Es ist ein handfester Überwachungsskandal: In Italien wurde der Journalist Francesco Cancellato offenbar mit der Spionagesoftware Graphite des US-israelischen Unternehmens Paragon Solutions überwacht. Cancellato ist Chefredakteur des Nachrichtenportals Fanpage.it und bekannt für investigative Recherchen über Korruption, organisiertes Verbrechen und Rechtsextremismus in der Jugendorganisation der Regierungspartei von Ministerpräsidentin Giorgia Meloni. Reporter ohne Grenzen (RSF) fordert die italienischen Behörden auf, umfassend aufzuklären, wer für diesen Angriff verantwortlich ist. Es ist Aufgabe der europäischen Regierungen und der gesamten EU, Medien und ihre Kommunikation umfassend und verlässlich zu schützen. Der Graphite-Überwachungsskandal zeigt, dass das derzeit nicht gelingt.
„Was wir aktuell in Italien beobachten, scheint nur die Spitze des Eisbergs zu sein. Wir rechnen mit weiteren Fällen“, sagt Helene Hahn, Referentin für Internetfreiheit bei RSF. „Die Überwachungsskandale werden auch in der EU nicht abreißen, solange Staaten – ob demokratisch oder nicht – die Möglichkeit haben, invasive Überwachungssoftware heimlich einzukaufen und zu nutzen. Der Schutz journalistischer Quellen ist ein Grundpfeiler des Journalismus und seit Inkrafttreten der Europäischen Verordnung zur Medienfreiheit (EMFA) in der EU besonders geschützt – zumindest auf dem Papier.“
Bereits vor einem Monat, am 1. Februar 2025, hatte der britische Guardian Francesco Cancellatos Überwachung durch den Staatstrojaner Graphite enthüllt. Einfallstor für den Trojaner sei die Messenger-Plattform WhatsApp gewesen. WhatsApp selbst habe die Angriffe gegenüber Betroffenen öffentlich gemacht. Demnach ist Cancellato bislang der einzige bekannte betroffene Journalist. Insgesamt wurden laut WhatsApp europaweit mindestens 90 Personen ausgespäht. Das Citizen Lab an der Toronto Universität hat die Fälle unabhängig forensisch analysiert. Demnach wurden die Betroffenen ohne ihre Zustimmung zu WhatsApp-Chatgruppen hinzugefügt, anschließend wurden ihre Geräte über eine PDF-Datei mit der Überwachungssoftware infiziert. Es handelte sich bei dem Angriff offenbar um einen sogenannten Zero-Click-Angriff, bei der keine Aktion vonseiten der Opfer ausgeführt werden muss. Das Zustellen einer infizierten Nachricht reicht bereits aus, um digitale Geräte zu kompromittieren.
Meloni-Regierung verstrickt sich in Widersprüche
Die italienische Regierung hat seitdem wenig zur Aufklärung beigetragen und sich sogar in Widersprüche verstrickt. Unterstaatssekretär Alfredo Mantovano hatte zunächst am 4. Februar die Überwachung von Medienschaffenden bestritten. Am 17. Februar weigerte er sich dann, Fragen der Abgeordneten zur Verwendung von Graphite durch italienische Behörden zu beantworten, und bezog sich dabei auf die staatliche Geheimhaltung. Justizminister Carlo Nordio erklärte, im Jahr 2024 sei niemand von Einrichtungen abgehört worden, die vom Justizministerium finanziert wurden. Die Spyware-Firma Paragon ihrerseits gab an, sie habe ihren Geschäftsvertrag mit dem italienischen Staat gekündigt. Das dementierte die Meloni-Regierung umgehend, später bestätigen jedoch die Nachrichtendienste, dass der Vertrag ausgesetzt worden sei.
Ob die italienischen Behörden in die Überwachung verwickelt sind, muss eine gerichtliche Untersuchung klären. Am 19. Februar reichte die Federazione Nazionale Stampa Italiana, die italienische Journalistengewerkschaft, eine Klage wegen Abhörens und unrechtmäßigen Zugriffs auf Cancellatos personenbezogene Daten ein. Er selbst hatte eine Woche zuvor bei der Staatsanwaltschaft von Palermo Anzeige erstattet. Abgesehen davon, dass die Überwachung laut WhatsApp bis Dezember 2024 andauerte, kennt Cancellato weder Dauer noch Auftraggeber.
Der Chefredakteur von Fanpage.it hatte im Juni 2024 enthüllt, dass es in der Jugendgruppe der Regierungspartei Fratelli d'Italia eine Fülle rassistischer und antisemitischer Äußerungen gab und dass sich Mitglieder als Faschisten bezeichneten. Von der Überwachung sind auch mehrere italienische Aktivistinnen und Aktivisten betroffen, welche die Meloni-Regierung wegen ihrer Politik gegenüber Geflüchteten kritisieren. Insgesamt sollen nach WhatsApp-Angaben Menschen aus 13 weiteren europäischen Ländern ins Visier genommen worden sein: Belgien, Dänemark, Griechenland, Lettland, Litauen, die Niederlande, Österreich, Portugal, Schweden, Spanien, Tschechien, Zypern – und auch aus Deutschland.
Überwachungsfirmen auch in Deutschland aktiv
In Deutschland unterhält der Graphite-Hersteller Paragon Solutions ein Postfach. Paragon ist eines der vielen Unternehmen auch in der EU, die überaus intrusive Überwachungssoftware herstellen und an Staaten vertreiben, ähnlich dem Staatstrojaner Pegasus der israelischen NSO Group und Predator der Intellexa Alliance. Whatsapp, über dessen Dienst die Überwachung mit Graphite lief, hat Paragon eine Unterlassungsaufforderung zugestellt und behält sich weitere juristische Schritte vor. Erst kürzlich hat der Messengerdienst einen wichtigen Erfolg im Rechtsstreit gegen die NSO Group errungen: Ein US-Gericht in Kalifornien erklärte, dass NSO für Hacking haftbar gemacht werden könne. Bereits 2019 zog WhatsApp vor Gericht, nachdem 1.400 Konten durch das Ausnutzen einer Sicherheitslücke mit Pegasus infiziert worden waren.
Im Europäischen Parlament sollte der PEGA-Untersuchungsausschuss die bekannten Staatstrojaner-Skandale aufarbeiten. Seine Empfehlungen liegen vor, doch die EU hat bis heute keine Maßnahmen zur Regulierung von Überwachungsfirmen ergriffen. RSF beobachtet, dass derweil die Zahl der bekannt gewordenen Spyware-Fälle wieder ansteigt.
Journalistinnen und Reporter, die fürchten, überwacht zu werden, können sich an das Digital Security Lab von Reporter ohne Grenzen (RSF) wenden. Die Mitarbeitenden prüfen die Endgeräte auf Spuren bekannter Spähtechnologie.
Auf der Rangliste der Pressefreiheit belegt Italien Platz 46 vo180.
Reporter ohne Grenzen (RSF)
Alle Angaben ohne Gewähr.
