Wie Pegasus auf dem Smartphone landet
Die Abhörung von oppositionellen Politiker, Menschenrechtsaktivisten und Journalisten mit der Spähsoftware eines Privatunternehmens wirft eine Reihe von Fragen auf.
Die in einer umfassenden Medienrecherche aufgedeckte Überwachung schlägt ein neues Kapitel mit einem „alten Bekannten“auf: nämlich Pegasus, einer Abhörsoftware der israelischen NSO Group. Größere öffentliche Bekanntheit erlangte das Unternehmen erstmals 2016. Damals wurden die ersten Fälle von Überwachung durch Pegasus bekannt. Der IT-Sicherheitsfirma Lookout zufolge konnte das in Anlehnung an das geflügelte Pferd der griechischen Mythologie benannte und zugleich auch auf das Trojanische Pferd anspielende Programm Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers aufzeichnen. Weiters war es in der Lage, zahlreiche Apps zu überwachen. Die Spähangriffe dürften zumindest bis ins Jahr 2013 zurückreichen.
Immer wieder Pegasus
Seitdem war man regelmäßiger Gast bei derartigen Enthüllungen. Zu den jüngeren Fällen gehörte ein 2019 aufgedeckter Angriff auf rund 1400 Personen via Whatsapp, ebenfalls auf Menschenrechtler, Oppositionelle und Medienmitarbeiter. NSO gibt sich bei öffentlichen Statements zu solchen Affären wortkarg, betonte aber immer wieder, nur „verantwortungsvoll mit Regierungen“zusammenzuarbeiten. Gleichzeitig weist man aber auch darauf hin, dass man nicht wisse, gegen welche Ziele Pegasus letztlich eingesetzt werde. Die Verwendung sei aber nur zur Bekämpfung von Verbrechen und Terror erlaubt. Gerade die Definition von Terrorbekämpfung wird aber speziell von autoritären Regierungen gerne sehr breit ausgelegt. Der genaue Kundenkreis von NSO ist nicht bekannt. Man weiß, dass SaudiArabien, weitere Golfstaaten und Mexiko zu den bisherigen Abnehmern gehören.
2018 kamen Forscher der University of Toronto in einer Untersuchung zum Schluss, dass zumindest in 45 Ländern Überwachung mit Pegasus betrieben wird. Das legt den Schluss nahe, dass manche Regierungen das Spionagewerkzeug auch verwenden, um Ziele im Ausland auszuhorchen. Die Human
Rights Foundation berichtet etwa vom Fall des Saudis Omar Abdulaziz, der aufgrund politischer Verfolgung Asyl in Kanada erhalten hat. Von dort aus betreibt er auf Youtube eine Satiresendung, in der er sich auch kritisch zur Regierung seines Heimatlandes äußert.
Über einen Link in einer gefälschten DHLBenachrichtigung wurde sein Handy infiziert und überwacht. In weiterer Folge wurden in Saudi-Arabien lebende Freunde und Verwandte Abdulaziz’ bedrängt und teilweise sogar festgenommen, um ihn zur Aufgabe seiner Aktivitäten zu bewegen. Abdulaziz stand auch in Kontakt mit dem regimekritischen Journalisten Jamal Khashoggi, dessen Ermordung im saudischen Konsulat in der Türkei 2018 weltweit Empörung und diplomatische Verwerfungen auslöste. Zuvor war laut Amnesty International auch Khashoggis Frau die Pegasus-Spyware untergejubelt worden.
Schwachstellen sind ein wichtiges Stichwort, wenn es darum geht, wie Pegasus funktioniert. Ursprünglich setzte eine Infektion die unfreiwillige Mithilfe des Ziels voraus – etwa durch den Klick auf einen Link oder die Installation einer App, die sich als legitimes Programm ausgibt.
Die Jagd nach „Zero Days“
Mittlerweile ist das aber nicht mehr nötig. Die NSO Group bedient sich am Markt für Sicherheitslücken. Hacker bieten dort Informationen über Schwachstellen in Programmen und Betriebssystemen feil. Oft wird einfach an den Höchstbieter verkauft. Besonders wertvoll sind hier sogenannte „Zero Days“, also offenstehende Lecks, über die die Entwickler der betroffenen Software nicht im Bilde sind. Je einfacher die Lücke auszunutzen ist und je umfassender der damit erreichbare Zugriff, desto teurer wird es. So können Handys auch unbemerkt infiziert werden. Im Falle der Whatsapp-Überwachung wurde eine Lücke im Messenger ausgenutzt, die dies über einen versuchten Videoanruf ermöglichte. Nach Bekanntwerden wurde das Leck seitens Whatsapp schnell geschlossen. Aber auch über den Versand unsichtbarer Nachrichten werden Angriffe umgesetzt. Es reicht, dass das Handy mit dem Internet verbunden ist – die Angreifer müssen lediglich die Rufnummer kennen, um aus der Ferne den Download von Pegasus zu initiieren. Die Attacken funktionieren so lange, bis die Entwickler der betroffenen Software und Betriebssysteme die Schwachstellen identifizieren können und schließen.
Spähsoftware wird allerdings nicht nur von autoritären Regimes genutzt. Auch Geheimdienste wie die US-amerikanische NSA und das britische GCHQ setzen solche Tools ein. In Deutschland ist ein sogenannter „Bundestrojaner“im Einsatz, den bald auch die Polizei nutzen können soll. In Österreich wurde ein ähnliches Vorhaben der zerfallenen türkis-blauen Koalition 2019 vom Verfassungsgerichtshof gekippt. Die ÖVP ist weiter für eine Einführung einer staatlichen Abhörsoftware. Laut dem grünen Justizministerium gibt es hierzu aber aktuell keine „konkreten Pläne“.