Digitale Spionage gegen das EU-Parlament ist keine Theorie mehr, sondern forensisch belegt: Auf dem iPhone eines Abgeordneten, der die Spyware-Abwehr des Parlaments mit aufklären sollte, fand das Citizen Lab die Schadsoftware Pegasus. Für Behörden und Unternehmen im DACH-Raum zeigt der Fall, dass staatsnahe Überwachungstechnik längst auch demokratische Institutionen trifft.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Am 21. Oktober 2022, um 10:16 Uhr, lag der frühere griechische Europaabgeordnete Stelios Kouloglou im Krankenhaus, als sein Telefon infiziert wurde. Kouloglou saß im PEGA-Ausschuss, der genau diese Art von Überwachung untersuchen sollte. Ausgerechnet während der heißen Phase der Ausschussarbeit lasen fremde Betreiber mutmaßlich mit.

Das Wichtigste in Kürze

  • Das Citizen Lab wies auf dem iPhone des Ex-Abgeordneten Stelios Kouloglou die Pegasus-Spyware von NSO Group nach, mit Infektionen im Oktober 2022 sowie im März 2023.
  • Der Angriff lief per Zero-Click-Exploit „PWNYOURHOME“ über HomeKit und den Nachrichtendienst, ganz ohne Zutun des Opfers.
  • Die Forscher schreiben die Tat keinem konkreten Staat zu und entlasten die griechische Regierung ausdrücklich.
  • Für den DACH-Raum verschärft NIS2 die Pflichten, staatsnahe Spyware gehört ins Risikomodell von Behörden und Unternehmen.

Wie funktioniert ein Zero-Click-Angriff mit Pegasus?

Marmorne Pegasus-Statue, orange markierter Flügel, Zettel „Nicht anfassen“ auf Sockel
Pegasus infiltriert iPhones über manipulierte HomeKit-Daten und Nachrichten-App ohne Nutzeraktion oder sichtbare Spuren

Pegasus nutzte einen Zero-Click-Exploit namens PWNYOURHOME: Der Angriff lief über einen manipulierten HomeKit-Datensatz und anschließend über den Nachrichtendienst des iPhones, ohne dass Kouloglou etwas anklicken musste. Das Opfer bemerkte nichts.

Zero-Click bedeutet, dass kein Fehlklick nötig ist. Klassische Phishing-Regeln greifen hier nicht, weil die Infektion ohne jede Nutzeraktion abläuft. Betroffen war laut Bericht iOS 15.5, Apple schloss die HomeKit-Lücke erst mit iOS 16.3.1.

Nach der Infektion greift Pegasus praktisch alles ab: Nachrichten, Standort, Mikrofon und Kamera. Im Fall Kouloglou fielen die Zeitpunkte mit der Vorbereitung der Ausschuss-Anhörungen und der finalen Berichtsphase zusammen. Damit standen vertrauliche Beratungen des Parlaments offen.

Pegasus im EU-Parlament: der Fall in Zahlen
Forensische Befunde des Citizen Lab zur Ausspähung eines PEGA-Ausschussmitglieds

2
bestätigte Pegasus-Infektionen des iPhones, im Oktober 2022 und im März 2023

0
Klicks nötig: Der Zero-Click-Exploit PWNYOURHOME lief ohne Zutun des Opfers

6
weitere Europaabgeordnete waren laut Bericht bereits Ziel von Spyware

Zeitleiste der Ausspähung

21. Okt 2022
Erste Infektion mit Pegasus, während der Abgeordnete im Krankenhaus lag
6.–7. März 2023
Zweite Infektion in der finalen Berichtsphase des PEGA-Ausschusses
Mai 2026
Forensische Analyse des iPhones legt die Kompromittierung offen
3. Juli 2026
Citizen Lab veröffentlicht Report 194 zum Fall

Wer steckt hinter dem Angriff auf das EU-Parlament?

Das Citizen Lab schreibt die Infektionen keinem bestimmten Staat zu und betont, Hinweise auf eine Verantwortung der griechischen Regierung fehlten. Eine technische Spur verweist jedoch auf einen Betreiber mit Lizenz für mehrere EU-Länder.

Die Forscher fanden eine Überschneidung: Dieselbe HomeKit-Adresse tauchte in einer früheren Kampagne gegen russisch- und belarussischsprachige Exiljournalisten in Europa auf. Ein Betreiber mit Lizenz für mehrere Staaten liegt daher nahe. Der Bericht formuliert vorsichtig, ohne Beleg keine Zuschreibung.

Der Fall reiht sich in eine lange Kette. Beim CatalanGate traf Pegasus mehrere spätere PEGA-Mitglieder, in Griechenland spähte die Predator-Software Journalisten und Politiker aus. Auch die französische Abgeordnete Nathalie Loiseau und der deutsche Abgeordnete Daniel Freund, letzterer mit der Candiru-Spyware, gerieten bereits ins Visier.

Was bedeutet der Fall für Behörden und Unternehmen im DACH-Raum?

Staatsnahe Spyware bedroht auch Firmen und Verwaltungen im DACH-Raum. Verantwortliche für schützenswerte Daten oder politische Kontakte sollten den iOS-Sperrmodus, ein zentrales Gerätemanagement und feste Update-Fristen einsetzen. NIS2 macht solche Vorkehrungen für viele Unternehmen zur Pflicht.

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz ohne Übergangsfrist. Rund 29.500 Unternehmen aus 18 Sektoren müssen Risikomanagement, Meldepflichten und Mehr-Faktor-Authentifizierung nachweisen. Geschäftsleitung, Rechtsabteilung oder Betriebsrat mit sensiblen Verhandlungen gehören zur potenziellen Zielgruppe.

Konkret helfen wenige Schritte. Der iOS-Sperrmodus reduziert die Angriffsfläche gegen genau solche Exploits deutlich. Ein zentrales Gerätemanagement erzwingt zeitnahe Updates, denn die genutzte Lücke war zum Angriffszeitpunkt bereits gepatcht. Awareness-Training, Zwei-Faktor-Authentifizierung und ein klarer Meldeweg runden die Basis ab. Grundlagen dazu bündeln wir in unseren Cybersecurity-Grundlagen.

Spionagesoftware zielt nicht nur auf Regierungen, sondern auf jeden, der brisante Informationen verwaltet.

Der Handel mit Daten flankiert das Problem. Der US-Bundesstaat Virginia hat den Verkauf von Standortdaten verboten, weil solche Datensätze Zielpersonen aufspürbar machen. Warum Cybersecurity auf die oberste Führungsebene gehört, zeigen wir im Beitrag Cybersecurity ist Chefsache.

Mehr Newshunger?

4,1 16 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?