„Pegasus-Software“: auch die Bundesregierung nutzt das wohl umfangreichste Spionage-Tool der Welt

BERLIN – Das Spionagewerkzeug für Smartphones „Pegasus“ ist so mächtig, daß viele Regierungen dieses nicht nur gebrauchen, sondern missbrauchen. Auch die Bundesregierung nutzt es – angeblich nur teilweise – z.B. zur Überwachung der Bürger!

„Pegasus“ lautet die Bezeichnung für die wohl mächtigste Spyware, die jemals entwickelt wurde – jedenfalls von einem privaten Unternehmen. Anfang September 2021 wurde öffentlich, daß 

• Staats- und Regierungschefs,
• Minister sowie
• hochrangige Diplomaten und
• Journalisten

mit Hilfe ihres Smartphones offenbar systematisch überwacht wurden. Darunter auch Präsident Macron und der Dalai Lama.  Eine technische Analyse zahlreicher Mobiltelefone von Betroffenen belegte, daß sie mit Hilfe der Software angegriffen und teilweise über Jahre überwacht worden waren.

Die Spähattacke auf Macron soll vom marokkanischen Sicherheitsdienst gelenkt worden sein.

Eingesetzt wurde hierbei die so genannte Pegasus-Software, von der israelischen Sicherheitsfirma NSO. NSO verkauft seine Pegasus-Software nur an Regierungen und staatliche Organisationen. Das Unternehmen erklärt immer wieder, Pegasus diene allein dazu, Terroristen und Kriminelle zu fangen und daß man sich strengen Kontrollen unterwerfe, um solchen Missbrauch zu verhindern.

Im Innenausschuß hat die Bundesregierung nun zugegeben, die „Pegasus-Spyware“ ebenfalls einzusetzen. Diese Pegasus-Software ist seit Jahren weltweit berüchtigt.  Aktuelle Recherchen zeigte jedoch, daß diese Kontrollen offenbar nicht funktionieren. Erst im Juli wurde durch die Recherchen von Amnesty International und einem internationalen Journalistenkonsortium, dem unter anderem DIE ZEIT angehört, bekannt, wie umfassend dieser Missbrauch der Software ist. Menschenrechtsaktivisten, Journalisten und Oppositionelle werden in diversen Ländern mit Pegasus ausgespäht.

Das Bemerkenswerte: Deutschland ist die Kenntnis zuzurechnen, dass „Pegasus“ offenbar in hunderten von Fällen weltweit durch autoritäre Regime dazu wurde, Bürger zu bespitzeln

„offensichtlich hat man sich entschieden, sie zu ignorieren“,

kommentierte John Scott-Railton, Senior Researcher am Citizen Lab gegenüber den an einem Rechercheprojekt über „Pegasus“ beteiligten Medien SZ, NDR, WDR und ZEIT. Statt im Cyberspace eine Führungsrolle zu übernehmen, habe sich Deutschland damit

„auf die Seite der diktatorischen Kunden von NSO gestellt“.

Offenbar haben deutsche Behörden kein Problem damit, sich als Kunde von „Pegasus“ in einer Reihe wiederzufinden, in der auch Autokraten stehen.

„Pegasus-Software“: Spionage „Made in Israel“ im Einsatz gegen Staatenlenker und Bürger

Pegasus ist eine von der israelischen Cyberwaffenfirma NSO Group entwickelte Spyware, die unerkannt auf Mobiltelefonen (und anderen Geräten) installiert werden kann.    Die Spyware ist nach Pegasus benannt, dem geflügelten Pferd der griechischen Mythologie. Es handelt sich nach der Vorstellung von NSO damit wohl um einen Trojaner-Computervirus, der „durch die Luft fliegen“ kann, um Mobiltelefone zu infizieren.

Ein Problem: Da die Daten über ausländische Server laufen wurden staatliche Eingriffsbefugnissen, wie z.B. ein Eingriff in den Grundrechtsbereich einfach an eine ausländische Firma outgesourct. Dies ist besonders problematisch, da es sich bei „Pegasus“ um eine Software mit neuen Fähigkeiten handelt. Darüber, ob diese Fähigkeiten und ob der Datenstrom über ausländische Firmen läuft, sollte eigentlich im Parlaments diskutiert und abgestimmt werden und nicht auf der Fachebene.

Einigen Abgeordneten im Bundestag genügt das nicht. „Pegasus ist der Traum von Diktatoren und ein Albtraum für den Rechtsstaat“, sagte Konstantin von Notz dazu, der Innenexperte der Grünen. Die rechtlichen Hürden für so ein „totalitäres Überwachungsinstrument“ seien hoch. „Wenn die Bundesregierung hier nicht alle rechtsstaatlichen Vorgaben eingehalten hat, ist ein solcher Einsatz rechts- und verfassungswidrig.“ Man verlange daher eine sofortige und umfassende Aufklärung.

.

Die Geschichte der „Pegasus“-Spyware

Die NSO Group war zuvor im Besitz der amerikanischen Private-Equity-Firma Francisco Partners, wurde jedoch 2019 von ihren Gründern zurückgekauft. Das Unternehmen gibt an, dass es

„autorisierten Regierungen Technologie zur Verfügung stellt, die ihnen hilft, Terror und Kriminalität zu bekämpfen.“

Die NSO Group hat Abschnitte von Verträgen veröffentlicht, die Kunden verpflichten, ihre Produkte nur für strafrechtliche und nationale Sicherheitsuntersuchungen zu verwenden, und hat erklärt: dass es einen branchenführenden Ansatz für die Menschenrechte hat.

Pegasus wurde im August 2016 entdeckt, nachdem ein fehlgeschlagener Installationsversuch auf dem iPhone eines Menschenrechtsaktivisten zu einer Untersuchung führte, die Details über die Spyware, ihre Fähigkeiten und die von ihr ausgenutzten Sicherheitslücken enthüllte. Die Nachricht über die Spyware sorgte für erhebliche Medienberichterstattung. Es wurde als der „ausgefeilteste“ Smartphone-Angriff aller Zeiten bezeichnet und war das erste Mal, dass ein bösartiger Remote-Exploit mit Jailbreak entdeckt wurde, um uneingeschränkten Zugriff auf ein iPhone zu erhalten.

Am 23. August 2020 verkaufte die NSO Group nach Informationen der israelischen Zeitung Haaretz die Spyware-Software Pegasus für Hunderte Millionen US-Dollar an die Vereinigten Arabischen Emirate und die anderen Golfstaaten zur Überwachung von Anti-Regime-Aktivisten, Journalisten, und politische Führer aus rivalisierenden Nationen, mit Ermutigung und Vermittlung durch die israelische Regierung.

Später, im Dezember 2020, berichtete die Al Jazeera-Ermittlungsshow The Tip of the Iceberg, Spy partners exklusiv über Pegasus und sein Eindringen in die Telefone von Medienprofis und Aktivisten; und seine Verwendung durch Israel, um sowohl Gegner als auch Verbündete zu belauschen.

Im Juli 2021 ergab eine umfassende Medienberichterstattung über die Enthüllungen des Projekts Pegasus zusammen mit einer eingehenden Analyse der Menschenrechtsgruppe Amnesty International, dass Pegasus immer noch weit verbreitet gegen hochrangige Ziele eingesetzt wird. Es zeigte sich, dass Pegasus alle modernen iOS-Versionen bis iOS 14.6 durch einen Zero-Click-iMessage-Exploit infizieren konnte.

.

Die Fähigkeiten der „Pegasus“-Spyware

Bereits 2016 war Pegasus in der Lage,

• Textnachrichten zu lesen,
• Anrufe zu verfolgen,
• Passwörter zu sammeln,
• Standort zu verfolgen,
• auf das Mikrofon und die Kamera des Zielgeräts zuzugreifen und
• Informationen aus Apps zu sammeln.

Neu ist, daß dies nun nicht nur auf Android-Smartphones möglich ist, sondern auch auf Smartphones, die mit dem Betriebssystem iOS ausgestattet sind. Die aktuellsten Offenlegungen über das Project Pegasus deuten darauf hin, dass die aktuelle Pegasus-Software alle aktuellen iOS-Versionen bis iOS 14.6 nutzen kann.

Sobald sich die „Pegasus-Spyware“ auf einem Telefon eingeschlichen hat, ohne daß man es bemerkt hat, kann es das Smartphone zu einem 24-Stunden-Überwachungsgerät umfunktionieren. die „Pegasus-Spyware“  kann derzeit  mindestens 

• Nachrichten kopieren, man sendet oder empfängt,
• Sie kann unbemerkt Mikrofon und Kamera einschalten,
• Heimlich durch die Kamera des Telefons Filmaufnahmen erstellen
• Heimlich durch das Mikrofon des Telefons eigene Gespräche aufzuzeichnen
• Sie kann wohl auch genau bestimmen, wo man sich befindet, oder befand, und wen man getroffen hat.
• Sie kann alle Daten verändern und an die Überwacher verschicken.
• Standortdaten abrufen
• sämtliche Nachrichten mitlesen, noch bevor sie verschlüsselt werden.

Kurzum: „Pegasus“ sammelt alles ein, was „Pegasus“ finden kann.

Vermutlich ist der Funktionsumfang aber noch viel umfangreicher:

Einmal auf einem Telefon installiert, kann Pegasus mehr oder weniger alle Informationen sammeln oder jede Datei extrahieren. SMS-Nachrichten, Adressbücher, Anruflisten, Kalender, E-Mails und Internet-Browsing-Verläufe können alle exfiltriert werden. „Wenn ein iPhone kompromittiert wird, geschieht dies auf eine Weise, die es dem Angreifer ermöglicht, sogenannte Root-Rechte oder Administratorrechte auf dem Gerät zu erlangen“, sagte Guarnieri. „Pegasus kann mehr, als der Besitzer des Geräts kann.“

Die Anwälte der Herstellerfirma NSO argumentieren hingegen, daß der technische Bericht von Amnesty International lediglich eine Spekulation sei und bezeichnete ihn folglich als

„eine Zusammenstellung spekulativer und unbegründeter Annahmen“.

Sie bestritten jedoch keine seiner spezifischen Feststellungen oder Schlussfolgerungen.

NSO hat erhebliche Anstrengungen unternommen, um die Erkennung seiner Software zu erschweren, und Pegasus-Infektionen sind jetzt sehr schwer zu identifizieren. Sicherheitsforscher vermuten, dass neuere Versionen von Pegasus immer nur den temporären Speicher des Telefons und nicht die Festplatte belegen, was bedeutet, dass nach dem Ausschalten des Telefons praktisch alle Spuren der Software verschwinden.

Die Installation der „Pegasus“-Spyware

Bereits  Jahr 2019 gab WhatsApp bekannt, dass die Software von NSO verwendet wurde, um Malware an mehr als 1.400 Telefone zu senden, indem eine Zero-Day-Schwachstelle ausgenutzt wurde.

Durch einfaches Tätigen eines WhatsApp-Anrufs an ein Zielgerät könnte bösartiger Pegasus-Code auf dem Telefon installiert werden, selbst wenn das Ziel den Anruf nie beantwortet hat.

Doch derartige „primitive“ Installationswege gehören offenbar der Vergangenheit an. Die Installation der „Pegasus-Spyware“ erfolgt offenbar inzwischen Vergleichbar konspirativ, wie die Funktionen der „Pegasus-Spyware“ selbst:

Pegasus-Infektionen können durch sogenannte „Zero-Click“-Angriffe erreicht werden, die keine Interaktion des Telefonbesitzers erfordern, um erfolgreich zu sein. Diese nutzen oft „Zero-Day“-Schwachstellen aus, das sind Fehler oder Fehler in einem Betriebssystem, die dem Hersteller des Mobiltelefons noch nicht bekannt sind und daher nicht behoben werden konnten.

Das jedenfalls erkennt  

Claudio Guarnieri …, der das Berliner Sicherheitslabor von Amnesty International leitet. „Die Dinge werden für die Ziele viel schwieriger zu bemerken“, sagte Guarnieri, der erklärte, dass NSO-Clients verdächtige SMS-Nachrichten größtenteils für subtilere Zero-Click-Angriffe aufgegeben hatten.

In jüngerer Zeit hat NSO offenbar damit begonnen diese Aktivitäten auf i-Phones auszuweiten und Sicherheitslücken in der iMessage-Software von Apple auszunutzen. Auf diesem Weg sollen über „Back-door“ nun auch Zugriffe auf hunderte Millionen von iPhones möglich geworden sein.

Genutzt werden dann Anwendungen, die entweder standardmäßig auf Geräten installiert sind, wie iMessage, oder WhatsApp.

Die forensische Analyse der Telefone der Opfer hat der Zeitung Guardian zufolge auch Hinweise darauf gefunden, dass die ständige Suche von NSO nach Schwachstellen möglicherweise auf andere gängige Apps ausgeweitet wurde.

In einigen der von Guarnieri und seinem Team analysierten Fälle ist zum Zeitpunkt der Infektionen ein eigenartiger Netzwerkverkehr im Zusammenhang mit Apples Fotos- und Musik-Apps zu sehen, was darauf hindeutet, dass NSO möglicherweise begonnen hat, neue Schwachstellen zu nutzen. Wo weder Spear-Phishing noch Zero-Click-Angriffe erfolgreich sind, kann Pegasus auch über einen drahtlosen Transceiver in der Nähe eines Ziels installiert oder, laut einer NSO-Broschüre, einfach manuell installiert werden, wenn ein Agent das Telefon des Ziels stehlen kann.

.

Die – zwielichtigen – Kunden der „Pegasus“-Spyware

• Journalisten,
• Anwälte,
• Dissidenten,
• Menschenrechtsaktivisten,
• Diplomaten
• Regierungsbeamte

„Handys von Personen im Khashoggis Umfeld mit dem Spähprogramm „Pegasus“ infiziert worden seien, darunter von Jeff Bezos, des Amazon-Gründers und Eigentümers der „Washington Post“.“ 

NSO weist alle Berichte zurück, will klagen

„Die Vorwürfe sind so empörend und weit von der Realität entfernt, dass NSO eine Verleumdungsklage erwägt“, heißt es. NSO bekräftigte, seine Technologie stehe „in keiner Weise mit dem abscheulichen Mord an Jamal Khashoggi in Verbindung“.

„ausschließlich an Strafverfolgungsbehörden und Geheimdienste von geprüften Regierungen verkauft, mit dem alleinigen Ziel, durch Verhinderung von Verbrechen und Terrorakten Menschenleben zu retten“.

Bundesbehörden nutzen „Pegasus“-Spyware

Unabhängig davon, welches Spionagetool eingesetzt wird, hat die Bundesregierung mit Hilfe einer Gesetzesänderung einen Weg aufgezeichnet, auf dem jeder beliebige Troianer auf jedes beliebige Endgerät aufgespielt werden könnte.

.

Eigens geschaffene Rechtsgrundlagen

Die gesetzliche Grundlage der Online-Durchsuchung in Deutschland ist seit Inkrafttreten des Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24. August 2017 der neue § 100b Strafprozessordnung (StPO).

Beim 2. Senat des Bundesverfassungsgerichts sind seit dem Jahr 2018 eine Reihe von Verfassungsbeschwerden von unter anderem Rechtsanwälten, Künstlern und Journalisten, darunter einige Mitglieder des Deutschen Bundestages, unter den Aktenteichen 2 BvR 897/18, 2 BvR 1797/18, 2 BvR 1838/18, 2 BvR 1850/18, 2 BvR 2061/18 zu der Frage anhängig, ob die zum 24. August 2017 bewirkten Änderungen der Strafprozessordnung, insbesondere die Möglichkeit der Anordnung der sog. Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung mittels des sog. „Staatstrojaners“ verfassungsgemäß sind.

(1) Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung), wenn

1. bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat,

2. die Tat auch im Einzelfall besonders schwer wiegt und

3. die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.

(2) Besonders schwere Straftaten im Sinne des Absatzes 1 Nummer 1 sind:

Zum Zweck der  Installation des Staats-Troianers wurde das „Artikel 10-Gesetz“ vom 26. Juni 2001 (BGBl. I S. 1254, 2298), das zuletzt durch […] geändert worden ist, wird wie folgt geändert:

1. § 2 wird wie folgt geändert:

1. Die Überschrift wird wie folgt gefasst:
   

   „§ 2 – Pflichten der Anbieter von Post- und Telekommunikationsdiensten; Verordnungsermächtigung“.

2. In Absatz 1 werden die Sätze 3 bis 5 aufgehoben.
3. Nach Absatz 1 werden folgende Absätze 1a und 1b eingefügt:„(1a) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt, hat der berechtigten Stelle auf Anordnung
   1. Auskunft über die näheren Umstände der nach Wirksamwerden der Anordnung durchgeführten Telekommunikation zu erteilen, § 8a Absatz 2 Satz 1 Nummer 4 des Bundesverfassungsschutzgesetzes, § 4a des MAD-Gesetzes und § 3 des BND-Gesetzes bleiben unberührt,
   2. Inhalte, die ihm zur Übermittlung auf dem Telekommunikationsweg anvertraut sind, auszuleiten,
   3. die Überwachung und Aufzeichnung der Telekommunikation zu ermöglichen, auch durch Zugangsgewährung zu seinen Einrichtungen während seiner üblichen Geschäftszeiten sowie
   4. die Einbringung von technischen Mitteln zur Durchführung einer Maßnahme nach § 11 Absatz 1a durch Unterstützung bei der Umleitung von Telekommunikation durch die berechtigte Stelle zu ermöglichen, Zugang zu seinen Einrichtungen während seiner üblichen Geschäftszeiten zu gewähren sowie die Aufstellung und den Betrieb von Geräten für die Durchführung der Maßnahme zu ermöglichen.

   Das Nähere zur technischen und organisatorischen Umsetzung der Mitwirkungspflichten nach Satz 1 Nummer 1 bis 3 bestimmt sich nach § 110 des Telekommunikationsgesetzes und der dazu erlassenen Rechtsverordnung.

   (1b) Das Bundesministerium des Innern für Bau und Heimat wird ermächtigt, durch Rechtsverordnung im Einvernehmen mit dem Bundeskanzleramt, dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesministerium der Verteidigung mit Zustimmung des Bundesrates das Nähere zur technischen und organisatorischen Umsetzung der Mitwirkungspflichten nach Absatz 1a Nummer 4 zu bestimmen.“

Bundesbehörden setzen „Pegasus“-Spyware ein

Am Montag, den 17.5.2021 hatte der Innenausschuss des Bundestags über das Gesetz zur Anpassung des Verfassungsschutzrechts beraten gehabt. Hierbei wurde die „geplante Ausweitung des Einsatzes von Spyware kritisiert“. Die Altparteien haben die betreffenden Rechtsgrundlagen zum Einsatz auch der „Pegasus“-Spyware beschlossen. Hierbei ist festzuhalten, daß dieser Beschluß – Experten zufolge – im diametralen Gegensatz zur bestehenden Rechtslage erfolgt:

Die Befürworter des Einsatzes von Staatstrojanern versuchen die Quellen-TKÜ als normale Telekommunikationsüberwachung mit nur wenig anderen Mitteln kleinzureden.

Doch technisch und rechtlich dürfte jedoch ein erheblicher Unterschied darin zu finden sein, ob man bei einem Bürger an dessen Telefonleitung mithört, oder ob man seinen Computer hackt und dort Manipulationen vornimmt.

Prof. Dr. Ralf Poscher, Direktor am Max-Planck-Institut zur Erforschung von Kriminalität, Sicherheit und Recht, beschrieb im Innenausschuß, daß eine solche Quellen-TKÜ nicht nur das Fernmeldegeheimnis, sondern auch das IT-Grundrecht verletzt. Beides sei eine „recht eindeutige Verletzung der Rechtsprechung“.

Der ehemalige Bundesverwaltungsrichter Prof. Dr. Kurt Graulich teilt diese Auffssung. Seiner Überzeugung nach ist die Quellen-TKÜ eine „hochinvasive Maßnahme“ und damit auch „ein Quantensprung an Rechtseingriff“.

Festhaltenswert hieran ist, daß Graulich nicht nur ehemaliger Sonderermittler im NSA-Untersuchungsausschuss war, sondnern darüber hinaus in diesem Fall von der Regierungspartei SPD benannt wurde. Graulich lehnt diesen Gesetzentwurf ab, die SPD wird diesen Gesetzentwurf dennoch zustimmen.

Und noch eine Merkwürdigkeit ist festhaltbar: Angeblich war das Bundeskriminalamt nicht in der Lage einen eigenen Troianer auf den Weg zu bringen. Nun nutzt man die „Pegasus“-Spyware, angeblich in einer extra für das BKA angepassten Version. Das jedenfalls gestanden die Behördenvertreter im Innenausschuss des Bundestages ein.

Lange Zeit haben die Bundesbehörden mit großem Aufwand versucht, einen eigenen „Bundestroianer“ auf den Weg zu bringen. Angeblich soll das auch gelungen sein. DAs verbliebene Problem, diesen Troianer auf den Zielgeräten zu platzieren, sei ihnen jedoch angeblich nicht gelungen. Zu unterschiedlich, zu komplex und zu gut gesichert sollen die Betriebssysteme der endgeräte angeblich sein, geben die Behördenvertreter im Innenausschuss an.

Gelöst werden könne dies nur, indem man die noch viel umstrittenere „Pegasus-Spyware“  der israelischen Firma NSO Group einsetzt.

Warum man jedoch – wenn diese Aussage zutrifft – von der Firma NSO nicht deren Fähigkeit erworben habe, nur den Troianer zu platzieren, um so den angeblich funktionsfähigen Bundestrojaner auf die Zielgeräte aufzuspielen, ist jedoch im Innenausschuss entweder nicht gefragt, oder nicht beantwortet worden.

.

Die Spezialversion für das BKA

Im Jahr 2017 hatte NSO sein Produkt dem Bundeskriminalamt erstmals vorgeführt. Damals seien die Beamten begeistert gewesen, berichteten Teilnehmer der Veranstaltung. Die Rechtsexperten jedoch hatten hiernach eine gegenteilige Auffassung, weil Pegasus viel mehr kann, als es nach deutschem Recht darf.

Erst zwei Jahre später entschied die Vizepräsidentin des BKA, Martina Link, Pegasus dennoch zu kaufen. Man bezahlte dafür angeblich einen einstelligen Millionenbetrag. 2019 startete dann auch das Beschaffungsverfahren.

In dieser Zeit geschah Erstaunliches:  Überprüft wurde die Spähsoftware bisher lediglich vom Bundesamt für Sicherheit in der Informationstechnik (BSI), indem man ihm einen entsprechenden Prüfbericht übermittelt habe, hieß es. Der eigentlich auch zuständige Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) wurde hingegen über den Kauf nur informiert und das in letzter Minute, als der Deal praktisch bereits in trockenen Tüchern war. Das BKA hatte den BfDI erst „im Abnahmeprozess“ informiert, wie es hieß.

Die Abnahme der für das BKA angepassten Variante erfolgte dann im Herbst 2020. Das BKA nahm seine Pegasus-Version im Jahr 2021 in Betrieb.

Ebenso wenig sei die extra für die Kontrolle solcher Überwachungswerkzeuge geschaffene Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) eingebunden worden. Es habe auch keinen „Zustimmungsprozess“ für das Verfahren gegeben, hieß es dazu lediglich. Mit anderen Worten: Die Kontrollbehörden hatten im Fall von „Pegasus“ nichts zu sagen.

Das BKA gehe davon aus, daß die von ihm betriebene Variante verfassungskonform sei, wie es im Innenausschuss hieß. Bislang habe man sie bereits in einer „mittleren einstelligen Zahl“ von Verfahren eingesetzt. Eingesetzt werde sie bei Terrorismus, schwere und um organisierte Kriminalität bei der Strafverfolgung von Verdächtigen und bei Verfahren der „Gefahrenabwehr“.

Die Entscheidung, über die Zielpersonen treffe die Amtsleitung des BKA nach dem einem Vieraugenprinzip.

.

Die Modifikationen der deutschen Spezialvariante

Erst nach langen Verhandlungen soll NSO zugestimmt haben, deutschen Behörden eine Version mit modifizierten Funktionen zu liefern. So jedenfalls verstanden Mitglieder des Innenausschusses den BKA-Vizepräsidentin Martina Link. Das BKA habe demzufolge verlangt, daß sämtliche Einsätze protokolliert und gespeichert werden- Auf diesem Weg können Aufsichtsbehörden, wie z.B. der Bundesdatenschutzbeauftragte, nachträglich überprüfen, in welchem Umfang der „Trojaner“ tätig war.

Diese modifizierte Änderung kann angeblich auch nicht „aktualisiert“, also verändert werden, sobald sie installiert ist. Es ist gängige Praxis von NSO, neue Konfigurationsdateien an den Trojaner zu versenden, um diesen auf dem Zielgerät z.B. mit „neue Funktionen“ zu aktualisieren. Das sei bei der deutschen Version nicht möglich, wurde im Innenausschuss argumentiert. In der deutschen Version müsse Pegasus zu jeder Änderung neu aufgespielt werden.

Eine weitere Änderung betraf die technische Trennung zwischen der „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ) und der Onlinedurchsuchung. Bei der ersten lesen Ermittler „nur“ die eigentlich verschlüsselte Kommunikation direkt an der Quelle mit. Bei der zweiten werden die Daten hingegen kopiert und diese kopierten Daten werden dann an eine andere Stelle weitergeleitet. Es ist deutsche Rechtslage daß diese beiden Ermittlungsinstrumente nur unabhängig voneinander Anwendung finden dürfen.

Hinzu kommt, daß kein Überwachungsinstrument in den „Kernbereich der privaten Lebensführung“ eindringen darf, bzw. diesen überwachen darf oder davon Informationen generieren darf.

Im Gegensatz zu diesen Vorgaben ist Pegasus in der Lage z.B. über ein im Schlafzimmer liegendes Smartphone alle dortigen Aktivitäten in Bild und Ton zu erfassen und an Dritte zu übertragen.

.

Rechtsprobleme  beim Einsatz von „Pegasus“

In der deutschen Pegasus-Version habe man den Schutz dieses „Kernbereich der privaten Lebensführung“ durch die Möglichkeit ergänzt, derartige Daten löschen zu können.

Rechtsprobleme ganz anderer Art erwachsen aus der Tatsache, daß NSO den Behörden nur seinen Trojaner verkauft. Alles Andere behält NSO offenbar bei sich und kontrolliert damit auch die gewonnenen Daten. Das aber hat zur Folge, daß NSO genau weiß, welcher Kunde welches Zielgerät angreift. Erwartungsgemäß argumentiert NSO, daß dies alles nur zum Vorteil des Kunden und der Öffentlichkeit sei. Man könne dadurch nämlich prüfen, ob Kunden „Pegasus“ vertragsgemäß eingesetzt hätten. Natürlich beobachte man selbst die Beobachtungen der Kunden nicht live.

Auch die Telefonnummern der Ziele würden nur „gehasht“ übermittelt, argumentiert NSO. Das bedeutet, daß man nicht die eigentliche Nummer sendet, sondern einen jeder Nummer zugeordneten Codewert. Genauere Auskünfte, wie dies praktisch umgesetzt wird, gibt NSO jedoch nicht an.

Man habe vertraglich vereinbart, dass keine sensiblen Daten oder irgendetwas Rückverfolgbares an die israelische Firma gehe, soll Link im Innenausschuss gesagt haben. Doch das ist nur eine „Vereinbarung“. „Vereinbarungen“ können aber gebrochen werden und dann stellt sich die Frage, ob für einen solchen Fall im Vertrag Konventionalstrafen vorgesehen sind.

Auch bleibt die Frage offen, wie das technisch überhaupt umgesetzt werden soll/kann? Gestzt den Fall, daß BKA-Beamte erkennen, daß Pegasus Intimes kopiert hat, wären diese also in der Lage das zu löschen. Doch offenbar sind diese Daten parallel auch über die Server von NSO gelaufen. In einem solchen Fall sind diese Daten eben nicht auf deutschen Servern gespeichert, sondern auf z.B. israelischen Servern. Und: ist es vorstellbar, daß eine Firma aus Israel gegenüber einem deutschen Partner vertraglich auf sein Eigentumsrecht an Daten verzichtet?

All dies wiederum versucht das Citizen Lab, ein IT-Labor der kanadischen Universität Toronto, offenzulegen und untersucht die NSO-Server im Internet. Auf diesem Weg konnte das Labor belegen, in welchen Ländern das „Pegasus“ zum Einsatz kommt.