Überwachungs-Angriffe mit Pegasus-Trojaner der "NSO Group"

Der weltweite Einsatz der eigentlich nur für staatliche Stellen erlaubten Pegasus-Spyware von "NSO" gegen Journalisten, Menschenrechtler, Oppositionelle, Politiker und Firmenmanager hat auch die IT-Szene in Aufruhr versetzt. Der Skandal, der rund 50.000 Telefonnummern tangiert, zeigt die Problematik und mangelnde Beherrschbarkeit derartiger Staatstrojanern auf, die aus Software-Schwachstellen Nutzen ziehen.

Das ganze Ausmaß der Spyware-Attacken durch die Pegasus-Software des IT-Unternehmens NSO ist noch nicht absehbar, doch schon die bisherigen Erkenntnisse sind überaus besorgniserregend. Die Software ist unbemerkt auf Handys aufspielbar, um dann Geschriebene mitzulesen uns Gesprochenes mitzuhören.

Der Hersteller gibt dabei an, das Programm nur staatliche Behörden in des Missbrauchs unverdächtigen Staaten zu verkaufen, wenn diese sich verpflichten, es ausschließlich gegen Terroristen und Kriminelle einzusetzen. Das Resultat der Recherchen wirft hierzu Fragen auf

Spyware-Attacken auf unterschiedlichste Ziele

Nur ein paar Wochen, nachdem auch in Deutschland durch eine Gesetzesänderung die Einsatzmöglichkeiten von sogenannten Staatstrojanern durch Geheimdienste und andere Behörden massiv erweitert wurden, sorgte der Skandal um eine solche Spyware für erhebliches Aufsehen und massive Verunsicherung nicht nur in der IT-Szene.

Recherchen einer internationalen Gruppe von Rundfunk- und Zeitungsjournalisten, darunter etwa WDR, NDR, Süddeutsche Zeitung, The Guardian, 17 Medien unter der Führung des Vereins "Forbidden Stories" förderten Hinweise zutage, dass die vom israelischen Software-Unternehmen "NSO Group" angebotene Spyware namens Pegasus, auf Tausenden von Smartphones installiert wurde.

Opfer von Spähattacken aus unterschiedlichsten Bereichen

Die Liste der potentiellen Opfer von Spähattacken umfasst höchst unterschiedliche Personen. Regierungskritische Journalisten, etwa in Ungarn oder anderen Staaten, gehören genauso dazu wie Oppositionelle in autokratisch regierten Ländern aus unterschiedlichen Regionen der Welt.

Aber auch Personen aus dem Umfeld von Staatsoberhäuptern dürften betroffen gewesen sei, wie etwa im Falle des mexikanischen Präsidenten Obrador. Auch die Rufnummer von Frankreichs Präsident Macron fand sich auf der Liste der Mobilfunknummern, auf die derartige Spyware-Attacken zumindest versucht wurden. Neben vielen weiteren Politikern wurden mit der Pegasus-Software auch zahlreiche Menschenrechtler aber auch Firmenmanager überwacht. Insgesamt umfasst die Liste, die dem Rechercheverbund zugespielt wurde, rund 50.000 Telefonnummern.

Unzureichende Regulierungen

Angeboten wird die Pegasus-Spyware von der "NSO-Group", einem in Israel ansässigen Unternehmen, das nach eigenen Angaben seine Überwachungssoftware ausschließlich an bestimmte Staaten für spezielle Einsatzzwecke wie Terror- und Kriminalitätsbekämpfung liefert. Zudem stelle man die Software nicht jedem Staat zur Verfügung, sondern schließe problematische Staaten, bei denen eine erhöhte Missbrauchsgefahr bestehe, von der Lieferung aus. Da man zudem nur Lizenzen vergebe und technischen Support anbiete, könne man jedoch keine weiteren Angaben zu den Einsatzbereichen machen. Das Ergebnis der Recherchen stellt den Erfolg dieser Firmenpolitik deutlich in Frage. NSO versicherte, jeden Verdacht auf Missbrauch der Technologie zu untersuchen, man kenne allerdings die Aufklärungsaktivitäten und Zielpersonen der staatliche Kunden nicht.  

So gut wie keine Abwehrmöglichkeiten gegen weitreichende Überwachung

Ein mit der Pegasus-Spyware infiziertes Smartphone lässt sich komplett ausspionieren und die hier gespeicherten Daten können abgegriffen werden. Gespräche und Videotelefonate lassen sich mithören und durch heimliches Einschalten von Mikrofon oder Kameras können auch weitere Aktivitäten überwacht werden, die nicht direkt mit dem Smartphone ausgeübt werden. 

Spyware lässt sich auf dem Handy kaum nachweisen

Besonders problematisch sind nicht nur die weitreichenden Überwachungsoptionen, die das Programm bietet, sondern auch, dass die Software auf den befallenen Smartphones kaum aufzuspüren ist. Zudem setzten die Angreifer zur Einschleusung des Trojaners auf spezielle Schwachstellen, die eine Infiltration der Geräte ganz ohne Zutun der Anwender ermöglichten, wodurch auch herkömmliche Vorsichtsmaßnahmen umgangen werden. 

Wie wird ein Handy mit Pegasus infiziert?

So reichte es auf Apple-Mobilgeräten beispielsweise aus, dass an die Rufnummer der Zielperson eine Nachricht per iMessage geschickt wurde. Irgendwelche Aktionen der Opfer, etwa das Anklicken eines Links bzw. der Download einer Datei, waren zur erfolgreichen Infektion dann nicht mehr notwendig. Diese besonders gefährlichen Angriffe werden auch als Zero-Click-Exploit bezeichnet und stellen ein besonders gravierendes Sicherheitsproblem dar. Mittlerweile hat man bei Apple zwar diese Schwachstellen im iMessage-System beseitigt, es waren zwischenzeitlich jedoch auch weitere Defizite in anderen Bereichen von iOS entdeckt worden, die ebenfalls das Einschleusen von Programmcode ermöglichten. So gab es etwa einen Fehler in der Verarbeitung von manipulierten SSIDs, mit denen sich WLAN-Basisstationen für WLAN-Endgeräte zu erkennen geben, und die daher automatisch von Smartphones empfangen werden. Zwar konnte auch dieses Leck von Apple kurz nach Bekanntwerden geschlossen werden, jedoch halten einige Sicherheitsforscher die grundsätzliche Sicherheitsstrategie des Unternehmens für nicht ausreichend und fordern grundlegende Änderungen und Verbesserungen.

Konsequenzen aus dem Pegasus-Skandal

Die Enthüllungen zu den Pegasus-Spähangriffen auf Menschenrechtler, Oppositionelle, Journalisten oder auch Politiker und Geschäftsleuten zeigen die verschiedenen Problembereiche, die sich durch den Einsatz von Staatstrojaners ergeben.

So ist es etwa höchst problematisch, wenn ein Staat, dessen Sicherheitsorgane eine bestimmte Spyware einsetzt, die zum Einschleusen dieser Software genutzte Schwachstelle nicht meldet und damit einen effektiven Schutz seiner Bürger Angriffen Dritter auf dieser Basis verhindert, sondern im Gegenteil solche Angriffe in Kauf nimmt.

Fragwürdiges staatliches Ausnutzen auf IT-Schwachstellen

Man stelle sich einmal vor, dass Hackerangriffe auf kritische Infrastrukturen mit katastrophalen Folgen durch das Ausnutzen einer Schwachstelle möglich waren, obwohl die Sicherheitsbehörden genau diese Schwachstellen schon seit längerem kannten und diese aber nicht den Hard- und Softwareherstellern gemeldet hatten, um dieses Leck weiterhin für ihre eigenen Aktivitäten zu verwenden.

Zum zweiten ist es auch problematisch, dass private Unternehmen im Bereich der Entwicklung von Spyware und Spionage-Tools wie die NSO Group weitgehend unreguliert arbeiten können. Diese Unternehmen mit entsprechenden Profitinteressen sollten künftig nicht mehr oder weniger nach eigenen Vorstellungen entscheiden, welche Staaten mit diesen Werkzeugen beliefert werden und welche nicht.

Moratorium für den Verkauf bzw. Weitergabe von Überwachungswerkzeugen gefordert

Organisationen wie Amnesty International oder Privacy International fordern insbesondere Staaten wie die USA, Israel oder die EU auf, ein Moratorium für den Verkauf bzw. die Weitergabe von Überwachungswerkzeugen wie Pegasus zu erlassen. Die Staatengemeinschaft sollte private Anbieter solcher Lösungen dann verpflichten, bei ihren Aktivitäten umfassende „menschenrechtliche“ Sorgfaltspflichten einzuhalten. Zudem seien in jedem Fall auch strikte Exportbeschränkungen einzuführen.

Auch Bundeskanzlerin Merkel hatte sich nach dem Bekanntwerden des Pegasus-Skandals für Verkaufsbeschränkungen ausgesprochen.

WhatsApp-Chef sieht grundlegende Gefahr für alle Nutzer

Als „Weckruf“ im Hinblick auf die Internet-Sicherheit bezeichnete auch der Chef des Messaging-Dienstes WhatsApp, Will Cathcart, die die Enthüllungen zu Pegasus. Der Messenger-Dienst hatte schon vor einigen Jahren unangenehme Erfahrungen mit dieser Spyware, als NSO versucht hatte, eine Sicherheitslücke in WhatsApp dazu auszunutzen, die Pegasus-Software auf die Smartphones von rund 1.400 Zielpersonen zu überspielen. Als Konsequenz aus diesem Vorfall hatte WhatsApp die NSO Group vor Gerichten in den USA verklagt.  Gegenüber dem Guardian formulierte Cathcart sein Fazit zu Pegasus mit den Worten:

„Mobiltelefone sind entweder für jeden sicher oder sie sind nicht für jeden sicher. (…) Wenn das Journalisten auf der ganzen Welt betrifft, wenn das Verteidiger von Menschenrechten auf der ganzen Welt betrifft, dann betrifft das uns alle.“

Vgl. zu dem Thema auch:

Hackerangriff auf Politiker und Prominente

Massenklagen: Datenschutzverstöße können künftig Sammelklagen nach sich ziehen

Schlagworte zum Thema:  Überwachung, IT-Sicherheit