Wer prüft, wird bespäht
Es gibt Nachrichten, die klingen wie eine Pointe, sind aber Forensik. Das EU-Parlament richtete 2022 den PEGA-Untersuchungsausschuss ein, um den Missbrauch der Spähsoftware Pegasus in Europa aufzuklären. Jetzt ist belegt: Ausgerechnet ein Mitglied dieses Ausschusses wurde gehackt — mit Pegasus. Während der Ausschussarbeit.
Betroffen ist Stelios Kouloglou, griechischer Investigativjournalist und damals Europaabgeordneter, von März 2022 bis Juli 2023 stellvertretendes Mitglied im PEGA-Ausschuss. Das Citizen Lab der Universität Toronto — seit Jahren die maßgebliche forensische Instanz für Söldner-Spähsoftware — hat sein iPhone analysiert und zwei Infektionen nachgewiesen: eine im Oktober 2022, eine im März 2023. Beide fallen mitten in die Laufzeit des Ausschusses. Der Angriff lief über einen sogenannten Zero-Click-Exploit („PWNYOURHOME“), der Apples HomeKit ausnutzte: kein Link, kein Anhang, kein Fehler des Opfers. Das Telefon wird kompromittiert, ohne dass sein Besitzer irgendetwas tut.
Ehrlichkeit gebietet zwei Einordnungen. Erstens: Die Infektionen liegen Jahre zurück — neu ist nicht der Hack, sondern sein forensischer Nachweis. Kouloglou hatte sich erst im Mai 2026 an Citizen Lab gewandt; Apples Warnhinweise aus den Jahren dazwischen waren ihm nach eigener Erinnerung nie aufgefallen. Zweitens: Wer dahintersteckt, ist nicht geklärt. Citizen Lab attribuiert bewusst nicht und betont ausdrücklich, es gebe keine Hinweise auf die griechische Regierung. Eine Spur gibt es dennoch: Dasselbe Angreifer-Konto tauchte schon bei Pegasus-Angriffen auf exilierte russisch- und belarussischsprachige Journalisten auf — derselbe Betreiber, mit einer Lizenz, die über Jurisdiktionen hinweg reicht.
Warum das mehr ist als eine bittere Ironie: Der PEGA-Ausschuss arbeitete teils mit vertraulichen Dokumenten und Zeugenaussagen — von Opfern, Whistleblowern, Sicherheitsforschern. Ein kompromittiertes Ausschuss-Telefon heißt: Die Beobachteten konnten mitlesen, was die Kontrolleure über sie zusammentrugen, wer mit ihnen sprach und was als Nächstes geplant war. Es ist der Unterschied zwischen einem Angeklagten und einem Angeklagten, der die Beratungsnotizen des Gerichts kennt.
Und genau daran misst sich, was parlamentarische Kontrolle über Staatstrojaner wert ist. Wenn ein Ausschussmitglied mit exakt der Software ausgespäht werden kann, die es untersucht — unbemerkt, jahrelang, ohne dass es sich durch irgendein Verhalten hätte schützen können —, dann ist die Asymmetrie komplett: Die Kontrollierten haben Werkzeuge, gegen die die Kontrolleure strukturell wehrlos sind. Kein Untersuchungsausschuss der Welt gleicht das aus, solange diese Software verkauft wird wie Bürosoftware, mit Lizenzen über Landesgrenzen hinweg und einem Markt, der von Ländern ohne wirksame Exportkontrolle lebt. Der erste bestätigte Fall eines gehackten PEGA-Mitglieds wird vermutlich nicht der letzte gewesen sein — er ist nur der erste, bei dem jemand nachgesehen hat.
Quelle: The Citizen Lab — Member of Committee Investigating Spyware Hacked with Pegasus