartphones entdecken konnten, hat das Security Lab von Amnesty International einen ausführlichen Bericht veröffentlicht. Der Bericht dokumentiert die Pegasus-Spyware-Angriffe seit 2018 und enthält Details zur Infrastruktur der Spyware, darunter mehr als 700 Pegasus-bezogene Domains. Das kanadische Citizen Lab hat dabei in einem Peer-Review die Untersuchungen von Amnesty nachvollziehen und bestätigen können.
Wie kann man sich schützen?
Wer mit Pegasus ausgespäht werden soll, ist weitgehend schutzlos. „Es gibt keine wirksame technische Möglichkeit für einen Benutzer, gegen diese Art von Angriffen vorzugehen“, warnt der IT-Sicherheitsexperte Claudio Guarnieri vom Amnesty International Security Lab. Er bezieht sich dabei auf die gängigen Betriebssysteme auf Mobiltelefonen, vor allem iOS und Android.
Wie kann ich rausfinden, ob ich selbst betroffen bin?
Es gibt eine Art Werkzeugkasten, mit dem technisch versierte Menschen herausfinden können, ob sie infiziert sind. Bei TechCrunch gibt es eine Anleitung, wie das geht.
Welche politischen Forderungen gibt es?
Die Reaktionen gehen in verschiedene Richtungen. Manche Stimmen fordern das komplette Verbot des Verkaufs solcher Software, andere das Verbot des Verkaufs in autoritäre Regime.
Es gibt aber auch Kritik an der grundlegenden Erfassung von Mobilfunknummern, die es Geheimdiensten und anderen Behörden erleichtert, Zielpersonen zu finden und auszuspionieren. Kritik kommt aber auch an Gesetzen, die den Einsatz von Staatstrojanern erlauben auf, weil sie die rechtliche Grundlage für solche Überwachungstechniken schaffen.
Der Whistleblower Edward Snowden fordert ein Moratorium für den Handel mit Cyberwaffen. Die Organisation Reporter ohne Grenzen fordert ein Verbot des Handels von solchen Überwachungstechnologien. Der Deutsche Journalistenverband fordert Aufklärung, ob deutsche Journalist:innen von der Überwachung betroffen sind.
Der ehemalige UN-Sonderberichterstatter David Kaye und die frühere EU-Abgeordnete Marietje Schalke nennen die Spähsoftware eine „Gefahr für die Demokratie“. Sie fordern ein sofortiges Moratorium auf Handel und Weitergabe solcher Software, eine funktionierende Exportkontrolle und die Schaffung von Wegen, um Regierungen und Überwachungsfirmen zu verklagen. Kaye erläutert dies auch nochmal im Interview mit der Süddeutschen.
Die Vereinten Nationen nennen die Berichte alarmierend und fordern eine menschenrechtszentrierte Regulierung solcher Überwachungssoftware.
EU-Kommissionsvorsitzende Ursula von der Leyen nannte die Berichte ebenfalls „alarmierend“. Sie stellte aber klar, dass die Medienberichte noch überprüft werden müssten: „Wenn dies der Fall ist, dann ist das völlig inakzeptabel und ein Verstoß gegen alle Werte und Regeln, die wir in der EU in Bezug auf Medienfreiheit haben.“ Die Grünen im EU-Parlament fordern eine Untersuchung und ein Vertragsverletzungsverfahren gegen Ungarn.
Was sind die Reaktionen der deutschen Politik?
Die Bundesregierung verwies in der Bundespressekonferenz darauf, dass in Deutschland Recht und Gesetz gelten würden. Die Regierung wollte sich weder zu Pegasus noch zu ähnlichen Programmen, welche deutsche Behörden nutzen, äußern. Grundsätzlich werde niemand überwacht, weil er journalistischer Arbeit nachgehe. Zu Ungarn wollte sich die Bundesregierung nicht äußern. Die Opposition, aber auch Vertreter der SPD sprachen sich gegen Pegasus und gegen den Einsatz von Staatstrojanern generell aus.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires