Spionagesoftware „Pegasus“: BKA kaufte Spähsoftware bei NSO

Berlin taz | Für Konstantin von Notz bahnt sich ein Skandal an. „Pegasus ist der Traum aller Diktaturen und ein Alptraum für den Rechtsstaat“, sagt der Grünen-Innenexperte. „Unter den Überwachungsinstrumenten ist das die Neutronenbombe.“ Wenn nun auch das Bundeskriminalamt (BKA) die Ausspähsoftware angeschafft habe, stellten sich „schwerwiegende rechtliche Fragen“. Wer genehmigte den Kauf? Warum geschah dies am Parlament vorbei? War der Bundesbeauftragte für Datenschutz involviert? „Diese Fragen muss die Bundesregierung beantworten“, fordert von Notz. „Und zwar jetzt.“

Auch der FDP-Innenexperten Benjamin Strasser hat „große Zweifel“, ob bei der Software „Zugriffe auf hochsensible Daten von anderen Stellen abseits der Bundesbehörden ausgeschlossen werden können“. Es müsse die „Beschaffungspraxis in den Sicherheitsbehörden kritisch hinterfragt werden“.

Zuvor war der Innenausschuss des Bundestags in einer als geheim eingestuften Sondersitzung nach taz-Informationen darüber informiert worden, dass das BKA tatsächlich eine Version der berüchtigten Spähsoftware Pegasus von der israelischen NSO Group gekauft hat. Laut des Rechercheverbunds von Zeit und anderen geschah dies bereits Ende 2019. Das BKA soll das Programm nach Kenntnis der taz seit März nutzen können und in einer mittleren einstellige Zahl an Fällen auch bereits eingesetzt haben.

Schon im Juli war aufgeflogen, dass Geheimdienste und Polizeibehörden weltweit mit Pegasus die gesamte Kommunikation auf Smartphones überwachen können, dazu auch Kameras oder Mikrofone aktivieren und Standorte abrufen. Auf einer Zielliste sollen rund rund 50.000 Nummern gestanden haben, die zu Men­schen­rechts­ak­ti­vis­t:in­nen oder Journalist:innen, aber auch Regierungsmitgliedern führten. NSO bestreitet das: Nur Kriminelle und Terroristen würden mit Pegasus überwacht.

Angebot von NSO schon 2017

Das BKA soll offenbar nur eine eingeschränkte Version des Programms erworben haben, um so rechtliche Vorgaben einzuhalten. Offen bleibt, was das heißt, wie oft Pegasus bisher hierzulande eingesetzt wurde und gegen wen. Das BKA und das Bundesinnenministerium ließen Anfragen dazu offen – sie äußern sich dazu grundsätzlich nicht, „zum Schutz der nachrichtendienstlichen und polizeilichen Arbeitsweisen“. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber, dessen Haus datenschutzrechtliche Vorgänge beim BKA prüft, schwieg „aus Gründen des Geheimschutzes“ zu dem Vorgang.

NSO soll Pegasus schon 2017 dem BKA angeboten haben. Die Behörde soll damals aber noch wegen rechtlicher Bedenken abgelehnt haben. In Deutschland darf die Polizei Handys und Computer seit 2017 bei einem Verdacht schwerer Straftaten und in bestimmten Grenzen überwachen und verschlüsselte Kommunikation mitlesen. Das BKA entwickelte dafür auch selbst einen Staatstrojaner, der bisher aber kaum eingesetzt worden sein soll.

FDP-Mann Strasser erneuerte seine Kritik an der Praxis: „Der Einsatz von Staatstrojanern durch das Ausnutzen von Sicherheitslücken bleibt ein Sicherheitsrisiko für unser Land. Die Bundesregierung muss das endlich einsehen.“ Nötig sei vielmehr eine „umsetzbare und agile Cybersicherheitsstrategie des Bundes“.