Das Management mehrerer Unternehmen, die mit der NSO Group verbunden sind, dem Spyware-Unternehmen, das von der Biden-Administration auf die schwarze Liste gesetzt wurde, ist nach London gezogen.
NSO, das Pegasus verkauft, eines der ausgeklügeltsten Hacking-Tools der Welt, hat seinen Sitz in Israel, aber mehrere der Unternehmen, die einige der Operationen der Gruppe verwalten – einschließlich eines, von dem NSO sagte, dass es Rechnungen und Zahlungen von NSOs Kunden verwaltet – in Luxemburg innerhalb der Europäischen Union ansässig sind.
Der Guardian hat erfahren, dass fünf NSO-verbundene Unternehmen nun in London von zwei kürzlich ernannten britischen Beamten geleitet werden. Ein Sprecher der Gruppen sagte, die Unternehmen würden „Luxemburger Unternehmen“ bleiben, bestritten jedoch nicht, dass sie von London aus verwaltet würden.
Die in Großbritannien ansässigen Direktoren der fünf Unternehmen haben kürzlich einen in Luxemburg ansässigen Mitarbeiter der NSO Group gebeten, auf dem Gelände der Unternehmen eine Mitteilung anzubringen, in der bekannt gegeben wird, dass das Management und die Aktivitäten der Unternehmen nach London verlegt wurden. Sie haben auch darum gebeten, die Server und elektronischen Dateien der Unternehmen so schnell wie möglich nach Großbritannien zu verlegen.
Der Schritt könnte politische Kontroversen auslösen. Datenschutz- und Sicherheitsexperten haben eine Reihe von Fällen dokumentiert, in denen Regierungskunden von NSO zuvor Pegasus-Spyware gegen Anwälte, Aktivisten und andere Personen in Großbritannien eingesetzt haben. Die Software ermöglicht es Kunden sich unbemerkt in jedes Telefon hacken und ein Mobiltelefon in ein ferngesteuertes Abhörgerät verwandeln.
Letztes Jahr, nach der Veröffentlichung des Pegasus-Projekts, forderte eine Untersuchung gegen NSO durch ein Medienkonsortium unter der Leitung von Forbidden Stories und dem Guardian, einer Gruppe von 10 Abgeordneten und Kollegen, darunter der Labour-Abgeordnete Andy Slaughter, den damaligen Premierminister Boris auf Johnson, Sanktionen gegen NSO zu verhängen.
In ihrem Brief sagten die Abgeordneten, dass dokumentierte Cyberangriffe auf im Vereinigten Königreich ansässige Menschenrechtsaktivisten und andere im Vereinigten Königreich „ungeheuerliche Verstöße gegen nationale und internationale Menschenrechtsgesetze“ darstellten.
Forscher des Citizen Lab an der University of Toronto gaben 2022 bekannt, dass Downing Street von „mehreren“ mutmaßlichen Infektionen mit Pegasus angegriffen worden war. Die Forscher sagten, die Vereinigten Arabischen Emirate seien verdächtigt worden, die Angriffe auf Nr. 10 in den Jahren 2020 und 2021 zu orchestrieren. Damals sagte NSO, dass es von „politisch motivierten Interessenvertretungen“ angegriffen wurde, die angeblich „ungenaue und unbegründete Berichte“ erstellten.
NSO wurde 2021 von der Biden-Regierung auf eine schwarze Liste der USA gesetzt, nachdem das Handelsministerium sagte, das Unternehmen sei zur Entwicklung und Lieferung von Spyware an Regierungen verwendet worden, um Regierungsbeamte sowie Akademiker und Botschaftsbeamte böswillig anzugreifen. Die US-Regierung sagte auch, sie habe Beweise dafür, dass das Instrument von NSO es Regierungen ermöglicht habe, grenzüberschreitende Repressionen durchzuführen.
Der Schritt, NSO zur US-amerikanischen schwarzen Liste hinzuzufügen, die offiziell als Unternehmensliste bekannt ist, verbietet den Export von Hardware oder Software aus den USA an NSO, die von dem Unternehmen verwendet werden könnte.
Die Nachricht von der Verlagerung der Geschäftsführung der mit NSO verbundenen Unternehmen kommt, da die angebliche Verwendung von Pegasus durch mehrere europäische Behörden – in Spanien, Ungarn und Polen – erfolgt vor der Prüfung im Europäischen Parlament. Das Parlament führt eine Untersuchung zur Nutzung des Überwachungstools durch, einschließlich der Frage, ob die Verwendung von Pegasus oder anderer Überwachungs-Spyware durch EU-Staaten zum illegalen Ausspähen von Journalisten, Politikern, Diplomaten, Anwälten, Geschäftsleuten oder Mitgliedern der Zivilgesellschaft beigetragen hat.
Eine mit der Angelegenheit vertraute Person spielte die Bedeutung der Verlagerung nach London herunter und sagte, die Unternehmen würden weiterhin der Gerichtsbarkeit luxemburgischer Gesetze unterliegen. Sie argumentierten, die Änderungen seien aus administrativen Gründen vorgenommen worden.
Eine US-Beratungsgruppe, die Berkeley Research Group (BRG), übernahm 2021 die Verwaltung des Fonds, der eine Mehrheitsbeteiligung an NSO hält. Der Fonds wurde von einer Tochtergesellschaft der BRG, Berkeley Asset Management, verwaltet. Der New Yorker berichtete kürzlich, dass die Zusammenarbeit zwischen dem Beratungsunternehmen und dem israelischen Unternehmen „praktisch nicht existent“ sei.
Der Guardian berichtete im Oktober 2021, dass das US-Beratungsunternehmen zu diesem Zeitpunkt keine Genehmigung des Staates Israel erhalten hatte, sensible Informationen über das Unternehmen zu erhalten, das vom israelischen Verteidigungsministerium reguliert wird. Ob die Manager nachträglich die Freigabe erhalten haben, ist unklar.
Die luxemburgischen Unternehmen scheinen jedoch eine Rolle bei den Aktivitäten des israelischen Unternehmens zu spielen, wie aus einem kürzlich veröffentlichten Berichtsentwurf des Untersuchungsausschusses des Europäischen Parlaments zu NSO hervorgeht. Der Berichtsentwurf besagt, dass mehr als die Hälfte der Verkäufe von NSO in den letzten zwei Jahren in Luxemburg gebucht wurden.
NSO erklärte in einem Öffentlicher Brief Oktober 2021 gegenüber Amnesty International, dass Q Cyber Technologies Sarl, ein mit NSO verbundenes Unternehmen mit Sitz in Luxemburg, als „kommerzieller Vertriebshändler für die Produkte der Konzernunternehmen, [and] als solche unterzeichnet sie Verträge, stellt Rechnungen aus und nimmt Zahlungen von Konzernkunden entgegen“.
Laut einer Luxemburger Akte wurden am 20. Dezember 2022 vier in Großbritannien ansässige leitende Angestellte bei Q Cyber Technologies Sarl ernannt.
Die fünf Unternehmen, deren Geschäfte jetzt in London geführt werden, sind NorthPole Holdco Sarl, Square 2, NorthPole Bidco Sarl, Emerald LIE und Diamond LIE. Jüngste Einreichungen beim britischen Companies House zeigen, dass alle bis auf eines der Unternehmen – mit Ausnahme von Square 2 – jetzt im Vereinigten Königreich in Büros mit Blick auf die St. Paul’s Cathedral registriert sind. Sie werden als „ausländische“ Unternehmen aufgeführt.
NSO antwortete nicht auf eine Bitte um Stellungnahme.
Die Umzüge nach London sind nicht die einzigen jüngsten Veränderungen. In einer Mitteilung an die Anleger teilte BRG mit, dass es sich zum 31. Oktober 2022 von Berkeley Asset Management getrennt habe, das den Fonds verwaltete, der eine Mehrheitsbeteiligung an NSO besitzt. Die Anteile der Gruppe wurden an ein Unternehmen namens TREO Capital Advisors LLC veräußert, ein Unternehmen, das laut Mitteilung von Finbarr O’Connor gegründet wurde, der zuvor als Geschäftsführer von BRG in New York tätig war.
Ein Sprecher von TREO, das mehrere Beteiligungen hält, sagte: „Die Unternehmen sind und bleiben luxemburgische Unternehmen. Wo sie verwaltet werden, hat keinen Einfluss darauf, ob es sich um luxemburgische Unternehmen handelt oder nicht.“
NSO sagte, seine Spyware werde an Regierungen, Strafverfolgungsbehörden und Geheimdienste verkauft, um schwere Verbrechen wie Terrorismus zu bekämpfen. Es hat erklärt, dass es glaubwürdigen Missbrauchsvorwürfen nachgeht und dass es keine Informationen darüber hat, wie seine Regierungskunden die Spyware verwenden.