Digitale Spionage gegen das EU-Parlament ist keine Theorie mehr, sondern forensisch belegt: Auf dem iPhone eines Abgeordneten, der die Spyware-Abwehr des Parlaments mit aufklären sollte, fand das Citizen Lab die Schadsoftware Pegasus. Für Behörden und Unternehmen im DACH-Raum zeigt der Fall, dass staatsnahe Überwachungstechnik längst auch demokratische Institutionen trifft.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenAm 21. Oktober 2022, um 10:16 Uhr, lag der frühere griechische Europaabgeordnete Stelios Kouloglou im Krankenhaus, als sein Telefon infiziert wurde. Kouloglou saß im PEGA-Ausschuss, der genau diese Art von Überwachung untersuchen sollte. Ausgerechnet während der heißen Phase der Ausschussarbeit lasen fremde Betreiber mutmaßlich mit.
Das Wichtigste in Kürze
- Das Citizen Lab wies auf dem iPhone des Ex-Abgeordneten Stelios Kouloglou die Pegasus-Spyware von NSO Group nach, mit Infektionen im Oktober 2022 sowie im März 2023.
- Der Angriff lief per Zero-Click-Exploit „PWNYOURHOME“ über HomeKit und den Nachrichtendienst, ganz ohne Zutun des Opfers.
- Die Forscher schreiben die Tat keinem konkreten Staat zu und entlasten die griechische Regierung ausdrücklich.
- Für den DACH-Raum verschärft NIS2 die Pflichten, staatsnahe Spyware gehört ins Risikomodell von Behörden und Unternehmen.
Wie funktioniert ein Zero-Click-Angriff mit Pegasus?

Pegasus nutzte einen Zero-Click-Exploit namens PWNYOURHOME: Der Angriff lief über einen manipulierten HomeKit-Datensatz und anschließend über den Nachrichtendienst des iPhones, ohne dass Kouloglou etwas anklicken musste. Das Opfer bemerkte nichts.
Zero-Click bedeutet, dass kein Fehlklick nötig ist. Klassische Phishing-Regeln greifen hier nicht, weil die Infektion ohne jede Nutzeraktion abläuft. Betroffen war laut Bericht iOS 15.5, Apple schloss die HomeKit-Lücke erst mit iOS 16.3.1.
Nach der Infektion greift Pegasus praktisch alles ab: Nachrichten, Standort, Mikrofon und Kamera. Im Fall Kouloglou fielen die Zeitpunkte mit der Vorbereitung der Ausschuss-Anhörungen und der finalen Berichtsphase zusammen. Damit standen vertrauliche Beratungen des Parlaments offen.
Zeitleiste der Ausspähung
Wer steckt hinter dem Angriff auf das EU-Parlament?
Das Citizen Lab schreibt die Infektionen keinem bestimmten Staat zu und betont, Hinweise auf eine Verantwortung der griechischen Regierung fehlten. Eine technische Spur verweist jedoch auf einen Betreiber mit Lizenz für mehrere EU-Länder.
Die Forscher fanden eine Überschneidung: Dieselbe HomeKit-Adresse tauchte in einer früheren Kampagne gegen russisch- und belarussischsprachige Exiljournalisten in Europa auf. Ein Betreiber mit Lizenz für mehrere Staaten liegt daher nahe. Der Bericht formuliert vorsichtig, ohne Beleg keine Zuschreibung.
Der Fall reiht sich in eine lange Kette. Beim CatalanGate traf Pegasus mehrere spätere PEGA-Mitglieder, in Griechenland spähte die Predator-Software Journalisten und Politiker aus. Auch die französische Abgeordnete Nathalie Loiseau und der deutsche Abgeordnete Daniel Freund, letzterer mit der Candiru-Spyware, gerieten bereits ins Visier.
Was bedeutet der Fall für Behörden und Unternehmen im DACH-Raum?
Staatsnahe Spyware bedroht auch Firmen und Verwaltungen im DACH-Raum. Verantwortliche für schützenswerte Daten oder politische Kontakte sollten den iOS-Sperrmodus, ein zentrales Gerätemanagement und feste Update-Fristen einsetzen. NIS2 macht solche Vorkehrungen für viele Unternehmen zur Pflicht.
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz ohne Übergangsfrist. Rund 29.500 Unternehmen aus 18 Sektoren müssen Risikomanagement, Meldepflichten und Mehr-Faktor-Authentifizierung nachweisen. Geschäftsleitung, Rechtsabteilung oder Betriebsrat mit sensiblen Verhandlungen gehören zur potenziellen Zielgruppe.
Konkret helfen wenige Schritte. Der iOS-Sperrmodus reduziert die Angriffsfläche gegen genau solche Exploits deutlich. Ein zentrales Gerätemanagement erzwingt zeitnahe Updates, denn die genutzte Lücke war zum Angriffszeitpunkt bereits gepatcht. Awareness-Training, Zwei-Faktor-Authentifizierung und ein klarer Meldeweg runden die Basis ab. Grundlagen dazu bündeln wir in unseren Cybersecurity-Grundlagen.
Spionagesoftware zielt nicht nur auf Regierungen, sondern auf jeden, der brisante Informationen verwaltet.
Der Handel mit Daten flankiert das Problem. Der US-Bundesstaat Virginia hat den Verkauf von Standortdaten verboten, weil solche Datensätze Zielpersonen aufspürbar machen. Warum Cybersecurity auf die oberste Führungsebene gehört, zeigen wir im Beitrag Cybersecurity ist Chefsache.
Mehr Newshunger?
- Cybersecurity-Grundlagen 2026: Was KMU jetzt umsetzen müssen
- Die unsichtbare Gefahr: Warum Cybersecurity Chefsache ist
- Virginia verbietet den Verkauf von Standortdaten
- NSA schwächt den ML-KEM-Standard? Was das für Post-Quanten-Kryptografie bedeutet
- Tarnkappe oder Aluhut? Was VPNs können, und was nicht
- 2FA: Zwei-Faktor-Authentifizierung im Überblick