Die Spionagesoftware schneidet nicht nur Telefongespräche mit, sondern alles, was in der Umgebung des Telefons passiert. Sie macht Screenshots, greift Passwörter ab und kann auch Chats in vermeintlich sicheren Kurznachrichtendiensten wie Whatsapp, Telegram und Signal mitlesen.
Abhörskandal in Athen
Infizierter Link auf dem Handy: In Griechenland wurden ein Journalist und ein führender Oppositionspolitiker mit der Spähsoftware Predator ausspioniert. © Getty Images / iStockphoto / PeopleImages
Spionage im Auftrag der Regierung?
23:37 Minuten
In Griechenland wurden die Handys von Oppositionspolitikern und Journalisten überwacht. Die Regierung Mitsotakis streitet jede Beteiligung ab. Doch es gibt offenbar Verbindungen zwischen ihr und der Firma, die die Spähsoftware vertreibt.
Der kleine Saal ist voll besetzt. Etwa 200 Menschen hängen an den Lippen des Mannes, der extra aus Kanada angereist ist und maßgeblich dazu beigetragen hat, dass der Abhörskandal in Griechenland überhaupt ans Licht gekommen ist.
„Es ist sehr wahrscheinlich, dass das nur die Spitze des Eisbergs ist und wir daher weitere Untersuchungen nahelegen", sagt Bill Marczak. Seit Jahren forscht er am kanadischen Citizen Lab, das zur Universität von Toronto gehört, zu Spionagesoftware und Staatstrojanern. Vor gut einem Jahr haben er und sein Team eine neue Abhörsoftware entdeckt. Die Spur führt nach Griechenland.
Abhörsoftware exklusiv aus Griechenland?
Juli 2020: Finanzjournalist Thanasis Koukakis befürchtet, dass er abgehört wird. Er beginnt zu recherchieren, hört sich bei seinen Quellen um. „Nach ungefähr zehn Tagen bestätigte mir tatsächlich jemand, dass es einen Antrag des Inlandsgeheimdienstes gebe, mein Telefon abzuhören. Ich habe das zuerst nicht geglaubt, ich wollte Beweise", erzählt er.
Wenige Wochen später spielt ihm eine Kontaktperson mehrere Abschriften von Telefonaten zu, die er in den Monaten zuvor geführt hatte. Koukakis arbeitet für griechische, aber auch internationale Medien.
Koukakis recherchierte zu Geldwäsche
Für die "Financial Times" hatte er 2019 und 2020 eine Reihe von Artikeln verfasst, in denen er aufzeigte, wie die Regierung durch Gesetzesänderungen Geldwäsche und Steuerhinterziehung erheblich erleichtert hat. Den Recherchen zufolge haben davon etwa ein Dutzend griechische Reeder, prominente Geschäftsleute und Banker profitiert.
Im August 2020, sofort nachdem er die Abschriften seiner Telefonate erhalten hat, wendet er sich an die griechische Datenschutzbehörde mit der Bitte, seine Telefone zu überprüfen und ihm mitzuteilen, ob er abgehört wird. Die Datenschutzbehörde ist in solchen Fällen gesetzlich verpflichtet, binnen sechs Monaten Auskunft zu erteilen. Doch Koukakis erhält keine Antwort.
"Kurz bevor die sechsmonatige Frist abgelaufen ist, innerhalb derer mich die Behörde laut Gesetz hätte informieren müssen, ob ich abgehört werde, hat sich das Gesetz geändert", sagt er.
Datenschutzbehörde mit Maulkorb
Im März 2021 hatte die Regierung das Auskunftsgesetz durch einen Zusatzartikel ergänzt. Demnach wird bei Gründen der nationalen Sicherheit jede Anfrage einer von Abhörmaßnahmen betroffenen Person verneint. Mit anderen Worten: Mit dem neuen Gesetz hat die griechische Regierung der Datenschutzbehörde einen Maulkorb verpasst.
Koukakis Nachforschungen stecken in einer Sackgasse. Was er zu diesem Zeitpunkt nicht weiß: Tausende Kilometer entfernt entdecken Forscher durch Zufall Antworten zumindest auf einige seiner Fragen.
Das Citizen Lab der Universität Toronto ist wahrscheinlich das renommierteste Institut, wenn es um das Thema Cyber-Spionage geht. Einer der wichtigsten Köpfe dort ist Bill Marczak.
Seit Jahren beschäftigt er sich mit Pegasus, einer Überwachungssoftware der israelischen Firma NSO Group. Seine Forschungsergebnisse dazu haben weltweit für Schlagzeilen gesorgt.
Spionagesoftware namens Predator
Im Juli 2021 untersuchen Bill Marczak und seine Kollegen das Handy eines Menschenrechtsaktivisten aus Saudi-Arabien und entdecken dort neben Pegasus noch eine zweite neue Spionagesoftware.
“Die Spyware trug mehrmals den Namen Predator im Software-Code, was uns sehr interessiert hat", so Marczak. Sie beginnen mit der Untersuchung, finden einen infizierten Link auf dem Handy. Klickt man da drauf, installiert sich Predator automatisch und das Mobiltelefon selbst wird zur modernen Wanze.
Hat Athen Spionageprogramm gekauft?
Marczak und sein Team wollen wissen, wer hinter Predator steckt. „Letztendlich haben wir 28 IP-Adressen gefunden, die den gleichen digitalen Fingerabdruck hatten wie die Website zu dem infizierten Link." Eine davon war eine Website, die auf Cytrox.com endete, "und Cytrox gehört zu den Firmen, die Spionageprogramme an Regierungen verkaufen".
Und sie finden noch mehr heraus: Gemeinsam mit Spezialisten von Meta – der neue Name des Facebook-Konzerns – veröffentlicht Marczak im Dezember einen Bericht mit 400 Links, die meist dazu genutzt wurden, um die Spionagesoftware zu installieren. Viele von ihnen sahen auf den ersten Blick aus wie Links zu griechischen Nachrichtenseiten.
Regierung gibt sich nichtwissend
Auch Finanzjournalist Thanasis Koukakis liest den Bericht und erkennt einen der Links wieder. Er hatte ihn Monate zuvor per SMS zugeschickt bekommen. Sofort kontaktiert er Bill Marczak und das Citizen Lab.
Die Forscher führen eine forensische Analyse seines Handys durch. „Am 10. März 2022 wurde ich von der Universität Toronto informiert, dass sie die Infektion gefunden hatten und auch wie mein Handy mit der Predator-Software infiziert worden war", erzählt er. Tatsächlich: Es war der Link aus der SMS. Koukakis hat ihn angeklickt, worauf die Software automatisch installiert wurde.
Ein paar wenige griechische Medien greifen den Fall auf, die Regierung gibt sich zu diesem Zeitpunkt noch unwissend: „Ich habe selbst aus der Presse davon erfahren. Es versteht sich von selbst, dass die zuständigen Behörden alles tun müssen, damit dieser Fall aufgeklärt und der Gerechtigkeit Genüge getan wird", so Regierungssprecher Giannis Oikonomou im April.
Es dauert weitere vier Monate, bis erneut Bewegung in die Sache kommt. Nikos Androulakis ist Abgeordneter im EU-Parlament. Dort gibt es einen Service, bei dem Abgeordnete und deren Mitarbeiterinnen und Mitarbeiter ihr Handy auf Cyberangriffe untersuchen lassen können.
"Es wurden die Handys von 250 Abgeordneten und Dutzenden ihrer Kollegen überprüft, auf keinem wurde eine Spur von Predator gefunden, außer auf meinem", berichtet Androulakis Anfang August im griechischen Fernsehen.
Politischer Konkurrent abgehört
Der Angriff habe genau zu der Zeit stattgefunden, als er sich um das Amt des Vorsitzenden der sozialdemokratischen Partei PASOK beworben hatte, traditionell eine der wichtigsten Konkurrenten der aktuellen Regierungspartei Nea Dimokratia.
Auf Androulakis Druck hin wird eine Sondersitzung des zuständigen Ausschusses im griechischen Parlament einberufen. Dann überschlagen sich die Ereignisse: Während der Sitzung sagt auch der damalige Chef des Inlandsgeheimdienstes EYP Panagiotis Kontoleon aus. Das ist insofern brisant, weil Ministerpräsident Kyriakos Mitsotakis nach seiner Wahl im Jahr 2019 den Geheimdienst direkt seinem Büro unterstellt hatte.
Nun räumt der Ex-Geheimdienstchef ein: Ja, man habe den Finanzjournalisten Koukakis tatsächlich abgehört. Nur kurz nach der Sitzung bestätigt die Regierung außerdem, dass EYP auch den Oppositionspolitiker Androulakis überwacht hat. Allerdings hätte der Geheimdienst die Telefone von beiden lediglich mit konventionellen Mitteln abgehört. Den Einsatz der Spähsoftware Predator bestreitet die Regierung.
Mitsotakis-Neffe involviert in den Skandal?
Noch am selben Tag treten der damalige EYP-Chef Kontoleon und einer der engsten Mitarbeiter des Ministerpräsidenten zurück: Grigoris Dimitriadis. Er war nicht nur Stabschef von Premier Mitsotakis, sondern ist außerdem sein Neffe.
Recherchen griechischer Investigativjournalisten legen nahe: Es gibt Verbindungen zwischen ihm und der Firma, die hinter der Spähsoftware Predator steht.
Verdacht, dass Regierung hinter Predator steht
Thodoris Chondrogiannos ist einer der Journalisten, die diese Verbindung aufgedeckt haben. Er ist Teil von Reporters United, einem Zusammenschluss investigativer Journalistinnen und Journalisten in Griechenland. „Wir konnten ein Netz aus Geschäftsleuten und Geschäftsbeziehungen ausmachen, das die Regierung und Intellexa miteinander in Verbindung bringt", berichtet er. "Gleichzeitig wurden ein Politiker und ein Journalist, sowohl vom Geheimdienst EYP als auch von Predator abgehört. Es besteht also der Verdacht, dass die Regierung ebenfalls hinter dem Einsatz von Predator steckt.“
Die Spionagesoftware Predator wurde entwickelt von einem Start-up aus Nordmazedonien namens Cytrox. Cytrox wiederum wurde aufgekauft und gehört mittlerweile zur Intellexa Alliance, ein Firmenkonsortium, gegründet von einem ehemaligen hochrangigen Mitglied des israelischen Geheimdienstes.
Es gibt Verbindungen nach Athen
Auf der Website von Intellexa heißt es allerdings: „Wir sind ein in der EU ansässiges und reguliertes Unternehmen mit sechs Standorten in ganz Europa.“
Es gibt unter anderem Verbindungen nach Irland, Malta, Zypern und nach Athen. Gibt es also tatsächlich auch Verbindungen zwischen der griechischen Regierung und Intellexa? Und wenn Predator nicht vom griechischen Geheimdienst eingesetzt wurde, wie es die Regierung behauptet, von wem denn dann?
Eine Frage, die sich auch Sophie in ‘t Veld stellt. Die Niederländerin ist Abgeordnete im Europäischen Parlament und Berichterstatterin des sogenannten PEGA-Ausschusses. Er soll den Einsatz von Spionagesoftware innerhalb der Europäischen Union untersuchen.
„Nehmen wir an, dass es sich um eine dritte Partei handelt und nicht um die griechische Regierung. Dann haben wir es mit einem sehr schweren Verbrechen zu tun", sagt sie. "Wenn das stimmt, verstehe ich nicht, warum die griechischen Behörden nicht alles in ihrer Macht Stehende tun, um zu ermitteln.“
"Computer müssen beschlagnahmt werden"
Doch das ist bislang nicht geschehen. „Ich bin sehr überrascht, dass die Büros von Intellexa, dem Unternehmen, das dieses Zeug verkauft, nicht durchsucht wurden. Es wurden keine Beweise sichergestellt", so Sophie in ‘t Veld. "Ich hätte erwartet, dass die Behörden die Server, die Computer, die gesamte Verwaltung und alles andere beschlagnahmen und die Mitarbeiter befragen. Aber nichts davon ist passiert. Ich fürchte also, dass viele Beweise bereits vernichtet worden sind.“
Anfang November wird der PEGA-Ausschuss nach Griechenland und Zypern reisen, in der Hoffnung, dass wenigstens die Abgeordneten des Europäischen Parlaments ein paar Antworten von der griechischen Regierung erhalten.
Eine Interviewanfrage für diesen Beitrag hat das Büro von Ministerpräsident Mitsotakis abgelehnt – aus terminlichen Gründen.