Am 3. Juli 2026 veröffentlichte das Citizen Lab der University of Toronto einen Bericht, bei dem mir nur ein Gedanke kam: bitterste Ironie.
Im Mittelpunkt des Berichts steht Stelios Kouloglou, ein griechischer ehemaliger Europaabgeordneter. Zwischen 2022 und 2023 war er Mitglied des sogenannten „PEGA-Ausschusses” des Europäischen Parlaments – der vollständige Name: Untersuchungsausschuss zum Einsatz von Pegasus und vergleichbarer Überwachungs-Spyware. Einfach gesagt: Sein täglicher Job bestand darin, zu ermitteln, wer die Spyware Pegasus zur illegalen Überwachung anderer Menschen einsetzt.
Und dann, genau während dieser Untersuchung, wurde sein eigenes Handy mit Pegasus infiziert. Nicht einmal. Zweimal.
Der Jäger wurde zur Beute.

▲ Der griechische Journalist und Europaabgeordnete Stelios Kouloglou. Quelle: Citizen Lab
1. Ein Patient im Krankenhausbett – während sein Handy gehackt wird
Zurück zum 21. Oktober 2022. An diesem Tag liegt Kouloglou in einem Athener Krankenhaus und unterzieht sich einem geplanten chirurgischen Eingriff. Er arbeitet nicht, er ist in keiner Sitzung, er schaut nicht einmal auf sein Handy – er liegt einfach im Bett.
Der griechische Investigativjournalist Thanasis Koukakis besucht ihn. Koukakis ist selbst Opfer von Spyware – Anfang 2022 wurde entdeckt, dass sein Handy mit der Spyware Predator infiziert war. Die beiden unterhalten sich im Krankenzimmer über den Fortschritt der Spähsoftware-Ermittlungen, über die Arbeit des PEGA-Ausschusses. Koukakis macht ein Erinnerungsfoto.
Genau an diesem Tag, genau zu dem Zeitpunkt, als dieses Foto entsteht, wird Kouloglous Handy erfolgreich mit Pegasus infiziert.

▲ 21. Oktober 2022: Der griechische Journalist Koukakis besucht Kouloglou im Krankenhaus. Genau in diesem Moment wird Kouloglous Handy mit Pegasus infiziert. Quelle: Citizen Lab / Thanasis Koukakis
Wenn ich dieses Foto betrachte, empfinde ich ein tiefes Unbehagen. Die beiden Menschen auf dem Bild unterhalten sich darüber, wie man Spyware bekämpft. Und sie wissen nicht, dass in genau diesem Moment ein Handy sämtliche Informationen aus dem Krankenzimmer – Gespräche, SMS, Kontakte, sogar den Terminkalender – an irgendeinen „Kunden” auf der anderen Seite des Bildschirms überträgt.
Das ist das Erschreckende an Spähsoftware vom Kaliber Pegasus: Man merkt absolut nicht, dass man infiziert wurde. Das Handy sieht völlig normal aus. Keine verdächtige SMS, kein Pop-up, kein Ruckeln. Aber jedes Telefonat, jedes Foto, jede Nachricht wird in Echtzeit von jemand anderem mitgelesen.
2. Zero-Click-Angriff: Man muss nichts tun, und das Handy ist „übernommen”
Man könnte fragen: Wie kommt Pegasus überhaupt auf ein Handy? Muss man nicht auf einen Link klicken, eine Datei herunterladen oder zumindest einen seltsamen Anruf entgegennehmen?
Die Antwort: Nichts davon ist nötig.
Ich erkläre diese Angriffsmethode mit einem einfachen Bild: Stellen Sie sich Ihr Handy wie ein Haus vor. Ein herkömmlicher Virenangriff ist wie jemand, der an Ihre Tür klopft, Sie zum Öffnen überredet und dann hereinstürmt. Pegasus funktioniert völlig anders: Es klopft gar nicht erst an. Es nutzt strukturelle Schwachstellen im „Haus” selbst aus – sagen wir, einen Riss in der Wand, von dem nicht einmal Sie selbst wussten. Der Angreifer schiebt etwas in diesen Spalt und übernimmt von innen heraus das gesamte Haus.
In der Cybersicherheit nennt man das einen „Zero-Click-Exploit”. Man muss nichts anklicken, keine Aktion ausführen, nicht einmal das Handy entsperren – der Angriff läuft vollautomatisch ab.
In Kouloglous konkretem Fall heißt die ausgenutzte Schwachstelle „PWNYOURHOME”. Sie betrifft Apples HomeKit-Funktion. Der Angreifer muss sich lediglich mit einer speziell präparierten E-Mail-Adresse bei HomeKit registrieren. Das löst einen internen Fehler im System aus, über den schließlich die vollständige Kontrolle über das Gerät erlangt wird.
Während des gesamten Vorgangs hat Kouloglou keine einzige Benachrichtigung erhalten, keinerlei Auffälligkeit bemerkt. Erst Monate später schloss Apple diese Lücke mit iOS 16.3.1. Kouloglou war mit iOS 15.5 infiziert worden – aus Sicht des Angreifers stand die Tür sperrangelweit offen.
Noch beunruhigender ist der Zeitpunkt der zweiten Infektion: der 6. und 7. März 2023. An diesen beiden Tagen flog Kouloglou von Athen nach Brüssel zu intensiven Beratungen des PEGA-Ausschusses. Das Gremium arbeitete an der Finalisierung seines Abschlussberichts – eines Berichts, der festhält, welche Regierungen Spyware missbrauchen und welche Konsequenzen sie zu tragen haben. Falls in dieser Zeit Diskussionen über Berichtsentwürfe, Positionen anderer Ausschussmitglieder oder gar Abstimmungsstrategien von seinem Handy abgeflossen sind – die Konsequenzen muss ich wohl nicht ausmalen.
Apple hat Kouloglou tatsächlich dreimal Sicherheitswarnungen geschickt: am 2. März 2023, 29. August 2023 und 10. April 2024. Kouloglou gibt an, sich an keine dieser Benachrichtigungen erinnern zu können. Das ist nicht einmal verwunderlich – Apples sogenannte „Threat Notifications” werden still zugestellt und können leicht übersehen oder für Spam gehalten werden.
3. Wer verkauft diese „digitalen Waffen”? Ein Milliardengeschäft
Ein Wort zum Unternehmen hinter Pegasus: der NSO Group.
Das israelische Unternehmen wurde 2010 gegründet. Sein Produkt wird in der Branche als „Cyberwaffe” eingestuft. Das Geschäftsmodell ist simpel und brutal: Verkauf nur an Regierungen, nicht an Privatpersonen oder Unternehmen. Die Kosten für ein Pegasus-System werden branchenintern auf mehrere Millionen bis zig Millionen Dollar geschätzt.
Die offizielle Linie der NSO: Pegasus sei ein „Werkzeug zur Verbrechens- und Terrorbekämpfung”. Klingt auf den ersten Blick einleuchtend – Polizei nutzt Überwachungstechnik, um Kriminelle zu fassen. Das Problem: Nach dem Verkauf hat die NSO keine Kontrolle mehr darüber, wie ihre Kunden das Produkt einsetzen. Und auf der Kundenliste stehen auch Länder mit fragwürdiger Menschenrechtsbilanz.
Seit 2021 hat das „Pegasus Project”, ein Zusammenschluss von 17 internationalen Medien, in einer Serie von Enthüllungen zahlreiche Missbrauchsfälle dokumentiert: Journalisten, Anwälte, Oppositionspolitiker, Menschenrechtsaktivisten, selbst Staatsoberhäupter standen auf den Ziellisten. Die NSO erklärte jedes Mal, man werde „untersuchen”, man habe „nicht gewusst, dass Kunden das Produkt so einsetzen”. Trotzdem reißen die Fälle nicht ab.
Ein Blick in die Gerichtsakten: Im Mai 2025 verurteilte ein kalifornisches Gericht die NSO Group zu 168 Millionen Dollar Schadensersatz an Meta (die Muttergesellschaft von WhatsApp). Grund: Die NSO hatte WhatsApp-Schwachstellen genutzt, um ihren Kunden die illegale Überwachung von weltweit 1.400 Handys zu ermöglichen. Das bislang höchste Bußgeld der Spyware-Branche.
Was mir allerdings die größten Sorgen macht: Dieses Urteil hat die NSO nicht aus dem Geschäft gedrängt. Laut dem Technikportal TechSpot hat die NSO im November 2025 unter neuer Führung restrukturiert und sucht seither neue Käufer.
Anders gesagt: Das Geschäft läuft weiter.
4. Das Europäische Parlament wurde nicht zum ersten Mal „ins Visier genommen” – und nicht zum letzten Mal
Kouloglou ist nicht der einzige EU-Abgeordnete, der mit Pegasus attackiert wurde.
Schon vor der Einsetzung des PEGA-Ausschusses waren vier katalanische Europaabgeordnete mit Pegasus infiziert worden – darunter Diana Riba, die später stellvertretende Vorsitzende des Ausschusses wurde, sowie der frühere katalanische Regierungschef Carles Puigdemont. Sie waren Mitglieder des PEGA-Ausschusses und zugleich Pegasus-Opfer. Diese absurde Konstellation – gleichzeitig Ermittler und Betroffener zu sein – spricht für sich.
Im Februar 2024 wurden auf den Handys zweier Mitglieder des Unterausschusses für Sicherheit und Verteidigung Spuren von Spyware entdeckt. Im Mai desselben Jahres bestätigte der deutsche Abgeordnete Daniel Freund eine Infektion mit der Spyware Candiru.
Kurzum: Das Europäische Parlament – angeblich eine „Bastion der europäischen Demokratie” – wird von allen Seiten mit verschiedensten Spähprogrammen durchdrungen.
Ein Detail sticht hervor: Citizen Lab stellt ausdrücklich fest, dass es keine Belege für eine Beteiligung der griechischen Regierung an dieser Infektion gibt. Stattdessen deuten die Beweise auf denselben „Operator” hin, der auch mit der Infektion exilierter russischer und weißrussischer Journalisten in Verbindung gebracht wird – ein Kunde, der in mehreren europäischen Ländern zur Nutzung von Pegasus „autorisiert” ist. Anders gesagt: Es handelt sich mutmaßlich um eine länderübergreifende Überwachungsoperation.
5. Warum das wichtig ist: Weil die Regeln mit Füßen getreten werden
Noch einmal: Der Jäger wurde zur Beute. Das ist nicht nur eine griffige Überschrift, es verweist auf ein tieferliegendes Problem.
Wenn derjenige, der den Missbrauch von Spyware untersuchen soll, selbst beliebig damit infiziert werden kann, dann bedeutet das: Diese Überwachungstechnologie unterliegt keinerlei wirksamen Regeln mehr.
Der Sinn des PEGA-Ausschusses bestand darin, dem Einsatz von Spyware rote Linien zu ziehen: Unter welchen Umständen darf sie eingesetzt werden? Wer muss zustimmen? Welche Rechte haben Überwachte? Aber wenn die Handys der Ausschussmitglieder selbst geknackt werden, wenn die vertraulichen Beratungen abgehört werden können, dann wird das „rote Linien ziehen” selbst extrem schwierig – denn der Akteur, den man einhegen will, weiß schon vorher, wie er eingehegt werden soll.
Es ist wie bei einer Prüfung, bei der der Prüfling die Aufgabenstellung schon vorher kennt. Hat die Prüfung dann noch einen Sinn?
Citizen Lab schließt seinen Bericht mit einer Empfehlung, die ebenso bitter wie realistisch ist: Sie rufen alle Mitglieder und Mitarbeiter des PEGA-Ausschusses dringend dazu auf, ihre Handys auf Spyware untersuchen zu lassen. Denn „ohne flächendeckende Untersuchung lässt sich nicht feststellen, ob weitere Ausschussmitglieder oder deren Mitarbeiter ähnlichen Angriffen ausgesetzt waren.”
Vier Jahre sind vergangen. Niemand weiß, wie viele Handys noch immer „kompromittiert” sind.
6. Was kann der Normalbürger daraus lernen?
Offen gesagt: Gegen Angriffe vom Kaliber Pegasus kann sich der Normalbürger kaum schützen. Das ist nichts, was man mit einer Antiviren-App abwehren könnte. Die Schwachstellen, die Pegasus ausnutzt, sind oft selbst dem Hersteller unbekannt (in der Sicherheitsbranche „Zero-Day-Exploits” genannt).
Trotzdem gibt es ein paar Dinge, die jeder wissen sollte:
Erstens: Sich bewusst machen, dass diese Bedrohung existiert. Das ist keine Hollywood-Fiktion. Militärische Spyware wird weltweit in großem Umfang eingesetzt, und die Zielgruppe hat sich längst von Terroristen auf Journalisten, Anwälte, Politiker, Aktivisten – und auf diejenigen, die diese Spyware untersuchen – ausgeweitet.
Zweitens: Sicherheitswarnungen des Geräteherstellers ernst nehmen. Sowohl Apple als auch Google verschicken „Threat Notifications” an Nutzer, die möglicherweise ins Visier staatlicher Akteure geraten sind. Wer eine solche Warnung erhält, sollte sie nicht ignorieren. Sie kann bedeuten, dass das eigene Gerät bereits im Fadenkreuz steht.
Drittens: Wer in sensiblen Bereichen arbeitet, kann den „Lockdown Mode” aktivieren (iOS: Lockdown Mode; Android: Advanced Protection). Das schränkt viele Funktionen ein – etwa werden bei iMessages von unbekannten Absendern bestimmte Anhänge nicht automatisch geladen –, erschwert aber Angriffe mit Spyware erheblich.
Schluss
Beim Abschluss dieses Artikels sehe ich mir noch einmal das Foto aus dem Krankenhaus an. Zwei Menschen auf dem Bild: einer, ein Abgeordneter, der gegen Spyware ermittelt; der andere, ein Journalist, der selbst mit Spyware attackiert wurde. Sie sprechen darüber, wie man Überwachung bekämpfen kann. Und zwischen ihnen ein Handy, das gerade von genau dieser Überwachungssoftware infiltriert wird.
Dieses Bild selbst ist eine Metapher für unsere Zeit.
Citizen Lab empfiehlt EU-Institutionen und nationalen Parlamenten, flächendeckende Spyware-Untersuchungen bei ihren Mitgliedern durchzuführen. Aber ich glaube, noch wichtiger als die Untersuchung ist, dass jemand eine Frage beantworten muss: Wer überwacht eigentlich die Überwacher?
Referenzen:
- https://citizenlab.ca/research/member-of-committee-investigating-spyware-hacked-with-pegasus/
- https://news.ycombinator.com/item?id=48779683
- https://www.wired.com/story/eu-politicians-investigated-pegasus-spyware-then-it-ended-up-on-one-of-their-phones/
- https://www.theguardian.com/world/2026/jul/03/spyware-used-against-mep-investigating-pegasus-abuses-report-finds