Neu ist die Spyware Pegasus nicht. Neu sind aber die Erkenntnisse, die einen Spionage-Skandal ausgelöst haben. Auch Unternehmen fragen jetzt: Werden Mitarbeiter mit der Pegasus-Software ausspioniert?
Wir erklären, was es mit dem globalen Skandal auf sich hat und warum mobile Sicherheit so wichtig ist.
-
- Spionage – was darf sie und was nicht?
- Was ist die Pegasus-Software?
- Wie kommt Pegasus auf das Handy?
- Spionage-Skandal um Spyware Pegasus
- Pegasus-Software – für Unternehmen gefährlich?
- Wie lässt sich Pegasus auf dem Handy erkennen?
- IT-Fachleute unterstützen bei mobiler Sicherheit
- Update vom 03.11.2021: BND nutzt umstrittene Überwachungssoftware!
- Update vom 25.03.2022: EU-Datenschützer wollen Pegasus verbieten
Spionage – was darf sie und was nicht?
Seit ewigen Zeiten ist Spionage ein probates Mittel von Staaten. Und sie ist bis zu einem gewissen Punkt auch notwendig – zum Beispiel wenn es darum geht, Gefahren abzuwehren oder Straftäter zu verfolgen. Dennoch sollten gewisse moralisch-ethische Grenzen nicht überschritten werden. Aber wo genau liegen diese Grenzen?
Diese Frage bekommt in der heutigen digitalen Zeit eine ganz neue Dimension. Spionage-Software – im Fachjargon: Spyware – ist dabei häufig der Stein des Anstoßes. Klar ist: Sicherheitsbehörden benötigen geeignete Tools, um ihre Arbeit erledigen zu können. Aber wie weit dürfen sie dabei gehen? Und was ist, wenn die für Spionage entwickelte Software in die falschen Hände gerät und nicht aus den „richtigen“ Motiven eingesetzt wird?
In solchen Fällen kommt es meist zu einem handfesten Spionage-Skandal, der die Frage danach, was ethisch-moralisch erlaubt ist und was nicht, in den Fokus rückt. Genau so eine Diskussion hat jetzt ein fragwürdiger Einsatz der Pegasus-Software entfacht. Aber was ist die Pegasus-Software? Was ist genau der Skandal? Und wie kommt mobile Sicherheit ins Spiel?
Was ist die Pegasus-Software?
Die Pegasus-Software ist eine Entwicklung des israelischen Technologieunternehmen NSO Group, die zur Kriminalitäts- und Terrorismusbekämpfung gedacht ist. Auf der eigenen Webseite beschreibt die NSO Group ihr Tätigkeitsfeld, übersetzt ins Deutsche, wie folgt: „NSO entwickelt Technologien, die Regierungsbehörden bei der Verhinderung und Untersuchung von Terrorismus und Verbrechen helfen und so weltweit tausende von Menschenleben retten.“
Der Name der Pegasus-Spyware ist ziemlich offensichtlich an die griechische Mythologie angelehnt – und das nicht ohne Grund. Wie Shalev Hulio, einer der Firmengründer, vor einigen Jahren in einem Interview mit der New York Times erklärte, sei die Software ein trojanisches Pferd mit Flügeln, da sie sozusagen auf das Smartphone fliegt. Wie das?
Die Pegasus-Spyware ist ein mächtiges Werkzeug. Sie lässt sich unbemerkt aus der Ferne auf Mobilgeräten installieren und beginnt dann mit der umfassenden Spionage. Sie Spyware kann verschlüsselte Kommunikation mitlesen und mithören, den Standort des Handys feststellen und eigenständig Mikrofon und Kamera aktivieren, um sogar Gespräche in der Umgebung des Geräts zu überwachen. Aber wie genau kommt Pegasus auf das Handy?
Wie kommt Pegasus auf das Handy?
Es scheint zwei Wege zu geben, über die Pegasus auf das Handy kommt. Der erste Weg ist die klassische Methode des Phishings. Die Zielperson erhält dabei eine Textnachricht oder eine E-Mail, die zu einem Klick auf einen Link oder auf einen Dateianhang leitet. Der führt dann dazu, dass sich der Pegasus-Trojaner installiert.
Der zweite Weg ist noch brisanter: Ein Angreifer verschickt dabei eine Nachricht, die auf dem Handy gar nicht angezeigt wird; dadurch unbemerkt, lädt und installiert die Nachricht die Spionage-Software anschließend im Alleingang. So lassen es zumindest die Ergebnisse der Sicherheitsexperten von Amnesty International vermuten. Ausgenutzt werde dabei eine Sicherheitslücke in Apples iMessage. Es besteht außerdem der Verdacht, dass die Spyware auch über WhatsApp-Anrufe eingeschleust werden kann.
Dass die hochentwickelte Pegasus-Software generell gern Sicherheitslücken ausnutzt, ist nichts Neues. Schon frühere Versionen der Software haben Schwachstellen in Betriebssystemen wie iOS und Android ausgenutzt – mit einer besonderen Vorliebe für Zero-Day-Exploits. Zur Erinnerung: Das sind Sicherheitslücken, die dem Hersteller selbst entweder noch gar nicht bekannt sind oder für die er noch kein Sicherheitspatch hat.
Spionage-Skandal um Spyware Pegasus
Das Problem ist, dass Spyware leicht missbraucht werden kann. Das zeigt der jüngste Skandal rund um die Spyware Pegasus. Für das „Projekt Pegasus“, geleitet von der investigativen Non-Profit-Redaktion Forbidden Stories und der Menschenrechtsorganisation Amnesty International, haben mehr als 80 Reporter in zehn Ländern recherchiert. In einem Enthüllungsbericht schreiben sie, dass sie im Zuge ihrer Arbeit eine Liste von mehr als 50.000 Telefonnummern zugespielt bekommen habe, die im Fokus der Nutzenden der Pegasus-Software stünden.
Die weiteren Recherchen hätten gezeigt: Unter den potenziellen Zielpersonen befinden sich keinesfalls ausschließlich vermeintliche Kriminelle und Terroristen; 1.000 Telefonnummern konnten vielmehr Journalisten, Aktivisten, politischen Gegnern, Geschäftsleuten und sogar Staatsoberhäuptern zugeordnet werden. Auch wenn vermutlich nicht alle Telefonnummern tatsächlich Ziel eines Angriffs geworden seien, lautet die Schlussfolgerung des Pegasus-Projekt-Teams: Die Spyware Pegasus wird von den Kunden zweckentfremdet und missbraucht.
Das Sicherheitslabor von Amnesty International hat insgesamt 67 Smartphones forensisch untersucht, deren Telefonnummern in den Daten aufgetaucht sind. 37 Geräte zeigten Spuren der Pegasus-Software, bei 23 Geräten konnte eine Infektion nachgewiesen werden und 14 weitere Geräten wiesen Spuren eines Infektionsversuchs auf.
NSO Group spricht von falschen Behauptungen
Zu dem Bericht des Pegasus-Projekts hat sich die NSO Group bereits geäußert: Er sei voller falscher Annahmen und unbestätigter Theorien, die an der Zuverlässigkeit und den Interessen der Quellen ernsthafte Zweifel aufkommen lassen. Demnach gebe es für die Informationen keine sachlichen Grundlagen und Belege.
Das Technologieunternehmen geht in seinen beiden Stellungnahmen davon aus, dass die Liste aus Telefonnummern aus zugänglichen und offenen Basisinformationen stammen müsste und nicht aus den eigenen Systemen. Denn: Solche Daten seien auf den eigenen Servern nie vorhanden gewesen. Die Liste an Telefonnummern stehe daher in keinerlei Zusammenhang mit der NSO Group und sei dementsprechend auch keine Liste potenzieller Ziele der Pegasus-Software.
Zu den Daten der Kunden – laut NSO Group handelt es sich dabei ausschließlich um Strafverfolgungsbehörden und Nachrichtendienste überprüfter Regierungen – habe das Unternehmen selbst gar keinen Zugriff. Sollte aber doch ein Fünkchen Wahrheit in den Anschuldigungen stecken, verspricht das Unternehmen: „NSO wird jeden glaubwürdigen Beweis für den Missbrauch seiner Technologien gründlich untersuchen […] und das System gegebenenfalls abschalten.“
Pegasus-Software – für Unternehmen gefährlich?
Dennoch lässt sich der negative Eindruck nicht so einfach bei Seite schieben. Immerhin werden derzeit Anschuldigungen laut, dass die Nutzung der Pegasus-Software zu dem Tod von Menschen geführt haben könnte. Und Fakt ist: Wenn die NSO Group, wie sie selbst sagt, keinen Zugang zu den Daten der Pegasus-Nutzenden hat, kann sie auch nicht sicherstellen, dass die Software wirklich verantwortungsvoll eingesetzt wird.
Das heißt, dass sie auch nicht überprüfen kann, ob die Spyware möglicherweise auch zur Wirtschaftsspionage zum Einsatz kommt. Laut Forbidden Stories befinden sich unter den Telefonnummern auch einige von Persönlichkeiten aus der Wirtschaft – kein Wunder also, dass jetzt in vielen Unternehmen die Frage auftaucht, ob eigene Mitarbeitende durch Spyware im Allgemeinen oder die Pegasus-Software im Besonderen ausgehorcht werden.
Weit hergeholt ist diese Frage nicht. Denn: Wirtschaftsspionage ist ein gewaltiges Problem im weiten Feld der Cyberspionage. Schon 2015 gab das Bundesamts für Verfassungsschutz an, dass der deutschen Wirtschaft durch Cyberspionage jährlich ein Schaden von mindestens 50 Milliarden Euro entsteht. Zweifelsohne wäre – und ist – die Pegasus-Spyware auch in diesem Bereich ein sehr nützliches Tool.
Wie lässt sich Pegasus auf dem Handy erkennen?
Grundsätzlich gilt: Eine Überwachung durch die Pegasus-Software ist teuer. Daher wird sie höchstwahrscheinlich nicht zur Massenüberwachung eingesetzt, sondern nur sehr gezielt. Daher ist davon auszugehen, dass die meisten Angestellten das Interesse von Strafverfolgungsbehörden und Nachrichtendienste wohl nicht erregt haben. Vollkommen ausschließen lässt sich eine Infizierung mit der Pegasus-Software aber nicht. Vor allem nicht, wenn Unternehmen in Branchen tätig sind, die aus Sicht der Pegasus-Kunden interessant sein könnten.
Sie fragen sich, ob die Geräte von Ihnen oder Ihren Mitarbeitenden mit Pegasus infiziert sein könnten? Egal ob Sie Pegasus auf Android finden oder Pegasus auf iPhone erkennen möchten – Amnesty International hat ein Prüfwerkzeug entwickelt, das eine Infizierung mit Pegasus erkennen kann.
Das „Mobile Verification Toolkit“ (MVT) durchsucht Smartphones nach Spuren von Pegasus, erstellt dabei eine Liste aller geprüften Objekte und markiert darin verdächtige Elemente. Kleines Manko: Die Nutzung des bisherigen Prüfwerkzeugs ist ziemlich kompliziert. Und: Mit den Ergebnissen können nur IT-Fachleute wirklich etwas anfangen.
IT-Fachleute unterstützen bei mobiler Sicherheit
Wenn Sie bei der Überprüfung Ihrer Firmenhandys Unterstützung benötigen, können Sie sich natürlich an ein professionelles IT-Dienstleistungsunternehmen wenden. Diese sind inzwischen auch auf die mobile Sicherheit spezialisiert und bieten dazu unter anderem ein umfassendes Mobile Device Management an. Damit können beispielsweise Sicherheitsupdates zentral ausgespielt werden, sodass neu entdeckte Schwachstellen direkt geschlossen werden. Spyware wie Pegasus hat dann zumindest über diese Lücke keine Chance mehr einzudringen.
Die IT-Fachleute aus dem IT-SERVICE.NETWORK informieren Sie gern umfassend darüber, wie Sie Ihre Flotte an mobilen Endgeräten bestmöglich absichern können. Nehmen Sie dazu einfach Kontakt zu einem IT-Systemhaus aus unserem Netzwerk auf, das sich in Ihrer näheren Umgebung befindet, und lassen sich zunächst unverbindlich beraten. Wir freuen uns auf Ihre Anfrage!
Update vom 03.11.2021: BND nutzt umstrittene Überwachungssoftware!
Jüngste Nachrichten besagen, dass neben dem Bundeskriminalamt auch der Bundesnachrichtengeheimdienst (BND) die Spyware im Ausland einsetzt, wie Recherchen der Süddeutschen Zeitung, Zeit, NDR und WDR ergaben. Dass Deutsche Sicherheitsbehörden sich schon seit einigen Jahren für die Pegasus-Technologie interessieren, ist kein Geheimnis. Denn bereits 2017 reiste eine Delegation der Herstellerfirma aus Israel nach Wiesbaden, um dem BKA die Überwachungssoftware vorzuführen.
Ende 2020 verhandelte die Behörde über eine technisch limitierte Variante von Pegasus, die so modifiziert worden sein soll, dass sie auch mit deutschem Recht konform ist. Wie genau die Software überarbeitet wurde, ist jedoch bis heute unklar. Fakt ist aber: In einem halben Dutzend Fällen der organisierten Kriminalität sowie des Terrorismusverdachts soll das BKA Pegasus seit Anfang des Jahres 2021 wirkungsvoll eingesetzt haben.
Dass auch der deutsche Auslandsgeheimdienst die umstrittene Überwachungssoftware längst einsetzt, war indes jedoch unbekannt. Diese Tatsache verschwieg die Bundesregierung offenbar dem Parlamentarischen Kontrollgremium, das unter anderem für die Kontrolle des BND zuständig ist. Weder der Bundesnachrichtendienst noch das Bundeskanzleramt wollten sich bislang dazu äußern. Somit ist nicht bekannt, wofür der BND die Pegasus-Software genau einsetzt.
Update vom 25.03.2022: EU-Datenschützer wollen Pegasus verbieten
Die negativen Meldungen rund um die Pegasus-Software reißen nicht ab. Polens Regierung soll mit der Spionage-Software Oppositionspolitiker angegriffen haben; in Bahrain soll Pegasus gegen Parlamentsmitglieder, Anwälte und Mitglieder der Herrscherfamilie eingesetzt worden sein; auch in Israel sollen jahrelang Regierungskritiker, Geschäftsleute, Kommunalpolitiker und ein Sohn von Ex-Regierungschef Benjamin Netanyahu abgehört worden sein.
Parallel zur Zahl der Negativ-Schlagzeilen nimmt auch die Kritik an der Überwachungssoftware zu. Während israelische Behörden eine Untersuchung der Pegasus-Software fordern, wollen die USA deren Sanktionierung. Die Datenschützer der Europäischen Union wollen ein umfassendes Verbot erwirken und haben diese Forderung in einem zwölfseitigen Dokument festgehalten.
Die Begründung: Die Technologie stelle nicht nur eine Gefahr für Menschen und ihre Geräte dar, sondern auch für die Demokratie und Rechtsstaatlichkeit. Im Bericht heißt es: „Pegasus stellt einen Paradigmenwechsel im Hinblick auf den Zugriff auf private Kommunikation und Geräte dar. Diese Tatsache macht seine Verwendung mit unseren demokratischen Werten unvereinbar.“ Ob es tatsächlich zu einem Verbot kommt, bleibt vorerst abzuwarten.
Weiterführende Links:
WirtschaftsWoche, Tagesschau, Süddeutsche Zeitung, Forbidden Stories, NSO Group, NSO Group, Deutschlandfunk, Deutschlandfunk, Süddeutsche Zeitung, t3n, Spiegel, FAZ, Zeit, Zeit
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung