Die Auflistung der Telefonnummern ist nüchtern. Ziffer für Ziffer, Nummer für Nummer, Zeile für Zeile. Mehr als 50 000 Telefonnummern aus rund 50 Ländern, dazu jeweils Datum und Uhrzeit, wieder und wieder. Noch mehr Ziffern. Die Nummern führen nach Ungarn, nach Saudi-Arabien, nach Aserbaidschan, nach Mexiko. Und so weiter.
Tausende Zeilen, Zehntausende Nummern. Keine Namen. Und doch: Tausende Schicksale.
All diese Nummern gehören zu Telefonen, die irgendwann seit dem Jahr 2016 als potenzielle Ziele für staatliche Überwachungsmaßnahmen ausgewählt und geprüft wurden - gesteuert über ein Spähprogramm namens Pegasus, das aus der Ferne auf Smartphones gespielt werden kann. Entwickelt und vertrieben wird es von der israelischen Firma NSO Group, einem der weltweit führenden Anbieter von Überwachungssoftware. Die NSO beliefert nach eigenen Angaben ausschließlich staatliche Akteure - also Geheimdienste, Strafverfolgungsbehörden oder das Militär.
Die NSO erklärt seit Jahren, sie stehe auf der guten Seite. Daten würden „nur von individuellen, vor-identifizierten mutmaßlichen Kriminellen und Terroristen“ gesammelt, dank der Firma seien mehr als 100 Terroranschläge verhindert und Tausende Menschenleben gerettet worden, ihre Technologie würde in den weitaus meisten Fällen gesetzeskonform eingesetzt. „Wenn wir Missbrauch feststellen, handeln wir“, verspricht die NSO, deswegen sei seit 2016 auch fünf Kunden der Zugang zum System Pegasus entzogen worden. Ein sechster, Saudi-Arabien, kommt nun offenbar hinzu, nachdem Ende 2020 bekannt geworden war, dass der Wüstenstaat mithilfe der NSO-Technik den Fernsehsender Al Jazeera bespitzelt haben soll.
Tatsächlich könnte eine Vielzahl der Tausenden Telefonnummern aus dem Leak, deren Besitzer sich nicht identifizieren ließen, Menschen gehören, die aus nachvollziehbaren Gründen von staatlicher Seite überwacht werden, etwa weil sie einer schweren Straftat verdächtigt werden.
Die Recherche
Die Recherchen belegen, dass Späh-Angriffe auf wichtige demokratische und zivilgesellschaftliche Institutionen keine seltenen Ausnahmen darstellen, sondern massenhaft vorkommen. Die Pariser Non-Profit-Redaktion Forbidden Stories und die Menschenrechtsorganisation Amnesty International bekamen Zugang zu den sensiblen Daten, den sie dann mit der Süddeutschen Zeitung, NDR und WDR sowie 15 weiteren Medien aus zehn Ländern geteilt haben. Dazu zählen die Washington Post, der britische Guardian, das Organized Crime and Corruption Reporting Project (OCCRP) und Le Monde aus Frankreich, in Deutschland außerdem noch die Wochenzeitung Die Zeit. Forbidden Stories hat die Arbeit der mehr als 80 Journalisten koordiniert, das Security Lab von Amnesty International trug die technische Unterstützung bei.
Aus Quellenschutzgründen machen die beteiligten Medien keine Angaben dazu, wie die heiklen Daten zu dem Konsortium kamen.
Das Pegasus-Projekt basiert auf Aufzeichnungen von Telefonnummern, die von Kunden der NSO offenbar als potenzielle Ziele von Überwachungsmaßnahmen in eine Art Benutzeroberfläche eingegeben wurden. Im ersten Schritt kann das System damit eruieren, ob das anvisierte Gerät überhaupt erreichbar wäre, in welchem Land es sich befindet und ob es SMS empfangen kann. Kurzum: ob es attackierbar ist. Der zweite Schritt kann dann schon der Angriff mit der Spähsoftware sein.
Die Forensik
Ob die Geräte hinter den geleakten Telefonnummern tatsächlich erfolgreich angegriffen wurden, lässt sich erst durch eine forensische Untersuchung feststellen. 67 solcher Analysen durch die Technikexperten von Amnesty International ergaben, dass bei 23 Handys, deren Nummern auch in den Daten waren, tatsächlich bewiesen werden konnte, dass sie infiziert worden waren. Bei 14 wiesen Spuren der Pegasus-Software zumindest einen versuchten Angriff nach. Nachzuweisen waren derartige Pegasus-Attacken von 2018 bis in den Juli dieses Jahres. Zwischen der ersten Prüfung der Nummer und einem Angriff verging in mehr als einem Dutzend Fälle nicht einmal eine Minute, manchmal dauerte es sogar nur wenige Sekunden.
Das Recherche-Konsortium ließ Telefone stichprobenweise und unabhängig vom Amnesty-Check ein weiteres Mal vom Citizen Lab der Universität Toronto untersuchen. In allen Fällen bestätigte Citizen Lab die Ergebnisse. Die kanadischen Wissenschaftler sind neben dem Amnesty International Security Lab die führenden Experten für die NSO-Software. In einer Studie von 2018 hatten sie in 45 Ländern Spuren von Überwachung mittels der Pegasus-Software festgestellt.
Auch ein Mitarbeiter von Amnesty International war selbst ins Visier der NSO geraten, ihm war eine Nachricht mit einem verdächtigen Link zugeschickt worden. Über die Jahre baute die Organisation dann eigene technische Fähigkeiten auf, was die Analyse derartiger Vorfälle angeht.
Zu den Staaten, die die Technik nutzen, gehören solche, in denen Gewalt, Strafverfolgung und Drohungen gegen Journalisten an der Tagesordnung sind. Auch auf den Handys von etwa einem halben Dutzend Journalisten, die am Pegasus-Projekt arbeiten, wurden Spuren der Spionagesoftware gefunden.
Journalistinnen und Journalisten brauchen geheime Kanäle, um vertraulich mit ihren Informanten und Informantinnen zu sprechen. Prodemokratische Aktivisten müssen sicher kommunizieren können, um friedliche Proteste zu organisieren. Und es sollte selbstverständlich sein, dass Menschenrechtsanwälte sich unbelauscht mit ihren Mandantinnen und Mandanten austauschen können. In der Hand eines autokratischen Regimes wird Pegasus zu einer Waffe, mit der sich Widerstand im Keim ersticken lässt - nämlich bereits dort, wo er organisiert wird.
Die Opfer
Die Recherchen über die betroffenen hochrangigen Politiker werden im Lauf dieser Woche veröffentlicht werden. In einer ersten Welle stehen vorerst die mehr als 180 Journalistinnen und Journalisten im Fokus, die in den Ziellisten zu finden waren - darunter Roula Khalaf, die Chefredakteurin der Financial Times in London, und Reporter und Redakteure von Medien wie der New York Times, CNN, Reuters, dem Economist, Al Jazeera, Wall Street Journal, Associated Press und weiteren Medien. Nummern deutscher Journalistinnen und Journalisten finden sich nicht in den Daten. In Frankreich wurde, forensisch bestätigt, die Nummer des angesehenen französischen Rechercheurs Edwy Plenel angegriffen, Gründer des Investigativmediums Mediapart, sowie von Reporterinnen von Le Monde - all das offenbar gesteuert aus Marokko.
In Mexiko, Indien und Aserbaidschan ist die Liste der Journalistinnen und Journalisten, die mit der Spähsoftware infiziert wurden oder werden sollten, deutlich länger.
Der mexikanische Reporter Cecilio Pineda wurde ermordet, nachdem seine Nummer in den Wochen zuvor wiederholt als Ausspähziel ausgewählt worden war. Pineda ist einer von 25 mexikanischen Journalisten, die über einen Zeitraum von zwei Jahren mittels NSO-Software ins Visier genommen worden waren.
Allerdings wurden etliche Personen aus seinem Umfeld als potenzielle Ziele für die NSO-Spyware eingetragen – auch der türkische Chefermittler, der den im saudi-arabischen Konsulat in Istanbul verübten Mord aufklären sollte. Die NSO bleibt auch nach einer aktuellen Nachfrage dabei, ausschließen zu können, dass ihre Software in diesem Fall zum Einsatz gekommen sei. Man habe das „überprüft“. Wie, erklärt die Firma nicht. Gleichzeitig sagt sie, weder betreibe sie das System für ihre Kunden noch habe sie Zugriff auf deren Zieldaten.
Der marokkanische Journalist Omar Radi – der wiederholt über Korruption in Marokko berichtet hatte – wurde 2018 und 2019 über die Pegasus-Software gehackt. Das belegen entsprechende forensische Analysen von Amnesty International. In einer vorherigen Kollaboration hatten unter anderem Forbidden Stories und die SZ darüber berichtet. Radi wurde wenig später zu einer Haftstrafe verurteilt, ihm werden Spionage und sexuelle Übergriffe vorgeworfen.
Sobald ein Telefon von der aggressiven Pegasus-Software erfolgreich infiziert wurde, können entscheidende Funktionen des Geräts aus der Ferne gesteuert werden: Nicht nur kann so gut wie alles mitgelesen werden, was auf dem Telefon passiert; wer Pegasus kontrolliert, kann auch das Mikrofon und die Kamera des Smartphones einschalten und nutzen, den Standort ermitteln und Passwörter auslesen. Sogar verschlüsselte Anrufe können mitgeschnitten werden.
Al-Hathloul setzt sich unter anderem dafür ein, dass in ihrer Heimat Frauen Autofahren dürfen. Al-Hathlouls Telefonnummer wurde offenbar Anfang 2018 als potenzielles Ziel eingegeben. Im März 2018 wurde die Aktivistin dann in den Vereinigten Arabischen Emiraten, wo sie studierte, gekidnappt, zurück nach Saudi-Arabien verschleppt, zu einer Gefängnisstrafe verurteilt und erst nach 1001 Tagen Haft Anfang 2021 wieder freigelassen. „Sie wurde im Gefängnis gefoltert, sie ist durch die Hölle gegangen“, sagt ihre Schwester Lina al-Hathloul bei einem Treffen mit der SZ. Auf Anfrage äußerten sich weder die Emirate noch Saudi-Arabien zu dem Fall.
In den Listen finden sich die Telefonnummern zahlreicher weiterer Menschenrechtsaktivistinnen und -aktivisten verschiedener Länder, etwa die indische Menschenrechtsaktivistin Sudha Bharadwaj. Die als „Anwältin des Volkes“ bekannte Frau wurde unter Hausarrest gestellt, kurz nachdem ihre Nummer den vorliegenden Daten zufolge erstmals in das NSO-System eingegeben wurde.
Die NSO beharrt darauf, bei der Auswahl ihrer Kunden „sehr wählerisch“ zu sein und höchste Standards anzulegen. Das Unternehmen führe eine schwarze Liste von 55 Ländern, an die es noch nie geliefert habe und dies auch nie tun werde. Dazu sollen China, Russland, Iran, Kuba und Nordkorea zählen. Dass die Software aber auch in anderen autoritären Staaten wie Saudi-Arabien gegen unliebsame Oppositionelle, kritische Journalisten oder Menschenrechtsaktivisten eingesetzt werden kann, scheint der NSO durchaus bewusst zu sein. In einem offiziellen Statement heißt es, es gebe nun mal „inhärente Menschenrechtskonflikte im Zusammenhang mit unseren Produkten“.