Für Frederik Obermaier ist bei seinen Recherchen über den Einsatz der Spyware Pegasus der israelischen NSO Group gegen Journalisten, Menschenrechtsaktivisten und Oppositionelle durch Behörden aus über zwölf Ländern inklusive Deutschland, Frankreich und Ungarn klar geworden, um welch "extrem starkes Überwachungswerkzeug" es sich dabei handele. Die "digitale Waffe" ist für ihn "ein Monstrum, das außer Kontrolle geraten ist". In falschen Händen bedeute eine solche Spähsoftware "eine Gefahr für die Pressefreiheit und die Demokratie", erklärte das Mitglied im International Consortium of Investigative Journalists am Donnerstag bei einer Online-Debatte der Organisation Reporter ohne Grenzen (RoG).

Alles mitschneiden

"Verschlüsselung wird umgangen", führte er aus. Möglich werde es so etwa, mitzuhören, Betroffene zu orten und alles mitzuschneiden, was auf dem Bildschirm eines Smartphones oder Tablets zu sehen sei. Das deutsche Recherche-Team der Organisation Forbidden Stories hatte aufgedeckt, dass sich in Deutschland der Bundesnachrichtendienst (BND) und das Bundeskriminalamt (BKA) Pegasus beschafft haben. Die neue Bundesregierung muss sich laut Obermaier nun fragen, ob die eigenen Behörden ein Programm nutzen dürften, "mit dem Autokraten Menschenrechtler überwachen". Dies gelte auch für ähnliche Spionagesoftware wie FinSpy des umstrittenen deutschen Unternehmens FinFisher, das zur Gamma Group gehört. Er forderte stärkere Exportkontrollen und Sanktionen. Hier habe die US-Regierung bereits ein Signal an die Branche gesandt.

Der SPD-Bundestagsabgeordnete Uli Grötsch bedankte sich bei Obermaier als Mitglied des Parlamentarischen Kontrollgremiums für die Aufklärung, dass auch der BND Pegasus anwendet: "Wir hätten das nicht erfahren." Er hofft auf den neuen unabhängigen Kontrollrat für den Auslandsgeheimdienst, dem so etwas "jetzt auffallen müsste". Die Ampel habe im Koalitionsvertrag vereinbart, dass es "keine Weitergabe von Überwachungssoftware an repressive Regime" geben dürfe. Grötsch warb darüber hinaus für eine "Cyber-Exportkontrolle in beide Richtungen". Deutschland sollte also auch keine Software von Firmen kaufen, die autokratische Staaten beliefern. Generell gelte es für die Volksvertreter den Spagat zu meistern, die Sicherheitsbehörden arbeitsfähig zu halten und die Freiheitsrechte zu wahren. Gefährder wie gewaltbereite Rechtsextremisten müssten weiter entsprechend überwacht werden können.

Staatstrojaner der GroKo

Lisa Dittmer, Referentin für Internetfreiheit bei RoG, erinnerte daran, dass die SPD zusammen mit der CDU/CSU-Fraktion jüngst erst allen Geheimdiensten Staatstrojaner in die Hand gedrückt habe. Bei Pegasus könne keiner garantieren, dass überschüssige und rechtswidrige Funktionen nicht aktiviert werden. Die für das Aufspielen solcher Software genutzten Sicherheitslücken stellten "für alle eine Gefahr dar". Die EU steht laut Dittmer – trotz der widersprüchlichen Haltung der alten Bundesregierung – bei Exportkontrollen relativ gut da. Dennoch sei FinSpy auch ohne offizielle Genehmigung etwa in die Türkei und Ägypten gelangt. Es sei daher nötig, die Ausfuhrregeln auf internationaler Ebene etwa über das Wassenaar-Abkommen zu verschärfen. Israel gehöre aber auch dort nicht zu den Unterzeichnerstaaten.

Das Problem von Pegasus & Co. sei an sich lange bekannt gewesen, nicht aber das Ausmaß der Einsätze, führte die Aktivistin aus. Auf der Liste von Amnesty International stünden 50.000 Handynummern. Mittlerweile gebe es etwa 220 bestätigte Fälle. "Das hat einen Effekt auf demokratische Rechte weltweit." Die Betroffenen sähen ihre Privatsphäre massiv verletzt, auch Informanten und Kontaktpersonen könne die nötige Vertraulichkeit nicht mehr garantiert werden. Die Akteure suchten sich derweil aus der Verantwortung zu stehlen. Die Zivilgesellschaft kämpfe hier mit beschränkten Ressourcen gegen eine globale Industrie.

Keine unabhängigen Untersuchungen

Sein iPhone sei über Monate hinweg mehrfach gehackt worden, beklagte der ungarische Investigativ-Journalist Szabolcs Panyi. Er habe in diesem Zeitraum sehr viele Quellen getroffen, was am schwersten wiege. Ein Parlamentarier aus der Regierungspartei habe vor Kurzem eingestanden, dass das Innenministerium in Budapest Pegasus gekauft habe. Leider sei der gesetzliche Rahmen in Ungarn so vage, "dass alles mit Hinweis auf die Bedrohung der nationalen Sicherheit erlaubt ist". Eine unabhängige Untersuchung gebe es nicht. Trotzdem sei die Bespitzelung von ihm und Kollegen auch vor Ort ein Riesenskandal gewesen. Die EU-Kommission beließ es bis jetzt bei mahnenden Worten.

"Es gibt keine leichte Möglichkeit, um Spyware festzustellen", gab der Menschenrechtsaktivist Peter Steudtner zu bedenken. Amnesty habe zwar ein Mobile Verification Toolkit als Open-Source-Software zur Verfügung gestellt. Dieses funktioniere aber nur auf iPhone, nicht auf Android-Smartphones. Die neueste Pegasus-Version dürfte sich damit ferner auch nicht ausmachen lassen. Zumindest seien solche Trojaner und die dafür teils genutzten "Zero-Klick-Exploits" recht teuer, sodass sie sich nicht zur Massenüberwachung eigneten.

Der Trainer für die digitale Sicherheit von Journalisten, der selbst schon in der Türkei im Gefängnis saß, empfahl Reportern am besten den Griff zu Notizbuch und Stift. Wer das Handy nicht weglassen könne, sollte verschiedene Geräte oder zumindest unterschiedliche Systemprofile für einzelne Recherchen nutzen. Ferner sei es ratsam, Smartphones immer wieder in den Ausgangszustand zurückzuversetzen. Die Wähler müssten zudem Druck auf die Politik ausüben. Wichtig sei das Bewusstsein: "Die Privatsphäre schützen, schützt die Demokratie."

(kbe)