Staatstrojaner sind längst Realität in der deutschen Strafverfolgung. Das BKA nutzt seit Jahren Pegasus von NSO Group – eine der mächtigsten Spionage-Software der Welt. Doch während die Technologie immer ausgefeilter wird, bleiben die rechtlichen und ethischen Fragen brisant.
Im Film ist immer alles ganz einfach: Wenn die Polizei jemanden überwachen will, muss sie nur auf übergroße Kontrollmonitore blicken, sieht die observierte Person aus gleich mehreren Perspektiven – und kann quasi alles mitlesen, was auf dem Smartphone geschrieben wird. Und natürlich können die Beamten auch Telefonate abhören.
Mit der Realität hat das zwar wenig zu tun. Vermutlich sind es aber genau diese Bilder, die die Phantasie der Menschen beflügeln: Wir glauben, auch unsere Polizei könnte all das. Und wenn in den Nachrichten zu hören ist, das BKA habe eine Spionage-Software bei der israelischen Firma NSO gekauft, werden diese Phantasien beflügelt.
Pegasus: Der Rolls Royce unter den Staatstrojanern
Mittlerweile ist klar: Das BKA nutzt Pegasus nicht nur gelegentlich, sondern hat die Software fest in sein Arsenal integriert. Die Gründe liegen auf der Hand: Während der eigene „Staatstrojaner“ des Bundes praktisch wirkungslos war, gilt Pegasus als technologisch überlegen.
Die Software kann weit mehr als nur E-Mails mitlesen. Pegasus verschafft sich Zugriff auf verschlüsselte Messenger wie WhatsApp, Signal oder Telegram – und zwar bevor die Nachrichten verschlüsselt werden. Es kann Standortdaten in Echtzeit abrufen, Passwörter beim Eintippen mitschneiden und sogar Mikrofon und Kamera aktivieren, ohne dass ihr es merkt.
Besonders perfide: Pegasus kann sogenannte „Zero-Day-Exploits“ nutzen – Sicherheitslücken in iOS und Android, die selbst Apple und Google noch nicht kennen. Das macht die Software praktisch unentdeckbar für herkömmliche Antiviren-Programme.
Rechtliche Grenzen – zumindest auf dem Papier
Das BKA versichert, nur einen Bruchteil der Pegasus-Funktionen zu nutzen. Bestimmte Überwachungsarten wie das heimliche Aktivieren von Kameras sind in Deutschland rechtlich problematisch. Beweise, die durch unzulässige Methoden gewonnen wurden, sind vor Gericht nicht verwertbar.
Trotzdem bleibt die Kontrolle schwierig. Anders als bei klassischen Telefonüberwachungen hinterlässt Pegasus kaum nachvollziehbare Spuren. Betroffene erfahren oft nie, dass sie überwacht wurden. Das macht eine parlamentarische oder gerichtliche Kontrolle im Nachhinein praktisch unmöglich.
Zudem ist unklar, welche Daten NSO Group selbst speichert. Die israelische Firma betreibt die Infrastruktur für Pegasus teilweise selbst – ein Sicherheitsrisiko für deutsche Ermittlungsverfahren.
NSO Group: Partner mit fragwürdigem Ruf
Problematisch ist, dass das BKA zu einem Anbieter gegangen ist, der offenbar auch autokratischen Staaten dabei hilft, Journalisten, Menschenrechtler, Rechtsanwälte und sogar Staatsoberhäupter auszuspionieren – zu deren erheblichem Nachteil. So soll nach Recherchen von WDR, NDR, SZ und „Zeit“ zum Beispiel mithilfe des Pegasus-Trojaners das unmittelbare Umfeld des ermordeten saudischen Journalisten Khashoggi ausspioniert worden sein.
Inzwischen steht fest: Pegasus wurde in über 45 Ländern gegen Zehntausende Personen eingesetzt. Darunter Regierungskritiker in Ungarn, Journalisten in Mexiko und sogar EU-Politiker. 2021 setzte die US-Regierung NSO Group auf eine schwarze Liste – Geschäfte mit amerikanischen Firmen sind seitdem untersagt.
Die Zukunft der Überwachung
Die Technologie entwickelt sich rasant weiter. Während früher physischer Zugriff auf ein Gerät nötig war, reicht heute oft schon ein präparierter Link oder eine manipulierte Nachricht. Moderne Smartphones werden zu gläsernen Büchern für Geheimdienste und Strafverfolger.
Gleichzeitig arbeiten auch die „Guten“ an besseren Lösungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt eigene Tools, um Staatstrojaner zu erkennen. Apple und Google rüsten ihre Betriebssysteme immer weiter auf – ein Katz-und-Maus-Spiel, das nie endet.
Zwischen Sicherheit und Grundrechten
Kritiker unterstellen nun, das Bundeskriminalamt werde das neue Werkzeug ähnlich enthemmt einsetzen wie Saudi-Arabien oder Aserbaidschan. Massenüberwachung drohe.
Man könnte natürlich zu Recht fragen: Wie können wir den Einsatz kontrollieren? Doch von vorneherein vom Schlimmsten auszugehen, wird weder der Polizeiarbeit gerecht noch lässt es Vertrauen in den Rechtsstaat erkennen. In Saudi-Arabien entscheidet ein Prinz, was geschieht – in Deutschland ein Gericht. Ich denke, das ist ein Unterschied.
Dennoch: Die Diskussion um mehr Transparenz ist berechtigt. Andere europäische Länder publizieren regelmäßig Statistiken über den Einsatz von Staatstrojanern. Deutschland könnte diesem Beispiel folgen, ohne operative Details preiszugeben.
Die Debatte sollte also weniger emotional geführt werden. Denn dann ließen sich die tatsächlichen Probleme, etwa die Tatsache, dass ein Staat, der Trojaner einsetzt, kein Interesse am Stopfen aller Sicherheitslecks hat, besser diskutieren.
Pegasus ist nach Recherchen für viele Schnüffelangriffe missbraucht worden
Zuletzt aktualisiert am 24.02.2026
