Nicht alle Europaabgeordneten haben sich mit dem gefährlichen Zustand in Sachen Staatstrojaner abgefunden. Die sozialdemokratische Parlamentarierin Birgit Sippel und Krzysztof Brejza von der christdemokratischen EVP-Fraktion, dessen Smartphone mit Pegasus gehackt worden war, wollen das Thema nicht zu den Akten legen. Sie informierten bei einer Veranstaltung in Brüssel über die jüngsten Entwicklungen.

Den Regierungen von Polen, Ungarn, Griechenland, Zypern und Spanien war das Ausspionieren von Journalisten, Juristen und Oppositionellen mit dem Staatstrojaner Pegasus nachgewiesen worden. Die Nutzung von Hacking-Werkzeugen in Europa ist seit den Untersuchungen des Pegasus-Ausschusses des EU-Parlaments nicht weniger geworden, im Gegenteil.

Denn in den vergangenen Monaten haben abermals Untersuchungen ergeben, dass innerhalb Europas weitere Staatstrojaner eingesetzt wurden, um Smartphones zu hacken. Unter den Opfern sind Journalisten, Politiker und auch Menschenrechtsaktivisten wie beispielsweise Giuseppe Caccia und Luca Casarini, beide aktiv bei der Seenothilfe Mediterranea.

Eine Analyse von CitizenLab brachte Einblicke und Nachweise dazu, wie mehr als neunzig Menschen, auch aus EU-Mitgliedstaaten, mit einer kommerziellen Hacking-Software von Paragon Solutions ausspioniert wurden. Im Februar 2025 waren Betroffene, allesamt WhatsApp-Nutzer, vom US-Konzern Meta über den Paragon-Staatstrojaner-Hack benachrichtigt worden.

Angesichts dieser Situation fragen die EU-Abgeordneten: Was machen die EU-Institutionen eigentlich? Schließlich ist ja auch die Regierung von Georgia Meloni in den aktuellen Paragon-Skandal verwickelt.

Die kurze Antwort ist: Sie ducken sich weg. Und wo sie sich positionieren, haben sie keine Lösungen. Das zeigen die Einlassungen von Audrius Perkauskas, der auf der Veranstaltung für die EU-Kommission sprach, aber besonders die Wortmeldungen des polnischen Konservativen Kazimierz Ujazdowski, der die gerade beendete polnische EU-Ratspräsidentschaft repräsentierte. Die Wortmeldungen und Stellungnahmen mitsamt Diskussion sind aufgezeichnet worden: Securing Democracy & Media Freedom – EU Action on Spyware and Surveillance.

Spionage bei drei Journalisten

Zu Wort kommen zuerst Opfer der Hacking-Werkzeuge der NSO Group (Pegasus) und Paragon (Graphite). Eingeladen ist zu den aktuellen Fällen Francesco Cancellato, ein Journalist aus Italien, der ein Hacking-Opfer im Paragon-Skandal der Meloni-Regierung ist. Er fasst zusammen, was in den Monaten nach dem Auffliegen des Paragon-Staatstrojaners auf seinem Telefon geschehen ist und vor allem, was nicht.

Denn die italienische Regierung bestreitet eine direkte Involvierung am Hacking des Investigativjournalisten Cancellato ebenso wie seiner Journalistenkollegen Ciro Pellegrino und Roberto Dagostino. In einer Pressemitteilung vom Februar, die unverändert online ist, heißt es seitens der Meloni-Regierung nur, dass rechtlich geschützte Personen wie Journalisten grundsätzlich nicht von italienischen Geheimdiensten ausspioniert würden. Ansonsten werde man dem parlamentarischen Geheimdienst-Kontrollgremium Copasir Bericht erstatten, welches geheim tagt.

Staatstrojaner sind eine Bedrohung für Datenschutz, Sicherheit und Menschenrechte, aber auch für die Pressefreiheit. Die Rechtslage in Europa schütze Journalisten nach wie vor zu wenig, konstatiert Rand Hammoud, Überwachungsexpertin von Access Now. Auch nach Inkrafttreten des europäischen Medienfreiheitsgesetzes (EMFA) im August könnten Staatstrojaner gegen Medienvertreter benutzt werden, wenn nämlich die „Nationale Sicherheit“-Karte gezogen würde. Der EMFA ließe hier ein Scheunentor offen.

Obwohl im Fall von Cancellato sogar der Anbieter Paragon sage, dass er mithelfen würde, die Spionagefälle der Journalisten aufzuklären, komme man nicht weiter. Denn die italienische Regierung stelle sich auf den Standpunkt, dass der Journalist Cancellato quasi nur Spionage-Beifang bei Ermittlungen in Sachen „Nationaler Sicherheit“ sei. Leider lege sie aber überhaupt nicht dar, um welche Bedrohungen „Nationaler Sicherheit“ es ginge.

Für die EU-Kommission widerspricht der Referatsleiter Telekommunikation und Technologie (DG Connect), Audrius Perkauskas, dieser Darstellung. Er erklärt, das Medienfreiheitsgesetz schütze Journalisten, denn eine generelle Ausnahme für Ermittlungen in Fragen der „Nationalen Sicherheit“ gäbe es nicht. Eine Ausnahme gäbe es lediglich für „essential state functions“ (Kernaufgaben des Staates), die unterschiedlich definiert seien. Alle Staaten müssten nach Inkrafttreten des Medienfreiheitsgesetzes im August ihre nationalen Gesetze abklopfen.

Wenn es nach Inkrafttreten neue Staatstrojanerfälle gäbe, könne sich zeigen, wie gut der EMFA schütze, sagte Perkauskas. Ein irgendwie geartetes Scheunentor für Staatstrojanereinsätze gegen Journalisten weist er zurück.

Keine Lösungen, nirgendwo

Während sich Perkauskas noch inhaltlich einlässt, bleibt Kazimierz Ujazdowski so vage es nur irgend geht. Man müsse verstehen, dass er den EU-Rat vertrete, der nun mal in Sachen Staatstrojaner nicht mit einer Stimme spreche. Immerhin räumt er ein, dass die Eingriffstiefe der Hacking-Werkzeuge die bisher vorgesehenen Kontrollinstrumente auf eine harte Probe stelle. Sie seien wohl nicht ausreichend, wenn durch das Hacking „in nur einer Sekunde“ das ganze Leben eines Opfers offenläge.

Eine Lösung des Problems kenne er nicht. Er verweist nur auf den noch laufenden sogenannten Pall-Mall-Prozess. Im Rahmen dieses Prozesses entstehen Verhaltensvorschläge, denen sich einige europäische Staaten wie Frankreich, Polen und die Niederlande unterwerfen wollen.

Als die Diskussion eröffnet wird, erweitert sich sogleich der Problemkreis, über den bei Staatstrojanern gesprochen werden muss. Denn es geht ja nicht nur um ein internes Problem des Rechtsschutzes innerhalb der EU, sondern auch um ein erhebliches Sicherheitsproblem von außen. Böswillige Dritte könnten beispielsweise EU-Institutionen angreifen, auch mit Hacking-Software, die von Unternehmen innerhalb der EU stammt.

Ujazdowski sagt dazu, dass es „zynisch und einfach falsch“ sei, wenn Europa vom Handel mit IT-Sicherheitslücken und Staatstrojanern profitieren würde. Doch der aktuelle Paragon-Skandal zeigt ja gerade, dass dies der Fall ist.

Ausgang offen

Es bleibt die Frage, welche rechtlichen Möglichkeiten dem Journalisten Cancellato bleiben. Er erklärt, dass er mit Hilfe der italienischen Journalistengewerkschaft Federazione Nazionale Stampa Italiana (FNSI) versucht, seinen Fall vor Gericht durchzufechten. Zwei Gerichtsverfahren seien nun in Rom zusammengelegt worden. Der Ausgang sei aber offen.

Rand Hammoud von Access Now gibt aber zu Bedenken, dass Cancellato die Ausnahme sei. Denn selten brächten Hacking-Opfer ihre Fälle vor Gericht. Die Vertragsstaaten der Staatstrojaner-Anbieter würden die Nutzung von Überwachungs- und Hackingtechnologien in der Regel schlicht nicht zugeben. Zudem seien solche Staatstrojanerverfahren immer nur reaktiv.

Francesco Cancellato fordert zumindest ein Register für Anbieter kommerzieller Hacking-Werkzeuge. Er setzt sich außerdem für mehr staatliche Transparenz ein, wenn Hacking-Fälle ans Licht gekommen sind. In seinem eigenen Fall aber schweige Georgia Meloni seit nun sechs Monaten. Sie hätte gesagt, dass sie nur auf wichtige Fragen antworte, sein Fall des Hackings sei also wohl keiner.

Mehrere Nichtregierungsorganisationen haben Beschwerde bei der EU-Kommission und weiteren Aufsichtsbehörden über den Twitter-Nachfolger X eingelegt. Das Bündnis wirft der Plattform von Elon Musk vor, sensible Daten von Nutzer:innen missbraucht zu haben, indem es sie für zielgerichtete Werbung verwendete. Damit verstoße X gegen Vorgaben des Digital Services Act (DSA) der Europäischen Union, heißt am heutigen Mittwoch in einem gemeinsamen Statement.

Die Organisation AI Forensics hat demzufolge zahlreiche Fälle dokumentiert, in denen große Marken und Finanzinstitute auf der Plattform Zielgruppen für Werbeanzeigen anhand von sensiblen Informationen ausgewählt hätten. Dazu zählen Daten über die politische Ausrichtung, sexuelle Orientierung, religiöse Einstellung oder den Gesundheitszustand der Nutzenden.

Derlei Kategorien sind aufgrund des damit verbundenen Diskriminierungspotenzials durch die Datenschutzgrundverordnung besonders geschützt. Das EU-Gesetz über digitale Dienste verbietet darüber hinaus seit Februar 2024 ihre Nutzung für zielgerichtete Werbung.

Dass X Werbetreibenden trotzdem Targeting mit solchen Daten ermögliche, gefährde den öffentlichen Diskurs und demokratische Prozesse, so die Beschwerdeführer. Zu deren Kreis zählen die Gesellschaft für Freiheitsrechte, European Digital Rights, das Centre for Democracy and Technology Europe, Entropy, Global Witness, die polnische Panoptykon Foundation, die niederländische Stiftung Bits of Freedom und die französische Organisation VoxPublic.

Ölkonzern schließt umweltinteressierte Zielgruppe aus

Grundlage für die Recherche war die Werbedatenbank von X, die die Plattform ebenfalls aufgrund von Vorgaben des Digitale-Dienste-Gesetzes einrichten musste. Konkret habe beispielsweise der Öl-Konzern Total Energies Werbeanzeigen auf X geschaltet und Nutzer:innen von der Zielgruppe ausgeschlossen, die mit Schlagworten rund um politische Akteure aus dem Umweltspektrum interagierten.

Der Fast-Fashion-Marktplatz Shein wiederum habe bei seinen Werbeanzeigen auf X Menschen ausgewählt, die mit bestimmten Schlagworten in Zusammenhang mit französischer Politik interagierten. Und die Fast-Food-Kette McDonalds wollte ihre Werbung nicht für Personen anzeigen, bei denen Schlagworte rund um Suizid, Antidepressiva und eine McDonalds-Gewerkschaft eine Rolle spielten.

Zuvor hatte AI Forensics bereits aufgedeckt, dass das rechte Mediennetzwerk Brussels Signal politisches Targeting mit verbotenen Daten auf X nutzte. So seien für Werbeanzeigen auf der Plattform Nutzer:innen angesprochen worden, die mit Stichworten rund um Parteien und politische Akteur:innen vom rechten Rand interagierten.

Die Beschwerden der Nichtregierungsorganisationen liegen nun bei mehreren nationalen Aufsichtsbehörden nach dem DSA, den sogenannten Digital Services Coordinators, sowie der Europäischen Kommission. Diese führt bereits mehrere Verfahren gegen X wegen möglicher Verstöße gegen das Plattformgesetz.

Die US-Bundespolizei Federal Bureau of Investigation (FBI) hat mehrere Online-Marktplätze mit illegalen Kopien von Videospielen hat beschlagnahmt. Wie das FBI Ende vergangener Woche mitteilte, wurde das FBI-Büro in Atlanta bei den Emittlungen von der niederländischen Steuerfahndung Fiscale Inlichtingen- en Opsporingsdienst (FIDO) unterstützt.

Raubkopie-Webseiten auseinandergenommen

Das FBI hat eigenen Angaben zufolge die Domains beschlagnahmt und die Infrastruktur der Webseiten abgeschaltet. Auf den betroffenen Seiten seien seit mehr als vier Jahren widerrechtliche Kopien von stark nachgefragten Spielen Tage oder gar Wochen vor dem offiziellen Veröffentlichungstermin erhältlich gewesen. Zwischen dem 28. Februar und 28. Mai dieses Jahres seien 3,2 Millionen Downloads über diese Seiten erfolgt. Das FBI beziffert den Schaden auf rund 170 Millionen US-Dollar.

Das FBI hat die Domains mehrerer Webseiten beschlagnahmt, darunter „nsw2u.com“, „nswdl.com“, „game-2u.com“, „bigngame.com“, „ps4pkg.com“, „ps4pkg.net“ und „mgnetu.com“. Diese Domains haben demnach Zugriff auf die gehosteten Videospiele gewährt. Wer diese Webseiten jetzt ansurft, bekommt das FBI-Banner zur Beschlagnahmung der Domain zu Gesicht.

Zu den Drahtziehern und Betreibern hinter diesen Angeboten macht das FBI keine Angaben. Es ist nicht erkenntlich, ob den Strafverfolgern dazu keine Informationen vorliegen oder die Täter schlicht nicht greifbar sind.

Nicht nur US-amerikanische Strafverfolger können Erfolge gegen Kriminelle vorweisen. Ende Mai hat etwa Europol zusammen mit Microsoft die Lumma-Malware zerschlagen. Die hatte fast 400.000 PCs infiziert und dort Zugangsdaten, Kryptowährungen und Dokumente gestohlen.

(dmk)