Einleitung
Ein aufsehenerregender Vorfall hat die Debatte über staatliche Überwachung erneut entfacht: Der griechische Journalist und ehemalige Politiker Stelios Kouloglou, Mitglied des EU‑Parlaments‑Ausschusses PEGA, wurde 2022 und 2023 mit der berüchtigten Pegasus‑Spyware infiltriert. Während er gerade die Missbrauchsfälle des gleichen Werkzeugs untersuchte, wurde sein eigenes Smartphone zum Ziel einer hochentwickelten Angriffskampagne.
Hintergrund des Ermittlungsausschusses
Der PEGA‑Ausschuss wurde eingesetzt, um systematische Angriffe auf Politiker, Journalisten und Kritiker in Europa zu beleuchten. Die Arbeit des Gremiums sollte Aufschluss darüber geben, wie Regierungen das Tool nutzen – angeblich zur Bekämpfung schwerer Kriminalität – und dabei zugleich Grundrechte verletzen. Kouloglou spielte dabei eine zentrale Rolle, indem er Beweise sammelte und Berichtsentwürfe für Länder wie Zypern, Ungarn oder Polen vorbereitete.
Die Enthüllung durch das Citizen Lab
Forscher der University of Toronto’s Digital‑Rights‑Einheit, dem Citizen Lab, bestätigten, dass Kouloglou mindestens dreimal gehackt wurde. Der erste Angriff erfolgte im Oktober 2022, ein zweiter und dritter im März 2023, jeweils mittels einer sogenannten „Zero‑Click“-Lücke im iPhone‑Betriebssystem. Dabei nutzte die Angreiferin dieselbe E‑Mail‑Adresse, die bereits in früheren Kampagnen gegen europäische Journalisten identifiziert worden war – ein Hinweis darauf, dass der Kunde über eine offizielle Lizenz von NSO Group verfügte.
Technische Details des Angriffs
Die genutzte Schwachstelle betraf Apples Smart‑Home‑Software, die in iPhones integriert ist. Obwohl Apple den Fehler bereits gepatcht hatte, blieb das Update auf Kouloglou‑Gerät aus, sodass die Spyware unbemerkt Daten wie Textnachrichten, Standortinformationen und Fotos auslesen konnte. Der Angriff war „zero‑click“, das heißt, kein Klick oder Interaktion seitens des Opfers war nötig – die Malware drang allein durch das fehlerhafte Systemmodul ein.
Politische und ethische Implikationen
Der Vorfall wird von Experten als direkter Angriff auf den Rechtsstaat bezeichnet. Ein EU‑Abgeordneter bezeichnete das Eindringen in das Gerät eines Untersuchungsmitglieds als „reckless“ und forderte die Europäische Kommission zu strengeren Beschränkungen für den Einsatz von Spyware auf. Das Timing – kurz vor der Veröffentlichung des PEGA‑Berichts – lässt vermuten, dass die Angreifer das Vorgehen des Ausschusses beobachten und möglicherweise beeinflussen wollten.
Reaktionen und fehlende Stellungnahmen
Weder die Europäische Kommission noch NSO Group reagierten auf Anfragen von TechCrunch. Das Fehlen einer offiziellen Rückmeldung wirft weitere Fragen nach Verantwortlichkeit und Transparenz auf. Gleichzeitig betont das Citizen Lab, dass das wiederholte Verwenden derselben E‑Mail‑Adresse ein starkes Indiz dafür sei, dass ein staatlicher Akteur, der über eine Lizenz von NSO verfügte, die Angriffe koordinierte.
Fazit und Ausblick
Der Hack von Kouloglou demonstriert eindringlich, wie leicht selbst Ermittler in Sicherheitsfragen Opfer von Überwachungstechnologien werden können. Während das PEGA‑Ausschuss‑Team weiterhin an einem umfassenden Bericht arbeitet, bleibt abzuwarten, welche legislativen Konsequenzen sich aus diesem Vorfall ergeben und ob EU‑Staaten künftig strengere Kontrollen für den Einsatz von Pegasus und ähnlichen Tools einführen.