Patrick Beuth

Reaktionen auf das Pegasus-Projekt NSO = Nicht Schuldig, Oder?

Patrick Beuth
Ein Kommentar von Patrick Beuth
Niemand ist so empört über die Pegasus-Enthüllungen wie jene Firma, die hinter der Überwachungssoftware steckt. Ihre Verteidigung könnte aber eine Weile halten – jedenfalls länger als ihr lächerlicher Medienboykott.
Sitz der NSO Group: Die Mauer des Schweigens hielt nicht lange

Sitz der NSO Group: Die Mauer des Schweigens hielt nicht lange

Foto:

AMIR COHEN / REUTERS

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Die weltweite Berichterstattung über die Überwachungssoftware Pegasus hat den zu erwartenden Sturm der Entrüstung ausgelöst: Staats- und Regierungschefs von der Bundeskanzlerin bis zum französischen Präsidenten Emmanuel Macron,  Bürgerrechtler sowie Medien in aller Welt sind empört über den aufgedeckten Einsatz der Spähsoftware gegen ihresgleichen. Die Länder, die Pegasus gekauft und eingesetzt haben, sind empört, weil sie jetzt dafür an den Pranger gestellt werden .

Aber niemand ist so empört wie die Entwickler von Pegasus selbst, die NSO Group aus Israel.

Was die am Projekt beteiligten Medien berichten , lässt sich so zusammenfassen: Die Kunden der NSO Group, darunter Indien, Mexiko, Saudi-Arabien und Ungarn, wollten offenbar mithilfe der Überwachungssoftware Pegasus fremde Staatsoberhäupter, Oppositionelle im eigenen Land, Investigativjournalistinnen und -journalisten sowie Menschenrechtler ausspionieren.

Ausgangspunkt der Recherchen ist eine Liste, deren Quelle bisher nicht öffentlich bekannt ist, und auf der 50.000 Telefonnummern stehen, bei denen es sich um mindestens potenzielle Pegasus-Ziele handeln soll. Zu rund 1000 Nummern haben Medien die zugehörigen Namen ermitteln können. 67 der entsprechenden Smartphones hat Amnesty International IT-forensisch untersucht, auf 37 fanden die Experten nach eigenen Angaben Spuren einer erfolgreichen oder versuchten Pegasus-Infektion.

»Bösartig« sei das, sagt NSO. Nicht der Pegasus-Einsatz wohlgemerkt, sondern die »gut orchestrierte Medienkampagne«. So steht es in einem Eintrag, den die Firma am Mittwoch auf ihrer Website veröffentlichte, überschrieben mit »Genug ist genug!« . Dort heißt es: »Aufgrund der kompletten Missachtung der Fakten kündigt NSO hiermit an, dass man keine weiteren Medienanfragen zu diesem Thema beantworten wird.«

NSO hält sich für »verantwortungsvoll« und »vorsichtig«

Die selbst auferlegte Nachrichtensperre hielt keine 24 Stunden. Am Donnerstag gab NSO-Mitgründer und CEO Shalev Hulio dem nicht am Pegasus-Projekt beteiligten Magazin »Forbes« ein Interview , in dem er zum einen die bisherige Standardreaktion von NSO wiederholte. Sie besagt, dass die Liste der 50.000 Handynummern nichts mit NSO und Pegasus zu tun habe und dass die Zahl schlicht »irre« sei, weil NSO nur 40 bis 45 Kunden mit im Schnitt 100 Zielen habe. Das sind zunächst einmal unbewiesene Angaben, aber um sie zu widerlegen, müssten die Projekt-Pegasus-Partner wohl die Quelle der Liste offenbaren.

Zum anderen behauptete Hulio im Interview rundheraus, kein einziges der 37 von Amnesty untersuchten Smartphones sei mit Pegasus infiziert worden.

Eine bemerkenswerte Aussage, wo seine Firma doch immer wieder betont, sie könne nicht aktiv in die Daten ihrer Kunden schauen und wisse daher nicht, was die mit Pegasus anstellen. Aber Hulio zufolge kann sie von den Kunden nachträglich die Herausgabe von Logdateien inklusive der ins Visier genommenen Handynummern verlangen, wenn sie eine Untersuchung auf Missbrauch der Technik durchführt.

Das hat NSO nach eigenen Angaben bereits früher getan und zum Beispiel 2020 die Geschäftsbeziehungen mit einem Kunden beendet, weil der »eine geschützte Person« ins Visier genommen hatte. So steht es im ersten, Ende Juni veröffentlichten »Transparency and Responsibility Report«  der Firma. Auch die im Rahmen des Pegasus-Projekts beschriebenen Fälle habe NSO untersucht, und die genannten 37 Nummern waren nicht in den Logdateien enthalten, so erzählt es Hulio. Besondere Anstrengungen, das zu beweisen und Amnesty zu widerlegen, hat er allerdings nicht unternommen.

Während NSO einen genaueren Einblick in Pegasus geben könnte, aber natürlich nicht will, ist es bei den berichtenden Medien und den beteiligten IT-Forensikern genau andersherum: Sie wollen, können aber nicht mehr Beweise vorlegen. Auf den untersuchten Smartphones sind nur Spuren zu finden, die auf Pegasus hindeuten – aber kein Stück der Software selbst.

Für Erste läuft daher alles auf die Frage nach der Glaubwürdigkeit hinaus: Sind die Logs von NSO wirklich so »fälschungssicher«, wie es im Transparenzbericht steht, ist NSO wirklich »verantwortungsvoll« und »vorsichtig« mit Pegasus, wie es der Transparenzbericht verspricht? Das hieße, den Technikexperten von Amnesty sowie dem kanadischen Citizen Lab wären nicht erst jetzt, sondern bereits seit 2016  immer wieder reihenweise Fehler unterlaufen bei der Analyse von Software-Artefakten, Netzwerken und Servern, die sie NSO zuschreiben.

Für den Fall, dass eine der beiden Verteidigungslinien von NSO doch noch zusammenbricht, hat ein Sprecher noch kurz vor Beginn des Mini-Presseboykotts eine dritte entworfen . Sie besagt, dass man doch bitte die Kunden für den Einsatz von Pegasus verantwortlich machen solle, nicht den Entwickler. In seinen Worten: »Wenn ich ein Autohersteller wäre und ein Betrunkener überfährt in einem meiner Autos jemand anderen, wendet man sich nicht an mich, sondern an den Fahrer.«

Es handelt sich bei der NSO Group also um eine Firma, die den Missbrauch ihres bekanntesten Produkts nicht ausschließen oder verhindern kann. Die ihre Kunden mit betrunkenen Autofahrern vergleicht, und deren Ziele mit Unfallopfern. Und der bei all dem keine Zweifel an ihrem Geschäftsmodell kommen. Vielleicht wäre es klüger, wenn sie doch mal länger gar nichts sagt.

Die Wiedergabe wurde unterbrochen.