Carlos Gandini hat wieder Fuß gefasst. Wenn er den Tritt jemals verloren hat. Während der Staatstrojaner-Hersteller FinFisher, bei dem Gandini einst Geschäftsführer war, seinem unrühmlichen Ende entgegenschlitterte, setzte der Unternehmer eine weitere Firma in die Welt: den im bayerischen Pullach angesiedelten IT-Dienstleister AdSum.

Im Sommer 2020 gegründet, will AdSum laut Eigenbeschreibung die „besten Technologiepartnerschaften im Bereich Cybersicherheit“ schaffen. Dabei gehe es darum, Institutionen und erstklassige Anbieter zusammenzubringen. „AdSum unterstützt Sie dabei, Ihre Länder vor organisierter Kriminalität zu schützen“, lockt das Unternehmen potenzielle Kund:innen. Geschäftsführer der Firma ist erneut Gandini, er verspricht auch unter schwierigen Umständen operative Erfolge: „Wo ein Wille ist, ist ein Weg“.

Wie das portugiesische Wochenmagazin Expresso berichtet (€), dreht sich das Berufsleben des Unternehmers offenbar weiterhin um digitale Spionagewerkzeuge. Diesmal ist es der Staatstrojaner Predator, den Gandini an den angolanischen Geheimdienst SINSE verkauft haben soll. Expresso beruft sich dabei auf ein Dokument, das bei einer Datenpanne des Herstellerkonsortiums von Predator, Intellexa, abgeflossen ist.

Konkurrent der NSO Group

Intellexa ist ähnlich berüchtigt wie die NSO Group, deren Staatstrojaner Pegasus vor einigen Jahren für weltweite Furore sorgte. Mit den von ihnen angebotenen digitalen Überwachungs-Tools lassen sich von Nutzer:innen unbemerkt Geräte übernehmen und beliebige, selbst verschlüsselte Inhalte auslesen. Predator zielt vor allem auf iOS- und Android-Geräte, in der Regel gelingt der Angriff über sogenannte Zero-Day-Sicherheitslücken.

Das schwer überschaubare Intellexa-Konglomerat hat Ableger in zahlreichen Ländern. Hinzu kommen Tochterfirmen wie das nordmazedonische „Cytrox AD“, welches Predator herstellt. Laut der Nachrichtenseite Balkaninsight fungiert Ivo Malinkovski als CEO, als inzwischen alleiniger Besitzer ist der israelische Militärveteran Meir Shamir ausgewiesen. Über all dem steht der Intellexa-Gründer Tal Dilian, ebenfalls israelischer Ex-Militär.

Digitale Spuren von Predator fanden sich etwa auf dem Telefon des ägyptischen Oppositionspolitikers Ahmed Eltantawy, zudem ließen sich Angriffsversuche auf Geräte US-amerikanischer Politiker:innen und Journalist:innen nachweisen. Im Frühjahr 2024 belegte die damalige US-Regierung Teile des Intellexa-Konglomerats sowie mehrere damit verbundene Einzelpersonen mit Sanktionen, darunter auch Tal Dilian.

Die zunehmende Verbreitung kommerzieller Spyware stelle ein deutliches und wachsendes Sicherheitsrisiko für die Vereinigten Staaten dar, begründete die Biden-Regierung vor zwei Jahren ihren Schritt. Predator sei von ausländischen Akteuren missbraucht worden, um „Menschenrechtsverletzungen zu ermöglichen und Dissidenten weltweit zur Unterdrückung und Vergeltung ins Visier zu nehmen“. Drei der namentlich sanktionierten Personen hat die Trump-Administration im Januar indes wieder von der Liste genommen.

„Predatorgate“ in Europa

Tal Dilian zählte nicht dazu. Der musste sich zudem in Griechenland einem Prozess stellen. Dort fanden sich Hinweise darauf, dass der griechische Geheimdienst EYP Smartphones von Oppositionspolitiker:innen und regierungskritischer Journalist:innen mit Predator infiziert und überwacht hatte.

Zwar hatte der Oberste Gerichtshof in Griechenland den geheimdienstlichen Abhör-Skandal juristisch zunächst für beendet erklärt. In einem anderen Verfahren wurden jedoch kürzlich vier Angeklagte, darunter Intellexa-Chef Dilian, wegen illegaler Überwachung zu Haftstrafen verurteilt. Das Urteil ist noch nicht rechtskräftig.

Predator-Spuren führen auch nach Deutschland. Eine gemeinsame investigative Recherche mehrerer Medienhäuser und NGOs enthüllte im Herbst 2023, dass die Spähsoftware an 25 Länder verkauft wurde, darunter Regierungen in Sudan, Angola und Vietnam. Zu den europäischen Kunden sollen Deutschland, Österreich und die Schweiz zählen.

In Deutschland soll die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) bereits seit 2019 Kunde sein – was die deutsche Regierung so nicht öffentlich einräumen will. Offiziell hat sie bislang nur bestätigt, dass die Behörde mit den Überwachungsfirmen in Kontakt steht, um „im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten“, wie aus einer Antwort auf eine parlamentarische Anfrage aus dem Jahr 2023 hervorgeht.

Vorwurf illegaler Exporte

Womöglich war die Marktsichtung auch deswegen notwendig geworden, weil mit FinFisher ein weiterer Staatstrojaner-Anbieter weggebrochen ist. Dem Münchener Unternehmen, das unter anderem das BKA beliefert haben soll, wurde vorgeworfen, seine Spionage-Werkzeuge illegal exportiert zu haben. Gemeinsam mit der Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen und dem Europäischen Zentrum für Verfassungs- und Menschenrechte reichte netzpolitik.org im Jahr 2019 deshalb Strafanzeige ein.

FinFisher bestritt die Vorwürfe, musste aber nach Hausdurchsuchungen schließlich Anfang 2022 Insolvenz anmelden. Ein Jahr später folgte eine Anklage der Staatsanwaltschaft München gegen vier nicht namentlich genannte ehemalige Geschäftsführer des Firmengeflechts.

Geschadet hat all dies, so scheint es, dem FinFisher-Manager Carlos Gandini bislang kaum. Der Expresso-Recherche zufolge soll er für die Vertretung von Intellexa im angolanischen Geschäft verantwortlich gewesen sein, was ein auf den April 2021 datiertes Dokument belege. Eine Presseanfrage von netzpolitik.org an Gandinis AdSum-Kontaktadresse blieb unbeantwortet.

Erneut Journalist ausgespäht

Ohne Folgen blieb der Erwerb einer Nutzungslizenz für die Spähsoftware in Angola offenbar nicht: Im Februar konnte eine gemeinsame Untersuchung von Reporter ohne Grenzen und Amnesty International nachweisen, dass der prominente Journalist Teixeira Cândido mit Predator gehackt und überwacht wurde.

Der Einsatz invasiver Spähsoftware gegen Journalist:innen sei „hochproblematisch“, sagt Maximilian Jung, Advocacy-Referent bei Reporter ohne Grenzen. Dabei würden nicht nur einzelne Recherchen gefährdet, sondern die Vertraulichkeit von Quellen und damit ein zentrales Fundament der Pressefreiheit untergraben, so Jung.

„Sollten sich die Hinweise bestätigen, dass erneut Akteure aus dem Umfeld von erwiesenermaßen illegal operierenden Unternehmen an der Vermittlung dieser Technologien beteiligt sind, ist das ein alarmierendes Beispiel für anhaltende Straflosigkeit in diesem Sektor“, sagt Jung. „Reporter ohne Grenzen fordert, den Export und die Vermittlung solcher Überwachungstechnologien zu verbieten, klare Transparenzpflichten einzuführen und Verstöße konsequent zu sanktionieren.“

Das EU-Parlament hat mit breiter Mehrheit eine Vorlage der EU-Kommission für die Verlängerung der freiwilligen Chatkontrolle abgelehnt. Die konservative EVP-Fraktion hatte in einem ungewöhnlichen parlamentarischen Verfahren eine erneute Abstimmung über das Thema erzwungen – und ist damit nun gescheitert.

Das ganze Verfahren war umstritten. Die Konservativen im Europa-Parlament hatten nach einem grundrechtsfreundlichen Abstimmungsergebnis eine neuerliche Abstimmung angesetzt und dabei die Regeln des Europaparlaments aufs Äußerste ausgereizt. Zuvor hatte das Parlament am 11. März eine Abkehr von der anlasslosen Massenüberwachung bei der Chatkontrolle 1.0 beschlossen und Maßnahmen nur noch auf Verdacht erlaubt. Daraufhin hatte der Rat der EU die Trilog-Verhandlungen zum Thema sehenden Augen scheitern lassen, wie eingestufte Protokolle, die netzpolitik.org veröffentlicht hat, belegen.

In der heutigen Abstimmung wurden die Änderungsanträge 29 (Ratsposition, eingereicht durch EVP), 34 (Beschränkung auf bekanntes Material) und 36 (Schutz von Ende-zu-Ende-Verschlüsselung) vom Parlament angenommen, der Vorschlag der EU-Kommission scheiterte jedoch deutlich.

Da eine erneute Abstimmung ein sehr seltenes Phänomen ist, ist nun unklar, ob es in dieser Sache zu erneuten Trilog-Verhandlungen zwischen Parlament, Rat und Kommission kommt. Sicher ist in jedem Fall, dass die erste Lesung damit abgeschlossen ist und die freiwillige Chatkontrolle 1.0 Anfang April ausläuft, weil sie ohne gesetzliche Grundlage nicht weitergeführt werden kann.

„Druck, Schmutz und Fake-Behauptungen“

Vor der Abstimmung hatte sich die verantwortliche sozialdemokratische Abgeordnete Birgit Sippel mit deutlichen Worten an das Parlament gewendet. Das Parlament habe vor zwei Wochen mit breiter Mehrheit eine Position abgestimmt, die Verantwortung für Kinder und Grundrechte gleichermaßen annehme.

Mit dieser Position sei das Parlament in die Trilog-Verhandlungen gegangen, wo der Rat sich einer Auseinandersetzung entzogen habe, ja „nicht am Verhandlungstisch angekommen“ sei. Sie kritisierte auch, wie im Vorfeld der Neu-Abstimmung Druck aufgebaut und mit Schmutz und Fake-Behauptungen“ geworfen worden sei.

Im Vorfeld der heutigen Abstimmung hatte sich sogar Bundeskanzler Merz im Bundestag für eine anlasslose Chatkontrolle stark gemacht, der EU-Justizkommissar mahnte in einem Schreiben an die EU-Abgeordneten, das Politico zuerst im Original veröffentlichte, für anlasslose Überwachung zu stimmen.

In einer Pressemitteilung kurz vor der Abstimmung hatte die EVP die Sozialdemokratische Fraktion aufgefordert, für ihren Vorschlag zu stimmen, weil sonst die EU angeblich ihre Fähigkeit zur wirksamen Bekämpfung von Kindesmissbrauch im Internet verlieren würde.

Grüne kritisieren Verfahrenstricks

Markéta Gregorová, die Schattenberichterstatterin der Fraktion der Grünen/EFA kommentierte in einer Pressemitteilung die Neu-Abstimmung kritisch, sie schade der Glaubwürdigkeit des Parlaments. „Die EVP nutzt Verfahrenstricks, um einen Standpunkt wieder aufzugreifen, auf den sich das Parlament bereits geeinigt hatte.“ Nachdem die Gespräche mit dem Rat gescheitert waren, hätte das Dossier von der Tagesordnung gestrichen werden müssen, so Gregorová weiter. Dieser Antrag war aber abgelehnt worden.

„Stattdessen haben die Konservativen es in seiner ursprünglichen Form wieder auf die Tagesordnung gesetzt, um die Änderungsanträge des Parlaments zu umgehen und die wahllose Massenüberwachung im Spiel zu halten.“ Gregorová sieht den Vorgang als „gefährliches Signal“, dass demokratische Entscheidungen rückgängig gemacht werden können, wenn Regierungen einfach lange genug warten.

Vorbote für die permanente Chatkontrolle?

Die Chatkontrolle 1.0 ist eine Übergangsregelung, die seit 2021 in Kraft ist und Anfang April ausläuft. Sie regelt, dass Plattformen und Internet-Anbieter auf freiwilliger Basis entgegen der EU-Privacy-Richtlinie Inhalte und Kommunikation nach Bildern von sogenanntem Kindesmissbrauch (CSAM) scannen dürfen.

Ungleich wichtiger ist die CSA-Verordnung, welche auch die verpflichtende Chatkontrolle 2.0 enthalten könnte, über die seit vier Jahren gestritten wird. Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlicht haben, wurde deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit für eine permanente Regelung (Chatkontrolle 2.0) sehen.

Knackpunkt bei der CSA-Verordnung ist die verpflichtende Chatkontrolle. Der EU-Kommission möchte, dass dabei auch verschlüsselte Kommunikationen durchleuchtet werden. Das Parlament hat dies bisher abgelehnt und Maßnahmen nur auf Verdacht gefordert. Auch im EU-Rat hat die anlasslose Chatkontrolle bislang keine qualifizierte Mehrheit gefunden. Die drei Institutionen sind derzeit im Trilog und verhandeln über die Verordnung.

Für die Chatkontrolle nach Wunsch der EU-Kommission wäre Technologie namens Client-Side-Scanning nötig, welche vor der Verschlüsselung Inhalte auf dem Handy oder Computer scannt. Wäre diese Technologie einmal eingeführt, ist verschlüsselte Kommunikation wertlos, weil die Inhalte schon vor dieser angeschaut werden könnten. Es wäre das Ende der privaten und vertraulichen Kommunikation. Wir haben zusammengestellt, warum dies für uns alle gefährlich ist.

„Gier nach anlassloser Massenüberwachung war zu groß“

Konstantin Macher vom Verein Digitale Gesellschaft kommentiert die Abstimmung gegenüber netzpolitik.org: „Rat und Konservative haben mit ihren politischen Tricksereien das Scheitern der Verhandlungen zu verantworten. Damit haben sie unabsichtlich die Chatkontrolle-Massenüberwachung beendet. Zielgerichtete Maßnahmen wären möglich gewesen – aber ihre Gier nach anlassloser Massenüberwachung war zu groß.“

Das Ergebnis sei „eine Klatsche“ für die Europäische Kommission. Diese habe die Abgeordneten von Anfang an nicht ernst genommen und ihre gesetzlichen Pflichten zur Evaluation der Ausnahmeregelung nicht erfüllt.

„Mitgliedstaaten zeigten keinerlei Flexibilität“

Die Konservativen (EVP) werfen in einer Pressemitteilung nun den Sozialdemokraten vor, sie seien schuld daran, dass Kinder nun ungeschützt seien. Die Sozialdemokratin Birgit Sippel hingegen schreibt in einer Pressemitteilung, dass die Verhandlungen zwischen den Institutionen zuletzt „aufgrund der mangelnden Flexibilität der Mitgliedstaaten“ gescheitert seien. Das Parlament lasse sich nicht vom Co-Gesetzgeber zum Ja-Sager degradieren. Die Konservativen seien in ihrer Rolle als fügiger Erfüllungsgehilfe des Rates gescheitert.

Für eine vertrauensvolle Zusammenarbeit seien Kompromisse nötig, so Sippel: „Wir waren dazu bereit, die Verhandler von Seiten der Mitgliedstaaten zeigten jedoch keinerlei Flexibilität. Sie sind es, die die Gespräche ohne Ergebnis beendet haben und nun in Kauf nehmen, dass die Interim-Verordnung nicht verlängert wird.“

Aufgrund von mehreren Softwareschwachstellen können Angreifer TP-Link-Router der Archer-Serie komplett kompromittieren. Alle mittlerweile geschlossenen Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft.

Bislang gibt es keine Hinweise auf laufende Attacken. Der Hersteller rät Besitzern, die verfügbaren Sicherheitspatches zeitnah zu installieren.

Konkret sind die Modelle Archer NX200, NX210, NX500 und NX600 bedroht. In einer Warnmeldung versichern die Entwickler, die Lücken in den Firmwares 1.3.0 Build 260311, 1.3.0 Build 260309, 1.4.0 Build 260311, 1.5.0 Build 260309 und 1.8.0 Build 260311 geschlossen zu haben. Alle vorigen Ausgaben sind den Entwicklern zufolge verwundbar.

Die Gefahren

Am gefährlichsten gilt eine Authentifizierungs-Schwachstelle im HTTP-Server (CVE-2025-15517). An dieser Stelle können Angreifer ohne Anmeldung auf Geräte zugreifen und im schlimmsten Fall eine mit Schadcode präparierte Firmware hochladen und installieren.

Für die Ausnutzung zwei weiterer Schwachstellen (CVE-2026-15518, CVE-2026-15519) benötigen Angreifer Adminrechte. Ist das gegeben, können sie eigene Befehle auf Ebene des Betriebssystems ausführen.

Aufgrund eines hart codierten kryptografischen Schlüssels im Kontext der Gerätekonfiguration können Angreifer Einstellungen verbiegen (CVE-2025-15605).

(des)