Wer die NSO Group ist und wie Pegasus auf Smartphones landet
Wer die NSO Group ist und wie Pegasus auf Smartphones landet
Die systematische Überwachung von Politikern, Aktivisten und
Journalisten wirft Fragen rund um die Software Pegasus auf: Wie
funktioniert sie? Wer setzt sie ein? Und wie steht es um Österreichs
Bundestrojaner?
Das Headquarter der NSO Group in Herzliya, einem Ort nahe Tel Aviv.
Foto: AFP/JACK GUEZ
Die in einer umfassenden Medienrecherche aufgedeckte Abhörung
oppositioneller Politiker, Menschenrechtsaktivisten und Journalisten
mittels von autoritären Staaten zugekaufter Spyware gibt Grund zu großer
Besorgnis. Sie schlägt auch ein neues Kapitel mit einem "alten
Bekannten" auf: nämlich Pegasus, einer Abhörsoftware der israelischen
NSO Group.
In den vergangenen Jahren sorgte NSO immer wieder für Schlagzeilen.
Größere öffentliche Bekanntheit erlangte das Unternehmen erstmals 2016.
Damals wurden die ersten Fälle von Überwachung durch Pegasus bekannt.
Der IT-Sicherheitsfirma Lookout zufolge konnte das in Anlehnung an das
geflügelte Pferd der griechischen Mythologie benannte und zugleich auch
auf das Trojanische Pferd anspielende Programm Nachrichten und E-Mails
mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen
und den Aufenthaltsort des Nutzers aufzeichnen. Weiters war es in der
Lage, zahlreiche Apps zu überwachen. Die Spähangriffe dürften zumindest
bis ins Jahr 2013 zurückreichen.
Immer wieder im Blickpunkt
Seitdem war man regelmäßiger Gast bei derartigen Enthüllungen. Zu den
jüngeren Fällen gehörte ein 2019 aufgedeckter Angriff auf rund 1.400
Personen – auch hier traf es hauptsächlich Journalisten,
Menschenrechtsaktivisten und Politiker –, für den man eine Schwachstelle
in Whatsapp ausgenutzt hatte. NSO gibt sich bei öffentlichen Statements
wortkarg, betonte aber immer wieder, nur "verantwortungsvoll mit
Regierungen" zusammenzuarbeiten.
Gleichzeitig weist man aber auch darauf hin, dass man nicht wissen könne
und auch keine Kontrolle darüber habe, gegen welche Ziele die eigenen
Kunden die Dienste und Software einsetzen. Der Einsatz sei aber nur zur
Bekämpfung von Verbrechen und Terror erlaubt. Gerade die Definition von
Terrorbekämpfung wird aber besonders von autoritären Regierungen gern
sehr breit ausgelegt. Der genaue Kundenkreis von NSO ist nicht bekannt.
Man weiß, dass Saudi-Arabien und weitere Golfstaaten zu den Abnehmern
gehören. Auch die mexikanischen Behörden dürften wohl mit den Tools
arbeiten.
Grenzübergreifende Überwachung
2018 kamen Forscher des Citizen Lab der University of Toronto in einer
Untersuchung zum Schluss, dass zumindest in 45 Ländern Überwachung
mittels Pegasus betrieben wird. Das legt den Schluss nahe, dass manche
Regierungen das Spionagewerkzeug auch verwenden, um Ziele im Ausland
auszuhorchen. Die Human Rights Foundation berichtet etwa vom Fall des
Saudis Omar Abdulaziz, der aufgrund politischer Verfolgung Asyl in
Kanada erhalten hat. Von dort aus betreibt er auf Youtube eine
Satiresendung namens "Fitnah Show", in der er sich auch kritisch zur
Regierung seines Heimatlandes äußert.
Über einen Link in einer gefälschten DHL-Benachrichtigung wurde sein
Handy infiziert und überwacht. In weiterer Folge wurden in Saudi-Arabien
lebende Freunde und Verwandte Abdulaziz' bedrängt und teilweise sogar
festgenommen, um ihn zur Aufgabe seiner Aktivitäten zu drängen.
Abdulaziz stand auch in Kontakt mit dem regimekritischen Journalisten
Jamal Khashoggi, dessen Ermordung im saudischen Konsulat in der Türkei
2018 weltweit Empörung und diplomatische Verwerfungen auslöste. Zuvor,
so zeigen die jüngsten Enthüllungen, war auch Khashoggis Frau die
Pegasus-Spyware untergejubelt worden.
Die Jagd nach "Zero Days"
Schwachstellen sind ein wichtiges Stichwort, wenn es darum geht, wie
Pegasus funktioniert. Nicht nur die Möglichkeiten des Spionagewerkzeugs
wurden in den vergangenen Jahren stetig ausgebaut, sondern auch die
Angriffswege. Ursprünglich setzte eine Infektion die unfreiwillige
Mithilfe des Ziels voraus – etwa durch den Klick auf einen Link, der zu
einer manipulierten Website führt, oder durch die Installation einer
App, die sich als anderes Programm ausgibt.
Mittlerweile ist das aber nicht mehr nötig. Die NSO Group bedient sich
offenkundig am Markt für Sicherheitslücken. Hacker bieten dort
Informationen über Schwachstellen in Programmen und Betriebssystemen
feil. Oft wird einfach an den Höchstbieter verkauft, unabhängig davon,
um wen es sich dabei handelt. Besonders wertvoll sind hier sogenannte
"Zero Days", also offenstehende Lecks, über die die Entwickler der
betroffenen Software nicht im Bilde sind. Je einfacher die Lücke
auszunutzen ist und je umfassender der damit erreichbare Zugriff auf
Geräte und Apps, desto teurer wird es.
Mit den richtigen Schwachstellen ist es dann auch möglich, das Handy
eines Ziels zu infiltrieren, ohne dass das Opfer dies bemerkt. Im Falle
der Whatsapp-Überwachung wurde eine (nunmehr längst geschlossene) Lücke
im Messenger ausgenutzt, die dies über einen versuchten Videoanruf
ermöglichte. Nach Bekanntwerden wurde das Leck seitens Whatsapp schnell
geschlossen. Aber auch über den Versand unsichtbarer Nachrichten werden
Angriffe umgesetzt. Es reicht, dass das Handy mit dem Internet verbunden
ist – die Angreifer müssen lediglich die Rufnummer kennen, um das Gerät
aus der Ferne dazu zu bewegen, die Pegasus-Malware herunterzuladen.
Betroffen sind sowohl Android-Smartphones als auch iPhones.
Die Attacken funktionieren so lange, bis die Entwickler der betroffenen
Software und Betriebssysteme die Schwachstellen identifizieren können
und schließen. Sie befinden sich gemeinsam mit Sicherheitsforschern und
"guten" Hackern im beständigen Wettlauf mit jenen, die gewerbsmäßig nach
Lücken suchen, um sie für beachtliche Beträge an Geheimdienste oder
Unternehmen zu verkaufen.
Österreichischer "Bundestrojaner" liegt auf Eis
Spähsoftware wird allerdings nicht nur von autoritären Regimes genutzt.
Auch Geheimdienste wie die US-amerikanische NSA und das britische GCHQ
setzen solche Tools ein, wie etwa die Enthüllungen von Edward Snowden
zeigten. Sie verfügen allerdings über genug Kapazitäten, um eigene
Lösungen zu entwickeln und auf dem neuesten Stand zu halten, und sind
daher nicht unbedingt auf private Anbieter wie NSO angewiesen.
In Deutschland können Behörden unter strengen gesetzlichen Auflagen
sogenannte "Online-Durchsuchungen" vornehmen. Die dafür zugekaufte
Software, landläufig "Bundestrojaner" genannt, stammt allerdings nicht
von NSO, sondern vom Münchner Unternehmen Lench IT Solutions und ist
unter den Namen Finfisher und Finspy bekannt. Dazu arbeitet das
Bundeskriminalamt an einer eigenen Software.
Mit Stand 2019 wurde laut WDR-Recherchen jedoch noch in keinem einzigen
Ermittlungsfall zu terroristischen Aktivitäten eine Online-Durchsuchung
beantragt, da der technische Aufwand für die Anpassung der Software an
das jeweilige Zielgerät zu hoch war. Das dürfte sich aber bald ändern,
da auch die Bundespolizei den staatlichen Trojaner künftig nützen wird,
speziell um die Ende-zu-Ende-Verschlüsselung vieler Messenger-Apps zu
umgehen.
In Österreich war die Nutzung eines solchen Werkzeugs durch die Behörden
in den vergangenen Jahren auch immer wieder ein Thema. Zuletzt wollte
die 2019 an der Ibiza-Affäre zerbrochene türkis-blaue Regierung im
Rahmen eines Sicherheitspakets die Basis für einen "Bundestrojaner"
legen, der bei Terrorverdacht und schwereren Straftaten eingesetzt
werden sollte. Das Vorhaben wurde jedoch im Dezember 2019 vom
Verfassungsgerichtshof gekippt. Die ÖVP spricht sich weiterhin für die
Einführung aus. Laut dem von den Grünen geführten Justizministerium gibt
es derzeit allerdings "keine konkreten Pläne zur Umsetzung". (Georg
Pichler, 19.7.2021)
https://www.derstandard.de/story/2000128280862/wer-die-nso-group-ist-und-wie-pegasus-auf-smartphones