Die NSO Group, ein israelisches Unternehmen und Hersteller des Staatstrojaners Pegasus, wurde vom Bundesgericht in Kalifornien angewiesen, den Quellcode ihrer Software an WhatsApp zu übergeben. Die Entscheidung erfolgte im Rahmen einer Klage, die WhatsApp 2019 gegen die NSO Group eingereicht hatte. Die Vorwürfe besagen, dass die NSO Group eine Sicherheitslücke in der Messenger-App ausnutzte, um rund 1.400 Nutzer:innen auszuspionieren.

Pegasus gilt als äußerst raffiniertes Überwachungswerkzeug und wird als „Zero-Click“-Angriff eingestuft, bei dem die Spionagesoftware ohne Interaktion der Nutzer:innen auf deren Smartphones installiert werden kann. Die NSO Group hatte sich gegen die Offenlegung ihres Quellcodes gewehrt, jedoch entschied die Richterin zugunsten von WhatsApp. Das Unternehmen muss nun die „volle Funktionalität“ der relevanten Software offenlegen.

Die Klage von WhatsApp wurde öffentlich, nachdem im Mai 2019 eine Sicherheitslücke bekannt wurde, durch die Pegasus auf die Telefone von Nutzer:innen geschleust wurde. Betroffen waren sowohl Android- als auch Apple-Betriebssysteme. Ein Anruf in WhatsApp genügte, um die Software zu platzieren. Insgesamt sollen 1.400 Nutzer:innen innerhalb von zwei Wochen betroffen gewesen sein.

Die NSO Group betont, Pegasus nur an staatliche Stellen zu verkaufen, die es für Ermittlungen im Zusammenhang mit Terrorismus, Kinderpornografie und schweren Verbrechen einsetzen sollen. In Deutschland besitzen das Bundeskriminalamt und der Auslandsgeheimdienst BND Lizenzen für Pegasus.

Die Offenlegung des Quellcodes könnte einen bedeutenden Einblick in die Funktionsweise von Pegasus bieten. Bisher gibt es keine umfassende Liste der Staaten und Behörden, die den Staatstrojaner nutzen. Pegasus wurde weltweit in Ländern wie Mexiko, Saudi-Arabien, Ruanda und Indien eingesetzt, um Journalist:innen, Aktivist:innen und politische Konkurrent:innen auszuspionieren. Im EU-Parlament wurden ebenfalls Fälle von Spyware auf Geräten von Mitarbeitern und Abgeordneten bekannt.

In den USA steht die NSO Group seit 2021 auf einer Sperrliste, was Exportbeschränkungen für US-Unternehmen bedeutet.