Hochrangige EU-Beamte mit Spähsoftware angegriffen

iPhone
Die Angriffe sollen über eine inzwischen geschlossene iOS-Sicherheitslücke erfolgt sein, die auch die umstrittene Spähsoftware Pegasus ausgenutzt hat. (Quelle: Unsplash)

Hochrangige Beamte der EU-Kommission wurden im vergangenen Jahr mit Spähsoftware angegriffen. Das hat die Nachrichtenagentur Reuters am heutigen Montag berichtet. Bisher ist nicht bekannt, wer für die Angriffe verantwortlich ist.

Dem Bericht zufolge war eines der Spionageziele das Smartphone von Didier Reynders. Der belgische Politiker ist seit dem Jahr 2019 EU-Kommissar für Justiz und Rechtsstaatlichkeit. Die Telefone von mindestens vier weiteren, nicht namentlich genannten Mitarbeitern der EU-Kommission sollen ebenfalls angegriffen worden sein. Reuters beruft sich auf die Aussagen von EU-Beamten, die mit der Angelegenheit vertraut sind, sowie auf interne EU-Dokumente zu den Vorfällen.

Die EU-Kommission sei durch Warnungen von Apple auf die Angriffe aufmerksam geworden. Der Konzern informiert seit Ende vergangenen Jahres Nutzerinnen und Nutzer, wenn er Hinweise auf “staatlich geförderte Spionageangriffe” entdeckt. Die Kommission habe ihre Mitarbeiter daraufhin gewarnt, auch sie könnten Ziel eines Angriffs mit Spionagesoftware sein.

Zero-Click-Angriffe

Nach Angaben von Reuters wurden einige der betroffenen Smartphones von Sicherheitsforschern untersucht. Sie hätten feststellen können, dass die Angriffe zwischen Februar und September 2021 erfolgt sind. Auch den Angriffsweg konnten die Experten nachvollziehen: So wurde eine Sicherheitslücke im iPhone-Betriebssystem iOS ausgenutzt, die sogenannte Zero-Click-Angriffe ermöglichte. Das Spionageprogramm wird dabei aus der Ferne installiert, ohne dass die Betroffenen aktiv werden müssen oder etwas von den Angriffen mitbekommen. Unklar blieb aber, ob die Smartphones anschließend tatsächlich ausgespäht wurden.

Sicherheitsforscher vom Citizen Lab an der Universität in Toronto hatten die entsprechende Sicherheitslücke im September 2021 entdeckt und nachgewiesen, dass die umstrittene Spionagesoftware Pegasus des israelischen Entwicklers NSO auf diesem Wege installiert wird. Apple hatte diese Sicherheitslücke noch im September mit einem Update geschlossen.

Was ist Pegasus?

Pegasus ist eine Spionagesoftware der israelischen Firma NSO Group. Die Spähsoftware kann ein infiltriertes Gerät komplett übernehmen und beispielsweise die Kamera und das Mikrofon unbemerkt anschalten – oder sämtliche Daten kopieren. Auch Standortdaten lassen sich abrufen und Passwörter auslesen. Das Überwachungsprogramm steht seit Jahren im Zusammenhang mit Menschenrechtsverletzungen in der Kritik.

Im Februar hatte Reuters zudem berichtet, auch die Spähsoftware Reign des israelischen Unternehmens Quadream habe Smartphones über diesen Angriffsweg infiziert. Die Software soll ähnlich wie Pegasus in der Lage sein, Smartphones komplett zu übernehmen.

Bereits im Juni 2021 hatte die israelische Zeitung Haaretz berichtet, wie NSO verkaufe auch Quadream die eigene Spionagesoftware an Regierungen. Zu den Kunden des Unternehmens soll unter anderem Saudi-Arabien zählen.

Ausschuss will Vorfälle untersuchen

Welche Spionagesoftware genau gegen die EU-Mitarbeiter eingesetzt wurde, ist noch unklar. NSO erklärte gegenüber Reuters, nicht für die Angriffe verantwortlich zu sein. Quadream reagierte nicht auf Anfragen der Journalisten. Unbekannt ist auch, wer hinter den Angriffen steckt.

Reuters schreibt zudem, die EU-Kommission habe nicht beantwortet, ob die Fälle aktuell noch untersucht werden. Auch in einer Pressekonferenz am Montag wollte ein EU-Sprecher die aktuellen Fälle nicht kommentieren.

Die niederländische Europa-Abgeordnete Sophie in ’t Veld bezeichnete die Enthüllungen gegenüber Reuters als “Dynamit”. Auf Twitter forderte sie, die EU-Kommission müsse eine interne Untersuchung durchführen und das EU-Parlament informieren – die Angriffe berührten “die Integrität der EU-Demokratie”.

Außerdem kündigte sie an, der Untersuchungsausschuss des EU-Parlaments zum Missbrauch von Pegasus werde sich mit den Angriffen beschäftigen. Das EU-Parlament hatte im März für die Einrichtung des Ausschusses gestimmt. Er soll prüfen, ob Pegasus in der EU beispielsweise gegen Journalisten und Politiker eingesetzt wurde. Auch der illegale Einsatz “ähnlicher Überwachungs- und Spähsoftware” ist Gegenstand der Untersuchung.

Pegasus-Einsatz in der EU

Abgeordnete hatten die Einrichtung des Ausschusses gefordert, weil auch EU-Regierungen Pegasus illegal verwendet haben sollen: So wurden in Ungarn beispielsweise Journalisten ausgespäht und in Polen Oppositionelle. Beide Regierungen hatten den Kauf der Spionagesoftware eingeräumt, den illegalen Einsatz aber dementiert.

Zuvor hatten die Organisationen Forbidden Stories und Amnesty International sowie mehrere internationale Medien im vergangenen Sommer aufgedeckt, wie weltweit Medienschaffende, Menschenrechtler und Oppositionelle mit Pegasus überwacht wurden. Sie hatten einen Datensatz mit mehr als 50.000 Telefonnummern ausgewertet, die offenbar von Pegasus-Nutzern als potenzielle Ausspähziele ausgewählt wurden. Auf der Liste standen auch hochrangige Politiker wie der Präsident des Europäischen Rates, Charles Michel, und der französische Präsident Emmanuel Macron.

Amnesty International teilte mit, die aktuellen Fälle zeigten, wie weit die Verbreitung von Spionagesoftware bereits fortgeschritten ist. Regierungen hätten bisher nicht genug unternommen, um durch die Spionagesoftware-Industrie verursachte Menschenrechtsverletzungen zu untersuchen und zu verhindern. Amnesty International fordert gemeinsam mit weiteren Organisationen ein weltweites Moratorium für den Verkauf und die Weitergabe von Überwachungstechnologien.

Mitte Februar hatte sich zudem der Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, für ein Verbot von Spionagesoftware mit den Fähigkeiten von Pegasus in der EU ausgesprochen. Solche Programme gefährdeten die Grundrechte und -freiheiten der Menschen, aber auch die Demokratie und Rechtsstaatlichkeit. Ihre Verwendung sei daher mit den demokratischen Werten der EU unvereinbar. (js)