Handy vor Logo der NSO Group
APA/AFP/Jack Guez
Spyware Pegasus

Österreich-Konnex in EU-Bericht

Der Einsatz der umstrittenen Spionagesoftware Pegasus ist in der Europäischen Union (EU) offenbar weit verbreitet. „Regierungen der EU-Mitgliedsstaaten haben Spyware gegen ihre Bürger zu politischen Zwecken eingesetzt“, hieß es am Dienstag aus dem EU-Parlament. Entsprechende Hinweise gebe es für Polen, Ungarn, Griechenland, Zypern und Spanien. Zu Österreich gebe es Verbindungen.

Am Dienstag wurde in Brüssel der Berichtsentwurf des Untersuchungsausschusses (PEGA) des Europaparlaments veröffentlicht. Darin heißt es konkret zu Österreich, dass der frühere Innenminister und jetzige Bundeskanzler Karl Nehammer (ÖVP) auf Fragen des Nationalrates schriftlich geantwortet habe, dass Österreich kein Kunde des israelischen Technologieunternehmen NSO sei, das die Spionagesoftware Pegasus herstellt.

„Aber der frühere Kanzler Sebastian Kurz (ÖVP, Anm.) hat enge Verbindungen zum Gründer der NSO-Gruppe, und DSIRF (Decision Supporting Information Research and Forensic, Anm.), ein großer Spyware-Provider, ist in Österreich ansässig“, hält der Berichtsentwurf weiter fest. DSIRF und hochrangige Mitglieder des Unternehmens verfügten zudem laut dem Entwurf über enge Beziehungen zu Russland und zum Kreml.

Kurz: „Ausschließlich Sicherheitslösungen“

Am Mittwoch betonte Kurz gegenüber dem Ö1-Mittagsjournal, er habe „ein Unternehmen gegründet, dass Cybersicherheit für kritische Infrastruktur anbietet, um zum Beispiel Spitäler, Wasser- und Energieversorgung zu schützen“. Das halte er für „extrem wesentlich in einer Zeit, in der Cyberangriffe mehr und mehr werden“, so der Ex-Kanzler.

Sein Geschäftspartner Shalev Hulio habe die NSO mittlerweile verlassen, so Kurz. Das von ihm gegründete Unternehmen biete jedenfalls „ausschließlich Cybersicherheitslösungen an“ und er begrüße es sehr, „wenn Menschen, die Erfahrungen im Offensebereich gesammelt haben, diese Erfahrungen nun zum Schutz kritischer Infrastruktur einsetzen“.

Staatsschutz sah keinen Nachweis von Spyware

Nachdem Sicherheitsfachleute von Microsoft dem Unternehmen DSIRF vorgeworfen hatten, hinter einer Reihe von digitalen Einbrüchen in Banken, Anwaltskanzleien und strategischen Beratungsunternehmen in mindestens drei Ländern zu stecken, prüfte der österreichische Staatsschutz die Vorwürfe, ohne einen Nachweis über den Einsatz der Spyware – mehr dazu in wien.ORF.at.

DSIRF entwickelte die Spyware mit dem Namen „Subzero“, die Zero-Day-Exploits nutzt, um auf vertrauliche Informationen wie Passwörter oder Anmeldedaten zuzugreifen, erklärte Microsoft im Juli. Laut einem „Presse“-Artikel von Oktober dieses Jahres schlug das Unternehmen medial auch wegen seiner Verbindung zum deutschen Zahlungsdienstleister Wirecard auf. DSIRF habe dementiert, mit Wirecard oder Russland zusammenzuarbeiten.

Im Oktober hatte Ex-Kanzler Kurz mitgeteilt, mit dem früheren Chef der NSO-Gruppe, Schalev Hulio, eine Firma für Cybersicherheit namens Dream Security gegründet zu haben. Der Ausschuss des EU-Parlaments hielt in seinem Berichtsentwurf fest, dass Hulio zwar als CEO der NSO-Gruppe zurückgetreten ist, aber Dream Security mit der NSO-Gruppe über verschiedene Personen eng verbunden sei.

Keine Behörde wollte mit Bericht zu tun haben

„Der Missbrauch von Spyware in EU-Mitgliedsstaaten ist eine schwerwiegende Bedrohung für die Demokratie auf dem ganzen Kontinent“, sagte die zuständige EU-Parlamentsberichterstatterin, die niederländische Liberale Sophie in ’t Veld. Durch Spyware würden nicht nur Rechte auf Privatsphäre verletzt, sondern auch demokratische Institutionen unterhöhlt, Opposition und Kritikerinnen und Kritiker zum Schweigen gebracht.

Spyware habe auch eine abschreckende Wirkung auf die Pressefreiheit und die Zivilgesellschaft und diene der Beeinflussung von Wahlen. Das sei „ein europäischer Skandal“, weil auch EU-Institutionen angegriffen würden und es sich auf die EU-Entscheidungsfindung auswirke, sagte in ’t Veld.

Keine offizielle Behörde habe bei der Erstellung des Berichts mit ihr zusammenarbeiten wollen, beklagte die niederländische EU-Abgeordnete. Auch der EU-Rat habe dem EU-Parlament geantwortet, dass dieses in der Angelegenheit nicht zuständig sei. Daher habe sie sich auf öffentlich verfügbare Quellen gestützt. Das Bild sei nicht vollständig, aber sehr klar erkennbar. „Wir haben 900 Teile von einem 1.000-Teile-Puzzle“, so in ’t Veld.

„EU-Kommission greift zu Samthandschuhen“

Die EU-Kommission trete zwar vehement für Demokratie und Bekämpfung von „Fake News“ ein, zuletzt etwa bei der Übernahme von Twitter durch Elon Musk. „Aber wenn die Angriffe auf die Demokratie von innen kommen, schweigt die EU-Kommission“, so in ’t Veld. „Die EU-Kommission zeigt Musk die Muskeln, aber greift die Mitgliedsstaaten, die Spyware gegen Bürger einsetzt, nur mit Samthandschuhen an.“

SPÖ: Schockierende Ausmaße

Der SPÖ-EU-Abgeordnete Hannes Heide, Koordinator der sozialdemokratischen Fraktion in dem Ausschuss, nannte die Ausmaße der Affäre schockierend und forderte strengere EU-Gesetze. Vor allem die illegale Überwachung von Politikerinnen und Politikern wie dem PASOK-Vorsitzenden Nikos Androulakis in Griechenland und von Journalisten, Aktivisten und Anwälten etwa in Polen und Ungarn sei „eine Bedrohung für Demokratie und Grundrechte“.

In Österreich verkaufe beispielsweise DSIRF mit Sitz in Wien einschlägige Überwachungssoftware, so Heide. „Die sozialdemokratische Fraktion fordert eine strenge EU-Gesetzgebung für die Entwicklung, den Verkauf und den Einsatz von Hightech-Überwachungssoftware. Der vorhandene Rechtsrahmen reicht nicht aus.“

ÖVP fordert lückenlose Aufklärung

Der ÖVP-Europaabgeordnete Lukas Mandl, der dem Untersuchungsausschuss angehört, forderte auch eine Aufklärung in Österreich: „Zu unserem Leidwesen steht hier auch ein österreichisches Unternehmen unter Verdacht. Das gehört lückenlos aufgeklärt. Das sind wir dem Bild Österreichs auf der Welt schuldig. Und wir müssen alles dafür tun, dass in Österreich und ganz Europa zwielichtige Aktivitäten verhindert werden.“

Instrumente zur Einschau in die Kommunikation von Terrorgruppen oder anderen kriminellen Netzwerken seien wichtig für die Sicherheit, so Mandl. „Da derartige Instrumente aber so mächtig sind, ist es umso wichtiger, dass sie nicht missbräuchlich verwendet werden.“