Die Akte Pegasus E-Book

Laurent Richard / Sandrine Rigaud

Die Akte Pegasus

Wie die Spionagesoftware Privatsphäre, Pressefreiheit und Demokratie attackiert

Knaur eBooks

Über dieses Buch

Inhaltsübersicht

Vorwort: Cyberangriff auf die Demokratie

Einleitung

Kapitel 1: Die Liste

Kapitel 2: »Ich verlasse mich darauf, dass ihr es für mich zu Ende bringt«

Kapitel 3: Erste Schritte

Kapitel 4: Plaza del Mercado

Kapitel 5: Leben und sterben auf dem freien Markt

Kapitel 6: Versuchung

Kapitel 7: »Der erste Kreis schließt sich«

Kapitel 8: »Unsere Zeit und unsere Ressourcen sind begrenzt«

Kapitel 9: »In eine positive Richtung«

Kapitel 10: Drei Tage im März

Kapitel 11: »Aus Mangel an gebührendem Respekt vor dem König«

Kapitel 12: »Fragil, rar und notwendig«

Kapitel 13: »Ein paar Dinge, die ihr bislang übersehen hattet«

Kapitel 14: Was gar nicht geht

Kapitel 15: »Neue Techniken«

Kapitel 16: »Ein sehr wichtiger Strang unserer Nachforschungen«

Kapitel 17: »Es geht nicht nur um mich«

Kapitel 18: Die Wahl zwischen Interessen und Werten

Kapitel 19: »Das wird groß«

Kapitel 20: »Wir rollen«

Kapitel 21: »Jetzt passiert es wirklich«

Epilog

Dank

Vorwort

Cyberangriff auf die Demokratie

Frederik Obermaier und Bastian Obermayer1

Alle Telefone bitte draußen abgeben«, wiederholen Sandrine Rigaud und Laurent Richard an einem Wintertag Anfang März 2021 in Paris immer wieder, geduldig und freundlich, aber doch sehr bestimmt. Wir befinden uns in einem fensterlosen Konferenzraum der Zeitung Le Monde, wohin die beiden uns und gut zwanzig weitere Kolleginnen und Kollegen der Washington Post, der Zeit und von Le Monde im Namen der Non-Profit-Redaktion Forbidden Stories eingeladen haben. Aber eben zu speziellen Bedingungen, und die erklären die beiden Franzosen wieder und wieder: »Alle Handys, alle Smartwatches, alle normalen Laptops müssen bitte draußen bleiben.«

Wir folgen ihren Anweisungen, natürlich, auch wenn wir kurz zucken. Denn wenn wir Sie zu Beginn einmal kurz in den Alltag von recherchierenden Journalistinnen und Journalisten mitnehmen dürfen: Wir telefonieren mit unseren Smartphones und wir schreiben damit berufliche E-Mails, SMS und andere Kurznachrichten mit allen möglichen Chatprogrammen – manche, etwa Signal oder Threema, gelten als besonders sicher, weil sie verschlüsselt sind. Wir fotografieren mit unseren Telefonen auch entscheidende Belege, wir recherchieren mit Google, DuckDuckGo und anderen Seiten, wir lassen uns von Navigationsdiensten in fremden Städten zu Treffpunkten mit Quellen führen. Gespräche mit Informanten nehmen wir mit unseren Handys auf, die Aufnahmen speichern wir oft gleich in der Cloud – dann haben auch unsere Kolleginnen und Kollegen direkten Zugang. Das ist nur ein Klick, denn natürlich sind unsere Telefone mit zig Clouds verbunden, genauso, wie sie selbstverständlich mit unseren Laptops verbunden sind, mit unseren Smartwatches und mit unseren Autos.

All das machen wir nicht, weil wir davon so unheimlich überzeugt wären. Sondern weil jeder einzelne Dienst uns vor allem eines spart: Zeit. Das ist die eine Ressource, von der wir immer zu wenig haben, für jede Recherche, jedes Thema, jeden Informanten. Dabei ist Zeit der Schlüssel: Mit viel Zeit findet man mehr heraus als mit wenig Zeit. Immer immer immer.

Deswegen sind Smartphones unerlässliche Begleiter von Journalistinnen und Journalisten. Sie sind Telefon, Schreibmaschine, Notizblock, Telefonbuch und Stadtplan in einem. Ohne sie wären wir aufgeschmissen.

Eine Recherche ohne Handy? Unvorstellbar. Bis zu jenem Tag im März 2021 in Paris.

Aber ein besonderes Projekt erfordert manchmal besondere Maßnahmen, und wenn Forbidden Stories zu einem Treffen lädt, dann wissen wir: Es ist nicht nur besonders, es ist vor allem auch wichtig. Weil es um Leben und Tod geht.

Der Kern der Idee, für die Laurent Richard 2017 Forbidden Stories gründete, war immer: mit kollaborativen, grenzüberschreitenden Methoden die Recherchen von Journalistinnen und Journalisten fortzusetzen, die wegen ihrer Arbeit ermordet oder inhaftiert worden waren.

Klingt hart. Ist es auch.

Leider ist es aber dringend notwendig – selbst wenn die Dramatik sich aus deutscher Sicht womöglich nicht auf den ersten Blick erschließen mag. Aber allein im Jahr 2021 wurden nach UNESCO-Angaben 55 Journalistinnen, Journalisten und andere Medienschaffende ermordet, und auch in Deutschland werden die Drohungen lauter und schärfer. Regelmäßig werden Kollegen mittlerweile von Impfgegnern, Russlandfans, Rechtsextremen oder anderen Extremisten angegriffen.

Wir kennen Laurent Richard seit Herbst 2016, als er seinen Job beim französischen Fernsehen für ein Fellowship an der University of Michigan ruhen ließ, um in Ann Arbor ein Jahr lang an einer Idee zu arbeiten – der Idee für Forbidden Stories. Dort traf er einen von uns (Bastian Obermayer), und wir drei kamen anschließend ins Gespräch über investigative Gruppenrecherchen und wie wir seiner Idee helfen könnten. Wir hatten damals gerade von Deutschland aus die Panama-Papers-Recherchen koordiniert und dabei reichlich Erfahrungen mit großen, grenzüberschreitenden Recherche-Teams gemacht. Am Ende arbeiteten wir mit mehr als 400 Kolleginnen und Kollegen von allen Kontinenten zusammen, um Dokumente aus dem Innersten eines verrufenen Anbieters von Briefkastenfirmen auszuwerten.

Nach Laurents Rückkehr aus den USA im Sommer 2017 gründete er Forbidden Stories, und als im Herbst 2017 dann die maltesische Investigativjournalistin Daphne Caruana Galizia, die auch zu den Panama Papers recherchiert hatte, mit einer heimlich an ihrem Mietauto angebrachten Bombe in die Luft gesprengt wurde, stand der erste Ernstfall an: Gemeinsam recherchierten wir im Rahmen des »Daphne-Projekts« das, was die ermordete Kollegin nicht hatte vollenden können. Und wo wir schon dabei waren, recherchierten wir – insbesondere Jacob Borg von der Times of Malta und Stephen Grey von der Nachrichtenagentur Reuters – auch die Umstände und die Hintergründe dieses brutalen Mordes. Weitere Recherche-Projekte folgten, sie galten Morden an Kolleginnen und Kollegen in Mexiko oder Indien sowie der höchst fragwürdigen Inhaftierung unseres marokkanischen Kollegen Omar Radi.

Dieses Mal würde sich Forbidden Stories allerdings nicht mit Bomben befassen, sondern mit einer digitalen Waffe: einer Spähsoftware namens Pegasus. Einmal auf dem Handy installiert, erlaubt die Technologie des israelischen Überwachungssoftwareherstellers NSO es, heimlich sämtliche Gespräche mitzuhören und alle Nachrichten mitzulesen. Ob sie nun verschlüsselt sind oder nicht. Mit dieser Methode können die Überwacher in die Telefone und damit in die Privatsphäre von Tausenden Menschen eindringen und heimlich auf sämtliche dort gespeicherten E-Mails, Fotos, Dokumente oder Nachrichten zugreifen. Sie können sogar aus der Entfernung die Mikrofone der Handys einschalten und live mithören. Denn Pegasus macht jedes Handy zur Wanze. Eine beängstigende Vorstellung – und das ist auch dem Pegasus-Hersteller NSO bewusst.

Immer wieder betonte der damalige NSO-Boss Shalev Hulio in Interviews, dass seine Firma nur an die Guten liefere: an Terrorismus-Bekämpfer, die Jäger von Pädophilen und anderen Verbrechern. Letztlich sei NSO auf der Seite der Guten, weil die Firma geholfen habe, ungezählte Verbrechen zu verhindern, erzählte Hulio oft in kleinen Runden. Ihre Kunden seien ausschließlich Staaten. An Privatleute verkaufe er nicht.

Nicht auszumalen, was mit einer Waffe wie Pegasus alles angerichtet werden könne, wenn sie in die falschen Hände geriete.

Genau darum geht es aber in dem Konferenzraum von Le Monde, wo Forbidden Stories im Frühjahr 2021 das Treffen arrangiert hat. Sandrine Rigaud und Laurent Richard sind an Daten gelangt, die auf etwas Ungeheuerliches hindeuten: Unrechtsstaaten in aller Welt hören mithilfe der invasiven, aber unsichtbaren und vor allem kaum zu entdeckenden Pegasus-Technologie die Telefone von Oppositionellen, Menschenrechtsaktivisten und eben Journalisten ab. Schon vor dem Treffen haben Sandrine und Laurent uns in kleiner Runde bei einem Treffen in Berlin einen ersten Blick in die Daten werfen lassen. Und wir haben, nachdem wir die Systematik verstanden haben, schnell eine dunkle Ahnung: Es könnten auch befreundete Journalistinnen und Journalisten betroffen sein. Zum Beispiel solche, mit denen wir an den Panama Papers recherchiert haben.

Das Einsammeln unserer Handys in einer Plastikbox mit ausreichend Abstand zu dem Versammlungsraum ist in diesem Sinne Notwehr. Denn wir wollen diesem ungeheuerlichen Verdacht gegen NSO nachgehen. Und es ist klar: Wenn wir solche Vorwürfe erheben, brauchen wir Beweise. Wir müssen die heimlichen Nutzer von Pegasus auf frischer Tat ertappen, beziehungsweise: auf den Handys. Und das geht selbstverständlich nur, wenn sie von unserem Unterfangen nichts wissen. Also ohne Handys. Um digitale Hochtechnologie aufzuspüren, gehen wir back to the roots und arbeiten wie damals unsere Kolleginnen und Kollegen in der Zeit vor Smartphones und Computern.

Ganz ehrlich: Für die Zeit des gemeinsamen Treffens in Paris ist das handylose Dasein seltsam, aber kein großes Ding.

Schwierig wird es danach. Denn es folgen etliche Monate, in denen wir unsere Arbeit ohne all die eingangs genannten Geräte verrichten müssen – und das ist ein logistischer Albtraum. Wie über die Ferne miteinander Fälle und Recherchen diskutieren, wenn wir keine Telefone nutzen dürfen? Wie E-Mails schreiben, wenn wir unsere Computer nicht nutzen dürfen? Und wie sollen wir ohne hilfreiche Apps zu teils abgelegenen Orten finden, um Quellen zu treffen?

Tatsächlich haben Laurent und Sandrine mithilfe der Cyberspezialisten der Menschenrechtsorganisation Amnesty International einen Plan erarbeitet: Wir müssen einen vollkommen getrennten, parallelen Technik-Kosmos errichten, in dem wir auf speziell gesicherten Laptops und mit speziell aufgesetzten Telefonen anonym und ohne Verbindung zu unseren tatsächlichen digitalen Persönlichkeiten recherchieren, uns austauschen, schreiben und planen können. Wir dürfen uns nicht einmal in demselben Raum aufhalten, in dem unsere normalen Geräte waren.

Wir sind perplex.

Das alles ist unheimlich umständlich. Es ist unheimlich nervig. Es ist die Hölle. Aber es ist absolut notwendig.

Zu den Leuten, mit denen wir alle uns hier anlegen, gehören Männer wie Muhammad bin Raschid Al Maktum, der Herrscher aus Dubai, oder Ilham Alijew, der aserbaidschanische Diktator. Autokraten also aus Staaten, in denen missliebige Journalistinnen und Journalisten auch einfach mal verschwinden. Dass eine westliche Firma wie NSO ihnen modernste Überwachungstechnik zugänglich macht, ist, vorsichtig formuliert, sehr problematisch. Etwas weniger vorsichtig ausgedrückt ist es das Allerletzte.

Und tatsächlich finden wir mit unseren Kolleginnen und Kollegen spektakuläre Geschichten. So wurde beispielsweise der aktuelle Präsident des Europäischen Rates und ehemalige belgische Premierminister Charles Michel ebenso mit Pegasus ins Visier genommen wie Frankreichs Präsident Emmanuel Macron, die Präsidenten des Irak, von Südafrika und Algerien wie aktuelle und frühere Premiers von Ägypten, Kasachstan, Marokko, Pakistan, Uganda und des Jemen. Der Emir von Dubai setzte Pegasus im Scheidungsstreit gegen seine Ex-Frau und deren Anwälte ein – und zwar in Großbritannien, nicht etwa nur in Dubai. Auch Freunde, Familienangehörige und Kollegen des saudischen Kolumnisten Jamal Khashoggi wurden ins Visier genommen, bevor er 2018 von einem saudischen Killerteam in Istanbul ermordet, zerstückelt und in Müllsäcken entsorgt wurde.

Diese Funde sind alle wichtig, näher an unserem Herzen sind aber andere Spuren. In den Daten ist nämlich zum Beispiel auch unsere Kollegin Khadija Ismayilova zu finden, eine aserbaidschanische Rechercheurin, die gemeinsam mit uns etwa an den Panama Papers arbeitete. Khadija lebt anders als wir aber in einem Land, dessen autoritäre Führung kritische Recherchen unterdrückt. Sie recherchiert seit Jahren über Korruption in Regierungskreisen – und legte sich damit mit der Herrscherfamilie an. 2012 erreichte sie ein anonymer Brief, in dem ihr gedroht wurde, man werde sie »extrem bloßstellen«, sollte sie weiter recherchieren. Kurz darauf kursierte im Internet ein Video, das sie in intimen Situationen zeigte. Offenbar hatte jemand in ihrem Schlafzimmer heimlich eine Kamera installiert. Später musste sie wegen offensichtlich erfundener Vorwürfe sogar ins Gefängnis. Als wäre all das nicht schlimm genug, finden wir den Beleg, dass ihr Handy mit Pegasus-Software infiziert wurde – es ist der Beweis, dass die israelische Firma NSO dem aserbaidschanischen Unrechtsregime dabei hilft, unliebsame Stimmen verstummen zu lassen.

Ein anderer Kollege ist Jorge Carrasco, Chefredakteur des mexikanischen Magazins Proceso, der ebenfalls mit uns an den Panama Papers recherchierte. Carrasco allerdings in Mexiko, dem Land, in dem weltweit die meisten Journalisten ermordet werden: erstochen, stranguliert oder erschossen von Drogenkartellen und erbarmungslosen Auftragskillern. Die verdächtige Nachricht mit der Abhörsoftware erhielt Carrasco just in der Zeit nach seinen Panama-Papers-Veröffentlichungen – vermutlich kein Zufall.

Und dann stoßen wir noch auf Szabolcs Panyi, einen renommierten ungarischen Kollegen. Mit seinem Chef, András Pethő, arbeiten wir seit Jahren vertrauensvoll zusammen, unter anderem bei verschiedenen Projekten des International Consortium for Investigative Journalists (ICIJ), mit dem wir unter anderem die Panama Papers veröffentlicht haben. Szabolcs treffen wir später in Budapest in einem Hotel, und nachdem wir alle Handys und anderen Geräte ausgeschaltet und im Bad eingeschlossen haben, erzählen wir ihm von unserer Entdeckung. Er reagiert, wie wir auch reagieren würden – geschockt vom Eindringen der Behörden seines Heimatlandes, immerhin eines EU-Staates, in seine Privatsphäre und von dem Angriff auf die Pressefreiheit. Panyi ist auch sehr besorgt um seine Quellen, sie könnten alle aufgeflogen sein. Nicht auszumalen, was das für seine berufliche Zukunft bedeuten würde. Er braucht erst einige Zeit, dann schießt er Fragen um Fragen ab: Wann wurde er angegriffen? Was wurde von seinem Handy gezogen? Wie lange dauerte der Angriff? Wer ist verantwortlich?

Wir können noch längst nicht alles beantworten, aber die gemeinsame Recherche hat begonnen ...

Es ist ja so: Wir Journalisten sprechen gerne von der Distanz, die wir zu wahren haben. Aber hier wird es persönlich. Wenn Khadija, Jorge und Szabolcs mit digitaler Waffe angegriffen werden, ist das nicht nur eine Katastrophe auf verschiedenen Ebenen. Es bedeutet auch: Wir könnten die Nächsten sein. Jederzeit. Und wir würden es zunächst nicht einmal bemerken. In diesem Fall ließen auch wir unsere Geräte untersuchen und erhielten die frohe Botschaft, dass wir nicht mit Pegasus abgehört wurden.

Aber das ist nur eine Momentaufnahme, schon zwei Minuten später kann das Gegenteil der Fall sein, unbemerkt, ohne dass wir uns dagegen wehren können – weil die Abhörtechnik inzwischen derart fortgeschritten ist, dass man nicht einmal mehr auf einen Link klicken muss, um sich zu infizieren. Zero-Click-Infektion nennt man das dann – die klicklose Infektion des Geräts.

Klar, wir sind in Deutschland. Nicht in Aserbaidschan, nicht in Mexiko und auch nicht Ungarn, das zwar EU-Mitglied ist, aber von einem sich stetig weiter radikalisierenden Rechtspopulisten regiert wird.

Deutschland ist ein Land der wehrhaften Demokratie. Das bedeutet auch: Die Arbeit der Geheimdienste wird streng kontrolliert. Es gibt dafür ein eigenes Gremium des Bundestags, das in einem abhörsicheren Raum im Keller des Bundestags zusammentritt. Hinter verschlossenen Türen werden dort 13 Abgeordnete über Tätigkeit, Vorgehen und Ziele von Bundesnachrichtendienst BND, Verfassungsschutz und Militärischem Abschirmdienst (MAD) eingeweiht. Die Arbeit der Polizeibehörden wiederum wird im Innenausschuss kontrolliert.

Die Idee ist einfach: Unsere demokratisch legitimierten Abgeordneten sollen den Diensten auf die Finger schauen können und Stopp rufen, wenn diese Gesetze übertreten oder kurz davor sind, dies zu tun. Dafür erfahren die Volksvertreter sehr geheime Geheimnisse. Um dennoch das wichtige Tun der Dienste und die Aufklärung zu ermöglichen, dürfen die Abgeordneten allerdings in der Öffentlichkeit nicht darüber reden, was sie hinter den verschlossenen Türen erfahren.

Auch über Spionagewerkzeuge sollen die Abgeordneten informiert werden, anders als in autokratischen Staaten, wo Behörden tun und lassen können, was sie wollen. Also über Spionagewerkzeuge wie: Pegasus.

So zumindest die Theorie.

Denn während wir mit unseren Kolleginnen und Kollegen von der Zeit zum Einsatz von Pegasus in Ungarn, Dubai und Saudi-Arabien recherchieren, erfahren wir, dass auch etliche EU-Staaten Pegasus ankauften. Einer davon ist ausgerechnet die Bundesrepublik Deutschland.

So kauften sowohl das Bundeskriminalamt (BKA) als auch der Bundesnachrichtendienst (BND) die digitale Waffe ein. Gegen wen sie und wie oft sie bislang eingesetzt wurde, ist unklar. Wir können aber herausfinden, dass das BKA zum ersten Mal 2017 mit NSO verhandelte und sich die Fähigkeiten der Software vorführen ließ. Allerdings hatten die Juristen des BKA massive Bedenken. Pegasus, so die Sorge, sei schlicht zu mächtig – und deswegen mit dem in der deutschen Verfassung verbrieften Schutz der Grundrechte unvereinbar. Anstatt sich von der Idee komplett zu verabschieden, einigte sich das BKA am Ende aber trotzdem mit NSO. Geliefert wurde eine modifizierte Variante, die angeblich mit deutschem Recht konform sei: eine Art Pegasus light. Wie genau gewährleistet werden soll, dass keine Grundrechte verletzt werden, ist bis heute unklar – Experten bezweifeln sogar, dass dies technisch möglich sei. Trotzdem kam Pegasus im Frühjahr 2021 erstmals beim BKA zum Einsatz – und ist es vermutlich bis heute.

Um eines ganz klar zu sagen: Wir wollen nun nicht den Einsatz der Software in Deutschland gleichsetzen mit dem Tun der Regime in Afghanistan oder Saudi-Arabien. Natürlich nicht. Aber es ist schon eine diskussionswürdige Entscheidung der Bundesregierung, sich NSO als Partner auszusuchen, nachdem Journalistinnen und Journalisten aus aller Welt ausführlich berichteten, wie NSO Autokraten und Menschenrechtsverächtern hilft – und vor allem: wie der Missbrauch der Software nicht die Ausnahme, sondern eher die Regel zu sein scheint. Pegasus sei ein »Werkzeug repressiver Regierungen, um Debatten, Kritik und Journalismus zu unterdrücken«, sagte uns der ehemalige UN-Sonderberichterstatter David Kaye in einem Interview. Es gebe nur eine wirksame Antwort, so Kaye: »den Verkauf und die Weitergabe der Technologie zu stoppen«.

Deutschlands Behörden entschieden sich, genau das Gegenteil zu tun.

Besonders fragwürdig ist das Vorgehen, da die üblichen Kontrollmechanismen offenbar bewusst außer Kraft gesetzt wurden. Der Innenausschuss beispielsweise wurde über den Kauf erst nachträglich informiert. Ebenso lief es beim BND. Der deutsche Auslandsgeheimdienst setzte das Spionagetool ein, informierte das Parlamentarische Kontrollgremium aber zunächst offenbar nicht.

Entsprechend aufgebracht war die Opposition. »Ob in den Gremien des Parlaments oder bei ihren Antworten auf sehr konkrete Fragen von Abgeordneten – die Bundesregierung hat gemauert, wo es nur geht«, kritisierte der Geheimdienstexperte der Grünen, Konstantin von Notz. Die FDP forderte gar, die Überwachung durch Staatstrojaner zu stoppen. Mittlerweile sind beide Parteien – Grüne wie FDP – in der Regierung. Sie könnten den Einsatz von Pegasus und anderen ähnlichen Waffen beenden, oder zumindest einschränken. Erkennbar ist bisher aber noch nichts dergleichen.

Dabei steht viel auf dem Spiel. Jeder, dem das Wohl freier Gesellschaften am Herzen liegt, sollte mit sehr viel Vorsicht auf Firmen wie NSO schauen. Wenn man aus den vergangenen Jahrzehnten eine Lehre ziehen kann, dann ist es diese: Was technisch an Überwachung möglich ist, das wird auch eingesetzt. Erst nur vereinzelt, dann massenhaft. Und auch Unrechtsstaaten werden sich dieser Instrumente bedienen. Was auch immer die Intentionen anfangs gewesen sein mögen, dann wird es in diesen Staaten nur noch eine Richtung geben – den andauernden Terror für und die Unterdrückung von unliebsamen Meinungen.

Es ist das Verdienst von Laurent und Sandrine, unseren Freunden aus Paris, dass dieses Thema wieder so präsent ist und dass wir alle uns ein Stück weiter bewusst wurden, welche Gefahr dort lauert. Erst nur für manche von uns. Dann für alle.

Einleitung

Rachel Maddow

Es musste sich um etwas Dringendes handeln, denn es war schon fast Mitternacht in Tel Aviv, als am 5. August 2020 das Telefon klingelte, jemand aus der Geschäftsführung der NSO Group rief an. Cherie Blair, ehemalige First Lady des Vereinigten Königreichs, langjährige Anwältin, bekannte Unterstützerin weiblichen Unternehmertums in Afrika, Südasien und dem Nahen Osten, eine prominente Stimme für Menschenrechte in aller Welt, blieb nichts anderes übrig, als den Anruf entgegenzunehmen. Mrs Blair hatte kürzlich als bezahlte Beraterin bei der israelischen Firma NSO angeheuert, mit der Aufgabe, »den Aspekt der Menschenrechte in die geschäftlichen Aktivitäten der NSO einzubringen, nicht zuletzt auch in den Kundenbeziehungen und bei der Bereitstellung von NSO-Produkten«.

Das war, in ethischer Hinsicht, durchaus ein Drahtseilakt, denn das Vorzeigeprodukt der NSO, eine Cyberüberwachungssoftware namens Pegasus, war ein bemerkenswertes und bemerkenswert unreguliertes digitales Werkzeug – außerordentlich lukrativ für die Firma (der Umsatz in jenem Jahr lag bei 250 Millionen US-Dollar) und eine gefährliche Versuchung für ihre Kunden. Erfolgreich installiert, übernimmt Pegasus praktisch die Herrschaft über das betroffene Mobiltelefon, überwindet geräteinterne Sicherheitshürden, inklusive Verschlüsselungstechniken, und kann mit dem Gerät effektiv nach Belieben schalten und walten, ohne dass der eigentliche Nutzer auch nur etwas ahnt. Das gilt für jegliche eingehende und ausgehende Text- oder Sprachkommunikation, für Standortdaten, Fotos und Videos, Aufzeichnungen und Suchverläufe; selbst die Kamera und das Mikrofon können, für den Nutzer unbemerkt, eingeschaltet werden. Vollständige Fernüberwachung von Personen, auf Knopfdruck.

NSO versichert, Lizenzen für ihre Software und Supportleistungen würden nur an souveräne Staaten für den Einsatz in der Strafverfolgung und für nachrichtendienstliche Zwecke erteilt. Auf diese Feststellung legt die Firma großen Wert, denn – o Gott, o Gott – man stelle sich vor, es wäre anders!

Das digitale Überwachungssystem, das die Firma entwickelt hat und für ihre mehr als sechzig Kunden in über vierzig Ländern fortlaufend aktualisiert und ausbaut, habe die Welt zu einem sehr viel sichereren Ort gemacht, behauptet NSO. Zehntausende Leben seien gerettet worden, weil Terroristen, Kriminelle und Pädophile (Pädophilie ist in den vergangenen Jahren zu einem großen Thema für die Firma geworden) ausgespäht und aufgehalten werden können, bevor sie Gelegenheit haben zuzuschlagen. Die Zahlen sind unmöglich zu überprüfen, aber so wie NSO es darstellt, sind die Vorzüge von Pegasus, sofern innerhalb rechtlicher und ethischer Rahmenbedingungen eingesetzt, mehr oder weniger unbestreitbar. Wer möchte Kinderschändern nicht das Handwerk legen? Oder Terroristen? Wie könnte man dagegen sein?

»Hallo Kontrollzentrum, wir haben ein Problem«, das war in etwa die Botschaft, die Cherie Blair an jenem warmen Sommerabend im August 2020 übermittelt wurde.

»NSO hatte erfahren, dass ihre Software möglicherweise missbraucht worden war, um das Handy der Baroness Shackleton und das ihrer Mandantin, Ihrer Königlichen Hoheit Prinzessin Haya, zu überwachen«, erklärte Blair wenige Monate später während eines Gerichtsverfahrens in London. »Das Mitglied der Geschäftsleitung teilte mir mit, dass NSO darüber äußerst besorgt sei.«

Die Sorge der Firma schien eine doppelte zu sein, wie sich aus der Verhandlung vor dem Londoner Gericht ergab. Zum einen war es eine Frage der Reputation. Pegasus war sowohl gegen eine Frau eingesetzt worden, die zwei mächtigen Königsfamilien im Nahen Osten angehörte, als auch gegen ihre überaus gut vernetzte britische Anwältin, Baroness Fiona Shackleton. Shackleton war nicht nur eine angesehene Scheidungsanwältin für die Reichen und Berühmten, darunter Paul McCartney, Madonna, Prinz Andrew und Prinz Charles, sie war obendrein selbst Mitglied des britischen Oberhauses. Als noch problematischer für NSO stellte sich die Tatsache dar, dass es ein externer Experte für Cybersicherheit war, der die Angriffe auf die Baroness und die Prinzessin entdeckt hatte. Wenn er dieser speziellen Nutzungsmöglichkeit von Pegasus auf die Schliche gekommen war, was mochte er dann noch herausgefunden haben? Und wie viel von diesen Erkenntnissen würden an die Öffentlichkeit dringen?

Der Anrufer der NSO bat Cherie Blair, »umgehend Baroness Shackleton zu kontaktieren, damit sie Prinzessin Haya informieren könne«, so Blairs Zeugenaussage. »Das Mitglied der Geschäftsleitung sagte, sie hätten Vorkehrungen getroffen, die weitere Zugriffe auf die Handys verhindern würden.«

Näheres zu dem spätabendlichen Anruf bei Blair und zur Ausspähung der Prinzessin sickerte freilich erst über ein Jahr später durch und auch nur, weil es Gegenstand des Sorgerechtsverfahrens war zwischen Prinzessin Haya und ihrem Mann, Scheich Muhammad bin Raschid Al Maktum, Emir von Dubai und Premierminister der Vereinigten Arabischen Emirate. Der Präsident der Abteilung Familienrecht am High Court of Justice kam zu dem im Oktober 2021 veröffentlichten Ergebnis, dass die Mobiltelefone der Prinzessin, ihrer Anwältin, der Baroness, und vier weiterer Personen aus ihrem engsten Umfeld mit Spähsoftware angegriffen worden seien und dass »die eingesetzte Software NSOs Pegasus war«. Der Richter befand, es sei mehr als wahrscheinlich, dass die Ausspähung »von Bediensteten oder Beauftragten [des Ehemanns der Prinzessin, Scheich Muhammad bin Raschid Al Maktum], des Emirats Dubai oder der Vereinigten Arabischen Emirate durchgeführt« worden sei. Die Ausspähung, so der Richter, »fand mit ausdrücklicher oder stillschweigender Befugnis [des Scheichs] statt«.

Die Geschichte von der Prinzessin, der Baroness und Pegasus hätte nach nur wenigen Wochen in den Spalten der Klatschpresse versickern und kurz darauf ganz in Vergessenheit geraten können. Ein reicher und mächtiger Mann benutzte eine teure Software, um seiner Frau und deren Scheidungsanwältin hinterherzuspionieren? Na ja, wer einen Scheich heiratet und ihm dann dumm kommt, der muss ja wohl damit rechnen, dass ein paar schräge Sachen passieren können. Außerdem schien die Firma erhebliches Geschick bei der Schadensbegrenzung zu beweisen. In seiner Entscheidung akzeptierte das Gericht mehr oder weniger die Aussage der NSO, sie habe jede weitere Nutzung des Pegasus-Systems durch die Vereinigten Arabischen Emirate unmöglich gemacht, was das Unternehmen, wie der Richter vermerkte, »einen zweistelligen Dollarmillionenbetrag gekostet« habe. Und vielleicht stimmte das ja auch, aber wer kann das schon nachprüfen?

Dann aber, noch bevor das Klatschspaltenthema der Gerichtsverhandlung ruchbar wurde, passierte etwas Komisches. Denn gerade zu der Zeit, als Cherie Blair den Anruf aus Israel erhielt, bot eine sehr mutige Quelle zwei Journalisten aus Paris und zwei Cybersicherheitsexperten aus Berlin Zugang zu einem bemerkenswerten Korpus geleakter Daten an. Nicht, dass hier die Handynummern von einem oder zwei oder auch zehn Scheidungskandidaten aus den Emiraten oder vielleicht die von zwanzig oder fünfzig der Pädophilie oder des Drogenhandels Verdächtigen aufgeführt worden wären. Nein, es handelte sich um fünfzigtausend Handynummern, alle von Kunden dieser israelischen Firma namens NSO als mögliche Angriffsziele durch Pegasus markiert. Fünfzigtausend?

Was genau von dieser ursprünglichen Liste – dem entscheidenden ersten Blick in den Abgrund – zu halten war, ist eine Frage, deren Beantwortung fast ein Jahr in Anspruch nahm und nicht ohne großes Risiko und jede Menge Lauferei zu haben war. Die Antwort auf die Frage ist wichtig. Denn entweder ist dies ein Skandal, den wir als solchen begreifen und den wir in den Griff bekommen, indem wir Lösungen finden, oder dies ist die Zukunft für uns alle, ohne dass wir etwas dagegen tun können.

Dieses Buch blickt hinter die Kulissen des Pegasus-Projekts, und es wirft ein Licht auf die Bedeutung der geleakten Daten. Geschrieben wurde es von den beiden Journalisten, die Zugang zu der Liste von fünfzigtausend Handynummern erhielten, Laurent Richard und Sandrine Rigaud vom Reporter-Netzwerk Forbidden Stories. Mit dieser Liste in der Hand initiierten und koordinierten sie die internationale Zusammenarbeit von mehr als achtzig Investigativjournalisten von siebzehn Medienunternehmen auf vier Kontinenten, aus elf Zeitzonen und mit etwa acht verschiedenen Sprachen. »Es war ein Wunder, wie sie alles zusammengehalten haben«, sagt ein Redakteur des Guardian einem der Partner im Pegasus-Projekt. »Wir haben schätzungsweise 600 Journalisten. Die Washington Post ist vielleicht doppelt so groß. Und wenn dann so eine kleine Non-Profit-Organisation mit gerade mal einer Handvoll Mitarbeitern es schafft, ein weltweites Bündnis von Medienunternehmen zustande zu bringen und es nicht nur mit einer der mächtigsten Cyberüberwachungsfirmen der Welt aufzunehmen, sondern auch mit einigen der repressivsten und autoritärsten Regime der Welt, dann ist das wirklich beeindruckend.«

Im täglichen Hin und Her der amerikanischen Politik und der Berichterstattung darüber – mein Terrain – stößt man in der Tat äußerst selten auf eine Nachrichtenstory, die nicht nur einen aufregenden Thriller darstellt, sondern auch von potenziell verhängnisvoller Bedeutung ist. Hier geht es um ganz normale Zivilisten, die mit Überwachungswerkzeug nach Militärstandard aufs Korn genommen wurden – gegen ihren Willen, ohne ihr Wissen und ohne Regressmöglichkeit: Wir steuern unweigerlich auf eine dystopische Zukunft zu, wenn wir diese Bedrohung nicht wahrnehmen und etwas dagegen unternehmen. Die Geschichte des Pegasus-Projekts zeigt uns nicht nur, wie wir dem Einhalt gebieten können, sie ist darüber hinaus ein hoch spannendes Drama über die Helden, die den bösen Drachen aufspürten und dann auszogen, ihn zu töten. Mir selbst war es nie vergönnt, eine solche Story an Land zu ziehen, Laurent und Sandrine aber haben es wahrhaftig getan, und was sie zu erzählen haben, haut einen um.

Motor ihres Berichts, den Sie gleich lesen werden, ist die riskante Recherche selbst, von dem Moment in der zweiten Jahreshälfte 2020 an, da die beiden Zugang zur geleakten Liste erhielten, bis zur Veröffentlichung im Juli 2021. Aber er beinhaltet auch die Geschichte der Firma NSO, ihrer Nutznießer in der israelischen Regierung und ihrer Kundenstaaten, eine Geschichte, die den Leser mit auf eine Reise von Tel Aviv nach Mexiko-Stadt, nach Mailand, Istanbul, Baku, Riad, Rabat und noch weiter nimmt. Mit dem Aufstieg der Firma innerhalb von zehn Jahren – von der Gründung unter ungünstigsten Bedingungen über den anfänglich harten Konkurrenzkampf bis zur goldenen Ära größter Reichweite und Profitabilität – enthüllt sich die vollständige Geschichte der Entwicklung, der waffenfähigen Ausgestaltung und der blindwütigen Verbreitung einer gefährlichen und heimtückischen Technik. »Wenn man Waffen verkauft, sollte man sicherstellen, dass der Käufer jemand ist, der für sein Tun verantwortlich gemacht werden kann«, sagt ein junger israelischer Experte für Cybersicherheit. »Wenn man einem Polizeibeamten eine Pistole gibt, und dieser Polizist fängt plötzlich an, unschuldige Menschen zu erschießen, dann ist man daran nicht schuld. Aber wenn man einem Schimpansen eine Pistole gibt, und der Schimpanse erschießt dann jemanden, dann kann man nicht dem Schimpansen die Schuld geben. Stimmt’s? Dann hat man selber Schuld.« Sie werden feststellen, dass in dieser Geschichte haufenweise bewaffnete Schimpansen vorkommen. Und jede Menge Unschuldiger, die von der sprichwörtlichen Polizei unter Beschuss genommen werden.

Erzählt wird auch die Geschichte der anderen beiden Personen, denen neben Laurent und Sandrine uneingeschränkter Zugang zu den geleakten Daten gewährt wurde, nämlich Claudio Guarnieri und Donncha Ó Cearbhaill (O’Carroll ausgesprochen), zwei junge, unbeirrbare, eigensinnige Cybersicherheitsspezialisten vom Security Lab bei Amnesty International. Diese beiden Männer – der eine gerade mal über dreißig, der andere noch darunter – hatten im Rahmen des Pegasus-Projekts eine unfassbare Last zu schultern. Claudio und Donncha fiel die Aufgabe zu, die Sicherheitsprotokolle zu entwickeln und durchzusetzen, die dafür sorgten, dass die Recherche fast ein ganzes Jahr lang auch vor den aggressivsten und versiertesten Hackern geheim gehalten und die Quelle, die die Liste weitergegeben hatte, dauerhaft geschützt werden konnte.

Darüber hinaus oblag es Claudio und Donncha, die Spähsoftware auf den Handys aufzuspüren, die auf der geleakten Liste aufgeführt waren. Die heimtückische Macht des Pegasus-Virus lag darin, dass die Opfer nichts davon merkten – sie hatten schlicht keine Ahnung, dass die Übeltäter ihre Texte und E-Mails lasen, ihre Anrufe mithörten und sie sogar bei persönlichen Begegnungen belauschten, um am Ende mithilfe genauer Standortbestimmung auch Bewaffnete direkt dorthin schicken zu können. Den am Pegasus-Projekt beteiligten Journalisten war klar, dass es, um das ganze Ausmaß des Skandals abzubilden, gelingen musste, Infektionen oder versuchte Infizierungen auf einzelnen Mobiltelefonen nachzuweisen. Claudio und Donncha fanden einen Weg, das zu bewerkstelligen. Buchstäblich auf sich allein gestellt, nahmen die beiden es mit einer Multimilliarden-Dollar-Firma auf, die 550 gut bezahlte Computerspezialisten beschäftigte, darunter viele, die ein militärisches Cyberkriegstraining auf höchstem Niveau absolviert hatten. Um diesen Goliath zu bezwingen, mussten unsere zwei Davids sich ihre eigene Schleuder basteln, mussten auf die Schnelle die Methoden und Werkzeuge ihrer digitalen Forensik, ihrer Spurensicherung erfinden. Dass sie damit Erfolg hatten, war so unwahrscheinlich, wie es für unser aller Wohl von Bedeutung war.

Hier wird ebenso die Geschichte der Opfer von Pegasus erzählt. Zu ihnen gehören auch Personen, die mächtig genug sind, dass man meinen sollte, sie wären vor einem solch totalen Eindringen geschützt – Staatsoberhäupter, hochrangige Mitglieder von Königsfamilien, Spitzenpolitiker, Gesetzeshüter. Außerdem sind da aber noch diejenigen, die seit jeher von Regierungen in aller Welt gern ins Visier genommen werden: Oppositionelle, Dissidenten, Menschenrechtsaktivisten, Intellektuelle. Und natürlich stellen Laurent und Sandrine den Fokus besonders scharf auf diejenige Gruppe, die in den geleakten Daten am häufigsten vertreten ist: Journalisten.

Die unvergesslichsten Figuren in dieser Geschichte sind für mich Khadija Ismayilova aus Aserbaidschan und Omar Radi aus Marokko. Ihr außergewöhnlicher Mut ist bewundernswert, aber auch mit hohen Kosten verbunden. Ihr Beispiel illustriert, was für fatale persönliche Folgen Regierungskritiker in einem Zeitalter unregulierter Cyberüberwachung auf sich nehmen müssen, aber auch, wie dringend wir Investigativjournalisten brauchen.

Während antidemokratische und autoritäre Kräfte rund um die Welt stärker werden, wird zusehends deutlich, dass der Rechtsstaat einen schweren Stand hat gegen deren Bestrebungen, ebendieses Recht zu untergraben. Wenn wir in den vergangenen fünf Jahren eins gelernt haben, dann dies: Es wird keinen Ankläger auf einem weißen Pferd geben, kein makelloses Gerichtsverfahren, in dem ein heiliger Petrus in schwarzem Talar auf der Grundlage unanfechtbaren Wissens über die Sünden derer auf der Anklagebank die Himmelspforte öffnet oder aber zuschlägt. Sicher, mitunter kann das Recht etwas bewirken. Häufiger aber entzieht sich die Bedrohung einfach, überlistet das Gesetz oder ist ihm immer ein Stück voraus, und so bleibt uns nur die Erkenntnis, dass wir eine andere Art von Schutz benötigen. Immer und immer wieder ist es den Journalisten aufgegeben, die Tatsachen auf den Tisch zu legen: die von den Mächtigen praktizierte Korruption, Vetternwirtschaft, Ungesetzlichkeit und Brutalität.

Die mit dieser Arbeit verbundenen Gefahren sind real und wachsen stetig. Sehen wir einmal von den Premierministern, zukünftigen königlichen Ex-Gemahlinnen und anderen hochkarätigen Zielscheiben der NSO-Kunden ab, so sollte es uns nicht überraschen, dass Pegasus vornehmlich gegen Reporter und Redakteure eingesetzt wird, um sie zu drangsalieren, einzuschüchtern und mundtot zu machen. Wenn über diesen antidemokratischen, autoritären Albtraum nicht ohne Gefahr berichtet werden kann, wird er auch nicht aufgeklärt. Und wenn er nicht aufgeklärt wird, gibt es keine Möglichkeit, ihn zu beenden.

Wo ist Ihr Handy in diesem Moment? Dieses kleine Gerät in Ihrer Tasche dient Ihnen höchstwahrscheinlich als Terminkalender, als Stadtplan und Atlas, als Postamt, als Telefon, als Notizblock, als Kamera – im Grunde als intimer Vertrauter. Matthew Noah Smith, Professor für Moral- und politische Philosophie, schrieb 2016, das Mobiltelefon sei »eine Verlängerung des Verstands … Es gibt schlicht keinen prinzipiellen Unterschied zwischen den Prozessen, die in dem Gewebeklumpen im Innern Ihres Schädels ablaufen, und denen in dem kleinen Kasten aus Silizium, Metall und Glas, der sich Ihr iPhone nennt. Die Fotos speichernde SSD-Festplatte in dem Handy ist genauso Ihr Gedächtnis wie gewisse Neuronengruppen, die genau das Gleiche in Ihrem Gehirn tun. Unser Verstand dehnt sich aus, quillt aus dem Kopf ins Mobiltelefon hinein.«

Professor Smith plädierte bei dieser Gelegenheit für eine Privatsphäre, die auch unsere Handys umfasst. Wenn der Staat nicht das Recht hat, auf die Gedanken in unserem Kopf zuzugreifen, warum sollte er dann diejenigen Gedanken auslesen dürfen, die wir auf unseren Handys lagern? Wir teilen unseren Handys heutzutage fast alles mit, selbst wenn wir uns der Mitteilung gar nicht bewusst sind, und machen aus ihnen ein Medium, das intime Einblicke in unser Leben gewährt (Beispiel: »Sexting«). Sollten Sie glauben, Ihre Privatsphäre sei durch Verschlüsselung gesichert, dann lesen Sie bitte dieses Buch und denken Sie an die fünfzigtausend Personen auf jener Horrorliste, die vollkommen ahnungslos alles, was auf ihrem Handy ein- und ausging, mit Dritten teilen mussten, die dieses Privileg einfach dadurch erlangten, dass sie dafür bezahlten.

Die Liste der fünfzigtausend war freilich nur ein erster Blick durchs Schlüsselloch auf die kriminellen Vorgänge. Wenn sie es mit fünfzigtausend Leuten machen konnten, hieße das nicht auch, dass es mit fünfhunderttausend möglich war? Mit fünf Millionen? Fünfzig Millionen? Wo ist die Obergrenze, und wer soll sie ziehen? Wer soll uns aus diesem weltweiten Orwellschen Albtraum erlösen? Denn wie sich erweist, müssen Sie nicht mit dem Emir von Werweißwo verheiratet sein, um die Erfahrung zu machen, dass jeder Ihrer Gedanken, jeder Schritt, jedes Wort aus der Ferne nachverfolgt und aufgezeichnet wird. Wie sich erweist, brauchen Sie dafür nichts weiter als ein Mobiltelefon und irgendwo auf der Welt einen mächtigen Feind. Wer von uns kann sagen, dass er diese Voraussetzungen nicht erfüllt?

Wo ist noch mal Ihr Handy in diesem Moment?

Kapitel 1

Die Liste

Laurent

Was Sandrine und mich nach Berlin lockte, war eine Chance, wie man sie als Journalist vielleicht nur einmal im Leben geboten bekommt – eine Geschichte aufzudecken und zu veröffentlichen, die weltweit schwerwiegende Folgen haben konnte. Es fühlte sich irgendwie passend an, dass wir auf der Taxifahrt vom Flughafen in die Stadtmitte in der Nähe des Stasi-Museums vorbeikamen, eines Komplexes, in dem sich einst die Zentrale der DDR-Staatssicherheit befunden hatte, die sich als »Schild und Schwert des Staates« verstanden hatte. Unsere Recherche, wenn wir uns denn entscheiden würden, damit Ernst zu machen, würde uns zwangsläufig mit Schwertern und Schilden konfrontieren, geführt freilich nicht nur von einem Dutzend oder mehr höchst wehrhaften staatlichen Akteuren, sondern auch von einem milliardenschweren privaten Technologiekonzern, dessen Branche unter dem Schutz seiner eigenen mächtigen nationalen Regierung operierte.

Die Taxifahrt war die letzte Etappe einer Reise, die uns wie ein Vorgeschmack auf einen Hindernisparcours vorkam. Da waren zum einen die im Zuge der letzten Covid-19-Welle verhängten Einschränkungen, die vertraute Arbeitsabläufe durcheinandergebracht hatten. Für den normalerweise zweistündigen Flug von Paris nach Berlin hatten wir die dreifache Zeit gebraucht, inklusive eines Umstiegs an einem Frankfurter Flughafen, der sich als gastronomische Wüste entpuppte, und einer unerfreulichen Begegnung mit deutschen Soldaten, die unsere Nasenhöhlen mit Teststäbchen traktiert hatten, bevor wir den Berliner Flughafen verlassen durften.

Als Sandrine und ich endlich in unser schnittig-modernes, hell erleuchtetes kleines Miet-Apartment in der Danziger Straße stolperten, waren wir beide so geschafft, dass die Fragen, die einen sonst in schlaflosen Nächten quälen, bereits an uns nagten. War das wirklich der beste Zeitpunkt, um uns in eine weitere schwierige und zehrende Recherche zu stürzen? Unser neunköpfiges Team von Forbidden Stories steckte tief in seinem dritten großen Investigativprojekt in nur drei Jahren; unsere jüngste Recherche, das Cartel Project, war schon dabei, sich als unser bis dato gefährlichstes zu entpuppen. Und es lag noch eine Menge Arbeit vor uns, bis es zur Veröffentlichung reif war. Wir verfolgten Spuren zu den mörderischen Drogenbanden in Veracruz, Sinaloa und Guerrero, sammelten Informationen über die für die Produktion des Super-Opioids Fentanyl benötigten Chemikalien, die aus Asien nach Mexiko eingeschmuggelt wurden, über den einträglichen Waffenhandel, mit dem die Kartelle ihre privaten Rüstkammern füllten – und die Waffenhersteller und private Waffenhändler in Europa, Israel und den Vereinigten Staaten ihre Bankkonten.

Im Wesentlichen nahmen wir investigative Fäden auf, die eine Handvoll couragierter mexikanischer Journalisten hinterlassen hatten. Sie waren, wahrscheinlich im Auftrag der lokalen Drogenkartelle, über deren gewalttätige und kriminelle Aktivitäten die Reporter recherchiert hatten, ermordet worden. Abgesehen von aktiven Kriegsgebieten war und bleibt Mexiko bis heute der lebensgefährlichste Ort der Welt für einen Journalisten, der sich der Aufgabe verschreibt, die Identität des Bösen zu enthüllen. Mehr als 120 Journalisten und Medienschaffende waren in Mexiko in den ersten beiden Jahrzehnten des 20. Jahrhunderts ermordet worden. Ein weiteres rundes Dutzend war spurlos verschwunden.

So gesehen, passte das Cartel Project nahtlos ins Programm von Forbidden Stories: Wir verstehen es als unsere Mission, üblen Akteuren und widerwärtigen Regierungen klarzumachen, dass sie nie die Botschaft selbst aus der Welt schaffen können, auch wenn sie ihre Überbringer umbringen. Was wiederum bedeutet, dass Zusammenarbeit ein unverzichtbares Werkzeug unserer Tätigkeit ist. In der Zahl liegt nicht nur Stärke, sondern auch Sicherheit. Je mehr Journalisten an einer Geschichte arbeiten, desto höher die Wahrscheinlichkeit, dass sie im Druck erscheinen wird. Wir hatten begonnen, Reporter aus Redaktionen unseres Vertrauens zur Mitarbeit am Cartel Project einzuladen: von Le Monde in Paris, vom Guardian in London und von der Zeit und der Süddeutschen Zeitung in Deutschland. Das Team sollte mit der Zeit auf mehr als sechzig Reporter aus fünfundzwanzig Redaktionen in achtzehn Ländern anwachsen.

Das schlagende Herz des Projekts war freilich schon seit Längerem Jorge Carrasco, Chefredakteur des furchtlosesten investigativen Portals in Mexiko, des Wochenmagazins Proceso. Jorge war nicht nur ein beharrlich arbeitender und gefeierter Reporter, sondern auch ein gleichaltriger Kollege der Frau, die sich zur zentralen Figur in unserer Recherche entwickeln sollte: Regina Martínez.

Carrasco war noch ein einfacher Reporter bei Proceso, als ihn im April 2012 die Nachricht erreichte, dass seine Kollegin in ihrem Haus überfallen und erdrosselt worden war. Regina war zu diesem Zeitpunkt schon fast ein Vierteljahrhundert lang journalistisch tätig gewesen und hatte einen großen Teil der letzten vier Jahre hartnäckig Informationen über das mächtige und gefährliche Drogenkartell gesammelt, das im Grunde genommen die Macht in Veracruz übernommen hatte. Geld war in die Region geströmt, begleitet von Wellen der Gewalt, die die aufstrebende Hafenstadt erschüttert hatten und in die umliegenden Gebiete hineingeschwappt waren. In großen Teilen ihrer zuletzt erschienenen Reportagen hatte Regina Martínez die destabilisierenden Beziehungen aufgedeckt, die sich zwischen Lokalpolitikern, Teilen des lokalen Justizapparats und den ansässigen Drogenzaren entwickelt hatten. Sie hatte nicht aktiv nach dieser Geschichte gegraben, aber wenn man in jenen Jahren mit offenen Augen und wachem Gewissen in Veracruz lebte, kam man kaum an ihr vorbei. Und als Regina erst einmal die Witterung aufgenommen hatte, konnte sie nicht mehr die Finger davon lassen, selbst als sie merkte, auf welch gefährlichem Boden sie sich bewegte. Nur wenige Monate vor ihrem Tod hatte sie ihren engsten Freunden anvertraut, dass sie sich vielleicht zu weit vorgewagt hatte und dass sie ihres Lebens nicht mehr sicher war. Sie war besorgt genug, um zu veranlassen, dass die brisantesten ihrer Reportagen ohne Autorennamen erschienen, dachte jedoch nicht daran, mit dem Schreiben aufzuhören.

Ein paar Wochen bevor sie erdrosselt aufgefunden wurde, hatte Regina in einem gnadenlosen Enthüllungsbericht aufgedeckt, welche persönlichen Vermögenswerte zwei Staatsbeamte zusammengerafft hatten, die sich mit dem Los-Zetas-Kartell in Veracruz verbündet hatten. (3000 Exemplare der betreffenden Ausgabe von Proceso waren aus den Zeitungskiosken der Stadt verschwunden, bevor auch nur ein Einheimischer die Ausgabe in die Hände bekam.) Zum Zeitpunkt ihrer Ermordung steckte Regina mitten in den Recherchen zu einem Bericht über Tausende Menschen, die im Verlauf der verflossenen Monate aus Veracruz verschwunden waren. »Ihr Tod markierte für die Journalistenzunft einen Augenblick der Wahrheit«, sagte uns einer von Reginas Freunden und Kollegen. »Sie war Mitarbeiterin einer großen, landesweit erscheinenden Zeitschrift. Wir glaubten, sie sei dadurch geschützt.«

Jorge hatte uns zuvor schon in unserem Pariser Büro besucht, um das Team von Forbidden Stories und unsere damaligen Partner über die Situation des investigativen Journalismus in Mexiko und über die Eckpunkte der Regina- Martínez-Story ins Bild zu setzen. Der damals 56 Jahre alte Journalist sprach mit sanfter Stimme und in einer gemessenen Diktion, die einem Literaturprofessor gut angestanden hätte; doch seine Botschaft war messerscharf und zwingend. »Der Mord an Regina war eine Grenzüberschreitung«, erklärte er. »Die sehr klare Botschaft, dass [die Kartelle] weiterhin Journalisten umbringen können und das keine Folgen hat.«

Polizei und Staatsanwaltschaft in Veracruz hatten, wie Jorge uns berichtete, Reginas Fall 2012 sozusagen ins Klo gespült, indem sie ihre Ermordung einem Kleinkriminellen anhängten, der sein Geständnis – das er nach seinen Aussagen erst nach stundenlangen Misshandlungen durch die lokale Polizei gemacht hatte – schnell widerrief. In den seither vergangenen acht Jahren hatte Jorge alles darangesetzt, die Wahrheit über Reginas Ermordung herauszubekommen. Er hatte sich eine Ermahnung des Gründungsherausgebers von Proceso und Altmeisters des investigativen Journalismus in Mexiko, Julio Scherer García, zu Herzen genommen: »Die Welt hat sich verhärtet, und ich glaube, dass auch der Journalismus härter werden muss«, hatte Scherer kurz vor seinem Tod 2015 geschrieben. »Wenn die Flüsse sich rot färben und die Täler sich mit Leichen füllen …, wird der Journalismus diese Geschichte in Bildern und Worten erzählen müssen. Schwierige Aufgaben warten auf uns.«

Jorge Carrasco hatte jahrelang an der Geschichte gearbeitet, trotz Drohungen und Einschüchterungen, und auch noch nach der Ermordung eines zweiten Proceso-Autors, der ebenfalls von den Regierenden Antworten in Sachen Regina Martínez gefordert hatte, ohne jedoch viel zu erreichen. Als Sandrine und ich im Januar 2020 erstmals die Redaktionsräume von Proceso in Mexico City besuchten – ein Bürotrakt mit einer Sicherheitsausstattung, wie man sie vielleicht bei einem eingebunkerten Polizeirevier erwarten würde, mit einem Wachtposten vor der Eingangstür und Eisengittern vor allen Fenstern –, hatte sich Jorges Ermittlungseifer abgekühlt. Er erklärte uns, das Redakteursteam habe darüber diskutiert und sei zu dem Ergebnis gekommen, die Suche nach der Wahrheit über den Mord an Regina Martínez sei zu gefährlich. Wenn sie sich damit weiter beschäftigten, würden wahrscheinlich noch mehr Kollegen der Mordlust der lokalen Drogenbosse zum Opfer fallen.

Als wir ihm jedoch eröffneten, dass ein internationales Kollegium von Journalisten willens war, sich der Geschichte anzunehmen, schien ihn dies mit neuer Energie zu erfüllen. Er wies seinen Archivar an, alle von Regina in den Jahren vor ihrem Tod in Proceso veröffentlichten Reportagen auszugraben, und bat uns, einen weiteren seiner Mitarbeiter in die geheime Signal-Gruppe aufzunehmen, die die wichtigsten Mitglieder des Cartel Project als Kommunikationsdrehscheibe nutzten. Jorge hatte allerdings in seiner letzten Mitteilung an die Signal-Gruppe, kurz vor unserer Berlin-Reise, nach Sandrines Eindruck ein bisschen angeschlagen gewirkt – unter anderem hatte er über den Schaden geklagt, den Covid-19 der schon vorher mageren und immer auf der Kippe stehenden Rentabilität seines Magazins zugefügt hatte. »Mir geht’s okay, aber ich mache mir Sorgen«, hatte er geschrieben. »Die Verkaufszahlen von Proceso gehen wirklich in den Keller.«

Ich war aufgeregt, als am nächsten Morgen in unserem Ostberliner Apartment die Türklingel ertönte. Wir hatten uns noch nicht mit dem elektronischen Zugangssystem unseres Kurzzeit-Mietobjekts vertraut gemacht, und so lief ich die Treppen hinab und öffnete unseren beiden Gästen die Haustür. Das Erste, was ich erblickte, war ein blasser Mittdreißiger, der mich mit seiner Nickelbrille und seiner eng sitzenden Skimütze an eine Geisterbahnfigur erinnerte. Er sah aus wie jemand, der einen großen Teil seiner Zeit in Innenräumen und vor Computerbildschirmen verbringt. Ich begrüßte ihn mit einem fröhlichen »Hallo« und streckte ihm die Hand hin. Claudio Guarnieri, Technikchef im Security Lab von Amnesty International, hatte Nettigkeiten aber nicht im Angebot, er schüttelte mir nicht die Hand und nahm sich nicht einmal wirklich die Zeit für einen Blickkontakt. Er forderte mich nur auf, ihn und seinen mageren jungen Begleiter in unser Apartment im Obergeschoss zu führen, wo wir am Esstisch in medias res würden gehen können.

Aber keinesfalls, erklärte Claudio, ehe wir nicht alle unsere Handys und Laptops heruntergefahren, im Nachbarzimmer deponiert und die Tür geschlossen hätten. Der Mantel-und-Degen-Aspekt dieser Anweisung traf uns nicht ganz unerwartet angesichts des Anlasses unseres Treffens, aber was mich überraschte, war der schroffe Ton, den Claudio anschlug. Er war nicht unhöflich, brachte aber kein freundliches Wort über die Lippen; es schien ihm völlig egal zu sein, ob wir ihn sympathisch fanden oder nicht. Was uns verband, war schließlich nur eine Alliance de Circonstance, und da kam es auf Kompatibilität sehr viel weniger an als auf Machbarkeit.

Wir beeilten uns, unsere elektronischen Geräte im Nebenraum abzulegen, wobei mir nicht der Aufkleber auf Claudios Laptop entging, auf dem ein Zitat des mexikanischen politischen Dissidenten Subcomandante Marcos prangte: »Tut uns leid, wenn wir ungelegen kommen, aber das hier ist eine Revolution.« Als wir wieder am Tisch saßen, erstickte Claudio jeden Anlauf zu Small Talk und kam sogleich auf den Anlass zu sprechen, der uns zusammenführte. Wir – Forbidden Stories und das Sicherheitslab von Amnesty International – waren die Einzigen, die Zugang zu einem Dokument erhalten hatten, das wir »die Liste« nannten. Man hatte sowohl Sandrine als auch mir zu verstehen gegeben, dass die Daten in der Liste uns helfen würden, die Existenz eines äußerst heimtückischen Überwachungssystems aufzudecken, für das ein gewinnorientierter privater Konzern die technischen Möglichkeiten geschaffen hatte und das Tausende nichts ahnender Menschen in fast allen Erdteilen betraf.

Wir waren noch sehr weit davon entfernt, dies beweisen zu können, und das wussten alle, die an jenem Morgen in Berlin mit am Tisch saßen. Was die Liste an Daten zu bieten hatte, war auf den ersten Blick nur eine Ziffernfolge: eine Kolonne aus Zehntausenden Telefonnummern aus aller Welt, dazu ein paar Zeitstempel. Nur eine Handvoll der Nummern war mit Namen oder Identitäten verknüpft. Was wir aber wussten, war, dass jede dieser Nummern für eine Person stand, deren Mobiltelefon Ziel für die Installierung der leistungsfähigsten Cyberüberwachungssoftware auf dem Weltmarkt war, eine Malware1 namens Pegasus, entwickelt, vermarktet und an Polizei- und nationale Sicherheitsbehörden in mehr als vierzig Ländern rund um den Globus geliefert durch die israelische Tech-Firma NSO, das Alphatier einer aufstrebenden Branche.

Spezialisten und Experten für nationale Sicherheit in aller Welt waren scharf auf Pegasus, galt es doch als die beste Spyware2, die man bekommen konnte. Wenn ein Land Verbrecher auf frischer krimineller oder terroristischer Tat erwischen oder solche Taten präventiv verhindern wollte, sah es in Pegasus ein Geschenk Gottes. Jede erfolgreiche Infizierung eines Handys gab dem Anwender der Software praktisch die volle Kontrolle über das Gerät. Polizeien oder nationale Sicherheitsbehörden würden Zugriff erhalten auf jedes Pünktchen und Tüpfelchen in dem gekaperten Handy, und zwar vor einer Verschlüsselung abgehender und nach der Entschlüsselung ankommender Botschaften. Wer mit Pegasus arbeitete, war in der Lage, jederzeit den aktuellen Standort des infizierten Mobiltelefons zu bestimmen und E-Mails, SMS-Nachrichten, Daten, Fotos und Videos auszulesen. Pegasus eröffnete den Anwendern auch die Möglichkeit, die Kontrolle über Mikrofon und Kamera des Handys zu übernehmen, das heißt, die entsprechenden Aufnahmeapps per Fernzugriff nach Belieben ein- und abzuschalten.

Der gefährliche Haken am Pegasus-System war der, dass damit nicht nur das Ausspionieren von Verbrechern funktioniert. Zu dem Zeitpunkt, als wir uns in Berlin mit Claudio und seiner Nummer zwei, Donncha Ó Cearbhaill, zusammensetzten, waren schon mehrere Dutzend Missbrauchsfälle dokumentiert worden: Experten für Cybersicherheit am Citizen Lab der Universität von Toronto und in Claudios Security Lab bei Amnesty International hatten Beispiele dafür gefunden, dass Pegasus gegen Menschenrechtsaktivisten, Rechtsanwälte und Journalisten eingesetzt worden war. Die Fachleute in diesen forensischen Analyselabors hatten nicht nur viele von Pegasus’ Funktionen und Fähigkeiten beleuchtet, sondern auch einige seiner perfideren Anwender identifiziert. WhatsApp hatte Klage gegen NSO eingereicht unter dem Vorwurf, 1400 seiner User seien binnen einer Zeitspanne von nur zwei Wochen mithilfe von Pegasus ausspioniert worden. Auch Amnesty International hatte ein Verfahren angestrengt. Auf öffentlich zugänglichen Plattformen häuften sich Informationen, die aus gerichtlichen Verfahren in den USA, Frankreich, Israel, Kanada und anderen Ländern stammten.

Es gab bereits einige sehr gute Presseveröffentlichungen und eine zunehmende Zahl wissenschaftlicher Arbeiten über den Aufstieg der »elektronische Spionage als Dienstleistung« anbietenden Branche im Allgemeinen und der Firma NSO im Besonderen. Zusammengenommen wirkten die investigativen Bemühungen wie eine erfolgreichere Version der Parabel von den blinden Männern und dem Elefanten. Die Kombination aus Cybersicherheitsexperten, Wissenschaftlern, Journalisten und Rechtsschutz suchenden Opfern, die sowohl auf eigene Faust als auch gemeinsam vorgingen, hatte es geschafft, ein einigermaßen vollständiges Bild von dem sein Unwesen treibenden Cyberüberwachungs-Elefanten zu zeichnen.

So unscharf dieses Bild noch sein mochte, öffnete es doch einen kristallklaren Blick auf die von der betreffenden Branche ausgehenden Gefahren für die Menschenrechte und die Privatsphäre, und doch zeigte sich, dass selbst schockierende Schlagzeilen und sorgfältigste forensische Analysen wenig bis gar keine konkrete Wirkung zeigten. Amnesty International, das Citizen Lab und der UN-Sonderberichterstatter zum Schutz des Rechts auf freie Meinungsäußerung meldeten sich mit Aufrufen zu Wort, aber ansonsten blieb der öffentliche Aufschrei weitgehend aus, die Geschichte fand kaum Beachtung. Keine hochrangige staatliche Instanz machte Anstalten, der Branche irgendwelche Fesseln anzulegen. Die Gewinne und der Kundenstamm von NSO wuchsen schneller denn je, Neukunden kamen aus Europa, Nordamerika, dem Nahen Osten und Afrika. »Die wenigen von uns, die sich mit diesem Phänomen beschäftigten, haben immer wieder davor gewarnt, dass die Kommerzialisierung der Überwachung Tür und Tor für systematische Missbräuche öffnet«, resümierte Claudio später im Rückblick auf ein Jahrzehnt des ständigen Anrennens und der ständigen Vergeblichkeit. »Sehr wenige hörten zu; die meisten zuckten einfach nur die Schulter. Jeder neue Bericht, jeder neue Fall wirkte so unbedeutend, dass ich mir irgendwann die Frage stellte, ob wir mit unserem Dranbleiben überhaupt irgendjemandem etwas Gutes taten außer unseren Egos.«

Das war es, was dieses Leak, die Liste, so faszinierend machte.

Claudio ließ sich am ersten Tag unseres Zusammenseins in Berlin keine besondere Euphorie anmerken und tat dies auch an keinem der weiteren Tage. Er achtete immer darauf, nach außen hin keinen Ermittlungseifer an den Tag zu legen. Andererseits hegte er unübersehbar die Hoffnung, die Liste werde ihm letzten Endes helfen, NSO am Wickel zu kriegen und das Ausmaß an öffentlicher Aufmerksamkeit zu generieren, das dieser Krise angemessen war. Claudio und Donncha hatten sich schon ein bisschen gründlicher in die Liste eingearbeitet als wir, einerseits dank des technischen Know-hows, das sie sich im Verlauf der letzten zehn Jahre angeeignet hatten, andererseits weil das Sicherheitslab Zugriff auf digitale Werkzeuge hatte, über die wir bei Forbidden Stories nicht verfügten. An jenem ersten Tag an unserem Esstisch in Berlin war es Claudio, der aus meiner Sicht über weite Strecken die Themen setzte: Auf einer schmalen Holzbank sitzend, erläuterte er uns die größeren Zusammenhänge der Geschichte, wie er sie in diesem Augenblick verstand.

Die Zeitstempel, die sich in der Liste fanden, verteilten sich über einen Zeitraum von fast fünf Jahren und reichten bis zu erst wenige Wochen alten Daten, was, wie Claudio erklärte, darauf hindeutete, dass der Hack erst vor Kurzem erfolgt war – und vielleicht noch im Gang war. Wir hatten offenbar die Chance, einen kriminellen Datenklau in Echtzeit aufzuklären. Claudio und Donncha hatten bereits mit der aufwendigen Arbeit begonnen, herauszufinden, wer genau wen auszuspionieren versuchte. Wann genau die Zugriffe erfolgten – und wo genau. Die Liste der Telefonnummern war in Cluster unterteilt, aus denen man womöglich ablesen konnte, welche von NSOs vielen staatlichen Kunden an welchen konkreten Zielpersonen interessiert waren. Die Kunden deckten ein breites Spektrum von Ländern ab, von mörderischen Diktaturen über Möchtegern-Autokratien bis zur größten Demokratie auf unserem Planeten. Der für uns zu der Zeit mit Abstand aktivste staatliche Kunde war Mexiko, dem allein mehr als fünfzehntausend potenziell zu überwachende Nummern zugeordnet waren.

Wir hatten keinen Zweifel daran, dass die Liste Hunderte Mobilfunknummern enthielt, die zu echten Drogenbaronen, Terroristen, Kriminellen und die nationale Sicherheit dieses oder jenes Landes bedrohenden Organisationen gehörten, also genau zu dem Typus von Akteuren, denen die Pegasus-Software nach Aussagen von NSO das Handwerk legen soll. Doch was Claudio und Donncha bereits über das Spektrum der für Datenangriffe vorgemerkten Zielpersonen herausbekommen hatten, war unglaublich. Bald nachdem die beiden mit der Zuordnung von Telefonnummern zu Personen begonnen hatten, stellte sich heraus, dass viele der Nummern zu Wissenschaftlern, Menschenrechtsaktivisten, politischen Dissidenten, aber auch zu Regierungsbeamten, Diplomaten, Geschäftsleuten und hochrangigen Militärs gehörten. Claudio und Donncha hatten bereits Hunderte Zielpersonen identifiziert, die weder Kriminelle noch Terroristen waren, und sie hatten gerade erst an der Oberfläche gekratzt. Die Berufsgruppe, die zu diesem Zeitpunkt die größte Zahl von Zielpersonen auf sich vereinigte – mehr als 120 und weiter zunehmend –, war die der Journalisten.

Wenn wir über die Daten in der Liste an die erforderlichen Beweise herankämen, die wir brauchten, um die Geschichte veröffentlichen zu können, würde uns das in die Lage versetzen, nicht nur zu bestätigen, was bereits bekannt war, nämlich dass Cyberangriffe und Cyberüberwachung als Waffen benutzt wurden, um die freie Presse zu knebeln und Oppositionelle einzuschüchtern. Sondern wir würden darüber hinaus nachweisen können, dass das Geschäft mit diesen Cyber-Waffen eine Wucht und einen Umfang angenommen hat, die nicht nur erstaunlich, sondern schockierend sind.

Als Claudio, Donncha, Sandrine und ich uns Seite für Seite für Seite durch die Liste potenziell Pegasus-infizierter Mobilfunknummern klickten, wurde mir klar, dass wir hier nicht nur dabei waren, mit unseren quasi noch halb verbundenen Augen die Umrisse eines einzelnen außer Kontrolle geratenen Elefanten zu ertasten. Wir hatten es vielmehr mit einer Herde aus Hunderten, Tausenden, vielleicht sogar Zehntausenden Elefanten zu tun, die ungebremst durch die Savanne trotteten, gefüttert und angetrieben von einigen der grausamsten politischen Regime auf der Erde und darauf abgerichtet, wertgeschätzte und unverzichtbare Säulen der Zivilgesellschaft niederzutrampeln. Der auf breiter Front betriebene, unkontrollierte, systematische Missbrauch von Instrumenten der Cyberüberwachung stellte eindeutig eine akute Bedrohung der grundlegendsten Menschen- und Bürgerrechte dar: des Rechts auf Privatsphäre, der Freiheit der politischen Meinungsäußerung, der Pressefreiheit. Es handelte sich um eine Bedrohung der Demokratie als solcher, und dies zu einem Zeitpunkt, da die stabilsten Demokratien der Welt sich unablässigen Attacken von außen und von innen ausgesetzt sahen.

Beim ersten Blick auf die Liste verspürten wir eine leichte Verunsicherung. Einerseits übte sie eine magnetische Anziehung aus, die wir geradezu körperlich spürten. Stillschweigend ermahnte ich mich, hin und wieder tief durchzuatmen, als Claudio seine Erkenntnisse vortrug, beispielsweise seinen Eindruck, dass der marokkanische Geheimdienst eine außerordentlich große Zahl französischer Mobiltelefone zu Zielobjekten erklärt hatte. Ich musste mich bremsen, um meiner Fantasie nicht allzu freien Lauf zu lassen. Skeptizismus ist eine wichtige Reportertugend – ein Hilfsmittel gegen peinliche Fehlleistungen, etwa wenn man sich von einem skrupellosen Informanten, der mit jemandem eine Rechnung offen hat, benutzen oder von der Euphorie über einen winkenden großen Coup dazu verleiten lässt, auf kritisches Nachdenken und rigoroses Nachprüfen zu verzichten. Das rigorose Nachprüfen der Daten in dieser Liste würde Monate dauern. Betroffene zu finden, die bereit sein würden, ihr Mobiltelefon zur Verfügung zu stellen, sodass wir es auf Anzeichen für eine Infizierung mit der Pegasus-Software untersuchen konnten (und das Ganze für sich zu behalten, solange wir an der Geschichte arbeiteten), versprach ein heikles Unterfangen zu werden. Claudio und Donncha standen vor einer noch herausfordernderen Aufgabe, selbst dann, wenn sie kompromittierte3 Handys anvertraut bekamen und durchchecken konnten. NSO hatte sich nach eigenem Bekunden nicht damit begnügt, seine Pegasus-Software als trojanisches Pferd zu konzipieren. Ihr Ziel war vielmehr, einen unsichtbaren Trojaner zu programmieren. Die Spitzenkräfte im Metier der Cyberüberwachung haben den Ehrgeiz, keine auffindbaren Spuren zu hinterlassen, und NSO hatten den Ruf, die Besten in der Branche zu sein, wenn es darum ging, die eigenen Spuren zu verwischen. Unanfechtbare forensische Beweise zusammenzutragen, würde uns viel Kraft und Ausdauer abverlangen, und der forensische Teil machte nur die Hälfte des Kampfes aus.

Claudio, Donncha, Sandrine und ich hatten uns nicht weniger vorgenommen, als Ermittlungen über ein Privatunternehmen anzustellen, dessen ganzer Daseinszweck darin bestand, digitale Überwachung zu ermöglichen, ein Unternehmen, das stolz mit seiner Fähigkeit hausieren ging, »Jeden zu finden, egal wo«. Angesichts der Tatsache, dass Staaten in fünf Erdteilen der Firma bis zu einer Viertelmilliarde Dollar im Jahr für ihre einschlägigen Dienste bezahlten, mussten wir davon ausgehen, dass die NSO-Spyware sehr gut konnte, was von ihr erwartet wurde. Gegen Ende unserer ersten Besprechung waren wir vier uns darüber im Klaren, worauf wir uns bei dieser Recherche einließen, und Claudio wusste es am besten. Er erteilte Sandrine und mir einige weitere schroffe Anweisungen, bevor wir uns verabschiedeten: So vergatterte er uns dazu, uns neue Handys zuzulegen – ohne SIM-Karte! –, die wir einzig und allein für die Kommunikation unter uns nutzen durften. Keine Mobilfunk-Telefonate mehr zwischen uns oder mit eventuell neu zum Projekt stoßenden Personen. Keine iMessages, kein Austausch von Nachrichten über Signal oder WhatsApp. Neue Laptops hatten wir uns auf Drängen Claudios bereits zugelegt – PCs, keine Macs –, sodass wir alles, was mit unserer Arbeit am Pegasus-Projekt zu tun hatte, hermetisch von unserer anderen beruflichen und privaten Kommunikation trennen konnten. Spontan wurde mir klar, dass, wenn wir dieses Projekt weiterführten, die wesentliche Antriebskraft für unsere Arbeit Paranoia heißen würde.

Als Claudio und Donncha gegangen waren – und wir unsere nächste Sitzung für den folgenden Tag verabredet hatten –, spukten die Schwierigkeiten, die sich bei dieser Recherche auftaten, schon in meinem Kopf herum. Die Liste selbst war eine große Unbekannte. Wir hatten großes Vertrauen zu der Quelle, aus der sie stammte, aber das half uns nicht weiter. Vor uns lagen Monate, die wir für die Authentifizierung der Daten in der Liste brauchen würden, für die Überprüfung jedes Details und jeder Geschichte, die wir aus den Zehntausenden Telefonnummern herausdestillieren konnten. Und während wir uns in diese Arbeit stürzten, würden wir versuchen müssen, so gut wie möglich mit den physischen und gesellschaftlichen Einschränkungen zurechtzukommen, die die tödlichste Pandemie seit hundert Jahren uns allen aufzwang. Dazu kam, dass es mir sehr schwerfiel, daran zu glauben, dass mit Claudio, von dem wir am ersten Tag nicht einmal den Hauch eines Lächelns gesehen hatten, eine erquickliche Arbeitsbeziehung entstehen konnte. Donncha war viel zugänglicher und gelassener, doch wie wir später erfuhren, hatte der 27-jährige Spezialist für Cyberrecherchen seine eigenen guten Gründe, vor Reportern auf der Hut zu sein. Hinzu kam zu alldem, dass diese Recherche hinter einem Vorhang der absoluten Geheimhaltung stattfinden musste – einem Vorhang, in den eine einzige Unachtsamkeit ein großes Loch reißen konnte.

Zu Beginn unserer Besprechung an unserem zweiten Tag in Berlin schlug Claudio eine interessante Übung vor – den Griff nach niedrig hängenden Früchten sozusagen. Er zog einen jungfräulichen, noch originalverpackten USB-Stick aus seinem Rucksack und half mir, darauf das gesamte Verzeichnis meiner digitalen Kontakte aus meinem persönlichen Mobiltelefon zu kopieren. Danach steckte er den Stick in den sicheren Laptop ein, auf dem sich die Liste befand, und startete ein Programm, das selbsttätig die Mobilfunknummern aller meiner Kontakte mit den Handynummern der Liste abglich. Die erste Übereinstimmung, die das Programm anzeigte, betraf einen Beamten des türkischen Außenministeriums. Ich hatte seine Nummer, weil ich ihn im Lauf der Arbeit an einer Geschichte über heimliche Waffengeschäfte zwischen dem türkischen Geheimdienst und dschihadistischen Kampfgruppen im Norden Syriens um ein Interview gebeten hatte.

Der nächste Treffer war die Telefonnummer von Khadija Ismayilova, der berühmtesten und furchtlosesten Investigativreporterin Aserbaidschans. Ich kannte sie gut. Khadija berichtete seit mehr als 15 Jahren über die Korruption des aserbaidschanischen Präsidenten Ilham Alijew. Mittlerweile 44 Jahre alt, hatte sie für ihre journalistischen Leistungen zahlreiche internationale Auszeichnungen erhalten. Und sie hatte sich den Zorn Alijews und seiner Geheimpolizei zugezogen. Die Sicherheitskräfte von Alijews Regierung hatten Khadija schikaniert, erpresst und in Haft genommen; gegenwärtig stand sie in Baku unter Hausarrest. Jahrelang war sie fast ununterbrochen auf Schritt und Tritt beschattet worden.

Einige der mit Khadijas Beschattung beauftragten Agenten hatte ich mit eigenen Augen gesehen – bullige Burschen mit buschigem Schnurrbart und schlecht sitzendem Trenchcoat –, als ich mich 2014