Meta geht erneut gerichtlich gegen das israelische Spionagesoftware-Unternehmen NSO Group vor. Der Facebook-Mutterkonzern stellte nach eigenen Angaben bei einem US-Bundesgericht einen Antrag auf Feststellung der Missachtung gerichtlicher Anordnungen. Das gab Meta am Montag bekannt. Das Social-Media-Unternehmen wirft NSO Group vor, gegen eine dauerhafte gerichtliche Verfügung verstoßen zu haben, die es dem Unternehmen untersagt, WhatsApp-Nutzer gezielt ins Visier zu nehmen.

„Wir haben NSO-bezogene Social-Engineering-Versuche erfolgreich unterbunden, nachdem wir Benutzerberichte untersucht hatten“, schreibt Meta in einem Blogeintrag. Die Täter „versuchten, Nutzer dazu zu verleiten, auf bösartige Links zu klicken, um sie auf externe Websites außerhalb von WhatsApp weiterzuleiten.“ Laut Meta ähnelten die Angriffe einer früheren 1-Klick-Phishing-Kampagne, die zur Infektion der Zielpersonen mit der Spyware Pegasus von NSO führte. 1-Klick-Phishing ist eine Art Cyberangriff, bei dem ein einziger Klick auf einen bösartigen Link oder Anhang ausreicht, um das Gerät oder Konto eines Users zu kompromittieren, ohne dass dieser seine Anmeldedaten eingeben muss. Meta erklärte, außerdem von NSO auf WhatsApp erstellte Testkonten und Gruppen gelöscht zu haben.

Jahrelanger Rechtsstreit

Der Rechtsstreit zwischen Meta und NSO Group beschäftigt Gerichte seit einigen Jahren. In einer im Oktober 2019 eingereichten Klage warf Meta NSO vor, bei der Installation der Spionagesoftware Pegasus gegen verschiedene Gesetze verstoßen zu haben. NSO Group soll demnach Anfang 2019 unrechtmäßig auf WhatsApp-Server zugegriffen und dadurch die Überwachung von 1.400 Personen, darunter Journalisten und Menschenrechtsaktivisten, ermöglicht haben.

Nachdem mehrere Gerichte, darunter der US Supreme Court, die Rechtmäßigkeit der Klage anerkannt hatten, landete der Fall schließlich vor dem US-Bezirksgericht für den nördlichen Bezirk von Kalifornien. Ende Februar 2024 entschied die zuständige Richterin, dass NSO Group den Quellcode der Pegasus-Spyware herausrücken muss. Nach einem vorherigen Urteil zugunsten von Meta sprach Anfang Mai 2025 eine Geschworenenjury dem WhatsApp-Mutterkonzern schließlich mehr als 167 Millionen US-Dollar Schadenersatz zu. Dagegen legte die NSO Group Widerspruch ein.

Zwar reduzierte das Bezirksgericht in Kalifornien Ende vergangenen Jahres den zu zahlenden Schadenersatz von 167 auf vier Millionen US-Dollar; untersagte dem Spionagesoftware-Unternehmen aber zugleich das Ausspähen von WhatsApp. In dem Verfahren argumentierte NSO Group, dass die Unterlassungsverfügung das gesamte Unternehmen gefährden würde.

(akn)

Als Teil ihres Gesetzespakets für digitale Souveränität („Tech Sovereignty Package“) hat die EU-Kommission am vergangenen Mittwoch auch eine neue europäische Open-Source-Strategie vorgestellt. Offene Technologien sollen dabei helfen, Europas Abhängigkeit von außereuropäischen Anbietern in kritischen Bereichen zu verringern.

„Es ist Zeit, dass wir das nutzen, was wir in Europa haben, um die Kontrolle über unsere gewünschte Zukunft zu erlangen“, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung der Strategie. Über drei Millionen Open-Source-Mitwirkende und 500 gewinnorientierte Open-Source-Unternehmen gebe es in Europa. Trotzdem würden jedes Jahr mehr als 260 Milliarden Euro für digitale Produkte und Dienstleistungen aus Nicht-EU-Ländern ausgegeben. Die Kommission argumentiert weiter, dass Europa zwar erhebliche wirtschaftliche Werte durch Open-Source-Projekte schaffe, die daraus entstehenden Gewinne aber häufig außerhalb Europas abgeschöpft würden.

Die neue Strategie soll das ändern. Sie soll die gesamte Kette abdecken: von Forschung und Entwicklung über die Markteinführung und den Einsatz von Open-Source-Software bis hin zur langfristigen Wartung und Steuerung kritischer Open-Source-Komponenten.

Open Source im Mittelpunkt der Digitalpolitik

Ein grundlegender Wandel ist allein der politische Stellenwert, den die Kommission Open Source nun zuschreibt. Die Denkfabrik OpenForum Europe verweist darauf, dass die Kommission erstmals einen umfassenden Rahmen für Open Source geschaffen habe und den entscheidenden Beitrag von Open Source zu Souveränität, Wettbewerbsfähigkeit und Innovationskraft Europas anerkenne. Die gemeinnützige Organisation spricht deshalb von einem „definierenden Moment“ für die europäische Open-Source-Politik.

Das Sozialunternehmen Open Ireland Network hält das Framing der Strategie für ebenso wichtig wie die Verpflichtungen, die sich daraus ergeben. Zum ersten Mal habe die Kommission Open Source als Grundlage für einen europäischen Technologie-Stack positioniert statt wie zuvor als Sparmaßnahme. Die irische Organisation bezeichnet die Strategie als „ehrgeizig“ und stellt konkrete Maßnahmen heraus wie die Mobilisierung von zwei Milliarden Euro über sieben Jahre im öffentlichen und privaten Sektor, ein Open-Source-Wartungsinstrument für kritische Infrastrukturen und das konkrete Ziel von 30 Millionen Nutzenden offener Kollaborationstools bis 2030.

„Wir freuen uns, dass die Strategie viele Prioritäten der Open-Source-Communitys abdeckt“, kommentiert Jordan Maris, Leiter der EU-Politik bei der Open Source Initiative. Dazu zählt er unter anderem Maßnahmen zur Erleichterung der Ansiedlung von Open-Source-Projekten in Europa und zum Abbau von Hindernissen bei der öffentlichen Beschaffung von Open-Source-Software.

Verknüpfung mit digitalen Brieftaschen

Offene Alternativen zu proprietären Lösungen will die Kommission gezielt fördern und dazu mit den Mitgliedstaaten im Konsortium für eine europäische digitale Infrastruktur (EDIC) zusammenarbeiten. Besonders auffällig ist dabei die Verknüpfung mit den digitalen Brieftaschen der EU: der Eudi-Wallet und der European Business Wallet. Die Kommission plant Open Source also direkt in eigene Projekte einzubauen, anstatt nur einzelne Initiativen zu fördern.

Grundsätzlich erklärt die Kommission, selbst mehr Open Source nutzen zu wollen. Öffentliche Verwaltungen sollen zu „Ankerkunden“ werden und zum Open-Source-Ökosystem beitragen. Dafür wird die öffentliche Beschaffung entscheidend. Ausschreibungen sollen „Open-Source-freundlicher“ und die Wiederverwendung öffentlicher Software erleichtert werden. Bei der Gestaltung von Ausschreibungen sollen Behörden zudem beraten werden, Offenheit und Souveränität bei Entscheidungen über Investitionen als Faktoren berücksichtigt werden.

Nach Ansicht vieler Beobachter:innen entscheidet sich hier, ob die Strategie tatsächlich die gewünschten Effekte erzielen wird. Schon in einer Konsultation zu der Strategie im Januar hatten viele Akteure eine Priorität von Open Source in der Beschaffung gefordert, darunter das deutsche Unternehmen Nextcloud. Sein CEO, Frank Karlitschek, begrüßt den Ansatz der neuen Strategie: „Öffentliche Gelder sollten in der Tat für öffentlichen Code ausgegeben werden – Public Money, Public Code.“ Indem die EU als strategischer Kunde auftrete, könne sie dem privaten Sektor das Vertrauen für Investitionen geben.

Allerdings fehlten noch konkrete Ziele und Änderungen im Beschaffungswesen, kommentiert Karlitschek. Ohne diese seien die Pläne zur „Förderung“ und „Unterstützung“ von Open Source „nur gut gemeinte Ausgaben von Steuergeldern, die sofort durch die deutlich umfangreichere Beschaffung von US-amerikanischer proprietärer Technologie untergraben werden“.

Rechtliche Verbindlichkeit fehlt

Die Free Software Foundation Europe (FSFE) kommt zu einer ähnlichen Bewertung. Die ausdrückliche Anerkennung von „Public Money? Public Code!“ in der Strategie, neun Jahre nachdem die FSFE die Initiative ins Leben rief, könne „ein wichtiger Schritt vorwärts für die Softwarefreiheit in Europa“ sein, sagt Johannes Näder, Senior Policy Project Manager bei der FSFE. Jedoch müsste dieser Grundsatz zu einer verbindlichen Anforderung bei öffentlichen Ausschreibungen gemacht werden. „Würde auch nur die Hälfte der 264 Milliarden Euro an öffentlichen IT-Ausgaben in Europa von proprietären Lösungen auf freie Software umgeleitet, würde dies die europäische technologische Souveränität stärken“, meint Näder.

Peter Ganten, Geschäftsführer des deutschen Unternehmens Univention, sieht ebenfalls eine Schwachstelle in der fehlenden Verbindlichkeit. Nach jetzigem Stand würden Mitgliedstaaten nur dazu verpflichtet, Open Source zu „fördern“. Dabei gebe es Ausnahmen, die im Zweifel „fast jede Entscheidung“ nachträglich rechtfertigen könnten. Die zentrale Frage sei: „Wer muss eigentlich begründen, warum Abhängigkeit in Kauf genommen wird und wo ist diese Begründung nachvollziehbar, prüfbar und auditierbar?“ Bislang fehle dieser Durchsetzungsmechanismus.

Die Strategie ist rechtlich nicht bindend. Daher hängt ihr Erfolg „von der entschlossenen Umsetzung“ der EU-Kommission ab, sagt die grüne Europaabgeordnete Alexandra Geese. Die Empfehlungen für die öffentliche Beschaffung könnten allerdings im EU-Vergaberecht verpflichtend gemacht werden. Die Reform der Vergaberichtlinien („Public Procurement Act“) will die Kommission am 1. Juli präsentieren.

Und auch der „Cloud and AI Development Act“ (CADA), ein Gesetz, das die Kommission als Teil des Souveränitätspakets präsentiert hat, ist zentral. Hier wird das Prinzip „Open Source First“ bei der Beschaffung von Cloud und KI festgehalten. Allerdings müssen noch das EU-Parlament und der Rat ihre Position zu dem Gesetz erarbeiten und anschließend im Trilog verhandeln. Selbst ein nicht-bindender Grundsatz könnte also noch im Gesetzgebungsprozess abgewandelt werden.

Kommission will nur zwei Milliarden Euro „mobilisieren“

Neben neuen Beschaffungsregeln wurde in der Konsultation insbesondere eine bessere Finanzierung des Open-Source-Ökosystems gefordert. Der EU-Abgeordnete Matthias Ecke (SPD) erklärt: „Wichtig ist nun, dass auch konkrete Förderinstrumente folgen – denn Open-Source-Projekte sind chronisch unterfinanziert.“ Michiel Leenaars von der niederländischen NLnet Foundation hatte vor Kurzem im Interview mit netzpolitik.org darauf hingewiesen, dass es für 2027 noch kein Budget für das Förderprogramm „Open Internet Stack“ der Kommission gibt. Der mehrjährige EU-Haushalt befindet sich derzeit noch in der Verhandlung.

Für alle Maßnahmen der Strategie will die Brüsseler Behörde zwei Milliarden Euro über sieben Jahre „mobilisieren“. Das sei nur ein kleiner Bruchteil der 264 Milliarden Euro, die jährlich für proprietäre Software und Dienstleistungen ausgegeben werden, kommentiert die Free Software Foundation Europe. In einer Analyse für TechPolicyPress bewerten Vertreter:innen von OpenForum Europe die Summe als „unzureichend“. Zwei Milliarden Euro wären „ein guter Anfang“, schreiben die Autor:innen, aber für alle aufgeführten Maßnahmen zu wenig Geld. Sie ermutigen die Kommission daher, sich um zusätzliche Mittel zu bemühen.

Eine der Maßnahmen, für die schon länger Finanzierung gefordert wurde, ist ein Open-Source-Wartungsinstrument für kritische Infrastrukturen. Es soll sicherstellen, dass kritische Open-Source-Komponenten langfristig gepflegt werden. Diesen Schritt begrüßen viele Akteure ausdrücklich. Die Sovereign Tech Agency, eine GmbH im Auftrag des deutschen Bundesdigitalministeriums, kommentiert etwa: „Das Open-Source-Wartungsinstrument schließt eine strukturelle Lücke, die unsere Arbeit von Anfang an geprägt hat: Kritische Open-Source-Infrastruktur schafft öffentlichen Mehrwert, ist jedoch oft unterfinanziert und institutionell anfällig.“

Kommt ein europäischer Fonds?

Am 19. Juni sollen bei einem Treffen in Paris die ersten Aktivitäten des EDIC starten, informiert die CEO der Sovereign Tech Agency, Adriana Groh. Dort soll auch ein Pilotprojekt für einen Sovereign Tech Fund auf EU-Ebene zur Sprache kommen. In Brüssel wird erwogen, einen solchen europäischen Fonds nach deutschem Vorbild aufzubauen. In Deutschland hat die Sovereign Tech Agency den Fonds aufgebaut.

Ob aus der neuen Strategie tatsächlich ein Wendepunkt für Open Source in Europa wird, hängt von vielen Faktoren ab: der Reform des Vergaberechts, dem Willen der Mitgliedstaaten, der Positionierung des Parlaments. Klar ist jedoch, dass die Kommission viele Punkte aufgenommen hat, die die Open Source Community schon seit Jahren fordert. Und sie versteht Open Source nun als wichtigen Faktor für die digitale Souveränität.

Entgegen der üblichen Empfehlung von IT-Sicherheitsexperten und auch des Schweizer Bundesamts für Cybersicherheit hat der Bundeskonzern RUAG offenbar ein Lösegeld gezahlt, nachdem die Cybergang Akira bei dessen Tochterunternehmen Mecanex USA sensible Dokumente bei einem IT-Vorfall entwendet hat. Der Datendiebstahl erfolgte Anfang November 2025, der SRF ordnet den Einbruch der US-Tochter RUAG LLC zu.

Die Täter von Akira haben im Darknet angegeben, etwa 24 GByte an Daten kopiert zu haben. Die sollen Sozialversicherungsnummern, Ausweise, Führerscheine, Telefonnummern, Adressen und weitere Informationen von Angestellten enthalten. Zudem sollen geheime militärische Informationen sowie Verträge und Anleitungen zum Umgang mit Sprengstoffen darunter sein.

RUAG räumt Lösegeldzahlung ein

Der SRF berichtet, dass RUAG-Verwaltungsratspräsident Jürg Rötheli in der SRF-Samstagsrundschau die Lösegeldzahlung eingeräumt habe: „Wir haben bezahlt, einen kleinen Betrag, glücklicherweise, und haben alle Daten zurückerhalten“, sagte er in der Radiosendung. Lösegeldforderungen belaufen sich demnach auf niedrigere sechsstellige Beträge.

In der Schweiz empfehlen die Behörden ebenso wie in Deutschland nachdrücklich, in derartigen Fällen keine Lösegeldzahlungen zu leisten. Im Jahr 2022 haben auch IT-Sicherheitsexperten aus Bildung und Wirtschaft in einem offenen Brief sogar Maßnahmen gegen Lösegeldzahlungen von Opfern veröffentlicht, der viel Aufmerksamkeit erhielt.

Auch Rötheli war diese Empfehlung bewusst, er erklärte jedoch, die Lösegeldzahlung sei abgesprochen gewesen – mit unternehmensinternen Gremien. Eine Beratung mit US-Rechtsexperten sei erfolgt. Das Schweizer Verteidigungsministerium VBS (Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport) wollte das nicht kommentieren, sei im Vorfeld aber nicht informiert worden. Gegenüber dem SRF hat der SVP-Nationalrat und IT-Unternehmer Mauro Tuena eingeordnet, dass die Gruppe Akira nun wisse, dass der Schweizer Bund bereit sei, Lösegeld zu zahlen, was ein verheerendes Signal sei. Die RUAG entgegnete dem, dass die Entscheidung richtig gewesen sei, da sie alle Daten zurückerhalten habe und Schäden habe minimieren können.

Die kriminelle Vereinigung Akira nutzt eine eigene Ransomware und verschlüsselt offenbar nach wie vor die Daten ihrer Opfer – und beschränkt sich nicht wie viele andere Gruppen darauf, diese nur zu stehlen und für die Nicht-Veröffentlichung Lösegeld zu erpressen. Zuletzt fiel sie etwa Ende 2025 auf, als Angreifer die Akira-Ransomware auf SonicWall-Firewalls geschoben haben – trotz aktivierter Mehr-Faktor-Authentifizierung. Seitdem scheint die Bande es eher auf kleinere Unternehmen abgesehen zu haben und fällt nicht mehr so stark auf.

(dmk)