EU-Abgeordneter von israelischer Spyware gehackt

EU-Abgeordneter von israelischer Spyware gehackt
Credit: Reuters

Ein aufsehenerregender neuer Spyware-Fall hat Europas ohnehin aufgeheizte Debatte über rechtswidrige Überwachung, demokratische Rechenschaftspflicht und die Grenzen politischer Kontrolle weiter verschärft. Stelios Kouloglou, ein ehemaliges griechisches Mitglied des Europäischen Parlaments, der im Ausschuss zur Untersuchung missbräuchlicher Spyware-Praktiken tätig war, wurde selbst mit Pegasus gehackt, dem israelischen Überwachungstool, das mit der NSO Group in Verbindung steht. Der Fall ist nicht nur wegen der Person von Bedeutung, die ins Visier genommen wurde, sondern auch, weil das Ziel selbst Teil jener Institution war, die solche Missbräuche aufdecken wollte.

Dieser Bericht steht vor dem Hintergrund einer Spyware-Kontroverse, die die politische Stellung der Europäischen Union erheblich erschüttert hat. Auf Grundlage der von Citizen Lab durchgeführten Analyse war Kouloglous Telefon mindestens dreimal kompromittiert worden, und zwar im Oktober 2022 sowie im März 2023, als er für den PEGA-Ausschuss arbeitete. Dieser Ausschuss wurde eingerichtet, um den Missbrauch von Pegasus und ähnlicher Software in Europa zu untersuchen. Damit handelt es sich um mehr als nur ein Symbol, denn hier wird ausgerechnet der Ermittler selbst zum Überwachten. Noch beunruhigender ist in diesem Fall die Verbindung zwischen institutioneller Untersuchung und digitaler Überwachung. Dem Bericht zufolge wurden die Angriffe nach forensischen Untersuchungen des Telefons entdeckt, und die eingesetzte Spyware wurde eindeutig als Pegasus identifiziert.

Warum dieser Fall wichtig ist

Der Pegasus-Fall um Kouloglou ist nicht einfach ein weiterer Spyware-Vorfall. Er stellt eine direkte Herausforderung für die Fähigkeit demokratischer Institutionen dar, rechtswidrige Überwachung zu kontrollieren, wenn eben diese Institutionen selbst kompromittiert werden können. Praktisch wirft dies die Frage auf, ob Gesetzgeber, Journalisten, Aktivisten und Ermittler überhaupt sicher gegen staatliche oder private Überwachungspraktiken vorgehen können, wenn sie denselben Werkzeugen ausgesetzt sind, die sie eigentlich regulieren sollen.

Dieser Hintergrund ist sehr relevant. Pegasus wurde in zahlreichen Fällen mit Angriffen auf Journalisten, Anwälte, Menschenrechtsaktivisten, Regimegegner und Regierungsbeamte in Verbindung gebracht. In diesem Fall handelte es sich um einen Angriff auf einen ehemaligen Europaabgeordneten und Journalisten, der innerhalb der internen Struktur des Europäischen Parlaments tätig war. Allein dies deutet bereits auf die politischen Folgen hin, die diese Angelegenheit haben wird. Denn eine solche Anschuldigung verweist auf eine abschreckende Wirkung, die weit über die Kompromittierung eines einzelnen Mobiltelefons hinausgeht. Eine solche Wirkung kann Ermittlungsverfahren untergraben und sogar Überwachung als Mittel gegen politische Rechenschaftspflicht normalisieren. Dass Mitglieder eines Ausschusses betroffen sind, der eigens zur Bekämpfung des Spyware-Missbrauchs gebildet wurde, zeigt, wie bedrohlich die Lage für die Glaubwürdigkeit jener Institutionen ist, die das Recht auf Privatsphäre in Europa schützen sollen.

Was die Untersuchung ergab

Citizen Lab, ein auf digitale Rechte spezialisiertes Forschungsinstitut an der Universität Toronto, fand Belege dafür, dass Kouloglous Gerät mindestens dreimal infiziert worden war. Dem Bericht zufolge ereignete sich die erste Infektion im Oktober 2022, während weitere Angriffe im März 2023 stattfanden. Diese zeitliche Abfolge ist bedeutsam, da sie eine Kontinuität der Angriffe statt eines einzelnen Vorfalls erkennen lässt. Mehrfache Infektionen bedeuten, dass ein fortdauerndes Interesse bestand, ihn durch Überwachung ins Visier zu nehmen.

Berichten zufolge wurde in diesen Fällen die Malware Pegasus identifiziert. Pegasus gehört zu den berüchtigtsten Spywares, die jemals aufgedeckt wurden, und ist durch hochentwickelte Angriffe gekennzeichnet, die selbst bei minimaler oder gar keiner Interaktion durch das Opfer funktionieren. Berichte besagen, dass dieser konkrete Vorfall mithilfe einer Zero-Click-Angriffsstrategie durchgeführt wurde, was bedeutet, dass das Opfer keinen Link anklicken musste, damit die Infektion erfolgte.

Die Untersuchung stellte außerdem fest, dass es keine öffentlichen Belege dafür gab, dass die griechische Regierung als Betreiber verantwortlich sei. Diese Zurückhaltung ist wichtig. Die technische Attribution in Spyware-Fällen ist notorisch schwierig, und Forschende vermeiden es oft, politische Schlüsse zu ziehen, die über das hinausgehen, was die forensischen Daten stützen können. Dennoch mindert das Fehlen eines benannten Täters die Schwere des Falls keineswegs. Vielmehr verdeutlicht es die Intransparenz des Spyware-Marktes und die Schwierigkeit, Verantwortung zuzuweisen, sobald solche Werkzeuge einmal eingesetzt wurden.

Das größere Pegasus-Problem

Pegasus wurde von der israelischen NSO Group entwickelt und steht im Zentrum eines globalen Skandals um verdeckte digitale Überwachung. Dem Tool wird vorgeworfen, Missbrauch weit über legitime Zwecke der Strafverfolgung hinaus ermöglicht zu haben. Kritiker sagen, dass das Werkzeug wiederholt gegen Menschen eingesetzt worden sei, die politisch unbequem sind, statt eine Sicherheitsbedrohung darzustellen. Dadurch ist Pegasus weltweit zum Synonym für den Missbrauch kommerzieller Spyware geworden.

In Europa hat sich die Kontroverse um Pegasus als destabilisierend erwiesen, weil sie parteipolitische Grenzen ebenso wie nationale Grenzen überschreitet. EU-Institutionen, nationale Behörden und Organisationen der Zivilgesellschaft stehen unter Druck, Rechenschaft darüber abzulegen, wie der Einsatz solcher Werkzeuge erlaubt werden konnte, wie er stattfand und welche Maßnahmen beim Erwerb und Einsatz von Spyware umgesetzt wurden. Genau deshalb wurde der PEGA-Ausschuss ins Leben gerufen. Er ist dafür zuständig, rechtswidrige Überwachung und das Ausmaß des Missbrauchs zu analysieren und Reformvorschläge zu unterbreiten.

Der Fall zeigt auch ein strukturelles Problem: Spyware ist nicht nur eine technologische Frage, sondern auch eine Frage der Regierungsführung. Sobald solche Werkzeuge auf dem Markt verfügbar sind, kann sich ihr Einsatz in Bereiche ausbreiten, in denen rechtliche Kontrollen schwach, Aufsicht fragmentiert und Rechenschaft langsam ist. Selbst wenn Regierungen behaupten, Überwachungswerkzeuge nur zu legitimen Zwecken der Strafverfolgung einzusetzen, haben wiederholte Skandale gezeigt, wie leicht solche Werkzeuge umfunktioniert oder missbraucht werden können.

Politische Bedeutung von Kouloglou

Stelios Kouloglou ist kein zufälliges Opfer. Er ist ein griechischer Journalist und ehemaliges Mitglied des Europäischen Parlaments, das von 2015 bis 2024 im Amt war. Sein Hintergrund ist wichtig, weil er an der Schnittstelle von Medien, Politik und Rechenschaftspflicht steht. Als Journalist kennt er die Risiken von Überwachung. Als Europaabgeordneter hatte er Zugang zu dem institutionellen Verfahren, das genau solche Risiken bekämpfen sollte.

Diese Kombination verleiht dem Fall zusätzliches Gewicht. Sie zeigt, dass Spyware nicht auf Dissidenten in autoritären Staaten beschränkt ist; sie kann auch die Reihen europäischer Gesetzgeber und investigativer Akteure erreichen. Die Tatsache, dass Kouloglou während seiner Rolle in einer parlamentarischen Untersuchung ins Visier geriet, lässt den Angriff besonders gezielt erscheinen, als würde das Überwachungssystem selbst auf die Kontrolle reagieren.

Deshalb hat der Fall wichtige Auswirkungen auf die Demokratie in Europa. Wenn die Personen, die den Einsatz von Spyware untersuchen, selbst anfällig für solche Eingriffe sind, verschwimmt die Grenze zwischen Beobachter und Opfer gefährlich. Hinzu kommt die Frage, ob andere Teilnehmer der Untersuchung ebenfalls bedroht sind, ohne dass ihre Identitäten öffentlich gemacht wurden. Ohne auf weitere Einzelfälle einzugehen, reicht der Kouloglou-Fall bereits aus, um politische Institutionen einen Schritt zu spät erscheinen zu lassen.

Aussagen und Folgen

Die Ergebnisse von Citizen Lab deuten den Vorfall faktisch als Beispiel eines Überwachungs-Bumerangs, bei dem die von Aufsichtsorganen aufgedeckten Werkzeuge gegen eben diese Organe zurückgewendet werden. Die Forschenden sagten, das Infektionsmuster entspreche früheren Kampagnen gegen im Exil lebende russische und belarussische Journalisten und Aktivisten in Europa, was darauf hindeutet, dass das Targeting eher zu einem breiteren operativen Muster als zu einem isolierten Einzelfall passen könnte.

Laut einem Reuters-Bericht war das Opfer ein ehemaliger Europaabgeordneter, der in einem Ausschuss saß, der zur Untersuchung intrusiver Überwachung eingerichtet worden war. Dies ist ein zentraler Aspekt der Geschichte, weil er die Ironie des Falls deutlich macht. Denn es geht hier nicht nur um das Hacken von Telefonen, sondern um grundlegendere Fragen zu demokratischen Kontrollmechanismen.

Eine sinnvolle Lesart des Falls ist, dass er ein Vertrauensdefizit offenlegt. Die Bürger sollen glauben, dass Überwachungsbefugnisse verantwortungsvoll eingesetzt werden, doch die wiederkehrenden Pegasus-Skandale erzählen eine andere Geschichte. Jeder neue Vorfall fügt einem bereits wachsenden Bestand an Beweisen hinzu, dass sich kommerzielle Spyware nur schwer eindämmen lässt, sobald sie in das politische Ökosystem gelangt. Das macht Reformen schwieriger, nicht einfacher, weil jede neue Kontroverse den Eindruck verstärkt, dass Aufsicht immer zu spät kommt.

Picture of Research Staff

Research Staff

Sign up for our Newsletter