Es klingt wie aus einer Science-fiction-Dystopie: In vielen Ländern benutzen Geheimdienste und Polizeibehörden das Spähprogramm "Pegasus", um damit Journalisten, Rechtsanwältinnen oder Oppositionelle zu überwachen. "Pegasus" ist ein Trojaner, der Handys in Datenzombies verwandelt - Mails, verschlüsselte Messenger-Nachrichten und Kalendereinträge können mitgelesen, Mikrophon und Kamera unbemerkt eingeschaltet werden.
Der Angriff muss noch nicht mal über eine infizierte E-Mail oder Website erfolgen, sondern kann auch über manipulierte Mobilfunkmasten vonstatten gehen. Das heißt, auch umsichtige Nutzende haben keine Chance, ihre Daten zu schützen. Pegasus ist damit eine effektive und grausame Cyberwaffe, die nach jetzigen Erkenntnissen auch im Zusammenhang mit dem Mord an dem saudischen Journalisten Jamal Khashoggi im Herbst 2018 eingesetzt wurde.
Die Grenze zwischen Recht und Unrecht ist fließend
Zwar gibt der Hersteller der Software, das israelische Technologieunternehmen NSO an, die Software nur an überprüfte staatliche Stellen und ausschließlich zum Zweck der Terrorismus- und Kriminalitätsbekämpfung zu verkaufen. Doch wir wissen aus leidvoller Erfahrung: Nicht nur in Diktaturen ist die Grenze zur rechtswidrigen Überwachung fließend.
Das Ganze ist skandalös - neu ist es leider nur bedingt. Seit den Enthüllungen von Edward Snowden wissen wir, wie groß der Datenhunger selbst von demokratisch legitimierten Nachrichtendiensten ist - etwa, wenn der US-Geheimdienst NSA jahrelang unentdeckt das Diensthandy von Bundeskanzlerin Angela Merkel ausspäht.
Auch Pegasus-Angriffe auf iPhones sind nichts neues. Schon vor fünf Jahren wiesen die iOS-Betriebssysteme der Apple-Telefone Sicherheitslücken auf, durch die Pegasus Daten abgreifen konnte. Apple brauchte mehrere Updates, um die Lücke zu schließen - was dem sicherheitstechnischen Ruf des Unternehmens nachhaltig geschadet hat.
Bittere Erkenntnis: Unsere Daten sind nicht sicher
Nichts neues also - aber dennoch beängstigend, denn es geht hier offenbar auch um Mord, Inhaftierung, Einschüchterung. Aus den Pegasus-Enthüllungen sollten drei Konsequenzen erwachsen - eine für jede und jeden für uns, eine für NSO und eine für die Europäische Union.
Die erste ist einfach: Wir alle sollten uns bewusst sein, dass unsere auf mobilen Endgeräte gespeicherten Daten selbst in verschlüsseltem Zustand nur bedingt sicher sind. Was niemand sonst sehen sollte, gehört nicht aufs Mobiltelefon - vom intimen Video bis hin zur vertraulichen Information. Und: wir sollten skeptisch sein, wenn unsere Regierungen die Notwendigkeit immer weiterer Staatstrojaner mit der Verbrechensbekämpfung begründen - wie zuletzt auch in Deutschland geschehen.
Die Mitschuld von NSO
Die zweite Konsequenz zweite betrifft den Pegasus-Hersteller NSO, der seine Hände - wie in solchen Fällen leider üblich - in Unschuld wäscht. Wer autoritären Regierungen wie denen in Belarus oder Saudi-Arabien, Spionage-Software zur Verfügung stellt, macht sich mitschuldig an Menschenrechtsverletzungen bis hin zum Mord. Das wäre dann auch ein Fall für die israelische Staatsanwaltschaft. Oder der Regierung, die den Export der Software schärfer regelt.
Zuletzt ist die EU gefragt. Die ungarische Regierung von Viktor Orban wartete erst einmal 24 Stunden ab, ohne auf die Vorwürfe einzugehen, Pegasus gegen Reporter einzusetzen. Dann schloss Außenminister Peter Szijjarto lediglich aus, dass einer von fünf ungarischen Geheimdiensten die Software benutzt habe. Ein richtiges Dementi sieht anders aus. Wenn es sich bewahrheitet, dass Ungarn die Presse solcherart gängelt, dann hat das Land in der EU nichts mehr zu suchen. Dann sind Taten gefragt und nicht nur mahnende Worte. Denn dann müssen - endlich - Sanktionen erlassen werden, damit Orban nicht grinsend EU-Gelder einsteckt, während er gleichzeitig die demokratischen Werte mit Füßen tritt. Ursula von der Leyen - bitte übernehmen Sie!