Pegasus in Deutschland: Einkauf trotz rechtlicher Bedenken

07.09.2021
G DATA Blog

Bereits 2019 hat Deutschland Lizenzen für die Spionagesoftware „Pegasus“ der israelischen NSO Group gekauft. Das fand ein Team von Journalisten jetzt heraus. Der Kauf sollte geheim bleiben – und noch immer herrscht beinahe trotziges Schweigen von Seiten deutscher Behörden.

Ein Team von Investigativ-Journalisten (Die ZEIT, Süddeutsche Zeitung, NDR und WDR) hat herausgefunden, dass das Bundeskriminalamt in Deutschland sich ebenfalls auf der Kundenliste des israelischen Herstellers von Pegasus befindet. Die Spionage-Software wurde zuletzt scharf kritisiert. Vor kurzem war bekannt geworden, dass Pegasus in einigen Ländern unter anderem gegen Journalisten, Bürgerrechtsorganisationen und die politische Opposition im Einsatz war. Der Hersteller NSO wehrte sich gegen die Vorwürfe.

Warum das Rad neu erfinden?

Die Tatsache, dass auch eine deutsche Strafverfolgungsbehörde sich eines solchen Werkzeugs bedient, kommt jetzt nicht wirklich überraschend. Die Bundesregierung hatte in der Vergangenheit bereits Schwierigkeiten gehabt, ein eigenes Programm (auch „Bundestrojaner“ genannt) zu entwickeln. Vor mehr als zehn Jahren ist bereits ein Versuch, eine staatliche Spionagesoftware zu entwickeln, krachend gescheitert. Experten des Chaos Computer Club hatten Samples der nach damaliger Auffassung stümperhaft entwickelten Spionagesoftware in die Hände bekommen. Das Programm wurde auch unter dem Spitznamen „0zapftis“ bekannt. Die beteiligten Behörden würden diese Geschichte vermutlich gern aus dem öffentlichen Gedächtnis streichen. Eine gründlichere Blamage wäre aus Sicht des BKA kaum möglich gewesen.
Ein Artikel in der Zeit beschreibt die seither unternommenen Versuche des Bundeskriminalamts in dieser Richtung als „schwerfällig und wenig praktikabel“, was dazu führte, dass die Eigenentwicklung zumindest zwischen 2017 und 2020 nie zum Einsatz kam. Dass sich die Behörde jetzt einer kommerziellen Lösung bedient, ist unter wirtschaftlichen und praktischen Gesichtspunkten nachvollziehbar. Was vielen Menschen jedoch Kopfzerbrechen bereitet, ist der Funktionsumfang, den Pegasus besitzt. Das erste Mal haben Vertreter des Bundeskriminalamts sich 2017 die Pegasus-Software vorführen lassen. Zwei Jahre später erfolgte dann der Zuschlag: Seit 2019 zählt Deutschland zum Kundenkreis von NSO.

 

Eine Mauer des Schweigens

Weder das BKA noch NSO selbst haben sich dazu geäußert und es ist auch nicht zu erwarten, dass sich das ändert. Fakt ist: Pegasus besitzt zahlreiche Funktionen, die mit dem bundesdeutschem Verfassungsrecht nicht vereinbar sind und Datenschützern große Sorgen bereiten. Zwar gibt es die Zusicherung, dass Spionageprogramme wie Pegasus nur im Rahmen des deutschen Rechts, auf höchstrichterlichen Beschluss und nur gegen Einzelpersonen eingesetzt werden darf – doch über Details schweigen sich die beteiligten Parteien aus. Auch direkte Anfragen dazu, ob die NSO-Lösung in Deutschland eingesetzt werde, blieben unbeantwortet, mit Verweis auf „staatswohlbegründende Geheimhaltungsinteressen". Der Funktionsumfang von Pegasus hängt von der erworbenen Lizenz ab und kann auf die Erfordernisse des jeweiligen Kunden (wie zum Beispiel des BKA) angepasst werden. So soll sichergestellt sein, dass nur Maßnahmen ergriffen werden, die mit deutschem Recht vereinbar sind. Eine Überprüfung dieser Aussage ist jedoch de facto unmöglich, da sich weder das Bundeskriminalamt noch NSO  zu laufenden Verfahren oder  zu Kunden öffentlich äußern.

Begründete Sorgen

Fakt ist auch, dass die Verteidigungsmöglichkeiten gegen ein Programm wie Pegasus begrenzt sind. Für die Installation werden bisher ungepatchte Sicherheitslücken in Apps und Betriebssystemen auf Mobilgeräten ausgenutzt. Diese Sicherheitslücken werden teilweise für Millionenbeträge auf dem grauen Markt gehandelt und von staatlichen Organisationen gehortet.

Eine Frage des Prinzips

Hier hilft nur ein reaktiver Ansatz: Sobald ein Programm wie Pegasus zur Gänze oder in Teilen öffentlich bekannt wird, werden Hersteller wie G DATA diese auch als schädliche Software identifizieren und blocken. Bereits in der Vergangenheit haben wir bei G DATA mehrfach und deutlich klargestellt, wie wir zu staatlicher Spionagesoftware stehen. Wir machen keine Unterschiede bei Schadsoftware – ganz egal, von wem sie stammt. Kai Figge, Mitbegründer der G DATA CyberDefense AG, hat dies ebenfalls in Interviews mehr als deutlich gemacht: „Wir haben keinen blinden Fleck bei Staatstrojanern“.
Und von diesem Standpunkt weichen wir auch nicht ab.

Tim Berghoff
Security Evangelist

Die besten Beiträge per Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar