In Israel heisst der Mann Niv Carmi. Carmi mit C, so steht es in fast allen Medienberichten, die über das Techunternehmen NSO erschienen sind. Die NSO mit Hauptsitz in Herzlia unweit von Tel Aviv geschäftet sehr erfolgreich: Sie zählt 860 Mitarbeiter:innen, ihr Wert wird auf 1,5 Milliarden US-Dollar geschätzt. Doch die Firma ist höchst umstritten: Diesen Sommer machte ein internationales Konsortium von siebzehn Medien publik, dass die Schadsoftware Pegasus von NSO systematisch zur Repression gegen Oppositionelle, Menschenrechtsaktivisten und Journalistinnen eingesetzt wird. Einer der drei Gründer war Niv Carmi. Er soll früher beim Geheimdienst Mossad gearbeitet haben. Allerdings sei er nur wenige Monate nach der Gründung bei NSO wieder ausgestiegen, heisst es in den Berichten zum Pegasus-Skandal. Danach verliert sich seine Spur.

In der Schweiz heisst der Mann Niv Karmi. Karmi mit K, Präsident des Verwaltungsrats von Polus Tech, so steht es im Handelsregister des Kantons Zug. «Connecting the unconnected» heisst der Slogan der Firma. Auf ihrer Website sind schneebedeckte Berge zu sehen, die Produkte von Polus Tech sollen insbesondere helfen, die Folgen der Klimaerwärmung zu bewältigen. Wirbelstürme, Überschwemmungen, Erdbeben würden immer häufiger auftreten, mit tödlichen Folgen. «Doch unsere Methoden zur Rettung von Menschenleben haben nicht mit dieser Entwicklung Schritt gehalten.» So hehr die Ziele von Polus Tech formuliert sind, die Firma tauchte im letzten Jahr gleich dreimal auf den Exportlisten des Staatssekretariats für Wirtschaft (Seco) für Rüstungsgüter auf: Für insgesamt 2,2 Millionen Franken exportierte Polus Tech Überwachungstechnologie nach Indonesien.

Als die WOZ für den diesjährigen Rüstungsreport zur Schweizer Waffenindustrie recherchierte und dabei auch ein Profil der Firma Polus Tech anlegte, stellten sich unvermittelt Fragen: Handelt es sich bei Carmi mit C um die gleiche Person wie bei Karmi mit K, einfach in englischer Schreibweise? Falls das zutrifft, hat er Israel verlassen und in der Schweiz eine neue Firma aufgebaut? Welche Rolle spielte er bei NSO, und was macht Polus Tech heute? Mehrere Anfragen bei der Firma blieben unbeantwortet. Die Sommertage zogen sich hin, bis sich Karmi plötzlich telefonisch meldete: In der Tat ist der heutige Polus-Besitzer der einstige NSO-Mitgründer. Er zeigt sich für ein Gespräch bereit, sofern es auch um grundsätzliche Fragen zur digitalen Überwachung gehe. Auch ein Journalist der deutschen «Zeit» könne mitkommen, der an den Pegasus-Recherchen beteiligt war.

Das Zerwürfnis

Die Anwaltskanzlei Kohli & Urbach liegt im Geschäftsviertel am Zürcher Seebecken. Unter seinem Alter Ego James Douglas hat Kanzleigründer Ulrich Kohli zahlreiche Thriller verfasst, mit Titeln wie «Des Teufels Botschafter», «Gewagtes Spiel» oder «Feuersturm». Sie wolle nun wirklich keine Werbung machen, meint die junge Frau am Empfang, doch die Bücher des Chefs seien echt spannend. In einem Besprechungszimmer wartet Niv Karmi, ein sportlicher Zweimetermann, der mit seiner Geschichte die Hauptrolle in einem Thriller spielen könnte. Spionagegeschichten wird er im Gespräch allerdings keine zum Besten geben.

Niv Karmi, 1983 geboren, wuchs in einem Nest in Norden von Israel auf. Die Universität schloss er nicht ab, stattdessen ging er zum Militär. «Die meiste Zeit meiner Zwanziger war ich in der Armee. Mein gesamtes Wissen und meine Ausbildung stammen also aus diesem Bereich», erzählt er auf Englisch. Karmi legte eine steile Karriere hin, stieg auf bis zum Rang des Majors. In welcher Einheit er konkret diente, will er nicht sagen. Nur so viel: «Ich war in einer der Top-Spezialeinheiten, die geheimdienstlich arbeiten.» Er habe dabei Feldarbeit und High-End-Technologie kombiniert. Dass er auch für den Mossad tätig war, wie kolportiert wird, dementiert er nicht. Lange habe er den Eindruck gehabt, das Richtige zu machen. «Ich bin in einem Umfeld aufgewachsen, in dem ich das Gefühl erhielt, wenn ich Israel unterstützen möchte, müsse ich dies so machen.» Bis er irgendwann merkte, dass der Militärdienst nicht mehr seinem Weg entsprach, sein Land zu unterstützen. Karmi quittierte den Dienst.

Er ging nach Äthiopien, baute dort ein Landwirtschaftsprojekt für ein US-Unternehmen auf. Dabei brachte er Bäuer:innen bei, wie man Rizinusbäume anpflanzt und aufzieht. Dann kehrte er nach Israel zurück, um sich einen Job in der Privatwirtschaft zu suchen. Ein Freund habe ihm gesagt: «Hey, da sind zwei Typen, die haben ein paar Ideen, kannst du dich mit ihnen zusammensetzen?» Die beiden Typen waren Shalev Hulio und Omri Lavie.

Hulio und Lavie seien seit der Highschool Freunde, heisst es in den Pegasus-Recherchen. Auch sie dienten in der Armee. Nach dem Dienst versuchten sie ihr Glück mit Start-ups. Es war die Zeit, als die ersten Smartphones auf den Markt kamen. Die beiden liessen eine App entwickeln, mit der man Produkte kaufen kann, die in TV-Serien auftauchen. Dann gründeten sie die Firma Communitake. Diese bot als Dienstleistung an, dass Techniker:innen aus der Ferne ein Smartphone warten. Der Zugriff geschah über einen per SMS zugeschickten Link.

Eine praktische Erfindung zugunsten von User:innen, die allerdings auch anders, problematisch genutzt werden kann. Nämlich dann, wenn keine freundlichen Techniker:innen auf der anderen Seite sitzen und ein SMS verschicken, sondern die Polizei oder Geheimdienste: Sie können die Technik zur Verfolgung von Straftäter:innen nutzen – oder zur Überwachung und Spionage. Zu diesem Zweck wollten Shalev Hulio und Omri Lavie eine weitere Firma gründen. Dafür brauchten sie einen dritten Mann mit Kontakten zu den Geheimdiensten: Niv Karmi. Niv, Shalev und Omri – die Anfangsbuchstaben aneinandergereiht ergeben das Kürzel NSO.

Karmi ist im Gespräch zurückhaltend, was die Gründung von NSO betrifft. Offensichtlich möchte er die Vergangenheit lieber hinter sich lassen, in die Zukunft blicken, über sein neues Unternehmen sprechen. Überhaupt, kann man einem ehemaligen Geheimdienstler trauen, dass er einem die Wahrheit über seine Geschichte erzählt? Hier ist die Version der NSO-Gründung, wie sie Karmi auch nach dem Gegenlesen mit seinem Anwalt stehen lässt.

WOZ: Niv Karmi, was war der Grund, dass Shalev Hulio und Lavie Omri auf Sie zugekommen sind, um ein neues Unternehmen zu gründen?
Niv Karmi: Weil ich derjenige war, der Erfahrung hatte, mit dem Produkt, mit dem Wissen. Ich war im System.

Aber die anderen waren auch im System, dienten auch in der Armee.
Nicht im selben Bereich. Sie kamen zu mir, weil sie eine Technologie für die zivile Nutzung hatten. Sie dachten, dass es auch noch eine andere Anwendung gibt.

In der offiziellen Geschichte der Firma verhält es sich umgekehrt. Geheimdienste sollen auf Hulio und Lavie zugekommen sein und sie gefragt haben, ob sie ihnen aus dem Produkt nicht eine Waffe bauen wollten.
Ganz so ist es nicht gewesen. Sie sahen eine Chance, kamen zu mir, und wir begannen, eine Vision zu entwickeln. Am Anfang war mir klarer als ihnen, was dieses Projekt sein wird. Diese Tools sind ziemlich kompliziert. Also sagte ich, dass wir zwischen den verschiedenen Geheimdiensten Brücken bauen müssen. Wir müssen Menschen, die grössere Verantwortung tragen, in den Prozess integrieren, denn ich wusste, wie sensibel die Technologie ist. Aber dann kam es zu einem Zerwürfnis.

Worüber?
Am Anfang gab es die Vision, mit NSO etwas Gutes zu tun. Ich komme nicht aus einer Geschäftsfamilie. Ich kam ganz frisch aus dem Dienst. Dort dreht sich alles um Visionen und um die Frage, was man dafür tun will. Und dann lernte ich diese beiden Jungs kennen. Es ging ihnen stärker ums Geschäft, mit einer unterschiedlichen Auffassung, wie es aufgebaut und betrieben werden sollte. An einem bestimmten Punkt, nach einigen Monaten, war es nicht mehr das, was ich wollte, und auch nicht mehr das, was sie wollten.

Ein hoher Preis

Aus der anfänglichen Idee von NSO entwickelte sich das System Pegasus. Es kann weltweit Smartphones ausspionieren, Fotos, Mails und Chats absaugen. Über die Software, die das Handy infiltriert, können Anrufe mitgehört und sogar Mikrofon und Kamera aktiviert werden. Anfänglich musste die Besitzerin, der Besitzer eines Smartphones Pegasus noch selbst aktivieren, etwa über einen Link in einer Spam-SMS. Heute findet der Trojaner seinen Weg durch Sicherheitslücken auch ohne Aktivierung ins Gerät.

Gemäss dem Abkommen von Wassenaar über die Exportkontrollen von Rüstungsgütern gilt Pegasus als Cyberwaffe. Nach eigenen Angaben hat NSO heute 45 Polizeibehörden, Geheimdienste und Militärs in 36 Staaten als Kunden, die Pegasus im Lizenzverfahren nutzen. Als Erstes kam 2011 ein Vertrag mit Mexiko zustande. Eine Vereinbarung mit den Vereinigten Arabischen Emiraten brachte den Durchbruch für Geschäfte im Nahen Osten. Weil die Regierung jedem Export zustimmen muss, wurde Pegasus auch zu einem Instrument der israelischen Aussenpolitik. Wie die NZZ berichtet hat, gehört auch die Schweiz zu den Abnehmern von Pegasus: Wahrscheinlich werde die Software vom Nachrichtendienst des Bundes eingesetzt.

NSO rühmt sich damit, dass Pegasus vor allem beim Einsatz gegen Kriminelle und terroristische Bedrohungen zum Einsatz komme. Prominentestes Beispiel ist die Verhaftung des mexikanischen Drogenkartellchefs «El Chapo», der mittels Pegasus ausfindig gemacht worden sein soll. Wie ein Leak von 50 000 Telefonnummern zeigte, die Amnesty International und dem gemeinnützigen Verein Forbidden Stories zugespielt wurden, nutzen die Behörden Pegasus aber auch rege für die politische Überwachung und Repression.

Zu den Opfern gehören etwa die mexikanische Journalistin Carmen Aristegui, die saudische Frauenrechtlerin Loujain al-Hathloul oder Mitglieder der syrischen Opposition. Selbst die Nummer des französischen Staatspräsidenten Emmanuel Macron befindet sich auf der Liste. Nicht bei allen Nummern erfolgten tatsächlich Lauschangriffe. NSO überprüfte im Auftrag seiner Kunden aber auf jeden Fall den Aufenthaltsort der Geräte. Bei einer beträchtlichen Zahl konnte das Journalismuskonsortium mittels forensischer Untersuchungen tatsächlich Abhöraktionen nachweisen.

Der Bürgerrechtler Edward Snowden, der die Massenüberwachung der US-Geheimdienste enthüllte, räumt dem Pegasus-Skandal einen hohen Stellenwert ein: Mit der Software sei eine gezielte Einzelüberwachung möglich, und zwar auf allen Smartphones. «Das sollte uns mehr als alles andere Angst machen», sagte er in einem Gespräch mit dem britischen «Guardian». Snowden forderte ein Moratorium für den Handel mit Cyberwaffen.

Niv Karmi, Sie haben NSO nach wenigen Monaten verlassen. Was denken Sie heute darüber?
Diese Art von Tools wird nicht verschwinden. Wenn man heute einen Terroristen oder einen Pädophilen aufhalten will, braucht man sie. So ist nun einmal das Spiel, Sie können es mögen oder nicht. Ich habe aber die Hoffnung, dass neue Regulierungen zum einen die Privatsphäre und zum anderen die Sicherheitsbedürfnisse der Gesellschaft berücksichtigen.

Beim Einsatz von Pegasus werden auch unschuldige Menschen überwacht. Ist das bloss ein Kollateralschaden?
Aus der Perspektive des Geheimdienstes ist es ziemlich schwierig, das grosse Ganze zu sehen. Irgendwo müssen sie mit ihrer Suche beginnen. Wenn die Dienste ihre Methodik dabei so entwickeln, dass sie wissen, wonach sie suchen, bin ich damit einverstanden. Ich bin kein grosser Fan der Massenüberwachung. Aber Sie müssen realistisch sein: Aufgrund der Technologie, die sich beständig weiterentwickelt, wird es für Bösewichte immer einfacher, sich zu verstecken. Ich denke deshalb, dass wir einen Preis für die Sicherheit bezahlen müssen. Bei den Personen um einen Drogenboss kann es sich um Unbeteiligte handeln. Letztlich gehören sie aber doch zu seinen Kreisen.

Genau das ist bei «El Chapo» passiert. Er wurde gefasst, indem man seinen Anwalt überwachte. Ist das der Preis, den wir zahlen müssen?
Sehen Sie, ich bin Israeli. Alle Risiken, mit denen ich als Kind und dann im Militärdienst aufgewachsen bin, waren lebensbedrohlich. Und für uns in Israel geht es immer darum, Leben zu retten. Ich glaube stark an Staatsdiener, vielleicht bin ich da naiv. Aber ich möchte ihnen vertrauen, dass sie die richtige Entscheidung treffen. Aber lassen Sie mich Ihnen eine Frage stellen. Wem vertrauen Sie?

Den Menschenrechten. Unsere Gesellschaft ist nur stark, wenn sie diese einhält. Nehmen wir den Krieg gegen den Terror als Beispiel. Hier wurden, einem reinen Sicherheitsdenken folgend, die Menschenrechte untergraben.
Ich verstehe, was Sie meinen. Andererseits gibt es so viele Leute, die sich selbst in die Luft sprengen, um andere zu töten. Und du weisst nicht, wie du darauf reagieren sollst. Dir steht jemand gegenüber, der dich einfach für die Art hasst, wie du bist, wie du lebst. Aber sicher müssen wir über die Werkzeuge und ihren Einsatz diskutieren. Sie dürfen nicht der Selbstzweck sein. Sie dürfen keine Handelsware sein und beliebig eingesetzt werden. Da muss sich die Industrie bessern, sie kann nicht weiter im Verborgenen agieren, sondern muss sich der Diskussion stellen.

Auf der guten Seite

Polus Tech, die heutige Firma von Karmi, hat ihren Sitz an der Industriestrasse 49 in Zug. Von Industrie ist dort nicht viel zu sehen. Gemäss Stellenausschreibungen heuert die Firma ihre Programmierer:innen in Serbien an. Neben Karmi ist im Handelsregister als einziges Verwaltungsratsmitglied Eyal Danan aufgeführt, Europamanager bei Israel Aerospace Industries. Die Luftfahrt- und Rüstungsfirma unterstützte Polus Tech als Start-up und hält bis heute eine Minderheitsbeteiligung. Noch eine weitere Firma ist auf Karmis Namen an der Industriestrasse domiziliert: Therian Labs, die sich gemäss Eigenwerbung um technologische Lösungen in den Bereichen «Public Safety» und «Homeland Security» kümmert.

Karmi erzählt, warum er vor sechs Jahren in die Schweiz kam. «Ich hatte das Gefühl, dass es besser ist, sich von einem neutralen Ort aus um weltweite Bedrohungen der öffentlichen Sicherheit wie die Klimaerwärmung zu kümmern.» Er schwärmt von der Kompetenz der hiesigen Ingenieur:innen und Anwält:innen. Mit Polus Tech wolle er sich vor allem auf die Katastrophenhilfe konzentrieren. «Viele Unternehmen beschäftigen sich schon mit der terroristischen Bedrohung. Doch die Gefahr von Naturkatastrophen nimmt stetig zu.» Das Hauptprodukt von Polus ist eine mobile Funkzelle: Wenn das Telefonnetz während einer Katastrophe zusammenbricht, können Rettungskräfte die Box in ein Einsatzgebiet bringen und damit die Handys von Vermissten orten.

Wie die Exportlisten des Seco zeigen, braucht Polus Tech für die Ausfuhr eine Bewilligung nach der Verordnung über die Internet- und Mobilfunküberwachung. Drei Exporte in der Höhe von 2,2 Millionen Franken wurden 2020 nach Indonesien bewilligt, der höchste mit 1,7 Millionen betraf die Kategorie der IMSI-Catcher. Mit dieser Technologie können Telefone zu Überwachungszwecken geortet werden. Karmi bestreitet nicht, dass sein Produkt wie ein IMSI-Catcher genutzt werden kann. «Zur Wahrung der Privatsphäre biete ich aber den grösstmöglichen Schutz.» Die Regierungsstellen, mit denen er in Indonesien im Geschäft ist, gibt er aber nicht bekannt. Und auch wenn es im Land immer wieder zu Menschenrechtsverletzungen kommt, will er auch in Zukunft vor allem im boomenden südostasiatischen Sicherheitsmarkt präsent sein. Zur Weiterentwicklung der Katastrophenhilfe schweben ihm Kooperationen mit Schweizer Universitäten vor.

In Israel heisst der Mann Carmi, in der Schweiz heisst er Karmi. Bloss, wer ist dieser Mann tatsächlich? Als die vereinbarte Interviewzeit um ist, schlägt er spontan ein weiteres Treffen am Abend in einer Bar vor. Es wirkt fast ein wenig, als habe er selbst zum Interview gebeten, als wolle er seine Geschichte loswerden. Am Abend erzählt er Privateres, am Ende will er es doch nicht in der Zeitung lesen, bleibt im Zweifel vorsichtig. Karmi ist offensichtlich einer, der nicht mit seinen alten Grundsätzen gebrochen hat. Der aber ins Nachdenken geraten ist. Der die Sicherheitsbranche weiterhin verteidigt. Aber zumindest eine strengere Regulierung für sinnvoll hält. Der wohl deshalb von der Terrorismusabwehr in den Katastrophenschutz gewechselt hat. Auch wenn er weiterhin Technologie vertreibt, die als Dual-Use-Gut auch zur Überwachung verwendet werden kann.

Niv Karmi, haben Sie Israel verlassen, um auch Ihre Vergangenheit hinter sich zu lassen?
Ich bin nicht vor meiner Vergangenheit geflohen. Ich bin umgezogen, um etwas Grossartiges aufzubauen, ohne Verbindung zur Politik. Für mich ist es einfach wichtig, etwas Gutes zu tun.

Wenn Sie bei NSO geblieben wären, dann wären Sie heute vielfacher Millionär.
Bitte verstehen Sie, ich denke nicht mehr über NSO nach, ich bereue nichts. Es ist etwas, das ich getan habe. Ich war ein Teil davon, und es ist ein Teil meines Lebens.

Lesen Sie das Interview mit Niv Karmi in voller Länge auf www.woz.ch/karmi.