Eine der Kritiken an neuen Überwachungswerkzeugen für Verfolgungsbehörden lautet, dass diese zunehmend auch zweckentfremdet eingesetzt werden. Oder dass autoritäre Regierungen sie nach einer Machtübernahme gegen unliebsame Gruppen oder Personen richten.

Wie real diese Befürchtungen sind, lässt sich derzeit in den USA beobachten. Dort versieht Präsident Donald Trump die Einwanderungsbehörde ICE mit immer mehr Ressourcen für ihre Jagd auf Migrant*innen, sichert ihr für Verbrechen Straffreiheit zu und schafft sich so eine eigene brutale Präsidentengarde mit modernster technischer Ausrüstung.

Mapping von Deportationskandidat*innen

Über die digitalen Überwachungsmethoden des ICE berichtet häufig das US-Investigativportal „404 Media“. Dessen jüngste Recherche zeigt, wie etwa Palantir in die Massenfestnahmen eingebunden ist. Demnach entwickelt der berüchtigte Technologiekonzern ein Werkzeug namens ELITE, mit dem die Einwanderungsbehörde eine Karte mit Adressen von potenziellen Deportationskandidat*innen erstellen kann. Die Daten stammen unter anderem vom Gesundheitsministerium, von der US-Migrationsbehörde USCIS und vom Datenanbieter Thomson Reuters.

ICE nutzt die Software angeblich, um Orte zu identifizieren, an denen möglichst viele Personen auf einen Schlag festgenommen werden könnten. Zu jeder Person kann ein Dossier sowie ein „Confidence Score“ abgerufen werden – also eine Bewertung, wie verlässlich die angegebene aktuelle Adresse einer gesuchten Person ist.

„404 Media“ stützt ihre Recherche auf interne ICE-Materialien, öffentliche Beschaffungsunterlagen und Aussagen eines ICE-Beamten. Ihre Veröffentlichung erfolgte kurz nachdem Kristi Noem, die Chefin des Heimatschutzministeriums, angekündigt hatte, Hunderte weitere Bundesagent*innen nach Minneapolis zu entsenden. Vergangene Woche erschoss der ICE-Beamte Jonathan Ross dort die 37-jährige US-Bürgerin Renee Nicole Good, als diese ihr Auto wenden und die Szenerie einer Razzia und Protesten dagegen verlassen wollte.

Daten aus Online-Werbegeschäft

Zusätzlich zur Palantir-Software kaufte ICE zwei Überwachungssysteme namens Tangles und Webloc der Firma Penlink, die Zugriff auf Standortdaten von Hunderten Millionen Handys bieten. Darüber berichtete „404 Media“ vergangene Woche in einer weiteren Recherche.

Die Systeme nutzen GPS-Koordinaten sowie WLAN- und IP-Daten. Sie stammen aus dem Online-Werbegeschäft und werden über sogenannte Software Development Kits bei der Nutzung von Apps hinterlassen. Von Datenbrokern werden sie angeblich für personalisierte Werbung gesammelt, dann aber auch mit anderem Zweck verkauft.

Ermittler*innen können in Webloc ebenfalls Gebiete auf einer Karte markieren. Das System zeigt dann alle Handys an, die sich zu diesem Zeitpunkt dort befinden. Anschließend lassen sich die Bewegungen einzelner Geräte verfolgen. So stellen die Beamt*innen fest, wohin eine bestimmte Person nach der Arbeit fährt oder wo sich nachts ihr Handy befindet, was beides auf den Standort ihrer Wohnung schließen lässt. Die Software kann auch mehrere Orte gleichzeitig überwachen und anzeigen, welche Geräte an zwei oder mehr Orten waren, etwa bei einer politischen Versammlung.

Laut einer internen ICE-Rechtsanalyse, die die Bürgerrechtsorganisation ACLU durch eine Informationsfreiheitsklage erhielt, braucht die US-Behörde für die Nutzung dieser Daten aus ihrer Sicht keine richterliche Anordnung. Die Begründung: Menschen hätten die Informationen „freiwillig“ an Dritte weitergegeben, indem sie Apps nutzten.

Spyware „Graphite“ jetzt im US-Besitz

Bekannt ist außerdem, dass ICE die Spyware „Graphite“ des Unternehmens Paragon einsetzen darf. Die Trump-Regierung genehmigte einen Vertrag, den die Biden-Administration noch blockiert hatte.

Die Software gilt als eines der leistungsfähigsten Hacking-Werkzeuge weltweit und kann sämtliche Daten auf Smartphones auslesen, einschließlich der ansonsten verschlüsselten Kommunikation über Signal oder WhatsApp. Zudem lässt sich ein Telefon durch heimliches Aktivieren des Mikrofons zur Wanze umfunktionieren.

Nach Überwachungsskandalen in mehreren EU-Staaten wurde die bis dahin israelische Spyware-Firma Paragon Solutions Ende 2024 vom US-Private-Equity-Fund AE Industrial Partners übernommen, der dafür eine halbe Million US-Dollar gezahlt haben soll. Dieser Wechsel erleichtert US-Behörden wie ICE den Einsatz der Software, obwohl größere Teile der Belegschaft weiterhin in Israel ansässig sind.

Kampagne gegen beteiligte Firmen

Weitere digitale Werkzeuge der US-Einwanderungsbehörde haben der Arbeitswissenschaftler Eric Blanc von der Rutgers University, der Gewerkschaftsorganisator Wes McEnany und Claire Sandberg, ehemalige nationale Organisationsdirektorin von Bernie Sanders’ Präsidentschaftskampagne 2020, in der US-Wochenzeitschrift „The Nation“ dokumentiert. Darin rufen sie zu einer Kampagne gegen die Firmen auf.

Als besonders verwundbar gelten den drei Autor*innen jene Unternehmen, deren Verträge mit ICE vor einer möglichen Verlängerung stehen. Dazu zählt etwa Dell mit einem Auftrag über umgerechnet 16 Millionen Euro für Microsoft-Software-Lizenzen, der im März ausläuft. Auch kleinere Verträge mit dem Paketdienst UPS und FedEx sowie dem Kommunikationsausrüster Motorola Solutions enden im Frühjahr.

Einen längerfristigen Vertrag hat ICE beispielsweise mit dem Kommunikationsdienstleister AT&T geschlossen. Er umfasst rund 70,5 Millionen Euro und könnte bis Juli 2032 laufen. Der Datenanbieter LexisNexis ermöglicht Trumps Milizen für 18 Millionen Euro Zugriff auf umfangreiche personenbezogene Daten aus öffentlichen und privaten Quellen, einschließlich Haftdaten.

Palantir liefert „ImmigrationOS“

Als einen der bedeutendsten Akteure in der ICE-Infrastruktur nennt „The Nation“ Amazon, dessen Web Services für die Daten- und Überwachungsoperationen der Behörde unerlässlich seien.

Eine besondere Rolle spielt laut Blanc, McEnany und Sandberg aber Palantir: Der Konzern stellt den US-Migrationsbehörden unter dem Namen „ImmigrationOS“ ein Rückgrat bereit, das Informationen aus verschiedenen Datenbanken und Anwendungen zusammenführt.

Mithilfe der Software können ICE-Beamt*innen ihre Operationen automatisieren – zu den Features gehören die KI-gestützte Zielpersonenpriorisierung, die Echtzeitüberwachung der Person sowie die Koordination von Festnahmen und Abschiebungen.

„ImmigrationOS“ greift dazu auf Daten der Sozialversicherungs-, der Steuer- und der Migrationsbehörden sowie staatlicher Wählerverzeichnisse zu. Für die Entwicklung des Systems Plattform erhielt Palantir 25,5 Millionen Euro.

„Außer Kontrolle geratener Zug“

Nach den jüngsten Enthüllungen von „404 Media“ hat sich die Electronic Frontier Foundation zu Wort gemeldet. Die US-Bürgerrechtsorganisation erklärt, dass sie bereits mehrere juristische Schritte gegen die Datensammelwut der Migrationsbehörden unternommen habe – darunter Klagen gegen den Zugriff von ICE auf Gesundheits- oder Steuerdaten.

Doch diese allein reichten nicht aus: Menschen müssten im öffentlichen Diskurs weiterhin Bedenken und Protest äußern, so die Electronic Frontier Foundation. Auch müsse der Kongress umgehend handeln, „um diesem außer Kontrolle geratenen Zug Einhalt zu gebieten, der die Privatsphäre und Sicherheit jeder einzelnen Person in Amerika zu zermalmen droht“.

Jedoch ist die Datensammelwut für diesen „außer Kontrolle geratenen Zug“ nicht auf die USA beschränkt. Die Regierung in Washington fordert von den mehr als 40 Teilnehmern ihres Visa-Waiver-Programms einen direkten Zugriff auf nationale Polizeidatenbanken mit biometrischen Informationen.

In Deutschland wäre dies die INPOL-Datei, in der auch weit über zwei Millionen Asylsuchende oder Ausreisepflichtige mit Fingerabdrücken und Gesichtsbildern gespeichert sind. Die EU-Staaten sind zu diesem US-Zugriff grundsätzlich bereit und haben die Kommission mit Verhandlungen über ein Rahmenabkommen beauftragt.

Im Januar 2026 hat der Iran die umfassendste und längste Internetabschaltung umgesetzt, die das Land jemals erlebt hat. Neben mobilem und stationärem Internet wurden auch Mobil- und Festnetztelefonie abgeschaltet und sogar das von iranischen Netzen unabhängige Satelliteninternet Starlink gestört.

Der Iran ist bei weitem nicht das einzige Land, das Internetsperrungen als Mittel der digitalen Unterdrückung gegen die Bevölkerung einsetzt. Zuletzt hat auch Uganda im Rahmen der Präsidentschafts- und Parlamentswahl Messenger und soziale Medien blockiert und das Internet fast komplett abgeschaltet.

Internetabschaltungen sind letztlich die härteste Form der Internetzensur, weil sie nicht nur einzelne Seiten, Dienste oder Medien zensieren, sondern alle Wege moderner Kommunikation blockieren oder erschweren.

Weltweit immer mehr Shutdowns

Laut dem zivilgesellschaftlichen Bündnis „Keep it on“ gab es im Jahr 2024 fast 300 Internetabschaltungen in 54 Ländern – Tendenz steigend. Die Begründungen und Anlässe für die Abschaltungen sind laut Keep it on sehr häufig Proteste, das Umfeld von Wahlen, aber manchmal auch die angebliche Prävention von Betrug bei zentralen Schul- und Universitätsprüfungen.

Internetabschaltungen basieren auf unterschiedlichen technologischen Maßnahmen und politischen Voraussetzungen, die diese überhaupt erst möglich machen. Dabei gibt es sehr verschiedene Formen und Ausprägungen dieser Form der Internetzensur und der Abschaltung des Netzes. Die Übergänge von klassischer Zensur bis hin zur Abschaltung sind dabei fließend.

Aufgrund der weltweit fortschreitenden Digitalisierung und den zunehmenden gesellschaftlichen, sozialen, wirtschaftlichen und institutionellen Abhängigkeiten von der Verfügbarkeit digitaler Kommunikation, sind Internetabschaltungen aus Sicht des unterdrückenden Regimes immer nur letztes Mittel. Weil das Leben und wirtschaftliche Tätigkeiten quasi zum Erliegen kommen, sind die Kosten kompletter Abschaltungen sehr hoch, weswegen oft auch nur regionale und temporäre Teilabschaltungen und die Abschaltung oder Erschwerung bestimmter Kommunikationsdienste genutzt werden.

Einige autoritäre Regime wollen deswegen von ihnen kontrollierte, zensierte und überwachte nationale Netze, in denen es nur partiell und restriktiv kontrolliert Zugang zum Internet gibt. Mit solchen Netzen können Behörden- und Wirtschaftsabläufe oder Online-Shopping weitergehen, während die Inhalte und Kommunikation der Bevölkerung zensiert, kontrolliert und gedrosselt werden können. Ein solches abgeschottetes und vollkommen kontrolliertes Netz hat technologisch bislang nur China vollständig umsetzen können, andere Staaten wie Russland oder Iran arbeiten an solchen Netzen.

Welche Formen von Abschaltungen gibt es?

Die einfachsten Formen von Abschaltungen sind die Blockade bzw. Zensur von Webseiten oder Messengern und sozialen Medien. Bei lokalen Protesten greifen Länder wie der Iran zudem auf temporäre und regionale Teilabschaltungen des Mobilfunks zurück. Sie erhoffen sich so, Mobilisierungen und Nachrichtenfluss zu erschweren und Proteste regional einzudämmen.

Eine weitere Methode ist die Drosselung des Internets. Hierbei wird die verfügbare Bandbreite, also der Durchfluss von Daten, künstlich begrenzt. Ziel ist, dass sich Videoaufnahmen, Bilder und Kommunikation verlangsamen und sich so demobilisierende Effekte in der Bevölkerung einstellen.

Die harte Form des Internet-Shutdowns ist die landesweite Aufhebung jeder Konnektivität, so wie sie im Januar 2026 im Iran geschehen ist. Hierbei wird in Kauf genommen, dass das wirtschaftliche, soziale und gesellschaftliche Leben fast vollkommen zum Erliegen kommt. Diese Form der Abschaltung lässt sich deswegen nicht lange durchhalten – außer dem Regime steht ein funktionierendes landesweites Intranet zur Verfügung, das es kontrolliert und das die wirtschaftlichen und institutionellen Folgen abfedern kann.

Wie gehen die Abschaltungen technisch?

Hierzu gibt es unterschiedliche Methoden. Im Falle des Iran im Januar 2026 berichtet das US-Unternehmen Cloudflare, dass der Internet-Verkehr in und aus dem Iran am 8. Januar auf praktisch Null gesunken ist. Die großen iranischen Netzwerk-Anbieter haben aufgehört, dem Rest des Internets mitzuteilen, auf welchem Weg ihre IP-Adressen zu erreichen sind.

Um 15:20 Uhr Ortszeit sank demnach die Menge von iranischen Netzwerken bekannt gegebener IPv6-Adressen um 98,5 Prozent von über 48 Millionen /48-Netzblöcken auf knapp über 737.000 /48-Netzblöcke. Ein Rückgang des gemeldeten IP-Adressraums bedeutet, dass die meldenden Netzwerke der Welt nicht mehr mitteilen, wie diese Adressen zu erreichen sind. Innerhalb von einer halben Stunde wurde so das Land fast vollständig vom globalen Internet abgeschnitten.

Technische Erklärungen zum kompletten Shutdown im Iran gibt es unter anderem bei:

Wie kann man Internet-Abschaltungen umgehen?

Eine Umgehung abgeschalteter zentraler Netze kann unter anderem mit Satellitentelefonen und Satelliteninternet wie Starlink erreicht werden. Diese sind unabhängig von der physischen Netzstruktur eines Landes. Deswegen sind diese in Ländern wie dem Iran auch verboten.

Dem Iran ist es bei der Abschaltung im Januar 2026 gelungen, auch Starlink massiv einzuschränken. Die Satelliten-Antennen benötigen GPS-Signale, um ihre Position zu kennen. Das Regime hat vermutlich mit einer Mischung aus GPS-Spoofing, beim dem falsche GPS-Signale gesendet werden und mit Jamming, bei dem die Frequenz mit Störsignalen geflutet wird, Starlink fast zum Erliegen gebracht. Hinzu kommen lokale repressive Maßnahmen wie Hausdurchsuchungen und ähnliches, bei denen nach den Antennen gesucht wird.

Welche Faktoren begünstigen Internetabschaltungen?

Je autoritärer ein Land ist, desto eher gibt es Internetabschaltungen. Je zentralisierter die Netze sind und je enger der staatliche Zugriff auf diese ist, desto effektiver und schneller kann ein Land das Internet abschalten.

Am Beispiel des Irans lässt sich das gut zeigen. Dort gibt es staatlich kontrollierte Gateways. Private Internetzugangsanbieter müssen sich über diese mit dem globalen Internet verbinden. Der Staat hat Zugriff auf alle Arten von Kommunikationsinfrastrukturen, viele zentrale Punkte werden vom dominanten Iranischen Telekommunikations-Unternehmen kontrolliert, auf das wiederum das Kommunikationsministerium und der Nationale Sicherheitsrat Durchgriff haben.

Recherchen von Netzwerkspezialisten, die durch eine eine Recherche von netzpolitik.org, Correctiv und taz im Jahr 2022 herauskamen, haben gezeigt, dass das iranische Netz nur über wenige „Brücken“ nach außen in das weltweite Internet verfügt. Diese Brücken heißen nicht wirklich Brücken, sondern es handelt sich um so genanntes Peering zwischen Autonomen Systemen. Von diesen gibt es weltweit mehr als 120.000, der Iran war 2022 aber nur über eine Handvoll dieser autonomen Systeme mit der Außenwelt verbunden. So lässt sich das Land schnell abkapseln vom Internet.

Was hätten autoritäre Regime gern?

Seit 2005 will der Iran ein so genanntes „Nationales Informations-Netzwerk“ aufbauen – eine Art Intranet im Iran, das vom weltweiten Internet unabhängig ist. In Teilen ist der Aufbau auch schon gelungen. Als Vorbild dient China, das mit der „Großen Firewall“ ein solches Netz schon funktionierend und in Gänze aufgebaut hat. Auch Russland will ein solches abgekapseltes Netz schaffen, das es „Souveränes Internet“ nennt.

Hintergrund sind neben dem Wunsch totaler Informationskontrolle der wirtschaftliche und soziale Schaden, den Internetabschaltungen bedeuten. Allein der Online-Handel soll nach älteren Informationen in jeder Stunde, in der das Internet abgeschaltet wird, etwa 1,5 Millionen Euro Verlust machen.

Deutsche Firma in Aufbau des abgeschotteten Internets im Iran verstrickt

Wer überwacht Internetabschaltungen?

Es gibt mehrere Organisationen und Unternehmen, die Internetabschaltungen überwachen. Aus der Zivilgesellschaft ist Netblocks.org zu nennen, die weltweit und aktuell über Abschaltungen berichten. Wer informiert bleiben möchte, kann Netblocks per Feed oder auf Bluesky und Mastodon folgen.

Die Kampagne „Keep it on“, der mehr als 100 internationale Organisationen angehören, veröffentlicht einen jährlichen Bericht zu Internetabschaltungen und setzt sich politisch gegen diese ein.

Aus der Privatwirtschaft gibt es unter anderem die Monitoringseite radar.cloudflare.com. Für den Shutdown im Iran hat auch Whisper-Security ein Monitoring geschaltet.

Wie können sich Gesellschaften technisch schützen?

Es gibt verschiedene Ansätze von sogenannten Mesh-Netzwerken, die beispielsweise auf Basis von WLAN, Bluetooth oder anderen Funkfrequenzen basieren. Würden sehr viele Menschen solche Netzwerke nutzen, könnte zumindest eine basale Kommunikation mit wenig Bandbreite auch ohne zentralisierte, privatwirtschaftliche und staatlich kontrollierte Infrastrukturen funktionieren.

Zu den bekannten Mesh-Netzwerken gehören unter anderem Freifunk, aber auch Meshtastic oder Meshcore sowie zahlreiche andere Varianten. Aber auch solche Netzwerke sind angreifbar, beispielsweise über Störsender.

Was können Deutschland oder die EU tun?

Bundesregierung oder EU-Kommission können Internetabschaltungen öffentlich verurteilen und sich für Exportbeschränkungen von Technologien einsetzen, die zu Zensur, Überwachung und Internetkontrolle eingesetzt werden. Möglich sind auch wirtschaftliche Sanktionen gegen private Unternehmen, die sich an digitaler Unterdrückung beteiligen. Generell ist dafür nötig, die Zusammenhänge der Digitalisierung und von Menschenrechten mehr als bisher zu erkennen.

Kann ich Betroffenen mit Snowflake helfen?

Snowflake stellt zensierten Internetnutzern den Zugang zum Tor-Netzwerk zur Verfügung. Wenn das Internet komplett abgeschaltet ist, dann hilft Snowflake nicht. Aber es ist dennoch sinnvoll, wenn viele Menschen die Browsererweiterung nutzen. Denn sobald das Internet wieder angeht, hilft Snowflake den Menschen leichter, anonym im Netz unterwegs zu sein und die Zensur im Land zu umgehen.

Erst vor Kurzem sezierte die Google Threat Intelligence Group die mächtige Spyware Predator des Intellexa-Konsortiums noch einmal gründlich. Doch was damals als entscheidender Einblick in die Innereien des Staatstrojaners galt, war offenbar nur die Spitze des Eisbergs. Neue Untersuchungen des Threat Labs Teams des Apple-Spezialisten Jamf zeichnen nun ein Bild von einer Schadsoftware, deren technisches Niveau weit über bisherige Annahmen hinausgeht. Die Entwickler haben demnach Funktionen implementiert, die nicht nur der reinen Spionage dienen. Vielmehr verteidigt sich das Programm aktiv gegen Entdeckung und lernt aus Fehlern.

Schutzwall gegen Neugierige

Ein entscheidender Aspekt der neuen Erkenntnisse betrifft das Verhalten von Predator in Momenten des Scheiterns oder bei drohender Aufdeckung. Die Jamf-Experten haben einen hochspezialisierten „Kill Switch“ dokumentiert, der weit über einfache Selbstlöschungsroutinen hinausgeht. Diese Funktion dient ihnen zufolge als ultimativer Schutzwall gegen Sicherheitsforscher.

Wenn die Spyware erkennt, dass sie in einer Analyseumgebung ausgeführt wird oder wenn bestimmte Sicherheitsmechanismen des iPhones anschlagen, löst sie laut der Analyse den „Kill Switch“ aus. Dabei werden nicht nur Spuren verwischt. Die Software stellt den Betrieb auch gezielt ein, um ihre wertvollen Exploits und Kommunikationswege vor den Augen der Forensiker zu verbergen.

Diese Abwehrstrategie wird durch ein präzises Diagnosesystem ergänzt. Jamf gelang es, eine vollständige Taxonomie von Fehlercodes zu dokumentieren, die von 301 bis 311 reicht. Diese Codes fungieren als Feedback-Kanal für die Angreifer. Wenn ein Infektionsversuch fehlschlägt oder der Kill Switch aktiviert wird, sendet die Spyware automatisch eine verschlüsselte Statusmeldung an die Kontrollserver zurück.

Feedback an Kontrollserver

Die Angreifer erfahren dadurch genau, welche Sicherheitsmaßnahme oder welches Forscher-Tool die Entdeckung ausgelöst hat. Dieses Feedback-System verwandelt jede erfolgreiche Abwehrreaktion eines Betriebssystems in eine Informationsquelle, mit der die Angreifer ihre Werkzeuge für den nächsten Versuch gezielt nachbessern können.

Zusätzlich zu dieser Lernfähigkeit hat Predator weitere Schutzwälle gegen die Analyse durch Sicherheitsforscher hochgezogen. Die Experten entdeckten Funktionen zur aktiven Prozessüberwachung, die nach Spuren von Debug-Konsolen oder verdächtigen Root-CA-Zertifikaten suchen. Letztere werden in der IT-Forensik häufig zum Entschlüsseln von Datenverkehr eingesetzt.

Sogar die Erkennung von HTTP-Proxys ist integriert, um zu verhindern, dass Forscher die Kommunikation zwischen dem infizierten Gerät und den Command-and-Control-Servern abfangen können. Bemerkenswert ist zudem die Fähigkeit von Predator, den iOS-Entwicklermodus schlicht zu ignorieren oder als Warnsignal zu werten, um die eigene Tarnung aufrechtzuerhalten.

Vergleich mit Pegasus der NSO Group

Die Erkenntnisse unterstreichen die Professionalität der Intellexa Alliance und zeigen laut den Forschern, dass die Grenze zwischen staatlichen Akteuren und kommerziellen Spyware-Anbietern technologisch kaum noch existiert. Predator ist kein statisches Werkzeug, sondern ein sich dynamisch anpassendes System. Für Nutzer, die aufgrund ihres Profils ins Visier solcher Software geraten könnten, bedeutet das eine neue Stufe der Bedrohung: Die Sicherheit eines Systems wird hier zum unfreiwilligen Lehrer für den Angreifer.

Im Vergleich zum berüchtigten Staatstrojaner Pegasus der NSO Group, der oft durch Zero-Click-Exploits ohne jegliches Zutun des Opfers Endgeräte infiziert, setzt Predator primär auf One-Click-Angriffe via präparierte Links. Technisch gelten beide Plattformen in ihrer Funktionsfülle beim Ausspähen von Mikrofonen, Kameras und verschlüsselten Chats als ebenbürtig. Pegasus ist aber primär auf maximale Unsichtbarkeit und lautlose Infiltration optimiert. Predator sticht durch seine aggressiven Anti-Analyse-Techniken hervor. Das Programm scheint darauf ausgelegt zu sein, proaktiv gegen die IT-Security-Community zu kämpfen.

Die Betreiber der Plattform zum Ausliefern und Steuern des mächtigen Predator sahen sich 2024 genötigt, mehrere zugehörige Server und andere Komponenten der IT-Infrastruktur erneut offline zu nehmen. Die Strategie von Menschenrechtsorganisationen und IT-Sicherheitsforschern, schwarze Schafe in der Staatstrojaner-Branche zu benennen, schien damit zumindest kurzzeitig aufzugehen. Die US-Regierung verschärfte damals auch die Sanktionen gegen die Gruppe, die sich nun auch gegen den Intellexa-Gründer Tal Dilian und seine rechte Hand, Sara Hamou, persönlich richten. Die Intellexa Alliance gilt als Verbund zwielichtiger europäischer Firmen, der nicht nur Diktatoren mit Cyberwaffen beliefert. In Deutschland zählt die Hackerbehörde Zitis zu ihren Kunden.

(dahe)