Der Skandal um den Missbrauch der Spionagesoftware „Pegasus“ durch autoritäre Regimes zieht immer weitere Kreise. Im Firmengeflecht des Herstellers NSO spielen Luxemburger Gesellschaften eine wichtige Rolle. Die Regierung verfolgt dabei eine ambivalente Strategie.
Zwei Tage nachdem internationale Medien über tausendfache Überwachung von Menschenrechtsaktivisten, Journalisten und politischen Amtsträgern berichteten, schrieb Außenminister Jean Asselborn (LSAP) einen Brief. Er wandte sich an neun Luxemburger Gesellschaften, die Verbindungen zur ursprünglich israelischen NSO-Gruppe haben und drückte seine „große Sorge“ gegenüber den Medienberichten aus.
Eine Antwort hat er bis Mittwoch – eine Woche später – nicht erhalten, teilte das Außenministerium auf Nachfrage von Reporter.lu mit. Der sonst so gesprächige Jean Asselborn will sich nicht weiter dazu äußern. Sein Regierungskollege, Wirtschaftsminister Franz Fayot (LSAP), ist völlig abwesend. Und das, obwohl die Exportkontrolle von Rüstungsgütern eine geteilte Aufgabe zwischen Wirtschafts- und Außenministerium ist.
Bei einer parlamentarischen Anfrage von Sven Clement und Marc Goergen (beide Piraten) änderte die Regierung dreimal die Liste der Minister, die darauf antworten sollen. Auch eine weitere Anfrage von Nathalie Oberweis (Déi Lénk) wurde wie eine heiße Kartoffel weitergereicht.
Das Dossier ist inzwischen ein politisches und diplomatisches Minenfeld. Entgegen früheren Enthüllungen zu den Aktivitäten von NSO ist die Tragweite diesmal eine andere. Dass Staatschefs wie etwa der französische Präsident Emmanuel Macron möglicherweise überwacht wurden, erhöht die politische Brisanz.
Undurchsichtiges Firmengeflecht
Immer mehr Regierungen nehmen die Enthüllungen demnach sehr ernst. Frankreich prüft die Vorwürfe aktiv und die Smartphones von Regierungsmitgliedern wurden untersucht. Das deutsche Bundesamt für Sicherheit in der Informationstechnik seinerseits gab eine Warnung heraus.
Noch steht Israel im Zentrum der Kritik, weil der Staat den Export der Spähsoftware prinzipiell genehmigen muss. Allerdings werden die Aussagen von Jean Asselborn zum Fall international sehr genau verfolgt. Als Anfang 2019 der Vorwurf laut wurde, dass die saudischen Behörden die Dienste von NSO nutzten, um den Journalisten Jamal Khashoggi vor seiner Ermordung auszuspähen, war die Reaktion der Luxemburger Regierung die übliche. Verantwortlich sei die israelische Tochter einer Luxemburger Holding. Im Grunde das bekannte Schema: In Luxemburg werden die Finanzen mit Briefkastengesellschaften verwaltet, die Entscheidungen fallen anderswo.
Es ist aber nach wie vor unklar, wie NSO seine Aktivitäten im Detail organisiert. Ein Bericht von „Amnesty International“ und zwei weiteren NGOs kritisierte im Mai das undurchsichtige Firmengeflecht des Unternehmens. „Ohne zu wissen, welchen Zweck oder Rolle ein Unternehmen hat oder welche Produkte und Dienste jede dieser Gesellschaften anbietet, ist es quasi unmöglich, die Einhaltung von Exportkontrollen einzuschätzen“, lautet die Sorge der NGOs. Inzwischen ist klar, dass im Fall NSO die Aktivitäten in Luxemburg über die reine Firmenbeteiligung hinausgehen.
Die Abgeordnete Nathalie Oberweis verweist in ihrer parlamentarischen Anfrage auf den Jahresbericht 2019 der „Q Cyber Technologies Sàrl“, die operative Firma der Gruppe in Luxemburg. Deren Umsatz von knapp 230 Millionen Euro sei auf Einkommen durch den Verkauf und Vertrieb von Computerausrüstung und Dienstleistungen zurückzuführen. Weiteres Einkommen von knapp drei Millionen Euro sei auf Kommissionen und Dienstleistungen zurückzuführen, die anderen Gesellschaften der Gruppe in Rechnung gestellt worden seien. Der Jahresbericht für 2020 liegt noch nicht vor.
Vertrieb via Luxemburg
„Q Cyber Technologies Sàrl“ gibt seit dem Gründungsjahr 2016 Umsätze aus dem Handel mit Software an. Die aktuell gültigen Handelsermächtigungen wurden im September 2020 erteilt. Die Genehmigungen betreffen die Bereiche „activités et services commerciaux“ und „Gestionnaire d’un organisme de formation professionnelle continue“.
Auf Anfrage von Amnesty International erklärte NSO im Mai, dass „Q Cyber Technologies Sàrl“ den kommerziellen Vertrieb der Produkte der Gruppe übernehme. Dazu gehöre die Unterzeichnung von Verträgen und die Abwicklung von Rechnungen der Kunden. Aber das Unternehmen betont, dass die Luxemburger Gesellschaft die Produkte nicht exportiere und auch keine Exportlizenz in Luxemburg beantragt habe. Letzteres bestätigte auch die Luxemburger Regierung. Nach eigenen Angaben hat das Unternehmen Exportlizenzen in Israel, Zypern und Bulgarien beantragt.
Das Magazin „MIT Technology Review“ veröffentlichte 2020 einen Vertrag zwischen „Q Cyber Technologies Sàrl“ und einem unbekannten Kunden. Es geht darin um eine Spähsoftware, aber es ist nicht sicher, ob es sich um „Pegasus“ handelt. Die Luxemburger Gesellschaft „is engaged in the business of developing, integrating and supplying certain intelligence solutions, and has developed (through its affiliates) the System“, sprich die Überwachungssoftware. Neben dieser Vorstellung stellt der Vertrag klar, dass „Q Cyber Technologies Sàrl“ die Exportgenehmigung bei der „entsprechenden Regierungsbehörde“ einholt. Der Vertrag enthält ebenfalls das Angebot für „support services“. Nirgends ist erwähnt, dass die israelischen Gesellschaften die Erfüllung des Vertrags übernehmen.
Wie NSO zwischen dem Vertrag zur Bereitstellung einer Lizenz für die Software sowie dem Support und dem „Export“ dieser Technik unterscheidet, bleibt unklar. Klar ist dagegen, dass das Luxemburger Gesetz zur Exportkontrolle sowohl die Technik an sich als auch den technischen Support umfasst. Selbst die Weitergabe von technischen oder praktischen Kenntnissen muss genehmigt werden.
Kontrollgremium in Luxemburg ernannt
Israel prüft inzwischen formell, ob die Exportregeln eingehalten wurden. Am Mittwoch haben israelische Beamte die Büros von NSO aufgesucht. An der Untersuchung seien das Justiz- und das Außenministerium beteiligt sowie die Geheimdienste, berichtete das Magazin „Technology Review“. Laut dem Fachblatt begrüßte der CEO von NSO, Shalev Hulio, diese Maßnahme. Sein Unternehmen bestreitet die Wahrhaftigkeit einer Liste von 50.000 Handynummern, die laut Medienberichten überwacht wurden.
Nachdem die NSO-Gruppe eine Exportgenehmigung eines Staates erhalten hat, liegt die letzte Entscheidung in den Händen eines internen Gremiums. Das „Governance, Risk and Compliance Committee“ (GRCC) umfasst mehrere Verwaltungsräte aus den Reihen der Gruppe sowie den CEO von NSO.
Wer Teil dieses Kontrollgremiums ist, entscheidet allerdings der Verwaltungsrat der Luxemburger Holding „OSY Technologies Sàrl“, teilte NSO Amnesty International auf Nachfrage mit. Das GRCC prüfe ebenfalls Vorwürfe, dass ein Kunde die Spähsoftware für Menschenrechtsverletzungen missbraucht habe. Dieses Komitee habe enormen Einfluss auf die Nutzung der Überwachungssoftware, so die Einschätzung von Amnesty International.
„OSY Technologies“ ist die unmittelbare Muttergesellschaft sowohl der israelischen, zypriotischen, bulgarischen Gesellschaften der Gruppe als auch von „Q Cyber Technologies“. Der Verwaltungsrat von „OSY Technologies“ umfasst Vertreter aller Aktionäre der NSO-Gruppe. Dazu zählen die Gründer des Unternehmens, aber auch der Private-Equity-Fonds Novalpina Capital. Die Verwaltungsräte tagen grundsätzlich in Luxemburg.
Regierung tappt im Dunkeln
Außenminister Jean Asselborn richtete seine Warnung per Brief an neun Luxemburger Gesellschaften. Auf die Frage nach der Quelle dieser Liste nennt das Außenministerium auf Nachfrage den Amnesty-Bericht. Dass die zuständigen Ministerien keinen Überblick über das komplette Firmengeflecht hinter der NSO-Gruppe haben, zeigt ein peinlicher Fehler.
Asselborns Brief war unter anderem an „Novalpina Capital Partners Sàrl“ gerichtet. Doch diese Gesellschaft gibt es nicht. Gemeint war wohl „Novalpina Capital Partners I SCSp“, ein unregulierter Investmentfonds. Dabei wäre diese Struktur ein wichtiger Ansprechpartner gewesen. Denn sie umfasst die Investoren des Novalpina-Fonds, zu denen laut Amnesty-Bericht teils staatliche Fonds aus den USA zählen. Letztere hätten einen Brief einer Regierung nicht so einfach ignorieren können.
Innerhalb des Hauptaktionärs der NSO-Gruppe gibt es zudem heftigen Streit, der allerdings unabhängig vom Überwachungsskandal seit Monaten schwelt. Die Investoren des Novalpina-Fonds haben im Juli dem Private-Equity-Manager die Kontrolle entzogen, berichtete die „Financial Times“. Ein Luxemburger Gericht hatte Anfang Juli geurteilt, dass die Stimmrechte eines der drei Novalpina-Partner suspendiert bleiben, meldete der „Guardian“. Die Investoren entscheiden Anfang August, ob sie einen anderen Fondsmanager einsetzen oder die gehaltenen Unternehmen verkaufen – darunter auch NSO.
Ein neuer Hauptaktionär von NSO würde für die Einhaltung von gesetzlichen und ethischen Regeln eine neue Belastungsprobe bedeuten. Es wäre aber die Gelegenheit für die Luxemburger Regierung den Aktivitäten des Unternehmens klare Grenzen aufzuzeigen, statt ein passiver Zuschauer der Ereignisse zu sein.