Die Spyware-Jagd

Plötzlich entladen sich ihre iPhones schlagartig, Messenger-Apps spielen verrückt: Das Verhalten ihrer Smartphones kommt Julia Gavarrete und Xenia Oliva aus El Salvador merkwürdig vor. Die Journalistinnen arbeiten bei regierungskritischen Digitalmedien: Gavarrete berichtet für El Faro, Oliva für Gato Encerrado; beide Plattformen berichten über die umstrittenen Reformen der Bukele-Regierung, Korruption, Skandale – und El Faro ist gerade dabei aufzudecken, wie die Regierung geheime Deals mit den Gangs des Landes schließt, damit die Mordraten sinken.

Ist das seltsame Verhalten der Smartphones der Journalistinnen Mitte 2021 ein Zufall? Haben sie sich einen Virus eingefangen? Oder werden sie vielleicht vom Staat überwacht? Als die beiden ihre Geräte von IT-Expert*innen prüfen lassen, zeigt sich, dass es nicht irgendein Virus ist – sondern Pegasus, das mächtige Spionagetool des israelischen Herstellers NSO Group, das sich aus der Distanz unbemerkt Zugriff auf Smartphones verschafft, Dateien und Nachrichten kopiert, GPS-Daten und Kalender einsehen und heimlich Mikrofon oder Kamera aktivieren kann. „Wir hatten irgendwie geahnt, dass wir möglicherweise abgehört werden”, sagt Julia Gavarrete, „aber nicht auf diesem Niveau.”

Pegasus ist derzeit die bekannteste Spyware, doch im Verborgenen agieren Dutzende andere Anbieter. Sie vermarkten ihre Tools als Werkzeuge, die Staaten helfen, Kriminelle und Terroristen zu überwachen. Weltweit werden immer mehr Fälle von Angriffen auf Politiker*innen, Aktivist*innen, Journalistinnen und Journalisten bekannt.

Mindestens 74 Regierungen weltweit haben einer Datenbank des US-Thinktanks Carnegie Endowment zufolge zwischen 2011 und 2023 Spyware wie Pegasus oder Software für digitale Forensik, die etwa Handydaten ausliest, wie Cellebrite eingekauft. Autoritäre Staaten gehen besonders häufig auf Spyware-Shoppingtour, doch auch mitten in Europa werden raffinierte Spionagewerkzeuge eingesetzt. Seit dem Abstieg von europäischen Spyware-Anbietern wie FinFisher und Hacking Team gelten derzeit israelische Firmen oder Hersteller mit Verbindungen nach Israel als Spyware-Exportweltmeister – wie NSO Group (Pegasus), Cytrox (Predator) oder Candiru.

In den vergangenen Jahren hat sich allerdings eine breite Front gegen Staatstrojaner, ihre Hersteller und Staatskunden formiert: Tech-Teams internationaler NGOs wie das Amnesty Security Lab, IT-Sicherheitsforscher*innen wie vom kanadischen Forschungsinstitut Citizen Lab der Universität Toronto oder Investigativ-Recherchekollektive wie Forbidden Stories decken Angriffe auf, versuchen, deren Ausmaß global zu vermessen und dem Treiben der Spyware-Hersteller Grenzen zu setzen. In diesem Kampf ist Wissen Macht: Die Erkenntnisse der global vernetzten Spyware-Detektiv*innen lassen die Geschäftsmodelle der Firmen erodieren, deren wertvollste Waffe Heimlichkeit und die Ausnutzung bisher unbekannter Sicherheitslücken ist. Die Initiativen wollen auch Journalist*innen vor Angriffen schützen. Angriffe, die laufend raffinierter werden.

Im April 2023 deckt Citizen Lab mehrere internationale Attacken mit einem Tool der israelischen Firma QuaDream auf. Unter den Betroffenen sind auch Journalist*innen: Reign ist ähnlich komplex wie Pegasus; installiert wurde die Spyware über iCloud-Kalendereinladungen, die in der Vergangenheit liegen und daher auf den Smartphones der Betroffenen keine Benachrichtigung auslösen – ein sogenannter Zero-Click-Exploit, der nicht wahrnehmbar ist. Auch strategisch geht QuaDream clever vor: Im Gegensatz zum Pegasus-Hersteller NSO Group vermeidet die Firma das Rampenlicht: „QuaDream ist in der Öffentlichkeit kaum präsent, da es weder eine Website noch eine umfangreiche Medienberichterstattung oder eine Social-Media-Präsenz gibt”, so Citizen Lab. Mitarbeiter*innen dürften zudem ihren Arbeitgeber nicht in sozialen Netzwerken erwähnen.

„Installiert wurde die Spyware über iCloud-Kalendereinladungen, die in der Vergangenheit liegen und daher auf den Smartphones der Betroffenen keine Benachrichtigung auslösen – ein sogenannter Zero-Click-Exploit.“

Spyware für Smartphones wie Pegasus oder Reign ermöglicht es Angreifern, Geräte zu infiltrieren, vertrauliche Informationen, Dokumente, auch intime, kompromittierende Daten und Aufnahmen zu erlangen. Die Überwachung kann Reporter*innen unter Druck setzen, Investigativrecherchen verhindern, die Identität von Quellen aufdecken und Quellen wie Journalist*innen in Gefahr bringen. Denn Angreifer wissen jederzeit, wo jemand ist, mit wem er kommuniziert, was er tut oder plant. 

In Ländern, in denen die Bedrohung für Journalist*innen auch von potenziellen Spyware-Kunden wie Politik, Militär oder Polizei ausgeht, kann das lebensgefährlich sein: wie in Mexiko, dem seit Jahren tödlichsten Land für Journalist*innen. Allein für 2022 zählt Reporter ohne Grenzen 60 Journalistenmorde weltweit, davon 11 in Mexiko. Für den Pegasus-Hersteller NSO Group etwa ist Mexiko ein zentraler Markt, Dutzende Spionage-Attacken auf Journalist*innen sind dort dokumentiert. Physische Bedrohung und Verfolgung stehe mit digitaler Überwachung eng in Verbindung, warnt Christian Mihr, Geschäftsführer von Reporter ohne Grenzen. „Mindestens die Hälfte aller Journalist*innen, die Reporter ohne Grenzen im Rahmen seiner Nothilfe-Arbeit unterstützt, sind in Folge digitaler Überwachung in Notsituationen geraten, wurden also verfolgt, gefoltert, inhaftiert oder ins Exil getrieben.”

Die Jagd auf Spyware gleicht einem mühsamen Puzzle, dessen Teile oft über Jahre hinweg von unterschiedlichen Akteuren zusammengetragen werden – wie im Fall von Pegasus. Citizen Lab hat Pegasus bereits seit 2016 auf dem Radar, gemeinsam mit der IT-Firma Lookout macht es damals einen ersten Pegasus-Angriff publik. Der Menschenrechtsaktivist Ahmed Mansoor aus Dubai, der heute im Gefängnis sitzt, hatte eine SMS erhalten, die ihm Geheimnisse über Folter in Gefängnissen versprach, wenn er auf einen Link klicke; Mansoor schickte die verdächtige Nachricht stattdessen an das Citizen Lab. Ein sichtbarer Hinweis auf versuchte Angriffe – doch mittlerweile kann Pegasus sich Zugriff auf Handys verschaffen, ohne dass jemand auf einen Link klicken muss, mit Zero-Click-Exploits.

„Es gibt keine Zeichen, an denen man verlässlich eine Malware-Infektion feststellen kann”, sagt der IT-Forensiker Viktor Schlüter von Reporter ohne Grenzen. „Eine perfekte Spyware hinterlässt keine Spuren.” Wenn Akkus sich schneller entladen als normalerweise, Geräte oder Apps sich seltsam verhalten wie bei Julia Gavarrete aus El Salvador, kann dies auf eine Infektion hindeuten – oder eben auch nicht. Nur technisch, mit einer IT-forensischen Analyse, lassen sich Spyware-Spuren nachweisen – sofern man die DNA einer Spyware kennt oder zufällig auf Abweichungen von bekannten Mustern stößt.

In El Salvador beteiligen sich 2021 mehr als eine Handvoll internationaler Organisationen an der Detektivarbeit, die zur Aufdeckung eines der größten Medien-Überwachungsskandale weltweit führt. Im Fall von Julia Gavarrete und ihrer Freundin untersuchen erst lokale Digitalexpert*innen die Geräte, ohne eindeutiges Ergebnis. Access Now übernimmt. Die NGO unterhält die Digital Security Helpline, eine mehrsprachige Online-Anlaufstelle, die verspricht, innerhalb von zwei Stunden auf Anfragen zu antworten, 24/7. Als die IT-ler auf den Geräten tatsächlich Hinweise auf Pegasus entdecken, klinkt sich Citizen Lab ein: Befund positiv. Auch das Amnesty Security Lab verifiziert die Infektion nochmals.

Weitere IT-forensische Analysen ergeben, dass mindestens 35 Medienschaffende und NGO-Mitarbeiter*innen ausspioniert werden; fast die gesamte Redaktion von El Faro ist verwanzt: Bei 22 Personen, rund zwei Drittel des Personals, finden sich zwischen Juli 2020 und November 2021 Spuren von Pegasus-Attacken, bei denen teils wohl auch Daten abgeflossen sind. Die salvadorianische Regierung streitet die Angriffe bis heute ab; doch NSO verkauft nach eigenen Angaben nur an Regierungen. „Die umfangreichen Hackerangriffe auf salvadorianische Medienorganisationen und Journalisten sind schockierend, sollten aber keine Überraschung sein”, kritisieren Citizen Lab und Access Now. Medien und einzelne Journalisten seien „mittlerweile regelmäßig Ziel von Hackerangriffen für die staatlichen Kunden der NSO Group”.

Das internationale Netzwerk Forbidden Stories, das die Recherchen bedrohter und ermordeter Journalist*innen weiterführt, und das Amnesty Security Lab enthüllen im Sommer 2021 mit dem „Pegasus-Projekt” das globale Ausmaß des Spyware-Skandals. Laurent Richard, dem Gründer von Forbidden Stories, war eine Liste mit mehr als 50.000 Telefonnummern zugespielt worden, die als Pegasus-Angriffsziele ausgewählt worden waren. Journalist*innen und IT-Forensiker von Amnesty wühlen sich durch die Daten, weisen einige erfolgreiche Angriffe nach, recherchieren den Kontext der Attacken – darunter viele Kolleg*innen. „Fast 200 Journalisten weltweit wurden für die Überwachung mit Spionageprogrammen ausgewählt”, so Forbidden Stories. „Journalisten in 21 Ländern, darunter sowohl autoritäre als auch demokratische Regime, erscheinen in der Liste des Pegasus-Projekts” – etwa Indien, Mexiko, Ungarn, Marokko und Frankreich.

„Im April 2023 deckt Citizen Lab mehrere internationale Attacken mit einem Tool der israelischen Spyware-Firma QuaDream auf, unter den Betroffenen sind auch Journalisten.“

In ihrem Buch Die Akte Pegasus, das im Februar erschienen ist, beschreiben Laurent Richard und Sandrine Rigaud von Forbidden Stories, wie sie unter höchster Geheimhaltung recherchieren – denn sie wissen nicht, welche ihrer Kolleg*innen gerade mit Pegasus überwacht werden. Claudio Guarnieri und Donncha O‘Cearbhaill von Amnesty untersuchen währenddessen potenziell infizierte Smartphones, deren Nummern auf der Liste erfasst sind. Sie sammeln bekannte, aber auch neue Indizien, die auf Pegasus-Angriffe hindeuten und entwickeln das forensische Open-Source-Recherchetool Mobile Verification Toolkit (MVT), das heute allen Tech-Expert*innen zur Verfügung steht, die Jagd auf Pegasus machen. MVT scannt Daten von iPhones und Android-Handys auf bekannte Hinweise für eine frühere oder aktuelle Spyware-Infektion. Schlägt es Alarm, ist eine Infektion zumindest wahrscheinlich; dann müssen weitere technische Analysen folgen.

Als Reaktion auf die Enthüllungen des Pegasus-Projekts setzt das EU-Parlament im März 2022 einen Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware (PEGA) ein, der noch bis Juni 2023 den Einsatz von Spyware in EU-Ländern untersucht und Empfehlungen erarbeitet. Gerade diskutiert der Ausschuss auch, wie ein künftiges europäisches Tech-Zentrum für die Erforschung von Spyware aussehen könnte – nach dem Vorbild von Citizen Lab oder Amnesty Security Lab.

In Berlin gründet Reporter ohne Grenzen nach den Enthüllungen ein digitalforensisches Labor, das derzeit dreiköpfige Digital Security Lab. „Journalisten und Journalistinnen melden sich bei uns, wenn ein Angriff passiert ist, wir helfen ihnen, vorhandene Spuren auszuwerten und nachzuvollziehen, was passiert ist”, sagt Viktor Schlüter, der Projektleiter des Labs. Aus Kapazitätsgründen könne sein Team aber nur Fälle annehmen, bei denen es einen plausiblen Verdacht auf einen Angriff gebe – oder eine akute Bedrohung. „Man kann Routinechecks machen, aber es ist wie in einem dunklen Raum nach einer Stecknadel zu suchen”, sagt Schlüter. „Man kann immer nur in eine Ecke leuchten.”

Zur Analyse von Geräten auf bekannte Spyware-Spuren nutzt Schlüters Team unter anderem das Amnesty-Tool MVT – mehr will er öffentlich nicht über Vorgehensweise und Verteidigungsstrategien verraten. Die Gegenseite würde ihm zufolge aufmerksam analysieren, wie Journalist*innen versuchen, sich zu schützen – und sich darauf einstellen. Das Lab begebe sich auch auf die Jagd nach noch unbekannter Malware, dies sei jedoch wie Angeln: „Man kann nur hoffen, dass etwas anbeißt.” Der Markt sei volatil, ständig würden neue Firmen und Werkzeuge auftauchen, die sich manchmal aber auch nur umbenennen würden. „Zu viel Öffentlichkeit ist schlecht fürs Geschäft. Niemand möchte bei einem bekannten Malware-Verkäufer kaufen”, sagt Schlüter. „Sowohl den Unternehmen, die es verkaufen, als auch den Staaten, die es kaufen, wäre es am liebsten, wenn niemand darüber redet und das komplett im Halbdunkel passiert.”

Das Digital Security Lab tauscht sich auch mit IT-Abteilungen von Medienhäusern aus, es berät Investigativjournalist*innen, geht ihre Sicherheitskonzepte mit ihnen durch, berichtet von Erfahrungen. Die präventive Arbeit findet Schlüter fast wichtiger als die Aufdeckung von Attacken: „Da kann man besser helfen, als wenn man nur als Feuerwehr kommt, wenn es schon brennt.”

Bei den meisten Journalist*innen, aber auch Medienhäusern ist die digitale Selbstverteidigung bisher fragil. „Journalisten sind sich heute der Bedrohung durch mobile Spyware bewusster, sie wissen, dass verschiedene Länder auch in Europa Spionagetools gegen Reporter eingesetzt haben”, sagt die norwegische Hackerin und Cybersecurity-Expertin Runa Sandvik. „Aber da hört es meistens auf.” Sandvik arbeitet seit rund zehn Jahren daran, Journalist*innen mit Wissen, Werkzeugen und IT-Sicherheitskonzepten auszurüsten – zuletzt etwa als Senior Director of Information Security der New York Times. Vor kurzem hat sie ihre eigene Firma Granitt gegründet, die Freelancer, Medien, aber auch NGOs berät.

Sandvik glaubt, dass jedes Medium eigentlich eigene IT-Expert*innen bräuchte, die sich speziell um die Sicherheit der Journalist*innen kümmern. „Vor allem traditionelle Medien, die seit langer Zeit im Geschäft sind, tun sich oft schwer damit, den Tech-Trends hinterher zu sein, ihre alten Systeme upzudaten und sich gleichzeitig um den Schutz von Journalisten und Journalistinnen zu kümmern, die in einigen Fällen ausgeklügelten Angriffen von staatlich geförderten Akteuren ausgesetzt sind”, beobachtet Sandvik. Zudem fließe meist nur ein schmales Budget in IT-Sicherheit. Entscheider müssten mehr Ressourcen, Geld und Zeit investieren. Leaks und Angriffe bei Medien seien oft auf Sicherheitsmängel wie schwache Passwörter oder fehlende Zwei-Faktor-Authentisierung zurückzuführen; Sicherheitslücken entstünden durch anfällige, veraltete Systeme – oder Mitarbeiter*innen fallen auf Phishing-E-Mails herein.

Freie Reporter*innen sind auf sich gestellt. Ein Tool wie MVT ist für durchschnittlich tech-affine Menschen zu komplex, Amnesty zufolge ist es für Expert*innen mit IT-forensischen Grundkenntnissen konzipiert. Sandvik empfielt etwa iVerify, eine App, die ein paar Euro kostet, und zumindest einen groben Scan auf Spyware und Malware anbietet. Der 2022 eingeführte Lockdown-Modus von Apple schränkt bestimmte Apps, Websites und Features ein, so dass das Gerät weniger Angriffsfläche für Spyware bietet. „Es gibt viele Tools, die Journalisten verwenden können”, sagt Sandvik. Digitale Risiken müssten auch bei sensiblen Recherchen kalkuliert werden, ein Standard-Sicherheitsplan existiere aber nicht. „Für einige vertrauliche Projekte ist ein neues Telefon vielleicht die bessere Wahl oder gar kein Telefon.”

Viktor Schlüter rät dazu, auf aktuelle Sicherheitsupdates, starke Passwörter, Backups der eigenen Daten, verschlüsselte Kommunikation zu setzen – und einen sensiblen Umgang damit, welche Daten auf welcher Plattform und auf welchem Gerät gut genug geschützt seien. „Ich sehe immer wieder, dass grundsätzliche Digitalhygiene nicht eingehalten wird, und dann knallt es schneller”, sagt er. „Oft braucht es keine staatliche Überwachungssoftware, weil es viel einfacher ist, an die Daten der Person ranzukommen – im Journalismus sehe ich da viel Nachholbedarf.”

Nur mit digitaler Selbstverteidigung ist der Spyware-Gefahr nicht beizukommen. Doch rechtliche und politische Konsequenzen durchzusetzen, ist zäh. Seit Jahren versuchen Betroffene, NGOs und Tech-Konzerne wie Apple und Meta den Pegasus-Hersteller vor Gericht zu bringen. Ende 2022 reichen auch Julia Gavarrete und ihre Kolleg*innen von El Faro vor einem US-Gericht Klage ein. Anfang 2023 macht der Oberste Gerichtshof den Weg für eine Klage von Meta frei: Whatsapp hatte bereits 2019 eine Klage gegen NSO eingereicht und wirft der Firma vor, auf Whatsapp-Server zugegriffen zu haben, um 1.400 Whatsapp-Nutzer*innen, darunter Journalist*innen, mit Spyware zu infizieren.

Organisationen wie Reporter ohne Grenzen fordern ein Moratorium für den Verkauf, Export und die Nutzung digitaler Überwachungstechnologien und eine streng regulierte Exportkontrolle. Bisherige Schritte würden zu kurz greifen, kritisiert Christian Mihr von Reporter ohne Grenzen. „Während immer mehr Fälle über den Einsatz von Staatstrojanern gegen Medien bekannt werden, bleiben Konsequenzen gegen involvierte Firmen und Staaten – auch in der EU – aus.” Reporter ohne Grenzen setzt sich auf EU- und UN-Ebene für juristisch bindende Sorgfaltspflichten für Firmen ein, die Spyware herstellen und vermarkten. „Eine Möglichkeit könnte ein globaler völkerrechtlicher Vertrag wie der Arms Trade Treaty (ATT) sein”, glaubt Mihr. „Das ist ein dickes Brett, aber einen ATT hatten viele Menschen lange Zeit auch für unmöglich gehalten.”

Auch Deutschland muss sich Mihr zufolge von der Zusammenarbeit mit Firmen wie NSO distanzieren und sich für ein Moratorium von Spyware aussprechen. Deutsche Sicherheitsbehörden wie BKA und BND nutzen Pegasus bereits, angeblich eine legale, reduzierte Version. „Es braucht eine umfassendere Kontrolle durch das Parlament, das von der Pegasus-Nutzung durch das BKA selbst nur aus Medienberichten erfahren hat”, kritisiert Mihr. Das Vorhaben der Ampel-Koalition, Sicherheitsgesetze auf ihre Folgen und Effektivität hin zu evaluieren, hält er für einen richtigen Schritt. Bis dahin sollten Behörden keine weiteren Überwachungsbefugnisse erhalten.

Das US-Handelsministerium hat NSO Group und Candiru mittlerweile auf eine Export-Verbotsliste gesetzt; die katalanische Regierung hat beschlossen, den Export, Verkauf, die Weitergabe und die Verwendung von Werkzeugen wie Pegasus zu verbieten – bis der Nachweis erbracht ist, dass sie keine Menschenrechte gefährden.

Sicherheitsexpertin Runa Sandvik glaubt jedoch nicht daran, dass die Regulierung weit genug greift. „Selbst wenn es ein neues Gesetz gegen Spyware geben sollte, würde Israel diesen Regeln nicht folgen”, ist sie überzeugt. „Vielleicht ist es wirksamer, Fragen zu stellen, was die Tech-Unternehmen als Reaktion auf Spyware getan haben und tun könnten, als weitere Debatten über Exportkontrolle zu führen.” Tech-Konzerne forschen zu Spyware, sie entwickeln neue Tools, können den Herstellern auch Infrastruktur entziehen, die diese für ihre Angriffe nutzen. Amazon Web Services hat 2021 etwa Infrastruktur und Konten, die mit NSO Group verbunden waren, abgeschaltet. Apple-Nutzer*innen, bei denen sich Hinweise auf eine Spyware-Infektionen finden, erhalten Warnmitteilungen, wie Julia Gavarrete – doch zu dem Zeitpunkt wusste sie schon von der Infektion.

Sandvik plädiert auch für mehr Austausch zwischen Tech-Firmen und Forschungszentren wie Citizen Lab, wie zuletzt bei der QuaDream-Analyse. Microsoft hatte die Spyware-Samples gefunden und sie mit Citizen Lab geteilt, so dass konkrete Fälle identifiziert werden konnten. „Diese Art der Zusammenarbeit ist nicht alltäglich, und ich hoffe, dass wir in Zukunft mehr davon sehen werden”, so Sandvik. Sie ist trotz der drastischen Lage zuversichtlich: In den vergangenen zehn Jahren sei in der Medienlandschaft, aber auch bei Techkonzernen ein größeres Bewusstsein dafür entstanden, mehr Menschen würden sich für digitale Sicherheit für Journalist*innen einsetzen. Aber sie weiß auch: „Das Wettrüsten zwischen Techkonzernen, die versuchen, sichere Produkte für Millionen Menschen zu entwickeln, und Unternehmen, die ausgeklügelte Spyware herstellen und diese an Länder auf der ganzen Welt verkaufen, wird weitergehen.”

„Mindestens 74 Regierungen haben einer Datenbank des US-Thinktanks Carnegie Endowment zufolge zwischen 2011 und 2023 Spyware wie Pegasus oder Software für digitale Forensik eingekauft.“

Der Mythos Pegasus bröckelt langsam, nach all den Skandalen und zu viel öffentlicher Aufmerksamkeit sehen sich einige Staaten bereits nach Alternativen um – einem Financial-Times-Bericht zufolge beispielsweise Indien. Doch der Markt boomt trotz Widerstand, wie bei Whac-A-Mole stehen Nachfolger bereit, für die der Abstieg von Pegasus eine lukrative Chance bedeutet. Die QuaDream­-Fälle sind Citizen Lab zufolge „eine Erinnerung daran, dass die Industrie für Söldner-Spyware größer ist als ein einzelnes Unternehmen und dass sowohl Forscher als auch potenzielle Ziele weiterhin wachsam sein müssen”. Die Zahl der Missbrauchsfälle werde wahrscheinlich weiter steigen, solange die Verbreitung kommerzieller Spyware nicht durch systematische staatliche Gesetze eingedämmt werde. Citizen Lab hat QuaDream immerhin offenbar den Todesstoß versetzt: Die Firma macht Berichten aus Israel zufolge dicht. „Wie Waffenhändler werden sie vielleicht versuchen, sich irgendwo zu rebranden, aber wir sind in der Lage, ihre Technologie zu erkennen und werden uns bemühen, sie zu verfolgen, wo immer sie auftaucht”, kündigt der Sicherheitsforscher John Scott-Railton vom Citizen Lab auf Twitter an. 

El Faro hat sich nach den Angriffen entschieden, seinen administrativen Sitz nach Costa Rica zu verlegen. Julia Gavarrete berichtet weiter aus El Salvador. Sie setzt sich mittlerweile mehr mit IT-Sicherheit auseinander. Vor kurzem wurde sie mit dem Journalistenpreis Ortega y Gasset ausgezeichnet – für eine Reportage über eine Familie, die aus El Salvador flüchten musste, aus Angst, verhaftet zu werden. In ihrem offensiven Krieg gegen die Gangs des Landes setzt die Regierung Grundrechte außer Kraft, lässt Gebiete abriegeln, mehr als 60.000 Menschen wurden festgenommen, Tausende verhaftet. Gesprächspartner*innen wie diese Familie machen Missstände erlebbar – Quellen, die durch Spyware wie Pegasus erst recht ins Visier einer repressiven Regierung geraten können. Gavarrete hat zwar ihr Handy ausgetauscht, doch das Gefühl der Bedrohung und Überwachung hält an: „Ich habe keine Ahnung, welche Daten gestohlen wurden und wie sie jetzt missbraucht werden”, sagt sie.

Sonja Peteranderl ist Gründerin des Thinktanks BuzzingCitiesLab und Algorithmic Accountability Reporting Fellow bei AlgorithmWatch. Sie berichtet vor allem über organisierte Kriminalität, urbane Gewalt und Technologie – zuletzt für SWR und Spiegel.