Der Skandal zeigt, warum Vorschriften mit der technologischen Entwicklung Schritt halten müssen.
Von Sindhuri Nandhakumar, Global Voices
Im Dezember 2021 suchte Eliza Triantafillou, eine Journalistin des unabhängigen griechischen Medienunternehmens The Inside Story, nach dem Thema für ihren nächsten Artikel, als sie sah, dass die Facebook-Muttergesellschaft Meta Anfang des Monats einen Bericht über die „Überwachungsindustrie auf Bestellung“ veröffentlicht hatte.
Der Artikel, den sie daraufhin verfasste, ist Teil einer Reihe von Berichten griechischer Journalist:innen, die die Details eines monatelangen Abhör- und Überwachungsskandals aufdeckten, der als „Watergate auf Steroiden“ bezeichnet wird. Die Ergebnisse zeigen die Unzulänglichkeiten staatlicher Vorschriften und technischer Kapazitäten auf, wenn es darum geht, mit der sich rasant entwickelnden privaten Überwachungsindustrie Schritt zu halten, die es eben diesen Regierungen ermöglicht, ihre Bürger:innen zu überwachen.
Bislang wurden vier Versuche bestätigt, griechische Journalist:innen, Politiker:innen und sogar Geheimdienstmitarbeiter:innen mit einer Spionagesoftware namens Predator zu infizieren, die in der Lage ist, Telefongespräche aufzuzeichnen und auf verschlüsselte Chats zuzugreifen.
The Greek Connection
Im Dezember stellte Triantafillou fest, dass sowohl der Bericht von Meta als auch ein anderer, der am selben Tag von dem in Toronto ansässigen Forschungslabor Citizen Lab veröffentlicht wurde, einen Bezug zu Griechenland hatten. Beide Berichte kamen zu dem Schluss, dass Predator, eine hochentwickelte Überwachungsspionagesoftware, unter anderem für den Einsatz in Griechenland gekauft worden war. Cytrox, das nordmazedonische Unternehmen, das Predator entwickelt hatte, gehört zu einer Gruppe von Söldnerüberwachungsanbietern, die unter dem Label Intellexa vermarktet werden und seit 2020 in Griechenland präsent sind.
Als Triantafillou ihren Artikel im Januar 2022 veröffentlichte, konzentrierte sie sich darauf, dass Meta rund 300 Facebook- und Instagram-Konten entfernt hatte, die mit Cytrox in Verbindung standen, und dass Cytrox echte URLs „gefälscht“ hatte, darunter die von glaubwürdigen Nachrichtenagenturen. Auf den ersten Blick sahen diese Links echt aus, wiesen aber eine etwas andere Syntax als die tatsächliche URL auf (z.B. ein fehlender Buchstabe oder ein zusätzliches Symbol). Sie konnten dazu verwendet werden, die Zielpersonen dazu zu verleiten, auf sie zu klicken und so die Infektion des Telefons mit Predator zu aktivieren.
„Wir haben gesehen, dass ein ungleicher Anteil griechischer Domains in dieser Liste enthalten war, denn Meta hat 310 gefälschte Domains gemeldet, von denen 43 von griechischem Interesse waren“, sagte Triantafillou in einem Zoom-Interview. „Wir sind ein sehr kleines Land. Unser Anteil am weltweiten Internetverkehr ist viel kleiner als der der anderen Länder, die nach diesen beiden Berichten zu den Kunden gehören.“
Der Teufel steckt im Detail: „Legale“ versus „illegale“ Überwachung
Als Thanasis Koukakis, ein weiterer griechischer Reporter, den Artikel von Triantafillou las, fiel ihm auf, dass viele der gefälschten Domains auf der Liste Nachrichtensender imitierten, für die er früher gearbeitet hatte oder mit denen er immer noch zusammenarbeitet. Koukakis hatte vor kurzem Fälle von Betrug in dem Land aufgedeckt. Er hatte bereits den Verdacht, dass seine Gespräche abgehört wurden, und reichte im August 2020 eine Beschwerde bei der Aufsichtsbehörde für den Schutz der Privatsphäre in der Kommunikation (ADAE) ein, mit der Bitte, die notwendigen Kontrollen durchzuführen. Heute wissen wir, dass er vom nationalen Nachrichtendienst (EYP) abgehört wurde. Im Juli 2021 erhielt er von der ADAE eine Antwort, in der ihm mitgeteilt wurde, dass kein Verstoß gegen das Gesetz vorliege, was, wie sich herausstellte, nicht bedeutete, dass er nicht ausspioniert worden war.
Das Abhören durch das EYP ist technisch gesehen „legal“, während die Verwendung von Spionagesoftware wie Predator in Griechenland als illegal gilt. Artikel 19 der griechischen Verfassung schützt das Recht auf Privatsphäre in der Kommunikation. Ausnahmen werden jedoch aus Gründen der nationalen Sicherheit und zur Aufklärung schwerer Straftaten gemacht. Die Überwachung von Koukakis durch das EYP wurde vom Geheimdienst mit dem Argument der nationalen Sicherheit gerechtfertigt, obwohl nicht klar ist, wie die Arbeit eines investigativen Journalisten die nationale Sicherheit hätte beeinträchtigen können. Im März 2021 verabschiedete die Regierung eine Gesetzesänderung, mit der das Recht der Bürger:inneninnen, nach Beendigung der Überwachung zu erfahren, ob sie überwacht wurden, aufgehoben wurde, weshalb Koukakis nicht über sein Abhören informiert wurde.
Auch die Regierung hat diese Dichotomie zwischen legal und illegal benutzt, um sich zu verteidigen. Der Premierminister hat öffentlich erklärt, dass die Überwachung eines Politikers zwar „politisch inakzeptabel“, aber dennoch legal sei und dass die „wichtige Arbeit“ des Geheimdienstes durch die Berichterstattung über dieses Thema nicht beeinträchtigt werden dürfe. Als Kyriakos Mitsotakis die Macht als Premierminister übernahm, unterstellte er das EYP seinem eigenen Kommando. Heute behauptet er zwar, nichts von den Abhörmaßnahmen gewusst zu haben, doch sind der Leiter des EYP sowie Mitsotakis‘ Neffe und Generalsekretär des Ministerpräsidentenbüros, Grigoris Dimitriadis, von ihren Posten zurückgetreten.
Ein größeres Muster
Im November 2021 las der griechische Journalist Stavros Malichudis die Nachrichten, als er einen Bericht der Zeitung Efimerida ton Syntakton entdeckte. Darin ging es um das Abhören einer Reihe von Bürger:innen, darunter auch Journalist:innen, durch das EYP. In dem Artikel wurde der Fall eines Journalisten beschrieben, der sich mit Migrationsfragen beschäftigte. Als Malichudis die Details genau las, wurde ihm klar, dass er dieser Journalist war. Als Antwort auf Briefe der Nachrichtenagentur AFP – für die Malichudis zu dieser Zeit arbeitete – bestritten die griechischen Behörden zweimal, ihn ausspioniert zu haben. „In Griechenland werden keine Journalisten überwacht … Um jeden Zweifel auszuschließen, würde die griechische Regierung das auch tun“, hieß es in einer Antwort, die vom Staatsminister unterzeichnet war.
Vom Abhören zur Spionagesoftware
Im Januar 2022, immer noch im Unklaren darüber, ob seine Telefongespräche abgehört worden waren, schickt Koukakis nach der Lektüre des Inside Story-Berichts die von seinem Telefon extrahierten Dateien an Citizen Lab, das daraufhin bestätigt, dass er von Predator ins Visier genommen worden war. Eine Textnachricht von einer unbekannten Nummer hatte einen Link zu einem scheinbar glaubwürdigen Blogeintrag enthalten. In Wirklichkeit handelte es sich jedoch um eine gefälschte URL. Nachdem Koukakis darauf geklickt hatte, wurde sein Telefon mit der Spionagesoftware infiziert. Kurz darauf fand er dank eines Artikels von Reporters United heraus, dass auch er vom Geheimdienst abgehört worden war.
Die griechische Regierung hat zwar bestritten, Predator jemals gekauft oder eingesetzt zu haben, doch es wurden weitere Zielpersonen identifiziert. Im Juli dieses Jahres entdeckte Nikos Androulakis, der Vorsitzende der drittgrößten griechischen Partei PASOK-KINAL, dass er im September 2021 eine Textnachricht erhalten hatte, die denselben Link enthielt, der Koukakis‘ Telefon infiziert hatte. Er hatte nicht auf den Link geklickt und war daher nicht betroffen. Im September erklärte ein weiterer Politiker – ein ehemaliger Minister der Syriza-Partei, Christos Spirtzis – dass auch er Ziel eines Versuchs war, Predator zu installieren.
Dies führt zu einem glaubwürdigen Verdacht über die Rolle der Regierung bei dieser Überwachung, der durch einen Bericht von Google gestützt wird. Auch der Zeitpunkt des so genannten „legalen“ Abhörens von Koukakis und die Infektion seines Telefons mit Predator scheinen zu eng beieinander zu liegen, um Zufall zu sein. EYP beendete seine Überwachung, nachdem Koukakis eine Beschwerde eingereicht hatte, und kurz darauf wurde sein Telefon mit Predator infiziert. Als er Anfang September vor dem Europäischen Parlament aussagte, sagte Koukasis, er glaube, dass die Spionagesoftware von der Regierung eingesetzt wurde. „Denn einerseits können die Kosten für diese Dienste von Intellexa, nach dem, was Citizen Lab uns erzählt hat, sowie die Preislisten, die im Dark Web gefunden wurden, nicht von einer Privatperson getragen werden“, sagte er. „Könnte [die Regierung] eine Privatperson als Vermittler benutzt haben? The answer is yes.“
Triantafillou ist geneigt, dem zuzustimmen. „Unsere Hypothese – die nicht nur eine Hypothese ist – ist, dass es nicht notwendig ist, es zu kaufen, um es zu benutzen“, sagte sie über Predator. Die komplexe Unternehmensstruktur von Cytrox und Intellexa, dem Unternehmen, das es vermarktet, erstreckt sich über mehrere Länder und umfasst zahlreiche eingetragene Unternehmen. Der Gründer von Intellexa, Tal Dillian, ein ehemaliger Geheimdienstoffizier der israelischen Streitkräfte, zog nach Griechenland um, nachdem er wegen eines Forbes-Interviews aus dem Jahr 2019 rechtliche Probleme mit den zyprischen Behörden bekommen hatte. Im Jahr 2020 wurde Intellexa in Griechenland eingetragen.
Angesichts von vier bekannten Versuchen, griechische Bürger:innen mit Predator anzugreifen, stellt sich die Frage, ob es noch mehr Ziele gibt. Triantafillou glaubt ja. „Wenn man ein sehr leistungsfähiges und sehr teures Tool hat, das Millionen wert ist, und man mindestens 50 Domains erstellt und nur eine verwendet hat, um Androulakis, Koukakis und jetzt Spirtzis ins Visier zu nehmen, ist es praktisch dumm, so viel Geld auszugeben, nur um drei Personen ins Visier zu nehmen“, sagt sie.
Mit der Technologie Schritt halten
Der aktuelle Skandal in Griechenland berührt die Wurzel eines Problems, mit dem alle Länder zu kämpfen haben: Die Regulierungsmechanismen und Organisationen, die die digitalen Rechte der Bürger:innen schützen sollen, sind nicht auf der Höhe der Zeit.
Die so genannte „legale Überwachung“ deckt heutzutage nur einen Teil der Kommunikation ab, die wir über unsere Telefone führen. Ein großer Teil davon – Nachrichtenaustausch über verschlüsselte Anwendungen wie WhatsApp und Signal, Gespräche über Zoom – fällt nicht unter die Abhörpflicht. Sie erfordern viel fortschrittlichere Überwachungstechniken, die von Söldnerfirmen wie Cytrox bereitgestellt werden.
Rammos Christos, Leiter der ADAE, wies im Europäischen Parlament darauf hin und sagte, dass seine Organisation „nur für die Kontrolle von Anbietern von Telekommunikationsdiensten zuständig ist, nicht für allgemeine Agenturen oder private Unternehmen.“
Stavros Malichudis, der Journalist, der von der Regierung abgehört wurde, hat sein Telefon nach den jüngsten Enthüllungen auf Spyware überprüfen lassen (Entwarnung). Zusammen mit den Journalisten Triantafillou und Koukakis sagte er Anfang September vor dem Europäischen Parlament aus und zeigte anhand seiner persönlichen Erfahrungen, dass sowohl das Abhören als auch die Spyware-Überwachung Teil eines heimtückischen Versuchs sind, das Grundrecht auf Privatsphäre zu untergraben. Auch in Griechenland ist ein parlamentarischer Untersuchungsausschuss im Gange, und die Entwicklungen gehen weiter.
Möchtest du über die Aktionen von DiEM25 informiert werden? Registriere dich hier