Spyware Pegasus: NSO-Vertreter bringt Europaabgeordnete in Wallung

Untersuchungsausschuss im Spionageskandal: Ein NSO-Vertreter gibt Auskunft zum Pegasus-Einsatz und sorgt für Aufregung unter den EU-Abgeordneten.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 124 Beiträge
Pegasus: iOS- und Android-Spyware soll jetzt Daten aus Cloud-Services stehlen können

(Bild: T. Schneider/Shutterstock.com)

Von
  • Falk Steiner

Es dürfte eine der emotionalsten Ausschusssitzungen des Europaparlaments überhaupt gewesen sein: Im Sonderausschuss zum Einsatz des Ausspähwerkzeugs Pegasus stellte sich mit Chaim Gelfand der Chief Compliance Officer des israelischen Spyware-Herstellers NSO den Fragen der Abgeordneten – und bat vor allem um eines: Verständnis.

Nachdem im Laufe des vergangenen Jahres bekannt wurde, dass mit der Pegasus-Spyware in Ungarn, Polen, Spanien und Frankreich mal Regierungsvertreter, mal Oppositionspolitiker, Journalisten und Menschenrechtsaktivisten ausgespäht wurden, erwarteten die Europaabgeordneten möglichst konkrete Antworten von NSO-Vertreter Chaim Gelfand. Doch der Chief Compliance Officer blieb viele Antworten unter Verweis auf Geschäftsgeheimnisse und Geheimverpflichtungen schuldig.

Anders als etwa in einem Untersuchungsausschuss des Deutschen Bundestages gilt bei Europaparlaments-Sonderausschüssen weder die Wahrheitspflicht, noch kann der Ausschuss zu Zwangsmitteln greifen. NSO hätte es sich einfach machen können und der Anhörung fernbleiben, verteidigte sich Gelfand. Aber man wolle gerne Antworten geben. Auch wenn dies in einem nicht öffentlichen, internationalen Format sicher einfacher sei als im öffentlich tagenden EP-Pegasus-Sonderausschuss.

NSO sei der einzige Anbieter in diesem Technologiebereich, der sich um Menschenrechte kümmere, so Gelfand. Und Technologie sei immer zu missbrauchen, ob die von NSO oder ein Hammer.

Die Firma stelle das Pegasus-System ausschließlich Behörden und Strafverfolgern zur Verfügung. Dabei würde eine strikte Trennung stattfinden: NSO liefere sein System aus, die Nutzer müssten dieses in eigenen Liegenschaften betreiben. Die Firma erstelle bei jeder Kundenanfrage eine Analyse, mit der sie die Situation im jeweiligen Land bewerte. Auf einer Skala von 0 bis 100 werde anhand öffentlich zugänglicher Daten und eigener Einschätzung dann ein Wert vergeben, wie problematisch oder unproblematisch das Zielland in Hinblick auf Menschenrechte und Rechtstaatlichkeit sei.

Belgien sei dabei etwa bei 80 Punkten, Spanien bei 75, Ungarn und Polen, beides Länder, gegen die wegen Verstößen gegen die Rechtstaatlichkeitsprinzipien Verfahren der EU laufen, bei etwa 65 Punkten. Saudi-Arabien liege wesentlich niedriger, vielleicht bei 30 Punkten, so der NSO-Vertreter. In diesem Bereich sei in der Vergangenheit auch etwa die Schwelle gewesen, ab der Kunden als unverantwortbar abgelehnt würden. Heute liege diese Messlatte höher.

Als Teil des Vertrages wird laut NSO am Ende eine Vereinbarung zwischen dem Zielland und der israelischen Regierung geschlossen, die den Export auch genehmigen müsse. In dieser müssten die Anwenderstaaten zusichern, sich beim Einsatz sowohl an menschenrechtliche Verpflichtungen als auch an Rechtstaatlichkeitsprinzipien zu halten und Pegasus ausschließlich im Kampf gegen Terrorismus und Kriminalität einzusetzen. Ansonsten würde der Vertrag seitens NSO als nicht erfüllt betrachtet und beendet, das System zwangsweise abgeschaltet. Man arbeite stetig an Verbesserungen der Kriterien.

Derartige Auskünfte reichten den EU-Abgeordneten allerdings nicht. Der polnische Abgeordnete Bartosz Arłukowicz wollte etwa wissen, ob der Einsatz in Polen – wo unter anderem Politiker und Staatsanwälte mit Pegasus ausgespäht worden sein sollen – diesen Kriterien genügte. Der für Spanien im Europaparlament sitzende katalanische Abgeordnete Carles Puigdemont, wo Oppositionelle, Regierungschef und Verteidigungsministerin mit Pegasus angegriffen worden sein sollen, fragte, wie NSO wissen könne, ob ihre Software den Bedingungen gemäß eingesetzt würde. Andere Abgeordnete fragten, wie die Spähattacke auf hochrangige Mitarbeiter der EU-Kommission und Justizkommissar Didier Reynders denn zur Verhinderung von terroristischen Angriffen und Kriminalität beigetragen habe?

Gelfand erwiderte, dass es immer auch rechtlich einwandfreie Gründe für den Einsatz auch gegen Politiker, Journalisten oder Aktivisten geben könne. Konkrete Fälle könne er aber nicht besprechen. Immer wieder fragten die Abgeordneten in der intensiven Befragung, was konkret NSO unternehme, um einen Missbrauch außerhalb der Nutzungsbedingungen und des Rechts zu unterbinden. Doch die Antworten blieben vage und für die Parlamentarierinnen und Parlamentarier offensichtlich unbefriedigend.

Der Ausschussvorsitzende Jeroen Lenaers musste seine Kollegen mehrfach zur Disziplin rufen, bevor NSO-Vertreter Gelfand weiter wenig Konkretes sagen konnte. Er argumentierte, NSO selbst habe keinen direkten Zugriff auf die Ziellisten der Kunden. Man würde nicht in die dem Kunden zur Verfügung gestellten Systeme hineinschauen. Nach Hinweisen gehe man Verdachtsfällen nach, Kunden seien dann zur Kooperation verpflichtet, sonst würde ihnen das System abgeschaltet und bei der Feststellung von Fehlverhalten drohe ebenfalls die Abschaltung.

NSO habe eine Whistleblower-Email-Adresse eingerichtet, führe ein jährliches Review seiner Menschenrechts-Einschätzung durch und gehe Hinweisen aus der Presse ebenfalls konsequent nach, sagte Gelfand. In den vergangenen zwei Jahren seien acht Kunden die Verträge gekündigt und viele neue Anfragen negativ beschieden worden. Dadurch seien etwa 300 Millionen US-Dollar an Geschäft entgangen. Anders als von Medien berichtet, hätten weder die Nummer von Amazon-Chef Jeff Bezos noch die des 2018 im saudi-arabischen Generalkonsulat in Istanbul ermordeten Journalisten Jamal Chaschuqdschi auf Ziellisten gestanden. Pro Jahr würden etwa 12.000 Zielnummern durch die derzeit etwas weniger als 50 Kunden erfasst, berichtete Gelfand. Zu den heutigen Kunden gehörten mehr als fünf EU-Mitgliedstaaten.

Gerne würde er auch den US-Behörden die NSO-Sicht erläutern – die USA führen NSO auf einer schwarzen Liste. Allerdings gelten mit L3 und Peter Thiels Palantir derzeit zwei US-Firmen als mögliche Käufer der umstrittenen Firma).

Ein Komplettverbot, wie es der Ausschuss für derartige Software prüfen soll und auch in der Berliner Ampelkoalition diskutiert wird, lehnte der NSO-Vertreter ab. Die deutsche Grünenpolitikerin Hannah Neumann wollte wissen, was für eine Art von Regulierung Gelfand sich denn wünsche, damit die Last der Verantwortung nicht mehr auf den Schultern einer Firma wie NSO liegen müsse? "Ein Nichtverbreitungsabkommen mit spezifischen Standards, bei dem nur die Unterzeichnerstaaten als legitime Kunden gelten", wünschte sich Gelfand von NSO. Dessen Einhaltung müsse stetig von einer Institution überwacht werden.

Insgesamt sei derartige Software unverzichtbar. Denn die Alternative zu Tools wie Pegasus, mit denen das Going-Dark-Problem adressiert würde und das etwa einer Durchsuchung entspräche, sei aus seiner Sicht nur die Massenüberwachung über verpflichtende Backdoors. Ob NSO am Markt gezielt Zero-Day-Exploits für Pegasus kaufe, wollte der FDP-Abgeordnete Moritz Körner vom Firmenvertreter erfahren. Gelfand wollte das weder bestätigen noch dementieren: "Wir nutzen so ziemlich alles, was legal ist."

Im November wird auch der deutsche Einsatz des NSO-Staatstrojaners Thema. Sowohl das Bundeskriminalamt als auch der Bundesnachrichtendienst sind Nutzer von Pegasus.

(kbe)