Am Dienstagmorgen, um 8 Uhr, gab es Antworten. Hinter verschlossener Tür zwar und in geheimer Sitzung, aber immerhin. Denn üblicherweise herrscht Schweigen, wird die Thematik "Staatstrojaner" behandelt wie ein Staatsgeheimnis. Im Innenausschuss des Bundestages sollte die Bundesregierung den Abgeordneten nun berichten, ob deutsche Sicherheitsbehörden die umstrittene Spionage-Software "Pegasus" der Firma NSO Group verwenden, um Smartphones zu überwachen.
Das israelische Unternehmen steht seit Jahren in der Kritik, denn sein ausgeklügeltes Spähprogramm wird in einigen Staaten offenbar nicht nur gegen Terroristen und Schwerkriminelle eingesetzt, sondern auch gegen Oppositionelle, Journalisten und Menschenrechtsaktivisten.
Die Vizepräsidentin des Bundeskriminalamtes (BKA), Martina Link, bestätigte den Abgeordneten am Dienstagmorgen, dass auch ihre Behörde die israelische Spionagesoftware eingekauft hat - und auch schon einsetzt. Im Herbst 2020 habe das BKA eine Version des "Pegasus"-Trojaners erworben, seit März sei die Software im Einsatz. Und zwar in einer mittleren einstelligen Zahl von Ermittlungsverfahren im Bereich des Terrorismus und der organisierten Kriminalität, die allesamt noch nicht abgeschlossen seien.
"Pegasus" ist eines der mächtigsten Cyberwerkzeuge, die bislang bekannt wurden. Der Trojaner kann unbemerkt auf Smartphones wie iPhones oder Android-Mobiltelefone aufgespielt werden und überwacht die Geräte nahezu vollständig. Selbst eigentlich verschlüsselte Chats und Gespräche können damit überwacht werden, außerdem kann die Software auf gespeicherte Fotos und andere Dateien zugreifen und sogar heimlich die Kamera und das Mikrofon des Mobiltelefons anschalten.
Das BKA habe eine legale Version erworben, erklärt die Vizechefin der Behörde
Das BKA habe allerdings nicht die Standardversion der Software erworben, erklärte Vizebehördenchefin Link im Bundestag. Denn "Pegasus" könne viel mehr, als das deutsche Gesetz erlaube. Das herkömmliche Programm unterscheide normalerweise nicht zwischen Quellen-Telekommunikationsüberwachung, also dem Mitlesen von Chats, und Online-Durchsuchung, also dem Ausspähen von gespeicherten Dateien auf einem Smartphone. Zudem sei nicht ausreichend nachvollziehbar, was die Software eigentlich so mache auf einem Zielgerät.
Die israelische Herstellerfirma habe allerdings auf Wunsch des BKA eine technische Anpassung vorgenommen und eine Software entwickelt, die verfassungskonform eingesetzt werden könne, sagte Link. Dieser maßgeschneiderte Trojaner sei durch das BKA umfangreich überprüft worden. Man habe sich dabei auch mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) abgestimmt. Es seien außerdem Sicherheitsvorkehrungen getroffen worden, so würden die überwachten Telefonnummern durch Hashwerte verschleiert, sodass die Herstellerfirma die Zielpersonen nicht identifizieren könne. Darüber hinaus habe man sich von NSO vertraglich zusichern lassen, dass keine Daten an die Firma abfließen, sondern an das BKA.
Die politische Ebene, das Bundesinnenministerium, sei über den Kauf des Trojaners informiert gewesen, hieß es im Innenausschuss. Allerdings soll Bundesinnenminister Horst Seehofer (CSU) darüber keine Kenntnis gehabt haben. Über die Anschaffung habe alleine das BKA entschieden, andere Stellen, wie etwa der Bundesdatenschutzbeauftragte, müssten nicht eingebunden werden. Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) in München, die technische Lösungen für Polizei und Nachrichtendienste entwickeln und sich auf dem kommerziellen Markt nach passenden Produkten umschauen soll, sei erst im Nachhinein in Kenntnis gesetzt worden.
"Der Umgang der Bundesregierung und ihrer Sicherheitsbehörden mit der NSO Group ist naiv und gefährlich", meint der FDP-Innenpolitiker Benjamin Strasser. Es seien "große Zweifel angebracht", ob der Zugriff auf sensible Daten durch NSO tatsächlich ausgeschlossen sei, wie das BKA behaupte. Der Einsatz von Staatstrojanern durch das Ausnutzen von Sicherheitslücken, so Strasser, sei "ein hochkritisches Instrument", von dem die Bundesregierung die Finger lassen solle.
Die Regierung habe das Parlament wohl im Unklaren lassen wollen, kritisiert die Linke
"Wir haben die Bundesregierung mehrfach zum Einsatz von Pegasus gefragt und lediglich die Antwort bekommen, dass aus Gründen des Staatswohls keine Antwort möglich sei", kritisiert die Linke-Bundestagsabgeordnete Martina Renner. Sie habe den Eindruck, dass die Regierung das Parlament "bewusst im Unklaren" lassen wollte und fordert nun Aufklärung, ob auch andere Behörden die Software einsetzen.
Der Kauf der israelischen Spähsoftware bringt die Bundesregierung in Erklärungsnot. Denn immerhin gibt es seit Jahren schon Berichte darüber, dass die Herstellerfirma NSO Group ihren Trojaner auch an autoritäre Staaten verkauft, die damit Kritiker verfolgen und ausspionieren. Zuletzt hatte darüber im Zuge des "Pegasus-Projekts" das Journalistenkonsortium Forbidden Stories, zu dem auch die SZ, NDR, WDR und Die Zeit gehören, sowie Amnesty International berichtet.
Mehr als 50 000 Telefonnummern, die von NSO-Kunden als Überwachungsziele auswählt worden sein sollen, konnten bei der Recherche ausgewertet werden. Unter ihnen waren zahlreiche Journalisten aus Mexiko, Aserbaidschan und Ungarn, aber auch Oppositionspolitiker, Menschenrechtsaktivisten und Diplomaten. Sogar Regierungschefs wie Frankreichs Präsident Emmanuel Macron sollen als Überwachungsziele ins Visier genommen worden sein. NSO dementierte die Berichte und erklärte, die Firma wisse nicht, welche Zielpersonen ihre Kunden überwachten.
"Statt Führungsstärke im Cyberspace zu zeigen, hat sich Deutschland in die Gesellschaft der Diktatorenkunden von NSO gestellt", kritisiert der IT-Experte John Scott-Railton vom Citizen Lab der Universität von Toronto, der seit Jahren zu "Pegasus" forscht. Die vielen dokumentierten Fälle der Vergangenheit, in denen die Spähsoftware missbraucht worden sei, hätten deutsche Behörden offensichtlich bewusst ignoriert. Dies werfe nun ein schlechtes Licht auf das Ende der Ära von Angela Merkel.
Die deutsche Polizei darf seit einer Gesetzesänderung 2017 zur Strafverfolgung auch Spionageprogramme auf Smartphones und Computern einsetzen, um verschlüsselte Kommunikation zu überwachen. Für diesen Zweck hat das BKA selbst entsprechende Software entwickelt, die allerdings nur eingeschränkt nutzbar sein soll und daher bislang kaum verwendet wurde.
