Stelios Kouloglou kannte das Spiel. Er war Mitglied des Europäischen Parlaments und Teil der EU-Sondereinheit zur Bekämpfung von Spyware. Im Sommer 2022 bereiste er den Kontinent, saß mit Opfern digitaler Überwachung zusammen und beleuchtete einen Skandal, an dem Journalisten, Polizeichefs und Politiker gleichermaßen beteiligt waren. Er dachte, er hätte die Lupe in der Hand. Er wusste nicht, dass sich die Linse wieder auf ihn richtete.
Dann kamen die Daten heraus. Sein iPhone war kompromittiert. Von Pegasus. Dasselbe Werkzeug, für dessen Enthüllung er angeheuert wurde.
„Es war wirklich etwas zu Rücksichtsloses“, sagt er.
Es ist ein dunkler Witz. Ein Ermittler, der von dem Verbrechen, das er untersucht, gehackt wurde. Bevor Kouloglou ins Parlament einzog, beschäftigte er sich jahrelang mit diesem Thema, er war also nicht naiv, was die Drohungen anging. Trotzdem. Der Schock ist anders, wenn das eigene Telefon mit Malware klingelt. Jetzt ist er wütend. Zu Recht.
Hier ist der Hintergrund, den Sie wahrscheinlich kennen, aber noch einmal hören müssen. Pegasus ist nicht nur eine App, die Sie zufällig herunterladen. Es nutzt Lücken in iOS und Android aus, um die Abwehrmechanismen zu umgehen. Einmal drinnen? Die Kamera läuft. Das Mikrofon bleibt geöffnet. Nachrichten, Fotos, Kontaktlisten, alles geht an denjenigen, der dafür bezahlt hat. Die Spyware wurde von der NSO Group entwickelt, einem israelischen Unternehmen, dessen Anteile im Jahr 2025 größtenteils von US-Investoren gekauft wurden, und wird an Regierungen verkauft. Theoretisch, um Terroristen zu fangen. In der Praxis? Wird oft bei Journalisten, Aktivisten und nervigen Politikern eingesetzt.
Das Citizen Lab der University of Toronto hat den forensischen Bericht am vergangenen Freitag eingestellt. Der Zeitpunkt könnte nicht schlechter sein. Oder besser, je nachdem, ob Sie Drama mögen. Kouloglous Telefon wurde kein einziges Mal angegriffen. Aber mehrmals. Zuerst am 21. Oktober 2202, als er sich im Krankenhaus von einer geplanten Operation erholte. Vorstellen. Da liegen. Verletzlich. Dann besucht ihn ein griechischer investigativer Journalist – Thanasis Koukakis – der selbst von einer anderen Spyware namens Predator gehackt wurde. Sie reden. Vielleicht über das Komitee. Vielleicht über den Fall.
Dann Stille. Bis März 2023. Der Ausschuss bereitete sich auf wichtige Anhörungen vor. Sie wollten Spyware-Anbieter befragen. Dann schlägt Pegasus erneut zu. Am 6. und 7. März. Zufall? Du sagst es mir.
Die Ironie ist erdrückend.
Hannah Neumann, eine weitere Europaabgeordnete im Ausschuss, die sich für die Umwelt einsetzt und diesbezüglich definitiv nicht subtil ist, nannte es absurd. Die Angreifer beobachteten den Kerl nicht nur. Sie beobachteten die Ermittlung.
„Wir haben die Spionageermittlungen ausspioniert“, sagt Neumann gegenüber WIRED. So hat es sich abgespielt.
Die Forscher des Citizen Lab haben einen tiefen Einblick genommen. Sie konnten nicht genau feststellen, wer die Angriffe angeordnet hatte. Keine eindeutige Waffe, die auf eine bestimmte Regierungsbehörde zielt. Diesmal schlossen sie die griechische Regierung ausdrücklich aus, was wichtig ist, da sich Griechenland etwa zur gleichen Zeit mitten in seinem eigenen Spyware-Chaos im „Watergate“-Stil befand, an dem Intellexas Predator-Software beteiligt war. Aber die Fingerabdrücke stimmen überein. Die Angriffsvektoren überschnitten sich mit Versuchen gegen sieben russisch- und weißrussischsprachige Journalisten zwischen Ende 2020 und Anfang 2023. Es handelt sich um ein Muster. Es ist immer ein Muster.
John Scott-Railton vom Citizen Lab bringt es auf den Punkt.
„Es ist die offene Spyware-Saison für europäische Gesetzgeber.“
Niemand ist vorbereitet. Nationale Parlamente? Wehrlos. Die EU? Schlafen.
Kouloglou gibt zu, dass er wahrscheinlich Apples „Lockdown“-Warnungen gesehen hat – die Warnungen, die sagen: „Hey, jemand könnte dich hacken.“ Er bekam sie im März und August 2303. Nochmals im April 2404. Aber die Benachrichtigungen kommen verspätet an. Als der Brief kommt, ist der Einbruch bereits erledigt. Er kann sich sowieso nicht erinnern, sie gesehen zu haben. Wer schaut auf seinen Bildschirm auf Fehler, wenn er damit beschäftigt ist, die Demokratie zu retten?
Was die meisten Menschen stört, ist, dass sich nichts geändert hat. Der PEGA-Ausschuss hat seine Arbeit abgeschlossen. Es übergab einen Forderungskatalog. Bauen Sie ein EU-Technologielabor für forensische Analysen auf. Erstellen Sie eine Spyware-Task Force für Wahlen. Sichern Sie die Kanäle. Jahre vergingen. Der Staub legte sich. Und dann bumm. Ein Ausschussmitglied wird verwurzelt.
Europa hat das Problem ignoriert, bis es ihm in die Hand gebissen hat.
Der Sprecher des Europäischen Parlaments wollte WIRED keine Einzelheiten nennen, verwies jedoch auf einige „Überprüfungssysteme“ für Europaabgeordnete. Maßnahmen. Erweiterungen des Schutzes. Klingt nach Fachjargon für „wir versuchen es.“ Aber gib dir mehr Mühe. Die Empfehlungen nehmen digital Gestalt an.
Scott-Railton bezeichnet die Situation als peinlich. Und er hat nicht unrecht. Andere Nationen sind umgezogen. Die USA haben Anbieter sanktioniert, Visa verboten und Präsidialverordnungen genutzt, um den Spyware-Markt einzudämmen. Europa debattiert nur. Mittlerweile macht KI dies billiger. Einfacher. Schneller. Die Eintrittsbarriere verschwindet.
Kouloglou betrachtet den Verstoß als Verletzung seines Privatlebens. Nachrichten mit Kindern. Mit Verwandten. Nicht nur Arbeitssachen. Leben.
„Es geht nicht nur um Privatsphäre. Es geht um Gerechtigkeit. Demokratie.“
Er will Verantwortung. Aber Verantwortung erfordert Handeln. Bisher ist die Stille lauter als die Spyware-Alarme.
