Saudi-Arabien zu 3 Mio. £ Geldstrafe wegen Pegasus-Spyware-Angriffen auf Dissidenten im Ausland verurteilt

Wegweisendes Urteil gegen staatlich geförderte Überwachung

Im Januar 2026 sprach ein britisches Gericht dem saudi-arabischen Aktivisten und politischen YouTuber Ghanem Al-Masarir 3 Millionen Pfund Schadenersatz zu, nachdem es das Königreich Saudi-Arabien für den Einsatz hochentwickelter Spyware gegen ihn haftbar gemacht hatte. Das Urteil stellt einen der bedeutendsten juristischen Siege gegen staatlich geförderte digitale Überwachung von im Ausland lebenden Dissidenten dar.

Al-Masarir, der von seinem Stützpunkt im Vereinigten Königreich aus ein lautstarker Kritiker der saudi-arabischen Regierung ist, konnte erfolgreich nachweisen, dass saudi-arabische Geheimdienstmitarbeiter die berüchtigte Pegasus-Spyware der NSO Group einsetzten, um sein Mobilgerät zu infiltrieren. Das Gericht stellte fest, dass dieser digitale Einbruch Teil eines umfassenderen Musters von Schikanen war, das auch physische Angriffe durch saudi-arabische Agenten umfasste.

Die Entschädigung in Höhe von 3 Millionen Pfund umfasst den Ersatz für psychische Schäden, damit verbundene Kosten und Verdienstausfälle, die aus der Überwachungskampagne und den damit verbundenen Einschüchterungstaktiken resultierten.

Wie der KINGDOM-Operator Dissidenten ins Visier nahm

Laut vor Gericht vorgelegten Beweisen betrieb Saudi-Arabien einen Pegasus-Client namens KINGDOM, der speziell mit der Überwachung von Kritikern und Oppositionsfiguren außerhalb seiner Grenzen beauftragt war. Dieser Operator versendete bösartige Nachrichten mit Links, die darauf ausgelegt waren, Schwachstellen in mobilen Betriebssystemen auszunutzen.

Als Al-Masarir diese Nachrichten erhielt und mit den eingebetteten Links interagierte, wurde sein Gerät mit der Pegasus-Spyware infiziert. Einmal installiert, gewährte die hochentwickelte Malware den Angreifern umfassenden Zugriff auf sein digitales Leben – Nachrichten, E-Mails, Fotos, Standortdaten und sogar die Möglichkeit, das Mikrofon und die Kamera ohne sein Wissen aus der Ferne zu aktivieren.

Pegasus arbeitet mit sogenannten „Zero-Click“- und „One-Click“-Exploits. Zero-Click-Angriffe erfordern keinerlei Benutzerinteraktion, während One-Click-Varianten darauf angewiesen sind, dass das Ziel auf einen Link tippt oder eine Datei öffnet. Der KINGDOM-Operator schien One-Click-Methoden anzuwenden und manipulierte Nachrichten mit bösartigen URLs an Al-Masarir und andere Ziele zu senden.

Diese Art der Überwachung geht weit über einfaches Monitoring hinaus. Sie verwandelt ein persönliches Gerät effektiv in eine tragbare Abhörstation, die private Gespräche aufzeichnet, Bewegungen in Echtzeit verfolgt und intime Details über Beziehungen, geschäftliche Angelegenheiten und tägliche Routinen sammelt.

Die umstrittene Rolle der NSO Group

Die NSO Group, das israelische Unternehmen hinter Pegasus, behauptet seit langem, dass sie ihre Technologie ausschließlich an staatliche Geheimdienste und Strafverfolgungsbehörden für legitime Zwecke wie die Bekämpfung von Terrorismus und schwerer Kriminalität verkauft. Das Unternehmen gibt an, strenge Prüfverfahren und vertragliche Schutzmaßnahmen zu implementieren, um Missbrauch zu verhindern.

Zahlreiche Untersuchungen von Cybersicherheitsforschern, Journalisten und Menschenrechtsorganisationen haben jedoch einen weit verbreiteten Missbrauch von Pegasus dokumentiert. Die Ziellisten umfassten Journalisten, Menschenrechtsverteidiger, politische Oppositionsfiguren, Anwälte und sogar Staatsoberhäupter.

Die Enthüllungen über die Aktivitäten von KINGDOM ergänzen eine wachsende Zahl von Beweisen, die darauf hindeuten, dass sich die erklärten Schutzmaßnahmen der NSO Group als unzureichend erwiesen haben. Mehrere Regierungen haben Pegasus mutmaßlich nicht für legitime Sicherheitszwecke, sondern für politische Repression und transnationale Überwachung von Dissidenten eingesetzt.

Die NSO Group steht unter zunehmendem rechtlichem und kommerziellem Druck. Das Unternehmen wurde 2021 auf eine US-Handels-Blacklist gesetzt, und Apple hat rechtliche Schritte gegen das Unternehmen eingeleitet, weil es iPhone-Nutzer ins Visier genommen hat. Mehrere Länder haben Untersuchungen zum Einsatz von Pegasus auf ihrem Territorium eingeleitet.

Das breitere Muster transnationaler Repression

Der Fall Al-Masarir veranschaulicht ein besorgniserregendes Phänomen, das Sicherheitsexperten als transnationale Repression bezeichnen – autoritäre Regierungen, die über Grenzen hinweg agieren, um Dissidenten und Kritiker, die in demokratischen Ländern leben, zum Schweigen zu bringen, einzuschüchtern oder zu schädigen.

Digitale Überwachungstools wie Pegasus sind zu wichtigen Wegbereitern dieser Kampagnen geworden. Sie ermöglichen es Regierungen, detaillierte Informationen über Diaspora-Gemeinschaften zu sammeln, ohne die Komplikationen und diplomatischen Risiken des Einsatzes physischer Agenten. Die durch Spyware gewonnenen Informationen können dann als Grundlage für traditionellere Schikanen dienen, einschließlich Drohungen gegen Familienmitglieder im Heimatland, Verleumdungskampagnen oder sogar physische Gewalt.

Das Gericht hörte Beweise dafür, dass saudi-arabische Agenten Al-Masarir physisch angriffen, was darauf hindeutet, dass die digitale Überwachung Teil einer integrierten Einschüchterungsstrategie war. Dies spiegelt Muster wider, die bei anderen prominenten saudi-arabischen Kritikern beobachtet wurden, insbesondere beim Journalisten Jamal Khashoggi, der 2018 im saudi-arabischen Konsulat in Istanbul ermordet wurde.

Freedom House, eine Organisation für Demokratie und Menschenrechte, hat hunderte Fälle transnationaler Repression in Dutzenden von Ländern dokumentiert. Saudi-Arabien taucht in diesen Berichten regelmäßig auf, neben Ländern wie China, Russland, Iran und Ruanda.

Rechtliche und technische Auswirkungen

Das Urteil über 3 Millionen Pfund gegen Saudi-Arabien könnte wichtige Präzedenzfälle schaffen, um Regierungen für extraterritorial begangene Verletzungen digitaler Rechte zur Rechenschaft zu ziehen. Die Durchsetzung bleibt jedoch schwierig. Doktrinen der staatlichen Immunität schützen Regierungen oft vor Klagen vor ausländischen Gerichten, obwohl Ausnahmen für bestimmte Kategorien von Schäden bestehen.

Aus technischer Sicht unterstreicht der Fall die dringende Notwendigkeit einer robusten Sicherheit für Mobilgeräte. Apple und Google haben verschiedene Schutzmaßnahmen gegen Spyware implementiert, darunter Sicherheitsupdates, die ausgenutzte Schwachstellen beheben, und neue Betriebssystemfunktionen zur Erkennung verdächtiger Aktivitäten.

Sicherheitsforscher empfehlen Personen mit erhöhtem Risiko mehrere praktische Schritte:

Regelmäßige Geräteneustarts: Viele Pegasus-Infektionen bleiben nach einem Neustart nicht bestehen und erfordern eine Neuinfektion. Tägliches Neustarten kann die Überwachung unterbrechen.

Blockierungsmodus (Lockdown Mode): Apples iOS 16 und neuere Versionen enthalten einen Blockierungsmodus, der viele Angriffsvektoren deaktiviert, die von hochentwickelter Spyware genutzt werden. Android bietet ähnliche Härtungsoptionen an.

Zeitnahe Updates: Sicherheits-Patches beheben oft Schwachstellen, die von Spyware ausgenutzt werden. Die Installation von Updates innerhalb weniger Tage nach der Veröffentlichung reduziert das Expositionsfenster erheblich.

Getrennte Geräte: Hochrisikopersonen sollten in Erwägung ziehen, separate Geräte für sensible Kommunikation zu nutzen und verschlüsselte Messaging-Apps auf einem speziellen Telefon zu verwenden, das außer bei Bedarf offline bleibt.

Professionelle Forensik: Organisationen wie Amnesty International und Citizen Lab bieten Dienste zur Erkennung von Spyware für gefährdete Aktivisten und Journalisten an.

Was dies für digitale Rechte bedeutet

Das Al-Masarir-Urteil fällt in eine Zeit wachsender internationaler Aufmerksamkeit für die Branche der Söldner-Spyware. Das Europäische Parlament hat einen Untersuchungsausschuss eingesetzt, um den Einsatz von Pegasus innerhalb der EU-Mitgliedstaaten zu untersuchen. Die Vereinigten Staaten haben diplomatische Maßnahmen ergriffen, einschließlich Visabeschränkungen für Personen, die an der missbräuchlichen Verwendung kommerzieller Spyware beteiligt sind.

Mehrere Länder erwägen oder haben bereits Gesetze erlassen, um den Handel mit Spyware einzuschränken. Die Branche operiert jedoch in einer regulatorischen Grauzone, wobei Unternehmen oft in Gerichtsbarkeiten mit geringer Aufsicht registriert sind, während sie ihre Geschäfte weltweit abwickeln.

Menschenrechtsorganisationen fordern ein globales Moratorium für den Verkauf und die Weitergabe von Überwachungstechnologie, bis robuste internationale Schutzmaßnahmen etabliert werden können. Sie verweisen auf Fälle wie den von Al-Masarir als Beweis dafür, dass die derzeitigen Exportkontrollen und Compliance-Programme der Unternehmen versagt haben, systematischen Missbrauch zu verhindern.

Der Markt für kommerzielle Spyware bleibt lukrativ; Schätzungen gehen davon aus, dass er jährlich Milliarden von Dollar generiert. Neben der NSO Group bieten zahlreiche Wettbewerber ähnliche Funktionen an, darunter Unternehmen mit Sitz in Europa, Nordamerika und anderen Regionen. Einige agieren diskreter und entziehen sich der öffentlichen Aufmerksamkeit, die die NSO Group ereilt hat.

Praktische Tipps für Aktivisten und Journalisten

Wenn Sie als Aktivist, Journalist oder in einer Funktion arbeiten, die Sie zum Ziel staatlicher Überwachung machen könnte:

Gehen Sie von einer Kompromittierung aus: Handeln Sie unter der Annahme, dass Ihre primären Geräte überwacht werden könnten. Nutzen Sie diese Annahme, um Ihre Sicherheitsstrategie zu gestalten.

Kompartimentierung: Trennen Sie Ihre sensibelste Arbeit von der Alltagskommunikation. Verwenden Sie verschiedene Geräte, Konten und Netzwerke für unterschiedliche Risikostufen.

Bauen Sie Community-Unterstützung auf: Vernetzen Sie sich mit Trainern für digitale Sicherheit und Organisationen, die auf den Schutz von Hochrisikopersonen spezialisiert sind. Ressourcen wie die Electronic Frontier Foundation, Access Now und Front Line Defenders bieten Orientierung.

Dokumentieren Sie Vorfälle: Führen Sie detaillierte Aufzeichnungen über verdächtige Nachrichten, ungewöhnliches Geräteverhalten oder physische Belästigungen. Diese Dokumentation kann in Gerichtsverfahren entscheidend sein.

Holen Sie rechtlichen Rat ein: Informieren Sie sich über Ihre Rechte in Ihrem Wohnsitzland und prüfen Sie, ob rechtliche Möglichkeiten bestehen, die Täter zur Rechenschaft zu ziehen.

Priorisieren Sie die psychische Gesundheit: Ziel einer hochentwickelten Überwachung zu sein, verursacht legitimen psychischen Schaden, wie das Gericht im Fall Al-Masarir anerkannte. Suchen Sie sich entsprechende Unterstützung.

Der Ghanem Al-Masarir zugesprochene Schadenersatz in Höhe von 3 Millionen Pfund stellt mehr als eine finanzielle Entschädigung dar. Er ist eine Anerkennung der tiefgreifenden Verletzung, die staatlich geförderte Spyware dem Einzelnen zufügt, und ein Signal, dass Gerichte in demokratischen Ländern autoritäre Regierungen für Verletzungen digitaler Rechte zur Rechenschaft ziehen können – selbst wenn diese Regierungen aus Tausenden von Kilometern Entfernung agieren.

Quellen

• Amnesty International Security Lab - Pegasus Project investigations and technical analyses
• Citizen Lab, University of Toronto - Research publications on NSO Group and Pegasus spyware
• Freedom House - "Out of Sight, Not Out of Reach" report series on transnational repression
• Electronic Frontier Foundation - Documentation of commercial spyware cases
• Apple Security Research - Technical details on spyware exploits and protections
• The Guardian, The Washington Post, BBC News - Reporting on Saudi surveillance campaigns and NSO Group
• European Parliament Committee of Inquiry on Pegasus - Official proceedings and findings