Spanien: Katalanische Separatisten mit Pegasus ausspioniert
Die Mobiltelefone von mindestens 65 katalanischen Separatisten wurden mit Spähsoftware angegriffen. Das haben Sicherheitsforscher vom Citizen Lab an der Universität Toronto nachgewiesen. In 63 Fällen wurde demnach die umstrittene Spionagesoftware Pegasus der israelischen Firma NSO eingesetzt. Zu den Ausspähzielen zählen Politiker, Anwälte und Journalisten. Hinter den Angriffen könnten spanische Behörden stecken.
Dem Bericht des Citizen Labs zufolge ereigneten sich die Angriffe größtenteils zwischen 2017 und 2020. Im Jahr 2017 wurde ein Referendum über die Unabhängigkeit Kataloniens abgehalten. Das spanische Verfassungsgericht hatte die Abstimmung zuvor für rechtswidrig befunden. In einem Fall konnten die Sicherheitsforscher außerdem einen Angriff nachweisen, der sich bereits 2015 ereignet hatte.
In 51 Fällen konnten die Sicherheitsforscher nachweisen, dass die Smartphones nach einem Angriff mit Pegasus infiltriert wurden. So wurden etwa drei katalanische Abgeordnete des Europäischen Parlaments überwacht. Das Smartphone der Europaparlamentsabgeordneten Diana Riba wurde beispielsweise im Oktober 2019 mit Pegasus infiziert, sie hatte ihr Amt im Juli 2019 angetreten. Auch Antoni Comín ist seit Juli 2019 Mitglied des Europäischen Parlaments – sein Telefon wurde zwischen Ende 2019 und Anfang 2020 mit Pegasus infiziert.
Angehörige überwacht
Auch zwei weitere katalanische Europaabgeordnete waren Spionageziele: Die Telefone von Clara Ponsaati und Carles Puigdemont wurden zwar nicht direkt ausgespäht. Ihre Mitarbeiter, Familienmitglieder oder engen Vertrauten wurden aber mit Pegasus überwacht.
Puigdemont war von 2016 bis 2017 Präsident der Generalität von Katalonien und ging nach dem Unabhängigkeitsreferendum ins Exil nach Belgien, um der Strafverfolgung in Spanien zu entgehen. In seinem Umfeld sollen elf Personen mit Pegasus überwacht worden sein – darunter seine Ehefrau, die Journalistin Marcela Topor. Und auch sein Anwalt Gonzalo Boye wurde im Oktober 2020 mit Pegasus ausgespäht. “Wir wurden mit einem Programm, das nur Staaten besitzen, massiv und illegal ausspioniert”, schrieb Puigdemont auf Twitter.
Nach Angaben der Sicherheitsforscher wurden auch drei weitere Regionalpräsidenten von Katalonien ausspioniert: Das Telefon des ehemaligen Präsidenten Artur Mas wurde mit Pegasus infiziert, nachdem dieser sein Amt im Jahr 2015 verlassen hatte. Joaquim Torra wurde überwacht, während er von 2018 bis 2020 im Amt war – und auch der damalige Vizepräsident Pere Aragonès wurde ausgespäht. Zudem zählen Mitglieder des katalanischen Parlaments und Politiker verschiedener katalanischer Parteien zu den Überwachungszielen. Der amtierende Regionalpräsident Aragonès verurteilte die Spionage als “äußerst schwerwiegenden Angriff auf die Grundrechte und die Demokratie”.
Des Weiteren konnte das Citizen Lab Angriffe auf neun Mitglieder von zivilgesellschaftlichen Organisationen nachweisen, die sich für die Unabhängigkeit Kataloniens einsetzen. Darunter Elisenda Paluzie, die von 2018 bis 2022 Vorsitzende der Organisation Assemblea Nacional Catalana und zuvor Dekanin der Fakultät für Wirtschaftswissenschaften an der Universität von Barcelona war.
Präparierte Nachrichten enthielten persönliche Details
In einigen Fällen wurden die Smartphones mit sogenannten Zero-Click-Angriffen infiziert. Pegasus wurde dabei also aus der Ferne auf den Geräten installiert, ohne dass die Betroffenen aktiv werden mussten oder etwas von den Angriffen mitbekamen.
Was ist Pegasus?
Pegasus ist eine Spionagesoftware der israelischen Firma NSO Group. Die Spähsoftware kann ein infiltriertes Gerät komplett übernehmen und beispielsweise die Kamera und das Mikrofon unbemerkt anschalten – oder sämtliche Daten kopieren. Auch Standortdaten lassen sich abrufen und Passwörter auslesen. Das Überwachungsprogramm steht seit Jahren im Zusammenhang mit Menschenrechtsverletzungen in der Kritik.
In anderen Fällen hatten die Betroffenen SMS-Nachrichten mit präparierten Links erhalten, die sie anklicken sollten und damit die Installation von Pegasus auslösten. Die Sicherheitsforscher berichten, diese Nachrichten seien teilweise genau auf die Spionageziele zugeschnitten gewesen: So hatte ein Betroffener beispielsweise eine Nachricht erhalten, die vorgab von der spanischen Steuerbehörde zu stammen. Die Nachricht enthielt auch Teile seiner echten Steuernummer. Die Sicherheitsforscher schlussfolgern daher, dass die Angreifer Zugriff auf diese Informationen hatten. In weiteren Fällen habe es sich um fingierte Paket- oder Twitter-Benachrichtigungen gehandelt.
Während die Sicherheitsforscher in 63 Fällen Pegasus-Infektionen nachweisen konnten, sollen vier weitere Betroffene mit Spionagesoftware der israelischen Firma Candiru ausgespäht worden sein. Ähnlich wie bei Pegasus erhalten Angreifer mit dieser Software vollen Zugriff auf die infizierten Geräte. Ein Betroffener wurde laut den Sicherheitsforschern sowohl mit der Candiru-Spähsoftware als auch mit Pegasus überwacht.
Bei den in Spanien bestätigten Opfern und Zielen von Spähsoftware handle es sich um die größte Zahl, die das Citizen Lab bisher in nur einer Untersuchung nachgewiesen hat, heißt es in dem Bericht. Es könnten aber weitaus mehr Personen betroffen sein. Es gebe potenzielle Überwachungsziele, deren Geräte nicht überprüft wurden. Außerdem seien in der Region Android-Smartphones weit verbreitet – bei diesen sei es aber schwieriger, Pegasus-Infektionen nachzuweisen als bei iOS-Geräten.
Indizien deuten auf spanische Behörden hin
Zum jetzigen Zeitpunkt lasse sich die Spionageoperation nicht eindeutig einer bestimmten Regierung zuordnen. Die Sicherheitsforscher merken aber an, eine Reihe von Indizien deute auf eine Verbindung zur spanischen Regierung hin. Die Ziele seien von offensichtlichem Interesse für die spanische Regierung gewesen. Die Angriffe hätten sich zudem ereignet, während die spanische Regierung Verhandlungen mit katalanischen Beamten über die politische Unabhängigkeit Kataloniens führte. Die Inhalte einiger der für die Angriffe verschickten SMS legten außerdem nahe, dass die Angreifer Zugang zu persönlichen Informationen der Betroffenen hatten.
Ein Sprecher des spanischen Innenministeriums sagte der Zeitung The Guardian, weder die nationale Polizei noch die Guardia Civil würden Pegasus einsetzen. Der spanische Geheimdienst hatte gegenüber der Zeitung schon früher angegeben, man handle unter Einhaltung der geltenden Gesetze. Die spanische Zeitung El País hatte im Jahr 2020 berichtet, der Geheimdienst verfüge über Pegasus. Die spanische Regierung wollte die Vorfälle gegenüber der Nachrichtenagentur Reuters nicht kommentieren.
Bereits im Jahr 2019 waren weltweit 1400 Personen über eine damals vorhandene Sicherheitslücke in WhatsApp mit Pegasus angegriffen worden. Schon damals sollen auch katalanische Politiker und zivilgesellschaftliche Akteure unter den Spionagezielen gewesen sein.
Untersuchung gefordert
Das Citizen Lab fordert in den aktuellen Fällen eine offizielle Untersuchung. Es müsse unter anderem festgestellt werden, wer für die Spionage verantwortlich ist, wie die Aktion genehmigt wurde und wofür abgegriffene Daten verwendet wurden.
Die Fälle seien auch deshalb beachtenswert, weil Spanien eine Demokratie ist. Es sei inzwischen weithin bekannt, dass autoritäre Regime kommerzielle Überwachungstechniken einsetzen. Doch die aktuellen Enthüllungen zeigten, dass Spähsoftware immer missbraucht werden könne, wenn Schutzmaßnahmen und Aufsicht fehlen – auch in demokratischen Ländern.
Sicherheitsexperten von Amnesty International haben die Analyse des Citizen Labs bestätigt. Likhita Banerji von Amnesty forderte: “Die spanische Regierung muss klarstellen, ob sie ein Kunde der NSO Group ist oder nicht. Außerdem muss sie eine gründliche, unabhängige Untersuchung des Einsatzes von Pegasus-Spionagesoftware gegen die in dieser Untersuchung identifizierten Katalanen durchführen.”
Die Organisation fordert auch den Untersuchungsausschuss des EU-Parlaments zum Missbrauch von Pegasus auf, sich mit den neuen Fällen zu befassen. Der Ausschuss ist am heutigen Dienstag zu seiner ersten Sitzung zusammengekommen.
Britische Regierungsbeamte ebenfalls Ausspähziel
Die vom Citizen Lab in Spanien dokumentierten Fälle sind indes nicht die einzigen neuen Enthüllungen rund um den Einsatz von Pegasus. Die Forscher berichteten am Montag, Anzeichen für Pegasus-Infektionen auch in Netzwerken der britischen Regierung gefunden zu haben. Auch das Büro des britischen Premierministers soll betroffen gewesen sein. Diesen Angriff schreiben die Sicherheitsforscher den Vereinigten Arabischen Emiraten zu. Auch das Außenministerium sei betroffen – hier sollen die Verursacher vermutlich in den Vereinigten Arabischen Emiraten, Indien, Zypern und Jordanien zu finden sein. Betroffen sein könnten Mitarbeiterinnen und Mitarbeiter des Ministeriums, die sich im Ausland befinden.
Erst in der vergangenen Woche hatte Reuters berichtet, dass hochrangige EU-Beamte im Jahr 2021 mit Spähsoftware angegriffen wurden. (js)