Banner E-Learning IT-Sicherheit
Free

Pegasus-Angriff trifft Ermittler im EU-Parlament : Der Fall Kouloglou zeigt, wie kommerzielle Spyware demokratische Kontrolle unterläuft

Ausgerechnet ein Mitglied des EU-Ausschusses zur Untersuchung von Spyware-Missbrauch wurde selbst mit Pegasus angegriffen. Die Analyse von Citizen Lab legt nahe, dass vertrauliche Unterlagen, Ausschussberatungen und politische Kontakte ausgespäht worden sein könnten.

Bild: KI-generiert

Der Fall ist politisch brisant und technisch alarmierend zugleich: Der frühere Europaabgeordnete Stelios Kouloglou wurde während seiner Arbeit im Untersuchungsausschuss des Europäischen Parlaments zum Einsatz von Pegasus und vergleichbarer Überwachungssoftware mehrfach mit Pegasus kompromittiert. Das geht aus einer forensischen Analyse von Citizen Lab hervor. Der Ausschuss sollte eigentlich klären, wie kommerzielle Spähwerkzeuge in der Europäischen Union (EU) eingesetzt und missbraucht werden. Nun zeigt sich: Selbst Personen, die genau diesen Missbrauch untersuchen, können Ziel solcher Operationen werden.

Angriff auf den PEGA-Ausschuss

Kouloglou war vom 24. März 2022 bis zum 18. Juli 2023 Mitglied des „Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware“, kurz PEGA-Ausschuss. Das Gremium war am 10. März 2022 eingerichtet worden, um mutmaßliche Verstöße gegen EU-Recht durch den Einsatz kommerzieller Spyware zu untersuchen. Im Mittelpunkt standen Fragen nach Grundrechten, Rechtsstaatlichkeit und dem Einsatz solcher Werkzeuge durch Mitgliedstaaten oder Drittstaaten.

Laut Citizen Lab wurde Kouloglous iPhone am oder um den 21. Oktober 2022 sowie erneut am 6. und 7. März 2023 mit Pegasus infiziert. Die Analyse basiert auf Artefakten, die im Mai 2026 von dem Gerät gesichert wurden. Die Autoren John Scott-Railton, Bill Marczak, Bahr Abdul Razzak, Kate Pundyk, Siena Anstis und Ron Deibert schreiben: „Durch die forensische Analyse seines Geräts fanden wir heraus, dass die Angreifer Zugriff auf vertrauliche Dokumente und Ausschussberatungen gehabt haben könnten.“

Eine Zuordnung zu einer konkreten Regierung liegt bislang nicht vor. Citizen Lab betont ausdrücklich, dass es keine Belege für eine Verantwortung der griechischen Regierung gebe. Zugleich fanden die Analysten Überschneidungen mit einer früheren Kampagne gegen russisch- und belarussischsprachige Exiljournalisten und Aktivisten in Europa. Das deutet auf einen Pegasus-Kunden hin, der in mehreren europäischen Ländern operieren konnte.

Zero-Click über Apples Smart-Home-Software

Technisch besonders relevant ist der vermutete Angriffsweg. Am 21. Oktober 2022 wurde laut Analyse eine HomeKit-E-Mail-Adresse abgefragt: rauharepo888[@]gmail.com. Zwei Minuten später nutzte ein Pegasus-Prozess mobile Daten. Citizen Lab geht davon aus, dass ein Zero-Click-Exploit in Apples Smart-Home-Software zum Einsatz kam. Der Exploit trägt den Codenamen PWNYOURHOME und erforderte keine aktive Handlung des Opfers. Apple schloss die Schwachstelle später mit iOS 16.3.1.

Kouloglous Gerät lief zum Zeitpunkt beider Infektionsphasen noch mit iOS 15.5. Auch die Pegasus-Aktivität im März 2023 soll denselben Exploit genutzt haben. Zusätzlich erhielt Kouloglou drei Warnmeldungen von Apple über Angriffe mit sogenannter mercenary spyware: am 2. März 2023, am 29. August 2023 und am 10. April 2024.

Die Zeitpunkte verschärfen die politische Dimension. Beim ersten Angriff lag Kouloglou für einen geplanten Eingriff im Krankenhaus. Dort besuchte ihn der griechische Investigativjournalist Thanasis Koukakis, dessen eigenes Telefon zuvor mit Predator-Spyware von Intellexa kompromittiert worden war. Koukakis hatte einen Monat zuvor vor dem PEGA-Ausschuss ausgesagt. Die zweite Infektion im März 2023 fiel in die Phase intensiver Beratungen über den Abschlussbericht des Ausschusses – zwei Monate vor dessen Annahme.

Infrastruktur weist auf europäischen Operator hin

Die Verbindung zu früheren Pegasus-Angriffen ergibt sich aus derselben HomeKit-E-Mail-Adresse. Nach Einschätzung von Citizen Lab sind solche E-Mail-Adressen in der Pegasus-Infrastruktur bestimmten Betreibern zugeordnet. „Nach unserem Verständnis der Pegasus-Infektionsinfrastruktur in diesem Zeitraum sind diese E-Mails spezifischen Operatoren eindeutig zuordenbar“, heißt es in dem Bericht. Ob auch die zweite Infektion 2023 zu demselben Betreiber gehört, lässt sich nicht sicher sagen.

Aus der Lizenzstruktur der NSO Group leitet Citizen Lab jedoch eine weitere Schlussfolgerung ab: Wenn derselbe Betreiber Ziele in mehreren EU-Staaten infizieren konnte, dürfte der verantwortliche Kunde über eine Lizenz mit Reichweite in mehreren europäischen Rechtsräumen verfügt haben. Damit verengt sich der Kreis möglicher Pegasus-Nutzer, auch ohne öffentliche Attribution.

Kommerzielle Überwachung als Systemrisiko

Der Fall Kouloglou reiht sich in eine Serie von Enthüllungen ein, die den Missbrauch kommerzieller Überwachungstechnologie weit über klassische Strafverfolgung hinaus sichtbar machen. Pegasus wird offiziell zur Bekämpfung schwerer Kriminalität wie Terrorismus oder Kindesmissbrauch vermarktet. Tatsächlich geraten immer wieder Journalisten, Oppositionspolitiker, Dissidenten, Anwälte und Regierungskritiker ins Visier.

Nur wenige Tage zuvor hatte Citizen Lab berichtet, dass russische Behörden forensische Werkzeuge von Cellebrite nutzten, um im Juni 2021 das iPhone des inhaftierten Oppositionellen Andrey Pivovarov auszulesen. Dies geschah drei Monate, nachdem Cellebrite angekündigt hatte, keine Werkzeuge und Dienste mehr für Russland und Belarus anzubieten. Die Behörden suchten demnach gezielt nach Organisationen, Kontakten und Oppositionellen wie Mikhail Khodorkovsky, Anastasiya Burakova und Tatiana Usmanova. Einige dieser Personen wurden später Ziel einer Phishing-Kampagne der russischen Gruppe COLDRIVER.

Zusätzlich dokumentierte Citizen Lab im April zwei langfristige Überwachungskampagnen, die Schwächen in globalen Telekommunikationsnetzen ausnutzten. Eine Kampagne missbrauchte versteckte SMS-Kommandos, um Geräte in verdeckte Ortungssender zu verwandeln. Eine zweite nutzte Schwächen in Signaling System No. 7 (SS7) und Diameter, um Standorte ohne Gerätezugriff zu verfolgen. Betroffen waren unter anderem 019Mobile, Airtel Jersey und Tango Networks U.K. als Einfalls- und Transitpunkte im Telekommunikationsökosystem.

Kontrolleure werden selbst zum Ziel

Der Pegasus-Angriff auf ein PEGA-Mitglied macht deutlich, dass kommerzielle Spyware nicht nur ein Datenschutz- oder IT-Sicherheitsproblem ist. Sie berührt die Arbeitsfähigkeit parlamentarischer Kontrolle, den Schutz vertraulicher Beratungen und die Integrität demokratischer Verfahren. Wenn Ausschussunterlagen, Zeugenbezüge oder politische Strategien auf kompromittierten Geräten mitgelesen werden können, entsteht ein asymmetrischer Informationsvorteil für den Angreifer.

Für Parlamente, Behörden und zivilgesellschaftliche Organisationen folgt daraus ein hoher Schutzbedarf: aktuelle Betriebssysteme, schnelle Installation sicherheitsrelevanter Updates, mobile Geräteforensik bei Warnmeldungen, getrennte Kommunikationskanäle für sensible Ausschussarbeit und klare Reaktionsprozesse bei Hinweisen auf Spyware. Der Fall Kouloglou zeigt, dass technische Kompromittierung längst zu einem politischen Instrument geworden ist – und dass demokratische Kontrolle ohne eigene digitale Resilienz verwundbar bleibt.

FAQ: Pegasus-Angriff auf Stelios Kouloglou

Was ist Pegasus?
Pegasus ist eine kommerzielle Spähsoftware der NSO Group. Sie kann Smartphones unbemerkt kompromittieren und Zugriff auf Nachrichten, Dateien, Mikrofon, Kamera und Standortdaten ermöglichen.

Wer ist Stelios Kouloglou?
Stelios Kouloglou ist ein früherer Europaabgeordneter. Er war Mitglied des PEGA-Ausschusses, der den Einsatz von Pegasus und vergleichbarer Spyware in der Europäischen Union untersuchte.

Was ist ein Zero-Click-Exploit?
Ein Zero-Click-Exploit ist ein Angriff, bei dem das Opfer keinen Link anklicken und keine Datei öffnen muss. Die Kompromittierung erfolgt ohne aktive Handlung.

Warum ist der Angriff politisch relevant?
Der Angriff traf eine Person, die selbst den Missbrauch kommerzieller Spyware untersuchte. Dadurch könnten vertrauliche Ausschussunterlagen, Beratungen und politische Strategien offengelegt worden sein.

Wie können Parlamente und Behörden sich schützen?
Wichtige Maßnahmen sind schnelle Sicherheitsupdates, mobile Geräteforensik nach Warnmeldungen, getrennte Kommunikationskanäle für sensible Arbeit und klare Reaktionsprozesse bei Spyware-Verdacht.