Die Spyware Pegasus beschäftigte jahrelang Regierungen, Sicherheitsforscher und Datenschützer weltweit. Mit der Übernahme der NSO Group durch US-Investoren begibt sich eines der umstrittensten Überwachungstechnologieunternehmen der Welt nun in neue Hände – was bedeutet das für die globale Cybersecurity?
Die NSO Group: Technologielieferant mit zweifelhaftem Ruf
Die NSO Group aus Israel wurde vor allem durch ihre hochentwickelte Spyware Pegasus bekannt. Diese ermöglicht das unbemerkte Ausspionieren von Smartphones selbst über Zero-Click-Angriffe – Angriffsmethoden, bei denen Nutzer nicht einmal aktiv handeln müssen. Pegasus kann Zugriff auf Kamera, Mikrofon, Standortdaten, Nachrichten und weitere sensiblen Informationen eines Geräts erhalten. Die Software wurde ursprünglich als Werkzeug zur Terrorismusbekämpfung und Kriminalprävention vermarktet, entwickelte sich jedoch rasch zum machtpolitischen Instrument.
Weltweit tauchten Berichte auf, wonach Pegasus gegen Journalisten, Aktivisten, Oppositionelle und sogar Staatsoberhäupter eingesetzt wurde. Laut einer 2021 durchgeführten Untersuchung des Forbidden Stories-Konsortiums in Zusammenarbeit mit Amnesty International waren über 50.000 Telefonnummern potenzielle Ziele der NSO-Software – ein Indiz für die massenhafte und potenziell missbräuchliche Anwendung durch staatliche Akteure.
Neue Eigentümer – alte Probleme?
Im Frühjahr 2025 wurde bekannt, dass ein Konsortium aus US-amerikanischen Private-Equity-Investoren – angeführt von Integrity Capital – die mehrheitliche Kontrolle über die NSO Group übernommen hat. Offiziell gaben die Investoren an, das Geschäftsmodell ethischer auszurichten, Transparenz zu schaffen und ausschließlich mit „demokratisch legitimierten Sicherheitsbehörden“ zusammenzuarbeiten.
Doch Kritiker bleiben skeptisch: Die anhaltende Intransparenz über Kundenbeziehungen sowie die fehlende globale Reglementierung von Spyware bergen weiterhin hohe Risiken für Bürgerrechte und die Integrität digitaler Systeme.
Globale Auswirkungen auf IT-Sicherheit
Die Übernahme durch US-Investoren sorgt für neue Dynamiken auf dem Cybersicherheitsmarkt. Einerseits könnte sie dazu führen, dass der Vertrieb und die Lizenzvergabe strenger kontrolliert werden – insbesondere unter Einhaltung US-amerikanischer Datenschutzgesetze wie dem Cloud Act oder Exportkontrollvorschriften. Nicht zu unterschätzen ist jedoch die Kehrseite: Durch den Technologietransfer in US-Hoheit erhöht sich auch das geopolitische Spannungsfeld im Cyberspace.
Experten wie der Kryptograf und IT-Sicherheitsforscher Prof. Bruce Schneier warnen: „Kaum ein Instrument ist so mächtig wie eine staatlich legitimierte Zero-Day-Überwachungssoftware. Sobald solche Technologien in größere politische Einflusszonen transferiert werden, steigen die Missbrauchs- und Eskalationsrisiken.“
Laut dem Cybersecurity Ventures Report 2024 steigen die weltweiten Kosten durch Cyberkriminalität jährlich um rund 15 % und sollen bis 2025 mehr als 10,5 Billionen US-Dollar erreichen. Kommerzialisierte Spyware wie Pegasus spielt dabei eine zunehmend zentrale Rolle – sowohl als Angriffs-, als auch als Verteidigungsinstrument.
Staaten als Kunden – und Bedrohung
Ein zentrales Problem bleibt: Staatliche Kunden agieren nicht immer im Einklang mit demokratischen Werten oder rechtsstaatlichen Prinzipien. Obwohl Israel seit Ende 2022 Exportbeschränkungen für hochsensible Software wie Pegasus verschärft hat, zeigen geleakte Dokumente, dass Regierungen in Afrika, Asien und Lateinamerika weiterhin Zugriff erhielten – teils über Drittstaaten.
Das Citizen Lab der University of Toronto identifizierte zwischen 2020 und 2023 mindestens 45 staatliche oder staatlich unterstützte Organisationen weltweit, die Pegasus operativ einsetzten. Trotz internationaler Aufrufe zu Kontrolle und Transparenz bleibt der Einsatz weitgehend unreguliert.
Mit der jetzigen Übernahme und potenziellen Vernetzung zur US-amerikanischen Rüstungs- und Sicherheitstechnik droht ein weiterer Kontrollverlust. Zwar könnten US-Regulierungsbehörden wie das Bureau of Industry and Security (BIS) Exportlizenzen einschränken, allerdings zeigen Erfahrungen mit Dual-Use-Technologien, dass wirtschaftliche und geopolitische Interessen oft Vorrang haben.
Statistischer Kontext:
- Laut dem UN Special Rapporteur on the Right to Privacy waren im Jahr 2023 mindestens 86 bekannte Fälle dokumentiert, bei denen Spyware gegen Journalisten und Menschenrechtsaktivisten zum Einsatz kam (UNHRC 2024).
- Ein Bericht von MIT Technology Review aus dem Jahr 2024 schätzt, dass bis zu 35 % aller Zero-Day-Angriffe in den vergangenen zwei Jahren durch kommerzielle Spyware-Unternehmen ermöglicht wurden.
Ethischer Technologietransfer: Trend oder Täuschung?
Die strukturelle Frage bleibt: Wie viel Verantwortung tragen Investoren und Eigentümer solcher Technologien gegenüber der Weltgemeinschaft? Die NSO Group versicherte nach der Übernahme, künftig einen Ethics and Compliance Council einzurichten – doch bisher ohne unabhängige Drittprüfung oder öffentliche Rechenschaft.
Einige positive Impulse zeichnen sich ab: Der neue Mehrheitseigner kündigte an, künftig ausschließlich mit Partnern zusammenzuarbeiten, die der Wassenaar-Abkommenskontrollliste für Cybertechnologien unterliegen. Außerdem soll der Quellcode der Pegasus-Engine auf Schwachstellen geprüft und der Umgang mit gesammelten Daten durch Drittparteien evaluiert werden.
Derzeit bleibt aber unbeantwortet, wie viel davon tatsächlich umgesetzt wird und ob solche Selbstverpflichtungen ausreichen, um Missbrauch effektiv zu verhindern.
Empfehlungen für Unternehmen und Organisationen:
- Zero-Day-Strategien prüfen: Organisationen sollten Notfallpläne für Schäden durch unbekannte Schwachstellen entwickeln und regelmäßig simulieren.
- Mobiles Geräte-Management (MDM) stärken: Der Einsatz professioneller MDM-Systeme kann helfen, das Risiko unautorisierter Zugriffe zu reduzieren.
- Cyber Threat Intelligence (CTI) integrieren: Frühzeitige Indikatoren für Spyware-Kampagnen lassen sich durch abonnementbasierte CTI-Dienste identifizieren.
Auf dem Weg zu einer Global Governance für Spyware?
Die Diskussion um eine globale Reglementierung von Cyberüberwachungstechnologien nimmt an Fahrt auf. Die EU-Kommission plant für Ende 2025 neue Standards zur Klassifizierung und Regulierung von Dual-Use-Technologien, darunter auch Zero-Day-Exploits. Parallel laufen in den USA Debatten über ein föderales Gesetz zur Kontrolle kommerzieller Spyware auf Basis des Foreign Malicious Cyber Actors Sanctions Policy–Entwurfs.
Auch zivilgesellschaftliche Organisationen fordern seit Jahren eine internationale Kontrollinstanz für Überwachungstechnologie – ähnlich wie bei chemischen und nuklearen Waffen. Doch wirtschaftliche Interessen und Spionage-Prioritäten erschweren die Umsetzung solcher Modelle erheblich.
Die NSO Group bleibt hierbei ein Brennglas für tiefgreifende Zielkonflikte zwischen Sicherheitsinteressen, Menschenrechten und wirtschaftlicher Verwertung hochsensibler Technologien.
Fazit: Chancen und Risiken eines Eigentümerwechsels
Die Übernahme der NSO Group durch US-Investoren markiert einen Wendepunkt – aber keinen Neuanfang. Zwar gibt es Hoffnung auf Institutionalisierung ethischer Standards, doch der Machtwechsel allein neutralisiert keine strukturellen Probleme. Solange klare internationale Regeln fehlen und Geschäftsmodelle auf Intransparenz und technischer Überlegenheit beruhen, bleibt Pegasus ein Mahnmal für den verantwortungslosen Umgang mit digitaler Macht.
Die Tech-Community ist nun mehr denn je gefragt, sich aktiv an Debatten, Regulierungsinitiativen und Open-Source-Kontrollen zu beteiligen. Welche Wege halten Sie für sinnvoll, um globale Spyware-Regulierungen umzusetzen? Diskutieren Sie mit uns in der Kommentarspalte!
