Die öffentliche Debatte über Spyware dreht sich meist um Pegasus: Millionen-Dollar-Verträge, Zero-Click-Exploits, Angriffe auf Journalisten und Staatschefs. Für die meisten Ermittlungsbehörden ist das weit jenseits des Budgets. In Italien hat sich stattdessen ein ganz anderer Markt entwickelt: Trojaner-Software für Strafverfolgungsbehörden, ein paar Dutzend Euro pro Überwachungstag, kein ausgefeilter Exploit nötig. Eine gefälschte SMS reicht.
Keine Zero-Days nötig — nur eine falsche SMS
Die unabhängige Forschungsgruppe Osservatorio Nessuno hat zwei dieser Produkte dokumentiert: Morpheus, das der Firma IPS Intelligence zugeordnet wird, und Spyrtacus, entwickelt von SIO S.p.A. Beide setzen nicht auf teure Sicherheitslücken, sondern auf Social Engineering. Typisches Vorgehen: erst wird die Mobilfunkverbindung des Ziels kurz unterbrochen, dann folgt eine SMS im Design des Netzbetreibers — Hinweis auf ein angebliches Sicherheitsupdate, bitte herunterladen und installieren. Wer das tut, bekommt eine APK-Datei, die Accessibility Services missbraucht: Screenshots, Gesprächsaufnahmen, WhatsApp-Export inklusive. Über einen gefälschten biometrischen Prompt kann die Software sogar WhatsApp-Konten übernehmen.
Niedrigschwellig? Ja. Praxistauglich für Behörden, die kein Exploit-Budget haben? Offenbar schon.
5.200 Trojaner-Infektionen — ein ganz normales Geschäftsjahr
Das italienische Justizministerium hat für 2024 rund 5.200 autorisierte Trojaner-Infektionen dokumentiert. Keine vergleichbare EU-Nation liegt auch nur annähernd in dieser Größenordnung. Was anderswo als engmaschig reguliertes Ausnahmewerkzeug gilt, ist in Italien zur Routine geworden — und der Markt hat entsprechend reagiert: Dutzende Anbieter, wettbewerbsfähige Preise, unkomplizierte Beschaffung über Behördenkanäle. Regulierung auf EU-Ebene existiert praktisch nicht.
Wenn ich meinen KMU-Kunden erkläre, warum Ende-zu-Ende-Verschlüsselung allein kein vollständiger Schutz ist, dann muss ich eigentlich genau hier anfangen. Nicht bei Geheimdiensten und Staatshackern — sondern beim Strafverfolgungsalltag eines EU-Mitgliedsstaates, in dem Behörden jährlich mehrere Tausend Geräte trojanisieren. Mit offizieller Genehmigung, ohne öffentliche Transparenzpflicht.
Was niemand mehr nachvollziehen kann
Das eigentliche Problem ist nicht die Technik, die wie beschrieben ausgesprochen simpel ist. Es ist die Rückverfolgbarkeit — oder genauer: ihr Fehlen. Wird eine dieser Trojaner-Instanzen auf einem Gerät entdeckt, können Opfer, Anwälte und IT-Forensiker in aller Regel nicht feststellen, welches Unternehmen die Software geliefert hat oder ob überhaupt eine gültige Gerichtsgenehmigung vorlag. Kein Audit-Log, kein Herkunftsnachweis.
EDRi und andere Digitalrechtsorganisationen fordern ein EU-weites Verbot kommerzieller Spyware mit Transparenzpflichten für Mitgliedsstaaten. Die Forderung ist vernünftig — und sie ist auch nicht neu. Das EU-Parlament hat die Zustände im PEGA-Ausschuss bereits 2023 detailliert dokumentiert. Geändert hat sich wenig.
Solange Trojaner-Software wie ein regulärer IT-Dienstleisterauftrag beschafft werden kann — Angebot, Beauftragung, Rechnung — und danach keine öffentlich nachprüfbaren Spuren bleiben, wird sich das nicht ändern. Italien ist das sichtbarste Beispiel. Kein Einzelfall.
