Das israelische Unternehmen NSO Group
Exklusiv

Trojaner "Pegasus" Wie autoritäre Staaten ihre Gegner ausspähen

Stand: 18.07.2021 18:00 Uhr

Weltweit sind offenbar Journalisten und Oppositionelle mit einer mächtigen Spionagesoftware ausgespäht worden. Das zeigt eine internationale Recherche. Eigentlich soll sie nur zur Verfolgung Krimineller und Terroristen genutzt werden.

Von Von Christian Baars, Florian Flade und Georg Mascolo, NDR/WDR

Sie sind offenbar ins Visier von Geheimdiensten und Polizeibehörden rund um den Globus geraten: Hunderte Journalisten, Menschenrechtsaktivisten, Anwälte und Politiker, unter ihnen auch Staatspräsidenten. Ihre Mobiltelefone sollen ausgewählt worden sein, um sie mit einer Spionagesoftware zu überwachen. Das legen Recherchen eines internationalen Journalistenkonsortiums nahe, an dem auch NDR, WDR, "Süddeutsche Zeitung" und die Wochenzeitung "Zeit" beteiligt sind. Gemeinsam mit der Organisation Forbidden Stories und Amnesty International haben die Journalisten einen Datensatz von mehr als 50.000 Telefonnummern ausgewertet.

Es handelt sich dabei um eine Liste von potenziellen Ausspähzielen, die von Kunden der israelischen Firma NSO Group ausgewählt wurden. NSO gehört zu den führenden Herstellern kommerzieller Spionagesoftware. Das Unternehmen verkauft weltweit Produkte an Polizeibehörden, Geheimdienste und Armeen, mit denen Mobiltelefone umfassend ausspioniert werden können. Rund 60 Kunden in 40 Ländern hat die im Jahr 2010 gegründete Firma, die mittlerweile mehr als eine Milliarde Euro wert sein soll, nach eigenen Angaben.

Das bekannteste Produkt von NSO ist "Pegasus", ein Trojaner, mit dem unbemerkt iPhones und Android-Smartphones infiziert und mühelos Telefonate, SMS, E-Mails und sogar verschlüsselte Chats überwacht werden können. Mit der Software, die als eine der leistungsfähigsten Spionageprogramme auf dem kommerziellen Markt gilt, können sogar die Kamera und das Mikrofon eines Geräts unbemerkt eingeschaltet werden.

Tausende Telefonnummern

Nach offizieller Darstellung verkauft der israelische Hersteller NSO seine Spionagesoftware nur an staatliche Stellen, die sie demnach auch ausschließlich für den Kampf gegen den Terrorismus und schwere Kriminalität einsetzen sollen. Tatsächlich aber legen die Recherchen des "Pegasus-Projekts" nahe, dass autoritäre Regime damit auch politische Gegner, Oppositionelle, Menschenrechtsaktivisten und kritische Journalisten überwachen und verfolgen.

Die Telefonliste, die Einträge von 2016 bis 2021 umfasst, enthält offenbar die Daten von mindestens zehn Kunden von NSO. Das Journalistenkonsortium konnte Tausende Nummern konkreten Personen zuordnen. In der Liste finden sich unter anderem Handynummern von Staats- und Regierungschefs und von hochrangigen Diplomaten. Auch dabei sind die Nummern von mehr als 180 Journalistinnen und Journalisten, unter ihnen die Chefredakteurin der britischen "Financial Times", Reporterinnen der französischen Medien "Le Monde", "Mediapart" und "Le Canard Enchainé", eine Reporterin des US-Fernsehsenders CNN, von "The Wire" in Indien, ein AFP-Korrespondent in Marokko, eine Fernsehmoderatorin in Mexiko und Redakteure aus Ungarn und Aserbaidschan.

Anschläge verhindert, Kriminalität bekämpft

In einer Stellungnahme, die ein US-amerikanischer Rechtsanwalt im Auftrag von NSO verfasst hat, heißt es, die Erfassung von Telefonnummern könnte viele legitime und vollständige saubere Anwendungsmöglichkeiten haben, die nichts mit Überwachung oder NSO zu tun hätten. Selbst wenn diese Nummern bei NSO eingespeist worden wären, müsse dies "nicht zwingend bedeuten", dass dies auch "Teil eines Überwachungsversuchs" gewesen sei. Zudem sage dies nichts darüber aus, ob der Einsatz von Spionagesoftware auch erfolgreich gewesen sei. Zudem habe NSO keinerlei Kenntnis von den Aufklärungszielen seiner Kunden. Der französische Verein Forbidden Stories ziehe "falsche, zu weit reichende und verleumderische Schlüsse aus der Liste von Daten".

"Die Wahrheit ist, die Technologien der NSO Group haben geholfen, Terrorangriffe, Waffengewalt, Auto-Explosionen und Selbstmordanschläge zu verhindern", teilte die israelische Firma auf Anfrage mit. Die Produkte von NSO würden täglich von Behörden eingesetzt, "um Pädophilie-, Sex- und Drogenhändlerringe zu zerschlagen, vermisste und entführte Kinder zu lokalisieren", das Unternehmen befinde sich auf einer "lebensrettenden Mission" und werde diese "unbeirrt und gewissenhaft ausführen, trotz aller fortgesetzten Versuche, sie mit falschen Begründungen zu diskreditieren".

Georg Mascolo, Leiter Recherchekooperation NDR/WDR/SZ, zu Spionageangriffen durch manipulierte Smartphones

tagesschau24 18:00 Uhr

Angriff binnen Sekunden

Wenn ein Handy mithilfe der Spähsoftware attackiert werden soll, erfolgt dies laut Insidern in zwei Schritten. Zunächst wird etwa überprüft, wo sich das Gerät befindet und ob es erreichbar ist. Anschließend können die Angreifer auf Basis dieser Daten das Handy mit dem Pegasus-Programm infizieren. In mehr als einem Dutzend Fällen aus der Liste, denen das Journalistenkonsortium nachging, erfolgte der Angriff weniger als eine Minute nach der ersten Datenabfrage, manchmal waren es sogar nur sieben Sekunden.

Spuren des Trojaners auf zahlreichen Handys gefunden

Um zu überprüfen, ob tatsächlich Angriffe mit der Spionagesoftware "Pegasus" auf die gelisteten Telefonnummern stattgefunden haben, haben sich die beteiligten Medien in den vergangenen Monaten mit mutmaßlichen Opfern der Ausspähaktionen getroffen und Stichproben veranlasst.

IT-Experten vom Amnesty International Security Lab in Berlin und vom Citizen Lab der Universität von Toronto führten forensische Untersuchungen an 44 iPhones von Personen durch, deren Nummern augenscheinlich von NSO-Kunden als potenzielle Ziele ausgewählt worden waren. Dabei konnten auf 37 Geräten tatsächlich Spuren von Angriffen mit der "Pegasus"-Software festgestellt werden, auf einigen Handys war der Trojaner offenbar noch bis Juli dieses Jahres aktiv.

Der Fall Kashoggi

Die Spuren auf den untersuchten Handys wiesen nach Darstellung der Experten von Citizen Lab, die sich seit Jahren mit der Software der israelischen Firma NSO befassen, eine hohe Übereinstimmung mit Spuren von Geräten auf, die schon in der Vergangenheit mutmaßlich mit "Pegasus" infiziert worden waren.

Kritik an NSO gab es auch, nachdem Hinweise aufkamen, dass die Überwachungssoftware "Pegasus" im Umfeld des saudischen Journalisten und Exil-Oppositionellen Jamal Khashoggi eingesetzt worden sein soll - was NSO bestreitet. Khashoggi galt als Kritiker des Königshauses und soll 2018 beim Besuch des saudischen Konsulats von einem Killerkommando in Istanbul ermordet und seine Leiche anschließend zersägt worden sein. Auch gegen den Menschenrechtsaktivisten Ahmad Mansur aus den Vereinigten Arabischen Emiraten soll das israelische Überwachungsprogramm eingesetzt worden sein.

Internationale Recherche deckt Missbrauch von umstrittener Spionagesoftware "Pegasus" auf

Johannes Jolmes/Georg Mascolo, NDR, tagesthemen, tagesthemen, 18.07.2021 22:00 Uhr

Einsatz auch in Europa

Die neuen Recherchen des "Pegasus-Projekts" legen nahe, dass die Spionagesoftware auch in Europa zum Einsatz kam. In Ungarn etwa sollen mehrere investigativ arbeitende Journalisten noch im Jahr 2019 damit angegriffen worden sein. Das Land äußert sich nicht dazu. In einer Stellungnahme schreibt die Regierung aber, dass in Ungarn Rechtsstaatlichkeit herrsche.

Auch in Aserbaidschan kam es zu Ausspähaktionen gegen bekannte regierungskritische Journalisten, beispielsweise gegen die Reporterinnen Khadija Ismayilova und Sevinc Vaqifizi, wie forensische Analysen ihrer Handys ergaben. In Frankreich ist laut der Untersuchung das Mobiltelefon von Edwy Penel, dem Gründer der Rechercheplattform "Mediapart" infiziert worden, ebenso das einer bekannten Reporterin von "Le Monde". Die Analyse der Daten und weitere Recherchen sprechen dafür, dass die Überwachungen von Stellen in Marokko veranlasst wurden.

Auf der Liste finden sich insgesamt rund 10.000 Telefonnummern, die augenscheinlich durch Kunden von NSO aus Marokko in das System eingegeben wurden. Rund 100 Anschlussinhaberinnen und -inhaber konnten namentlich identifiziert werden, meist handelt es sich dabei um französische Telefonnummern. Damit zählt das nordafrikanische Land zu den wohl größten Kunden der israelischen Firma. Konkrete Nachfragen zur Nutzung der israelischen Software ließ die marokkanische Regierung unbeantwortet. In den kommenden Tagen werden unter anderem auf tagesschau.de, bei der "Süddeutschen Zeitung" und bei der "Zeit" die Ergebnisse der Recherchen des "Pegasus"-Projekts veröffentlicht.

Kersten Mügge, Kersten Mügge, NDR, 18.07.2021 23:02 Uhr

Dieses Thema im Programm: Über dieses Thema berichtete tagesschau24 am 18. Juli 2021 um 18:00 Uhr.