Hunderte Journalisten, Menschenrechtsaktivisten und Oppositionelle weltweit sind offenbar Opfer umfassender illegaler staatlicher Abhöraktionen geworden. Das belegen Recherchen der Süddeutschen Zeitung, des Journalisten-Netzwerks Forbidden Stories sowie 15 weiterer internationaler Medien wie Washington Post, Guardian und Le Monde.
Demnach haben etliche Staaten die zur Terror- und Kriminalitätsbekämpfung entwickelte Spionage-Software Pegasus des israelischen Herstellers NSO Group großflächig eingesetzt, um Regimegegner und kritische Journalisten ins Visier zu nehmen. Die Recherchen zeigen erstmals, dass auch im EU-Mitgliedsland Ungarn investigative Journalisten überwacht worden sind.
Forbidden Stories und die Menschenrechtsorganisation Amnesty International hatten Zugang zu einem Datenleak von mehr als 50 000 zunächst anonymen Telefonnummern erhalten, die von NSO-Kunden als Ziele möglicher Überwachungsmaßnahmen ausgewählt wurden. Im Zuge monatelanger Recherchen, an denen in Deutschland die Süddeutsche Zeitung, NDR, WDR und Die Zeit beteiligt waren, ist es gelungen, Tausende dieser Nummern konkreten Personen zuzuordnen - in Ungarn etwa hochrangigen Medienmanagern, Rechtsanwälten und Oppositionellen sowie sogar einem ehemaligen Minister. Forensische Untersuchungen bestätigten in etlichen Fällen Infektionen mit der Software.
Die Regierung in Budapest ließ auf Anfrage mitteilen, diese "angebliche Datensammlung" sei dort "nicht bekannt". In Ungarn herrsche Rechtsstaatlichkeit, weswegen "staatliche Stellen, die das Recht haben, heimliche Methoden einzusetzen, regelmäßig von Regierungs- und Nichtregierungsinstitutionen kontrolliert" würden.
Bei den Recherchen konnten neben Ungarn mindestens neun Länder identifiziert werden, die mit Pegasus politisch unliebsame, aber unbescholtene Personen ins Visier nehmen: Aserbaidschan, Saudi-Arabien, Bahrain, Kasachstan, die Vereinigten Arabischen Emirate, Marokko, Ruanda, Indien und Mexiko. Die NSO gibt die Namen ihrer Kunden generell nicht preis.
Das Pegasus-Spähprogramm spielte offenbar auch vor und nach der Ermordung des saudischen Journalisten und Dissidenten Jamal Khashoggi eine Rolle. Telefonnummern aus dem Umfeld des Washington Post-Kolumnisten, der im Oktober 2018 im saudischen Konsulat in Istanbul ermordet wurde, finden sich auf den Ziellisten für den Einsatz von Pegasus. Die Recherchen legen zudem nahe, dass mutmaßlich saudische Behörden - anders als bislang bekannt - nicht nur vor dem Mord das Umfeld des Dissidenten, sondern auch danach die türkischen Ermittler in Visier genommen haben. Sowohl auf dem Handy von Khashoggis Ex-Frau wie auch auf dem seiner Verlobten wurden Spuren der Spähsoftware nachgewiesen. Die Nummer des türkischen Chefermittlers wurde mindestens als potenzielles Ziel geführt. Eine Anfrage dazu ließ die saudi-arabische Regierung unbeantwortet.
Die NSO bestreitet, dass ihre Technologie vor oder nach dem Mordfall Khashoggi eingesetzt worden ist. Überdies bestreitet die NSO auf Anfrage generell, dass die geleakten Telefonnummern mit der von ihr verkauften Technik in Verbindung stehen.
Mit dem Einsatz von Pegasus lassen sich Smartphones vollkommen unbemerkt für den Besitzer in ferngesteuerte Abhörwanzen verwandeln. Auf Handys, die mit dem Trojaner infiziert worden sind, ist keine Kommunikation mehr sicher. Das Programm umgeht die Verschlüsselung von Messengerdiensten, kann Daten abgreifen und sogar Kamera und Mikrofon unbemerkt von der Zielperson einschalten.
Die NSO Group ist ein weltweit führender Anbieter von Überwachungssoftware und vergibt Pegasus-Lizenzen nach eigenen Angaben nur an staatliche Stellen. In Deutschland soll sie die Software unter anderem dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst und einigen Bundesländern angeboten haben, offenbar ohne Erfolg. Das große Leistungsspektrum von Pegasus wäre mit den Gesetzen, die staatlichen Abhörmaßnahmen hierzulande zugrunde liegen, nicht vereinbar. Laut einer Abfrage unter den Innenministerien der Länder kam es auch unter den Polizeibehörden der Länder zu keinen Geschäftsabschlüssen mit der NSO. Für ihre Verfassungsschutzämter gaben nur Berlin, Rheinland-Pfalz und Nordrhein-Westfalen an, Pegasus nicht zu besitzen, die anderen machten dazu keine Angaben.
Dass Handys, deren Rufnummern in den Daten gefunden wurden, in zahlreichen Staaten nicht nur als Ausspäh-Ziele ins Auge gefasst, sondern wirklich mit dem Trojaner infiziert wurden, haben stichprobenartige forensische Untersuchungen zweifelsfrei erwiesen. Expertenteams des Amnesty International Security Lab und des Citizen Lab der Universität Toronto haben dafür die Smartphones von Zielpersonen untersucht, die ihre Geräte dem Pegasus-Projekt zur Verfügung stellten. "Die Überwachungsindustrie ist außer Kontrolle", sagt der frühere UN-Sonderberichterstatter David Kaye. Er fordert ein weltweites Exportverbot für Spähsoftware.
Weitere Rechercheergebnisse werden in den kommenden Tagen weltweit unter dem Begriff "Pegasus-Projekt" veröffentlicht werden. Sie werden zeigen, dass selbst die Telefonnummern von Dutzenden Staatsoberhäuptern, Ministern und Diplomaten mit der Spähsoftware zumindest angepeilt werden sollten.