Das BKA nutzt seit 2021 eine abgespeckte Version der umstrittenen Überwachungssoftware „Pegasus“ – ein Staatstrojaner, der international für die illegale Überwachung von Journalisten und Aktivisten bekannt wurde. Während andere Länder die Software missbrauchten, setzt Deutschland auf rechtliche Beschränkungen. Doch die Debatte um digitale Überwachung wird 2026 immer brisanter.
Die digitale Verbrechensbekämpfung hat sich dramatisch gewandelt: Während Polizei früher Telefone anzapfte, muss sie heute verschlüsselte Messenger-Chats knacken können. Das Bundeskriminalamt (BKA) setzt dafür seit 2021 die hochumstrittene israelische Spionage-Software „Pegasus“ ein – allerdings in einer stark beschränkten Version, wie 2026 bekannt wurde.
Pegasus 2026: Was die Software heute kann
Pegasus gilt als der mächtigste Staatstrojaner der Welt. Die Software der israelischen NSO Group nutzt sogenannte „Zero-Day-Exploits“ – bisher unbekannte Sicherheitslücken in iOS, Android und anderen Systemen. Einmal installiert, verwandelt sich jedes Smartphone in eine komplette Überwachungsstation.
Die Fähigkeiten sind erschreckend umfassend: Pegasus liest alle Nachrichten mit – egal ob WhatsApp, Signal, Telegram oder andere verschlüsselte Messenger. Der Trojaner greift auf Fotos, Videos, Kontakte und Passwörter zu, aktiviert heimlich Mikrofon und Kamera für Raumüberwachung und trackt die GPS-Position in Echtzeit. Selbst biometrische Daten und Zwei-Faktor-Authentifizierung können ausgehebelt werden.
Besonders perfide: Pegasus arbeitet komplett unsichtbar. Nutzer bemerken weder Performance-Einbußen noch verdächtige Aktivitäten. Die Software kann sogar Nachrichten lesen, bevor sie verschlüsselt werden – ein entscheidender Vorteil gegenüber anderen Überwachungsmethoden.
Warum Pegasus so umstritten ist
Der internationale Skandal um Pegasus erreichte 2021 seinen Höhepunkt: Recherchen von Amnesty International und dem Pegasus Project enthüllten, dass über 50.000 Telefonnummern auf Ziellisten von NSO-Kunden standen. Darunter waren nicht nur Kriminelle, sondern auch Journalisten, Menschenrechtsaktivisten, Anwälte und sogar Staatschefs.
In Ländern wie Saudi-Arabien, Ungarn, Mexiko und Polen wurde Pegasus systematisch gegen Regierungskritiker eingesetzt. Der ermordete Journalist Jamal Khashoggi war ebenso Ziel wie EU-Parlamentarier und investigative Reporter. 2023 verhängte die USA Sanktionen gegen NSO, 2025 folgte die EU mit ähnlichen Maßnahmen.
Die deutsche Version soll diese Probleme vermeiden: Das BKA beteuert, nur eine „rechtsstaatlich beschränkte“ Variante zu nutzen. Welche Funktionen genau deaktiviert wurden, bleibt aber Verschlusssache. Kritiker bemängeln diese Intransparenz als demokratiefeindlich.
So schleust sich Pegasus ins Smartphone
Die Angriffsmethoden von Pegasus haben sich seit 2021 stark weiterentwickelt. Während früher oft manipulierte Links oder Anhänge nötig waren, funktionieren moderne Varianten als „Zero-Click-Exploits“ – ohne jede Nutzer-Interaktion.
Ein präparierter WhatsApp-Anruf reicht aus, auch wenn das Opfer nicht abnimmt. iMessage, E-Mail-Apps oder sogar Push-Benachrichtigungen können als Einfallstor dienen. Besonders raffiniert sind „Watering Hole“-Angriffe: Dabei werden Webseiten gehackt, die das Ziel regelmäßig besucht.
2026 nutzt Pegasus verstärkt KI-basierte Angriffsvektoren und kann sich selbst gegen Sicherheits-Updates immunisieren. Apple und Google liefern sich einen ständigen Wettlauf mit NSO – kaum wird eine Lücke geschlossen, nutzt Pegasus bereits die nächste.
Besonders iOS-Nutzer wiegen sich oft in falscher Sicherheit, da sie selten zusätzliche Security-Apps installieren. Dabei sind auch iPhones nicht immun gegen Zero-Day-Exploits.
Neue Entwicklungen und rechtliche Grenzen
2026 unterliegt der Pegasus-Einsatz in Deutschland strengeren Auflagen denn je. Der Bundestag verschärfte die Überwachungsgesetze nach massivem öffentlichen Druck. Jeder Einsatz muss richterlich genehmigt werden, die Überwachung ist zeitlich begrenzt und nur bei schweren Straftaten erlaubt.
Trotzdem bleiben viele Fragen offen: Wie oft kam Pegasus bisher zum Einsatz? Welche Erfolge konnte das BKA verbuchen? Und funktionieren die technischen Beschränkungen tatsächlich? Die Bundesregierung hüllt sich nach wie vor in Schweigen.
Netzaktivisten und Datenschützer fordern ein komplettes Verbot von Staatstrojanern. Ihre Sorge: Selbst rechtsstaatlich eingesetzte Spyware könnte als Blaupause für autoritäre Regime dienen. Außerdem schaffen Zero-Day-Exploits Sicherheitslücken, die auch Cyberkriminelle ausnutzen könnten.
Die Polizei argumentiert dagegen mit der Realität moderner Kriminalität: Organisierte Banden, Terroristen und Kinderschänder nutzen längst verschlüsselte Kommunikation. Ohne Tools wie Pegasus würden ganze Bereiche der Strafverfolgung unmöglich.
Ausblick: Die Zukunft der digitalen Überwachung
2026 steht fest: Der Konflikt zwischen Sicherheit und Privatsphäre wird sich weiter verschärfen. Neue Technologien wie Quantenverschlüsselung könnten Pegasus obsolet machen – oder ganz neue Überwachungsmethoden ermöglichen.
Europäische Behörden arbeiten bereits an eigenen Staatstrojanern, um nicht auf israelische oder amerikanische Anbieter angewiesen zu sein. Ob diese weniger missbrauchsanfällig werden, bleibt abzuwarten.
Für Nutzer bedeutet das: Absolute Sicherheit gibt es nicht. Regelmäßige Updates, bewusstes Online-Verhalten und kritisches Hinterfragen verdächtiger Nachrichten bleiben die beste Verteidigung gegen staatliche wie kriminelle Spionage.
Die Pegasus-Debatte zeigt letztendlich ein fundamentales Dilemma demokratischer Gesellschaften auf: Wie viel Überwachung ist nötig für unsere Sicherheit – und wie viel Freiheit sind wir bereit dafür zu opfern?
Zuletzt aktualisiert am 24.02.2026
