privacy · it-sicherheit · digitale freiheit · unabhängig keine werbung · keine affiliates · finanziert durch leser
← zurück
2026-04-13 · staatstrojanerpegasusüberwachungpolitik
WIE STAATSTROJANER FUNKTIONIEREN — UND WARUM SIE EIN PROBLEM FÜR ALLE SIND.
pegasus, finfisher, bundestrojaner — was staatliche schadsoftware ist, wie sie eingesetzt wird, und wen sie trifft.

im juli 2021 veröffentlichte ein konsortium aus 17 medienhäusern — darunter süddeutsche zeitung, die zeit, und der guardian — die ergebnisse einer gemeinsamen recherche. das projekt heißt pegasus project. die ergebnisse waren eindeutig.

pegasus, eine überwachungssoftware des israelischen unternehmens nso group, war auf den smartphones von journalisten, menschenrechtsaktivisten, anwälten, politikern und staatsoberhäuptern installiert worden. die software war von regierungen lizenziert worden — mit dem erklärten zweck der terrorismusbekämpfung.

die liste der betroffenen enthielt keine terroristen.

was pegasus ist

pegasus ist eine sogenannte advanced persistent threat — eine form von schadsoftware, die darauf ausgelegt ist, dauerhaft auf einem gerät zu bleiben, ohne entdeckt zu werden.

die fähigkeiten von pegasus, dokumentiert durch forensische analyse des citizen lab der universität toronto:

vollständiger zugriff auf alle nachrichten — whatsapp, signal, imessage, sms. verschlüsselung wird umgangen, weil die software auf dem gerät läuft, bevor nachrichten verschlüsselt werden. mikrofon-aktivierung ohne sichtbaren hinweis. kamera-aktivierung ohne hinweis. zugriff auf alle gespeicherten dateien, fotos, kalender, kontakte. echtzeit-standortverfolgung.

pegasus nutzte sogenannte zero-click exploits — sicherheitslücken, die keine interaktion des nutzers erfordern. kein link muss angeklickt werden. keine datei muss geöffnet werden. eine nachricht reicht aus, die das gerät nie anzeigt.

wen es trifft

die offizielle rechtfertigung für staatstrojaner ist konsistent: schwerkriminalität, terrorismus, organisierte kriminalität.

die dokumentierten fälle sind anders.

jamal khashoggi, saudi-arabischer journalist und us-resident, wurde im oktober 2018 im saudi-arabischen konsulat in istanbul ermordet. forensische analyse zeigt, dass pegasus auf den geräten seines umfelds installiert war — in den monaten vor seinem tod.

omar abdulaziz, ein freund khashoggis im exil in kanada, hatte pegasus auf seinem telefon. über dieses telefon wurden private gespräche mit khashoggi abgehört.

patrick zaki, ägyptischer student und menschenrechtsaktivist, wurde 2020 in kairo verhaftet. forensische hinweise deuten auf überwachung durch pegasus hin.

in europa: ungarn unter viktor orbán hat pegasus eingesetzt — gegen journalisten, anwälte und einen oppositionspolitiker. dokumentiert durch amnesty international und citizen lab.

was bundestrojaner sind

deutschland hat eine eigene staatstrojaner-infrastruktur. das bundeskriminalamt und der verfassungsschutz dürfen unter bestimmten voraussetzungen staatliche schadsoftware einsetzen — legal, durch gerichtsbeschluss autorisiert.

das problem ist nicht die existenz solcher werkzeuge. es ist die ausweitung ihrer anwendung.

2017 wurde bekannt, dass das bka eine eigene version des kommerziellen trojaners finfisher nutzte. finfisher, entwickelt von einer deutsch-britischen firma, wurde auch an diktaturen verkauft — darunter bahrain und äthiopien, wo es gegen dissidenten eingesetzt wurde.

die grenzen zwischen erlaubter inlandsüberwachung und dem was darüber hinausgeht, sind fließend. die kontrolle durch gerichte ist real, aber begrenzt: richter die über den einsatz entscheiden, haben oft nicht die technische expertise um die tatsächlichen fähigkeiten der software zu beurteilen.

das strukturelle problem

staatstrojaner funktionieren, indem sie sicherheitslücken ausnutzen. diese lücken existieren in software, die milliarden menschen nutzen.

wenn ein geheimdienst oder eine strafverfolgungsbehörde eine sicherheitslücke entdeckt oder kauft, hat sie eine entscheidung: die lücke dem hersteller melden, damit sie geschlossen wird — oder sie für überwachungszwecke nutzen und offenhalten.

die meisten geheimdienste entscheiden sich für die zweite option.

das bedeutet: die sicherheitslücken, die für staatstrojaner genutzt werden, bleiben offen. für jeden der sie findet. staatliche und kriminelle akteure, andere geheimdienste, erpresser.

staatstrojaner machen alle unsicherer — nicht nur die überwachten.

was das für normale nutzer bedeutet

die wahrscheinlichkeit, selbst von pegasus betroffen zu sein, ist gering. die software ist teuer und wird gezielt eingesetzt.

die wahrscheinlichkeit, von den sicherheitslücken betroffen zu sein, die für staatstrojaner offengehalten werden, ist erheblich.

regelmäßige software-updates schließen bekannte lücken. das ist die wichtigste einzelmaßnahme. geräte die keine updates mehr erhalten — weil der hersteller den support eingestellt hat — sind dauerhaft verwundbar.

was darüber hinausgeht — grapheneos, minimalinstallation, strikte app-hygiene — reduziert die angriffsfläche weiter. vollständige immunität existiert nicht. das ist keine schwäche einzelner produkte. es ist die grundbedingung jeder software, die auf komplexer hardware läuft.

die ehrliche einschätzung: staatstrojaner sind ein problem, das nicht durch individuelle maßnahmen gelöst wird. es ist ein politisches problem — wer darf überwachen, mit welcher kontrolle, mit welchen konsequenzen bei missbrauch.

die technische seite informiert die politische debatte. wer versteht wie staatstrojaner funktionieren, kann die politischen argumente besser beurteilen. das ist ein grund warum diese dinge öffentlich diskutiert werden sollten.