NSOs Pegasus-Skandal: Zero-Day, Zero-Clicks, Zero-Privacy?

Warum der Handel Cyberwaffen genauso wie bei Atomwaffen verboten werden muss.

Es ist ein Vogel! Es ist ein Flugzeug! Nein, es ist wieder einmal eine Überwachungssoftware. Diese Woche wurden wir mit dem Pegasus-Skandal konfrontiert. Pegasus ist ein Virus, das öffentlich beworben und von der NSO Group verkauft wird. Es kann mobile Geräte infizieren, ohne dass der Besitzer des Telefons etwas tun muss. Der durch Pegasus ermöglichte umfangreiche Lauschangriff verstößt gegen mehrere Gesetze. Daher muss der Handel mit solchen Tools verboten werden - so wie der Handel mit Atomwaffen verboten ist.


Pegasus: Vom Mythos zur Malware

Am 18. Juli 2021 hat der Skandal um das Projekt Pegasus die mysteriöse NSO Group ins Licht der Öffentlichkeit gerückt. Pegasus ist ein Spionageprogramm, das von der NSO Group entwickelt wurde und eine Vorzeige-Cyberwaffe für die Überwachung von mobilen Geräten darstellt.

Dieses Stück Malware wurde global vertrieben und wurde unter anderem zur direkten Überwachung von fast 200 Journalisten auf der ganzen Welt eingesetzt, deren Telefone von NSO-Kunden als Ziele ausgewählt wurden”, wie Forbidden Stories berichtet. Unter dem Deckmantel der nationalen Sicherheit haben Regierungen auf der ganzen Welt dieses Programm gekauft, um Druck auf Journalisten, Aktivisten und ihre politischen Gegner auszuüben.

Trotz des gegenwärtig aufkeimenden Medieninteresses ist Pegasus kein neues Tool in der internationalen Überwachungsszene. Laut dem “Forensic Methodology Report” von Amnesty International begann die Verbreitung von Pegasus bereits im Jahr 2016 und setzt sich bis heute (2021) fort.

Wie Pegasus funktioniert

Im Jahr 2016 erhielt der Menschenrechtsaktivist Ahmed Mansoor eine Textnachricht auf seinem iPhone, bei der weiteren Untersuchung durch Citizen Lab stellte sich heraus, dass es sich um ein klassisches Spear-Phishing-Schema handelte, um die Pegasus-Malware auf seinem Gerät zu installieren: “Hätte er auf den Link getippt, wäre das Telefon übernommen worden. Riesige Mengen an privaten Daten: Textnachrichten, Fotos, E-Mails, Standortdaten, sogar das, was vom Mikrofon und der Kamera des Geräts aufgenommen wird.”

Ab 2019 braucht Pegasus kein Zutun des Nutzers mehr, der auf den verdächtigen Link tippt, um Opfer zu werden. NSO hat wiederholt Zero-Day-Schwachstellen in Messaging-Plattformen wie WhatsApp und neuerdings auch iMessage ausgenutzt. Diese Zero-Day-Exploits nutzen Sicherheitsschwachstellen in Programmen, Betriebssystemen oder mobilen Anwendungen aus. Die aktuelle Iteration von Pegasus kann iOS-Geräte infizieren, die mit Version 14.6 oder älter laufen. Sobald das Gerät infiziert ist, kann das Programm schnell Root-Rechte erlangen. Der Angreifer, der Pegasus verwendet, hat dann die vollständige Kontrolle über das Gerät.

Sollten Sie für einen der Kunden der NSO Group interessant sein, brauchte er nur Ihre Telefonnummer, um Ihr Gerät zu infizieren. Sie mussten nicht auf einen Link klicken oder eine Datei herunterladen, damit Pegasus aus der Ferne auf Ihrem Android- oder iOS-Gerät installiert werden konnte. Laut Amnesty International “wurde ein erfolgreicher ‘Zero-Click’-Angriff beobachtet, bei dem mehrere Zero-Days ausgenutzt wurden, um ein vollständig gepatchtes iPhone 12 mit iOS 14.6 im Juli 2021 anzugreifen.” Eine vollständige Liste dieser Exploits finden Sie im Forensic Methodology Report von Amnesty International.

Apple hat am 19. Juli die iOS-Version 14.7 veröffentlicht und nun zählt die Welt den Countdown, bis der nächste Zero-Day-Exploit entdeckt wird. In der Zwischenzeit wurde ein neues Tool namens Mobile Verification Toolkit veröffentlicht, mit dem festgestellt werden kann, ob ein Gerät von der Pegasus-Malware kompromittiert wurde oder nicht. Allerdings ist dieses Toolkit kompliziert in der Anwendung.

Das Wachstum der Cyberwaffen-Industrie

Angesichts dieser jüngsten Enthüllungen bekommen wir einen Einblick in die wachsende Cyberwaffen-Industrie. Die Technologie funktioniert wie ein Virus: Sie infiziert Smartphones, um deren Besitzer auszuspionieren. Als ob das nicht schon schlimm genug wäre, wird diese Virentechnologie an jeden verkauft, der es sich leisten kann.

Sie müssen nicht zwielichtige Websites durchforsten, um diese Software zu finden. Die NSO Group operiert wie jeder andere Regierungsauftragnehmer, wo jeder sie sehen kann. Eine schnelle Suche bringt Sie zu “nsogroup.com”, wo Sie die NSO Group mit Anfragen zu Preisen und möglichen Rabatten für Massenüberwachungswaffen kontaktieren können. Das Hauptbanner auf ihrer Website wirbt derzeit für “Eclipse: Protect Your Skies”, eine Cyberwaffe, mit der “nicht autorisierte kommerzielle Drohnen” übernommen und beschlagnahmt werden können.

Advertisement for Eclipse by the NSO Group. Advertisement for Eclipse by the NSO Group.

Diese dreiste Werbung zeigt die wachsende Legitimität einer Branche, die früher ausschließlich auf Darknet-Märkten oder in Hacking-Foren existierte.

Aber was ist der Unterschied zwischen einer Organisation wie der NSO Group, die offen mit Regierungsstellen zusammenarbeiten darf, und der Hackergruppe DarkSide, die für die Verbreitung von Ransomware-Programmen strafrechtlich verfolgt wird?

Es scheint, dass es nur eine Frage des Kundenkreises ist.

Pegasus stellt eine Bedrohung für die Privatsphäre dar

Pegasus und der Aufstieg der Überwachungsindustrie stellen eine unermessliche Bedrohung für Journalisten, politische Aktivisten und Bürger wie Sie dar. Sicherheitslücken werden nicht verschwinden, es gibt keine perfekte Sicherheit. Das wirft die Frage auf, was wir als normale Menschen tun können, um unsere Geräte, unsere Privatsphäre und unsere persönlichen Daten angesichts dieses Skandals zu schützen. Was Claudio Guarnieri vom Security Lab von Amnesty International - der als Sicherheitsexperte Secure Connect auf seiner Website nutzt - dem Guardian sagte, ist weniger als optimistisch:

“Das ist eine Frage, die mir so ziemlich jedes Mal gestellt wird, wenn wir mit jemandem Forensik betreiben: ‘Was kann ich tun, damit so etwas nicht noch einmal passiert?’”, sagte Guarnieri. “Die ehrliche Antwort ist: nichts.”

Deutschland: Einsatz von Pegasus wäre illegal

Immerhin gibt es in dieser Affäre einige Lichtblicke: Auf die Frage von NDR und WDR, ob die deutschen Behörden dieses Stück Spionagesoftware gekauft und eingesetzt haben, antworteten deutsche Beamte: “‘Pegasus’ ist schlichtweg zu mächtig, zu potent. Der Trojaner kann viel mehr, als es die deutsche Gesetzeslage erlaubt.”

Folglich lehnten die deutschen Behörden das Angebot der NSO Group zum Kauf von Pegasus ab. Deutsche Gesetze verbieten ein umfangreiches Überwachen der eigenen Bürger, der Schutz der Privatsphäre ist im Grundgesetz verankert. Somit wäre der Einsatz von Pegasus verfassungswidrig gewesen.

Diese Haltung der deutschen Behörden ist bewundernswert, wenn man sie mit der anderer globaler Geheimdienste und Strafverfolgungsbehörden vergleicht, die eher einen “Spionage jetzt - Gesetze ändern später”-Ansatz verfolgen. Das deutsche Beispiel zeigt, dass die Gesetzgebung invasive Überwachungspraktiken einschränken kann. Wenn starke Datenschutzgesetze diese Behörden für ihre Handlungen zur Rechenschaft ziehen können, dann hat jeder wahlberechtigte Bürger immer noch die Möglichkeit, sich gegen die Massenüberwachung zu wehren.

Außerhalb des staatlichen Bereichs hat der Tech-Gigant Amazon “Infrastruktur und Konten abgeschaltet, die mit dem israelischen Überwachungsunternehmen NSO Group in Verbindung stehen”. Unabhängig davon, ob dies nur ein PR-Akt ist, um Kritik zu vermeiden, oder eine echte Sorge um die Privatsphäre, zeigt diese Aktion, dass es immer noch eine Sorge um die negative öffentliche Meinung gegenüber Massenüberwachung gibt.

Cyberwaffen müssen geächtet werden

Wir müssen anfangen, diese Cyberwaffen-Unternehmen als solche zu behandeln. Sie stellen Werkzeuge her und vertreiben diese, die zur Einschüchterung Oppositioneller genutzt werden. Diese Waffen sind für jeden, der die Preise zahlen kann, verfügbar. Es sei darauf hingewiesen, dass Philip Zimmerman, der Schöpfer von PGP, als er sein kostenloses Verschlüsselungsprogramm, das lediglich eine sichere Kommunikationsplattform bieten sollte, veröffentlichte, von der US-Zollbehörde wegen eines möglichen Verstoßes gegen den Arms Export Control Act untersucht wurde.

Es ist skandalös, dass der Einsatz für die persönliche Privatsphäre eine staatliche Untersuchung nach sich zieht, aber die völlige Missachtung eben dieser einen gut dotierten Auftrag nach sich zieht.

In einem Interview mit dem Guardian trifft Edward Snowden den Nagel auf den Kopf: “Es gibt bestimmte Branchen, bestimmte Sektoren, vor denen es keinen Schutz gibt, und deshalb versuchen wir, die Verbreitung dieser Technologien zu begrenzen. Wir erlauben keinen kommerziellen Markt für Atomwaffen.”

Während die Mehrheit der Internetnutzer nicht von diesem Programm betroffen sein wird, gibt es einen abschreckenden Effekt auf diejenigen, die befürchten, die Aufmerksamkeit auf sich zu ziehen. Hochrangigen Zielpersonen, die eine Überwachung durch die Regierung befürchten, muss nun geraten werden, regelmäßig die Geräte und Telefonnummern zu wechseln, um eine dauerhafte Verfolgung durch Spionagetools wie Pegasus möglichst zu verhindern.

Snowden schloss das Interview mit einem Aufruf zur Solidarität und zum Aktivismus gegen die wachsende Überwachungsindustrie: “Die Lösung für die normalen Menschen besteht darin, kollektiv zu arbeiten. Dies ist kein Problem, das wir versuchen können, individuell zu lösen, denn es geht um Sie gegen ein Milliarden-Dollar-Unternehmen… Wenn Sie sich selbst schützen wollen, müssen Sie das Spiel ändern, und die Art und Weise, wie wir das tun, ist, diesen Handel zu beenden.”

Als Unternehmen, bei dem der Schutz der Privatsphäre an erster Stelle steht, rufen wir die internationalen Gesetzgeber und die wählende Öffentlichkeit dazu auf, ein Verbot solcher Cyberwaffen einzuführen. So wie es keinen Markt für Atomwaffen gibt, darf es auch keinen Markt für den Verkauf von Software-Exploits und Malware geben.