Die Spyware „Pegasus“ der israelischen NSO Group hat sich bereits einen Namen gemacht: In der Vergangenheit wurden mithilfe dieses Tools bereits vielfach sensible Daten auf dem Smartphone und der iCloud abgegriffen. Die Software fand sich auf Geräten von Journalisten sowie Menschenrechtsaktivisten. In Deutschland gelten für die Verwendung solcher Staatstrojaner enge verfassungsrechtliche Grenzen – trotzdem kaufte das Bundeskriminalamt (BKA) die Spyware, die hierzulande seit etwa einem halben Jahr zum Einsatz kommen soll.


BKA versuchte sich zunächst an eigener Spyware
Einem Bericht der ZEIT zufolge verhandelte das BKA erstmals im Jahr 2017 mit der NSO Group über den Kauf von Pegasus – zu diesem Zweck war eine Delegation aus Israel angereist. Juristen aus dem BKA und dem Bundesinnenministerium (BMI) meldeten jedoch Bedenken an. Das BKA habe daher mit nur mäßigem Erfolg an einem eigenen Staatstrojaner gefeilt: Die Software sei dem Artikel zufolge „schwerfällig und wenig praktikabel“ gewesen und nicht verwendet worden.

Regierung übt sich in Geheimhaltung
Das habe zu einem Umdenken im BKA geführt: 2019 erwarb die Behörde Pegasus, wenngleich zuständige Beamte darauf drängten, nur jene Funktionen freizuschalten, welche mit den Vorgaben des Bundesverfassungsgerichts im Einklang stehen. Wie der NDR berichtet, habe die Vizepräsidentin des BKA, Martina Link, vor dem Innenausschuss des Bundestages den Einsatz der Spähsoftware seit März dieses Jahres bestätigt. Allzu viele Informationen über diese Sitzung dringen aber nicht an die Öffentlichkeit, da diese als geheim eingestuft wurde. Überhaupt zeigt sich die Bundesregierung in dieser Sache bislang wenig auskunftsfreudig: Anfragen einer Abgeordneten der Linkspartei, des Deutschen Journalistenverbandes und der Grünen-Bundestagsfraktion blieben unbeantwortet. Das parlamentarische Informationsrecht müsse „ausnahmsweise zurückstehen“. Auch Medienanfragen vom WDR, NDR und der Süddeutschen Zeitung verhallten ungehört – nun erklärt das BMI, ausschließlich den zuständigen Gremien des Bundestags zu berichten. Im Juli dieses Jahres erklärten die Bundesländer gegenüber Medienanfragen, dass Pegasus in ihren Polizeibehörden keine Anwendung finde (siehe hier).

Gefahr für iPhones und Android-Smartphones
Pegasus nutzt Sicherheitslücken von iPhones und Android-Geräten aus. Betroffene erhalten beispielsweise eine stille SMS, welche die Spyware auf das Gerät bringt: So sollen in der Vergangenheit bereits Schwachstellen in der Musik-App oder in iMessage ausgenutzt worden seien (siehe hier). Neben Stimmen aus der Politik und Nichtregierungsorganisationen äußerte sich auch Apple vor zwei Monaten zu Cyberangriffen dieser Art und verurteilte diese aufs Schärfste.