Das kanadische Forschungsinstitut Citizen Lab reagierte auf die Neuigkeiten aus Spanien zunächst mit drei Buchstaben: "Wow". Das Timing sei schon bemerkenswert.
An diesem Montag hatte die spanische Regierung in Madrid bekannt gegeben, dass auf dem Handy von Premier Pedro Sánchez und seiner Verteidigungsministerin Margarita Robles die Spähsoftware Pegasus gefunden worden sei. Der Angriff sei "unrechtmäßig" und "von außen" erfolgt, heißt es aus dem Regierungspalast Moncloa.
Einen Tag nach dieser Verlautbarung tun sich viele Fragen auf, nicht nur bei den Mitarbeitern des Citizen Lab, einer unabhängigen Forschergruppe, die in den vergangenen Monaten an der Aufklärung von Cyberspionage-Fällen weltweit beteiligt war. Im Rahmen einer Investigativ-Recherche zum "Pegasus-Projekt" arbeitete auch die Süddeutsche Zeitung mit den Wissenschaftlern und Entwicklern aus Toronto zusammen. Von den Spähangriffen auf die spanische Regierung erfuhr das Citizen Lab aus der Presse.
Alle Meldungen zur aktuellen Situation in der Ukraine und weltweit - im SZ am Morgen und SZ am Abend. Unser Nachrichten-Newsletter bringt Sie zweimal täglich auf den neuesten Stand. Hier kostenlos anmelden.
Die Überraschung rührt aber nicht nur daher, dass das Forschungsinstitut nicht in die Datenanalyse eingebunden war. Tatsächlich bemerkenswert ist vor allem der Zeitpunkt der Veröffentlichung dieser Erkenntnisse - fast auf den Tag genau zwei Wochen, nachdem das Citizen Lab zusammen mit dem US-Magazin The New Yorker und der Zeitung El País einen umfassenden Bericht vorgestellt hat, wonach mehr als 60 katalanische Politiker, Aktivisten und Privatpersonen aus dem Umfeld der Unabhängigkeitsbewegung ihrerseits mit Pegasus attackiert worden sein sollen.
Die Verteidigung klang wie ein Eingeständnis
Sánchez, mehr aber noch seine Verteidigungsministerin waren daraufhin heftig in die Kritik geraten, aus Katalonien forderten betroffene Separatisten ihre Rücktritte. Sie machen den spanischen Geheimdienst CNI für die Überwachung verantwortlich und sehen die Verantwortung bei Robles, die als Ministerin dem Dienst vorsteht. Eine Erklärung für die Vorwürfe blieb Sánchez bis heute schuldig, stattdessen schickte er seinen Präsidentschaftsminister nach Barcelona, um die Wogen zu glätten und eine interne Untersuchung im Geheimdienst zu versprechen. Genutzt hat das wenig: Die Katalanen blieben verstimmt, versagten Sánchez zuletzt in einer wichtigen Abstimmung ihren Rückhalt.
Und sie attackierten weiterhin Verteidigungsministerin Robles. Die setzte sich mit einem nicht eben geschickten Manöver im Kongress gegen die Vorwürfe zur Wehr: Erstens kenne sie ein Magazin namens The New Yorker nicht. Und außerdem, was solle ein Staat denn tun, wenn eine bestimmte Gruppe die Verfassung verletze und die Unabhängigkeit eines Gebiets erkläre? Es klang wie ein Eingeständnis, auch wenn es vielleicht nicht so klingen sollte.
Dass nun neben dem Mobiltelefon des Premiers ausgerechnet auch das der Verteidigungsministerin ausgespäht wurde, kommt vielen in Katalonien höchst seltsam vor. Zwar gab es am Dienstag Medienberichte, wonach auch die frühere Außenministerin Arancha González Laya betroffen sein soll; diese blieben aber unbestätigt. Gesichert sei, heißt es von der Regierung, dass von Sánchez' Gerät im Mai und Juni 2021 Daten im Umfang von 2,6 Gigabyte abgesaugt worden seien, im Falle von Robles seien es neun Megabyte gewesen.
Schon viele Staatschefs waren betroffen
Wer die Daten gestohlen haben könnte, ist Basis weiterer Spekulationen. Marokko, mit dem Spanien lange im Clinch lag, und das nach SZ-Recherchen mutmaßlich im Besitz von Pegasus ist, käme in Betracht. Sánchez wäre jedenfalls nicht der erste Regierungschef, dessen Handy infiziert wurde: Das Pegasus-Projekt förderte im vergangenen Sommer zu Tage, dass auch Staats- und Regierungschefs wie Emmanuel Macron, Charles Michel, Imran Khan oder Mohammed VI. ausgespäht wurden. In der Zwischenzeit meldete Großbritannien, dass auch das Handy von Boris Johnson betroffen gewesen sein soll.
Offen bleibt in den meisten Fällen die Frage, woher der Angriff kam, da theoretisch alle Regierungen, Geheimdienste oder Sicherheitskräfte die Software vom israelischen Hersteller NSO-Group beziehen können. Spaniens Regierung ist sich indes auch am Dienstag "absolut sicher", dass es ein Angriff von außen gewesen sei. Mindestens so sicher also, wie sich die Katalanen waren, dass in ihrem Fall Madrid dahintersteckte.
