An einem Montagmorgen Ende Oktober 2017 empfängt das Bundeskriminalamt (BKA) in Wiesbaden eine Delegation aus Israel. Die deutschen Kriminalisten suchen eine technische Lösung, um Verdächtige abhören zu können – und sie wollen Nachrichten lesen können, bevor sie von Apps wie Telegram, Signal oder WhatsApp verschlüsselt werden. Die effizienteste Lösung am Markt stammt von der israelischen NSO Group. Ein paar Wochen zuvor, im August 2017, ist in Deutschland ein neues Gesetz in Kraft getreten, das dem BKA die heimliche Infiltration von Handys erlaubt. Nun wollen die Kriminalisten sehen, was die Israelis technisch draufhaben.

Kurz nach der Mittagspause, so erinnern sich Beteiligte, hätten die Gäste losgelegt und auf mehreren Handy demonstriert, was ihre Software Pegasus kann: WhatsApp-Chats auslesen, das Mikrofon aktivieren, Fotos heimlich herunterladen zum Beispiel. Pegasus, davon sind die Ermittler schnell überzeugt, kann viel, sehr viel.

Aber wie viel ist zu viel?     

Die Ermittler von Polizei und Verfassungsschutz sind zu diesem Zeitpunkt allerdings schon an eine höchstrichterliche Rechtsprechung gebunden, die den Sicherheitsbehörden enge Fesseln anlegt. 2008 hatte das Bundesverfassungsgericht in einem wegweisenden Urteil zur so genannten Onlinedurchsuchung ein neues "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" eingeführt. Computer und Handys sind seitdem zwar nicht tabu – aber sie dürfen nur dann infiltriert werden, wenn "tatsächliche Anhaltspunkte einer konkreten Gefahr" etwa für Leib und Leben bestehen. Das, was Pegasus besonders gut kann, nämlich die Infiltration von Handys, ist seitdem in Deutschland nur in Ausnahmefällen erlaubt.

Pegasus - So können Staaten nahezu jedes Mobiltelefon weltweit hacken Die Cyberwaffe Pegasus greift Smartphones über Sicherheitslücken unbemerkt an. Wer die Ziele sind und warum eine Gegenwehr mittlerweile zwecklos ist. Ein Erklärvideo

Hinzu kommt, dass die Richter fordern, dass die Ermittler den "Kernbereich privater Lebensgestaltung" schützen. Auch ein Verdächtiger hat demnach ein Anrecht darauf, nicht bis ins Liebesleben hinein ausgespäht zu werden. 

Trotzdem hat das BKA die Israelis eingeladen. Offenbar wollen die Beamten herausfinden, ob sich deren Software auch in Deutschland nutzen lässt.

Bei jenem Besuch im Oktober 2017 hat das BKA auch seine Hausjuristen mitgebracht. Während die IT-Experten begeistert sind, sind die Juristen besorgt, so schildern es mehrere Teilnehmer im Gespräch mit der ZEIT. Ob Pegasus garantieren könne, dass die Daten auf den ausgespähten Handys technisch unversehrt blieben, wie es die deutsche Rechtsprechung verlangt? Ob man die Spähsoftware so zähmen könne, dass intimste Details, Nacktbilder etwa, nicht erfasst würden? Das sind die Fragen, die sich die Juristen stellen. Und die sie auch ihren Gästen aus Israel stellen.

Wie entscheidend diese Fragen sind, zeigt sich spätestens seit ein Recherchekonsortium von 17 internationalen Medien, das von dem Verein Forbidden Stories koordiniert wurde und dem auch die ZEIT angehört, enthüllt hat, wie Pegasus in vielen Ländern systematisch missbraucht wird, um Menschenrechtsaktivisten, Journalistinnen, Rechtsanwälte und Politikerinnen auszuspionieren. Die Enthüllungen basieren auf Listen potenzieller Überwachungsziele, die von NSOs Kunden stammen und mehr als 50.000 Telefonnummern aufführen. Sie wurden Forbidden Stories und Amnesty International zugespielt.