Die Fata Morgana der „ethischen“ Spyware: Warum Paragon italienische Staatsanwälte ignoriert

Lange bevor ein Journalist eine Benachrichtigung von Apple oder WhatsApp erhält, die ihn vor einem staatlich gesponserten Angriff warnt, wird in einem ruhigen Büro ein Geschäft abgeschlossen. Diese Deals – Millionen wert – handeln mit der Währung unseres digitalen Lebens. Doch während die Verkaufsargumente geschliffen sind und die Marketingbroschüren „Sicherheit und Ethik“ versprechen, gleicht die Realität der Spyware-Industrie oft eher einem Verschwindungstrick.

Seit über einem Jahr jagen italienische Staatsanwälte einem Geist namens Paragon Solutions hinterher. Dieses israelisch-amerikanische Unternehmen, das einst als „rechtschaffene“ Alternative zur skandalumwitterten NSO Group gefeiert wurde, ist Berichten zufolge verstummt. Trotz früherer öffentlicher Inszenierungen, in denen das Unternehmen behauptete, bei der Untersuchung von Hacking-Vorwürfen helfen zu wollen, hat Paragon auf formelle gerichtliche Auskunftsersuchen nicht reagiert. Als Journalist, der seine Tage damit verbringt, über verschlüsselte Tunnel zu kommunizieren und Code zu verifizieren, ist dieses Muster von „Rechenschaftspflicht, bis es tatsächlich darauf ankommt“ ein Szenario, das ich schon viel zu oft erlebt habe.

Ein Klopfen um Mitternacht in Mailand

Der Skandal begann nicht mit einem physischen Klopfen, sondern mit einem digitalen. Ende 2023 verschickten WhatsApp und Apple Benachrichtigungen an eine Gruppe italienischer Journalisten und Aktivisten. Die Nachricht war erschreckend: Ihre Geräte waren mit Spyware auf Regierungsniveau angegriffen worden. Unter den Zielpersonen befanden sich Francesco Cancellato und Ciro Pellegrino, Journalisten der Nachrichtenseite Fanpage, sowie Mitglieder von Mediterranea Saving Humans, einer gemeinnützigen Organisation, die sich der Rettung von Migranten widmet.

Die forensische Analyse von WhatsApp deutete direkt auf „Graphite“ hin, ein hochentwickeltes Überwachungstool, das von Paragon Solutions entwickelt wurde. In der Welt der digitalen Spionage ist Graphite ein digitaler Generalschlüssel. Es beobachtet nicht nur, was Sie tun; es saugt Daten aus der Cloud ab und umgeht dabei viele der traditionellen Sicherheitsmaßnahmen, auf die sich Nutzer verlassen, um ihre privaten Gespräche privat zu halten.

Als die Nachricht bekannt wurde, war die italienische Öffentlichkeit zu Recht empört. Staatsanwaltschaften in Mailand und Rom leiteten Ermittlungen ein. Zunächst nahm Paragon eine kühne, fast trotzige Haltung ein. Sie kritisierten öffentlich die italienische Regierung und behaupteten, sie hätten angeboten, bei der Untersuchung zu helfen, falls ein Journalist gehackt worden sei, seien aber zurückgewiesen worden. In einem Akt von hochkarätigem Unternehmenstheater kündigte Paragon sogar an, seine Verträge mit den italienischen Inlands- und Auslandsgeheimdiensten AISI und AISE zu kündigen. Sie wollten die Welt glauben machen, sie seien zu ethisch, um mit einer Regierung zusammenzuarbeiten, die sich nicht an die Regeln hält.

Das Schweigen des „ethischen“ Hackers

Spulen wir vor in die Gegenwart, April 2026, und diese prinzipientreue Haltung sieht eher wie eine Bühnenrequisite aus. Italienische Staatsanwälte, die verstehen wollen, wie und warum Graphite gegen Zivilisten eingesetzt wurde, schickten formelle Auskunftsersuchen über die israelische Regierung an Paragon. Ein Jahr später ist das Schweigen ohrenbetäubend. Keine Daten, keine Protokolle, keine Kooperation.

Dieser Mangel an Transparenz ist ein systemisches Problem im privaten Geheimdienstsektor. Aus Compliance-Sicht verstecken sich diese Unternehmen oft hinter der „Souveränität“ ihrer Gastländer. In diesem Fall scheint die israelische Regierung – die die Exportlizenzen für diese Tools genehmigen muss – das Nadelöhr zu sein. Wir haben dieses Drehbuch schon einmal gesehen. Spaniens Oberster Gerichtshof war gezwungen, seine Ermittlungen zum Einsatz der Pegasus-Spyware von NSO gegen spanische Politiker einzustellen, weil die israelischen Behörden schlichtweg die Zusammenarbeit verweigerten.

In der Rechtswelt sprechen wir oft von „Extraterritorialität“ – der Idee, dass ein Land seine Autorität über seine Grenzen hinaus ausüben kann. Aber wenn es um die Spyware-Industrie geht, bestehen die Grenzen aus dickem, undurchsichtigem Glas. Man kann den Schaden auf der anderen Seite sehen, aber man kann die Person nicht erreichen, die den Hammer hält.

Das amerikanische Paradoxon

Was den Fall Paragon besonders nuanciert macht, sind die engen Verbindungen des Unternehmens zu den Vereinigten Staaten. Während die NSO Group vom US-Handelsministerium auf die schwarze Liste gesetzt wurde, ist es Paragon gelungen, in Washington eine weiße Weste zu behalten. Tatsächlich unterhält das Unternehmen einen aktiven Vertrag mit der US-Einwanderungs- und Zollbehörde (ICE).

Die ICE hat Gesetzgebern mitgeteilt, dass ihr Strafverfolgungsarm, Homeland Security Investigations (HSI), Graphite verwendet, um Drogenhändler und Terroristen aufzuspüren. Dies schafft einen krassen Kontrast: Dasselbe Tool, das in den USA zur Abschiebung von Tausenden von Menschen verwendet wird, wird in Europa wegen Angriffen auf Menschenrechtsaktivisten und Journalisten untersucht.

Dies ist das Paradoxon des Marktes für Dual-Use-Technologien. Ein Werkzeug, das als Waffe gegen die „Bösen“ verkauft wird, wird fast zwangsläufig dazu verwendet, die „Unbequemen“ zum Schweigen zu bringen. Wenn ein Unternehmen behauptet, einen „Ethikrat“ oder eine „strenge Prüfung“ zu haben, sollten wir skeptisch sein. Ohne verbindliche, transparente und durchsetzbare internationale Standards ist „Ethik“ nur eine Art der Marketingabteilung zu sagen: „Vertrauen Sie uns.“

Privatsphäre als Grundrecht, nicht als Feature

Italiens Ministerpräsidentin Giorgia Meloni hat konsequent bestritten, dass ihre Regierung hinter dem Hacking der Fanpage-Journalisten steckte. Dennoch bestätigte eine forensische Untersuchung der Staatsanwaltschaft kürzlich, dass Cancellatos Telefon tatsächlich kompromittiert wurde. Wenn die Regierung es nicht getan hat und das Unternehmen, das das Tool hergestellt hat, nicht sagen will, wer es war, bleiben wir in einem gefährlichen Vakuum der Rechenschaftspflicht zurück.

Für die Opfer ist dies keine abstrakte Debatte über Cyber-Politik. Für die Aktivisten von Mediterranea Saving Humans geht es um die Sicherheit ihrer Einsätze und das Leben der Menschen, die sie zu retten versuchen. Wenn Spyware gegen NGOs eingesetzt wird, verwandelt sie deren digitale Fußabdrücke in eine Spur aus Brotkrumen für diejenigen, die ihnen schaden wollen.

Letztendlich beweist die Paragon-Saga, dass wir uns nicht auf die „guten Absichten“ der Hersteller von Überwachungstechnologien verlassen können. Compliance sollte keine Wahlmöglichkeit sein; sie sollte eine Voraussetzung für die Existenz auf dem Markt sein. Wenn ein Unternehmen ein gerichtliches Ersuchen eines demokratischen Verbündeten ignoriert, sollte es seinen Platz am Tisch des internationalen Handels nicht behalten dürfen.

Schützen Sie Ihren digitalen Perimeter

Während wir darauf warten, dass die Regulierungslandschaft mit der Realität der digitalen Spionage Schritt hält, gibt es praktische Schritte, die Einzelpersonen – insbesondere in Hochrisikoberufen – unternehmen können, um ihre Anfälligkeit zu minimieren. Betrachten Sie Ihre digitale Hygiene nicht als lästige Pflicht, sondern als Schutzpanzer.

• Sperren Sie Ihre Cloud: Spyware wie Graphite zielt oft auf Cloud-Backups ab. Wenn Sie Ihre Nachrichten nicht in der Cloud sichern müssen, schalten Sie diese Funktion aus. Nutzen Sie Ende-zu-Ende-verschlüsselte Dienste, die keine Metadaten auf ihren Servern speichern.
• Die Tür mit Hardware verschließen: Verwenden Sie für Konten, die dies unterstützen, physische Sicherheitsschlüssel (wie Yubikeys) für die Zwei-Faktor-Authentifizierung. Dies macht es für einen Angreifer erheblich schwieriger, Ihre Konten zu übernehmen, selbst wenn er Ihr Passwort hat.
• Die Macht des Neustarts: Viele moderne Spyware-Stämme sind „nicht persistent“, was bedeutet, dass sie im temporären Speicher des Telefons leben und beim Neustart des Geräts gelöscht werden. Die Gewohnheit täglicher Neustarts kann eine einfache, aber effektive Abschreckung sein.
• Überprüfen Sie Ihre Berechtigungen: Überprüfen Sie regelmäßig, welche Apps Zugriff auf Ihr Mikrofon, Ihre Kamera und Ihren Standort haben. Wenn eine App eine Berechtigung nicht benötigt, um zu funktionieren, entziehen Sie sie. Digitale Minimierung ist Ihre beste Verteidigung.

Wir werden von Paragon vielleicht nie eine ehrliche Antwort erhalten, aber wir können die „Graphites“ dieser Welt viel weniger effektiv machen, indem wir proaktiv für unsere eigenen digitalen Rechte eintreten.

Quellen:

• Datenschutz-Grundverordnung (DSGVO): Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten) und Artikel 32 (Sicherheit der Verarbeitung).
• Europäischer Gerichtshof für Menschenrechte: Fall Szabó und Vissy gegen Ungarn (betreffend die Notwendigkeit der Aufsicht bei Überwachung).
• Italienische Strafprozessordnung: Artikel über internationale Rechtshilfeersuchen und justizielle Zusammenarbeit.
• Wired Italy: Investigative Berichterstattung über den italienischen Paragon/Graphite-Skandal.
• Citizen Lab: Technische Analyse von Graphite-Spyware-Einsätzen.

Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und journalistischen Zwecken und stellt keine formelle Rechtsberatung dar. Datenschutzgesetze variieren je nach Gerichtsbarkeit erheblich, und Sie sollten sich bei spezifischen Fragen zur Compliance oder zu digitalen Rechten an einen qualifizierten Rechtsexperten wenden.