Pegasus-Software: Gefahr für Unternehmen?

Spionage-Skandal zeigt Gefahr für mobile Sicherheit

Von in IT-Sicherheit
28
Jul
'21

Neu ist die Spyware Pegasus nicht. Neu sind aber die Erkenntnisse, die einen handfesten Spionage-Skandal hervorgebracht haben. Auch in vielen Unternehmen taucht jetzt die Frage auf: Besteht die Gefahr, dass (hochrangige) Mitarbeitende mit der Pegasus-Software ausspioniert werden?

Wir erklären, was es mit dem globalen Skandal auf sich hat und warum mobile Sicherheit so wichtig ist.

Spionage – was darf sie und was nicht?

Seit ewigen Zeiten ist Spionage ein probates Mittel von Staaten. Und sie ist bis zu einem gewissen Punkt auch notwendig – zum Beispiel wenn es darum geht, Gefahren abzuwehren oder Straftäter zu verfolgen. Dennoch sollten gewisse moralisch-ethische Grenzen nicht überschritten werden. Aber wo genau liegen diese Grenzen?

Diese Frage bekommt in der heutigen digitalen Zeit eine ganz neue Dimension. Spionage-Software – im Fachjargon: Spyware – ist dabei häufig der Stein des Anstoßes. Klar ist: Sicherheitsbehörden benötigen geeignete Tools, um ihre Arbeit erledigen zu können. Aber wie weit dürfen sie dabei gehen? Und was ist, wenn die für Spionage entwickelte Software in die falschen Hände gerät und nicht aus den „richtigen“ Motiven eingesetzt wird?

In solchen Fällen kommt es meist zu einem handfesten Spionage-Skandal, der die Frage danach, was ethisch-moralisch erlaubt ist und was nicht, in den Fokus rückt. Genau so eine Diskussion hat jetzt ein fragwürdiger Einsatz der Pegasus-Software entfacht. Aber was ist die Pegasus-Software? Was ist genau der Skandal? Und wie kommt mobile Sicherheit ins Spiel?

Ein Mann versucht mit Hinweisen an einer Pinnwand ein Verbrechen zu lösen. Die Pegasus-Software kann bei der Strafverfolgung helfen. Bild: Pexels/cottonbro

Spionage-Tools wie die Pegasus-Software sind zur Strafverfolgung nützlich. Bild: Pexels/cottonbro

Was ist die Pegasus-Software?

Die Pegasus-Software ist eine Entwicklung des israelischen Technologieunternehmen NSO Group, die zur Kriminalitäts- und Terrorismusbekämpfung gedacht ist. Auf der eigenen Webseite beschreibt die NSO Group ihr Tätigkeitsfeld, übersetzt ins Deutsche, wie folgt: „NSO entwickelt Technologien, die Regierungsbehörden bei der Verhinderung und Untersuchung von Terrorismus und Verbrechen helfen und so weltweit tausende von Menschenleben retten.“

Der Name der Pegasus-Spyware ist ziemlich offensichtlich an die griechische Mythologie angelehnt – und das nicht ohne Grund. Wie Shalev Hulio, einer der Firmengründer, vor einigen Jahren in einem Interview mit der New York Times erklärte, sei die Software ein trojanisches Pferd mit Flügeln, da sie sozusagen auf das Smartphone fliegt. Wie das?

Die Pegasus-Spyware ist ein mächtiges Werkzeug. Sie lässt sich unbemerkt aus der Ferne auf Mobilgeräten installieren und beginnt dann mit der umfassenden Spionage. Sie Spyware kann verschlüsselte Kommunikation mitlesen und mithören, den Standort des Handys feststellen und eigenständig Mikrofon und Kamera aktivieren, um sogar Gespräche in der Umgebung des Geräts zu überwachen. Aber wie genau kommt Pegasus auf das Handy?

Wie kommt Pegasus auf das Handy?

Es scheint zwei Wege zu geben, über die Pegasus auf das Handy kommt. Der erste Weg ist die klassische Methode des Phishings. Die Zielperson erhält dabei eine Textnachricht oder eine E-Mail, die zu einem Klick auf einen Link oder auf einen Dateianhang leitet. Der führt dann dazu, dass sich der Pegasus-Trojaner installiert.

Der zweite Weg ist noch brisanter: Ein Angreifer verschickt dabei eine Nachricht, die auf dem Handy gar nicht angezeigt wird; dadurch unbemerkt, lädt und installiert die Nachricht die Spionage-Software anschließend im Alleingang. So lassen es zumindest die Ergebnisse der Sicherheitsexperten von Amnesty International vermuten. Ausgenutzt werde dabei eine Sicherheitslücke in Apples iMessage. Es besteht außerdem der Verdacht, dass die Spyware auch über WhatsApp-Anrufe eingeschleust werden kann.

Dass die hochentwickelte Pegasus-Software generell gern Sicherheitslücken ausnutzt, ist nichts Neues. Schon frühere Versionen der Software haben Schwachstellen in Betriebssystemen wie iOS und Android ausgenutzt – mit einer besonderen Vorliebe für Zero-Day-Exploits. Zur Erinnerung: Das sind Sicherheitslücken, die dem Hersteller selbst entweder noch gar nicht bekannt sind oder für die er noch kein Sicherheitspatch hat.

Zu sehen ist die Statue eines geflügelten Pferdes. Es verweist auf die griechische Mythologie, an die der Name der Pegasus-Software angelehnt ist. Bild: Pixabey/Montage IT-SERVICE.NETWORK

Der Name der Pegasus-Software geht auf die griechische Mythologie zurück. Bild: Pixabey/Montage IT-SERVICE.NETWORK

Spionage-Skandal um Spyware Pegasus

Das Problem ist, dass Spyware leicht missbraucht werden kann. Das zeigt der jüngste Skandal rund um die Spyware Pegasus. Für das „Projekt Pegasus“, geleitet von der investigativen Non-Profit-Redaktion Forbidden Stories und der Menschenrechtsorganisation Amnesty International, haben mehr als 80 Reporter in zehn Ländern recherchiert. In einem Enthüllungsbericht schreiben sie, dass sie im Zuge ihrer Arbeit eine Liste von mehr als 50.000 Telefonnummern zugespielt bekommen habe, die im Fokus der Nutzenden der Pegasus-Software stünden.

Die weiteren Recherchen hätten gezeigt: Unter den potenziellen Zielpersonen befinden sich keinesfalls ausschließlich vermeintliche Kriminelle und Terroristen; 1.000 Telefonnummern konnten vielmehr Journalisten, Aktivisten, politischen Gegnern, Geschäftsleuten und sogar Staatsoberhäuptern zugeordnet werden. Auch wenn vermutlich nicht alle Telefonnummern tatsächlich Ziel eines Angriffs geworden seien, lautet die Schlussfolgerung des Pegasus-Projekt-Teams: Die Spyware Pegasus wird von den Kunden zweckentfremdet und missbraucht.

Das Sicherheitslabor von Amnesty International hat insgesamt 67 Smartphones forensisch untersucht, deren Telefonnummern in den Daten aufgetaucht sind. 37 Geräte zeigten Spuren der Pegasus-Software, bei 23 Geräten konnte eine Infektion nachgewiesen werden und 14 weitere Geräten wiesen Spuren eines Infektionsversuchs auf.

NSO Group spricht von falschen Behauptungen

Zu dem Bericht des Pegasus-Projekts hat sich die NSO Group bereits geäußert: Er sei voller falscher Annahmen und unbestätigter Theorien, die an der Zuverlässigkeit und den Interessen der Quellen ernsthafte Zweifel aufkommen lassen. Demnach gebe es für die Informationen keine sachlichen Grundlagen und Belege.

Das Technologieunternehmen geht in seinen beiden Stellungnahmen davon aus, dass die Liste aus Telefonnummern aus zugänglichen und offenen Basisinformationen stammen müsste und nicht aus den eigenen Systemen. Denn: Solche Daten seien auf den eigenen Servern nie vorhanden gewesen. Die Liste an Telefonnummern stehe daher in keinerlei Zusammenhang mit der NSO Group und sei dementsprechend auch keine Liste potenzieller Ziele der Pegasus-Software.

Zu den Daten der Kunden – laut NSO Group handelt es sich dabei ausschließlich um Strafverfolgungsbehörden und Nachrichtendienste überprüfter Regierungen – habe das Unternehmen selbst gar keinen Zugriff. Sollte aber doch ein Fünkchen Wahrheit in den Anschuldigungen stecken, verspricht das Unternehmen: „NSO wird jeden glaubwürdigen Beweis für den Missbrauch seiner Technologien gründlich untersuchen […] und das System gegebenenfalls abschalten.“

Eine Person mit Hoodie sitzt vor einem Computer. Es geht um einen möglichen Missbrauch der Pegasus-Software. Bild: Pexels/Anete Lusina

Wird die Pegasus-Software missbraucht oder nicht? Dazu gibt es geteilte Meinungen. Bild: Pexels/Anete Lusina

Pegasus-Software – für Unternehmen gefährlich?

Dennoch lässt sich der negative Eindruck nicht so einfach bei Seite schieben. Immerhin werden derzeit Anschuldigungen laut, dass die Nutzung der Pegasus-Software zu dem Tod von Menschen geführt haben könnte. Und Fakt ist: Wenn die NSO Group, wie sie selbst sagt, keinen Zugang zu den Daten der Pegasus-Nutzenden hat, kann sie auch nicht sicherstellen, dass die Software wirklich verantwortungsvoll eingesetzt wird.

Das heißt, dass sie auch nicht überprüfen kann, ob die Spyware möglicherweise auch zur Wirtschaftsspionage zum Einsatz kommt. Laut Forbidden Stories befinden sich unter den Telefonnummern auch einige von Persönlichkeiten aus der Wirtschaft – kein Wunder also, dass jetzt in vielen Unternehmen die Frage auftaucht, ob eigene Mitarbeitende durch Spyware im Allgemeinen oder die Pegasus-Software im Besonderen ausgehorcht werden.

Weit hergeholt ist diese Frage nicht. Denn: Wirtschaftsspionage ist ein gewaltiges Problem im weiten Feld der Cyberspionage. Schon 2015 gab das Bundesamts für Verfassungsschutz an, dass der deutschen Wirtschaft durch Cyberspionage jährlich ein Schaden von mindestens 50 Milliarden Euro entsteht. Zweifelsohne wäre – und ist – die Pegasus-Spyware auch in diesem Bereich ein sehr nützliches Tool.

Wie lässt sich Pegasus auf dem Handy erkennen?

Grundsätzlich gilt: Eine Überwachung durch die Pegasus-Software ist teuer. Daher wird sie höchstwahrscheinlich nicht zur Massenüberwachung eingesetzt, sondern nur sehr gezielt. Daher ist davon auszugehen, dass die meisten Angestellten das Interesse von Strafverfolgungsbehörden und Nachrichtendienste wohl nicht erregt haben. Vollkommen ausschließen lässt sich eine Infizierung mit der Pegasus-Software aber nicht. Vor allem nicht, wenn Unternehmen in Branchen tätig sind, die aus Sicht der Pegasus-Kunden interessant sein könnten.

Sie fragen sich, ob die Geräte von Ihnen oder Ihren Mitarbeitenden mit Pegasus infiziert sein könnten? Egal ob Sie Pegasus auf Android finden oder Pegasus auf iPhone erkennen möchten – Amnesty International hat ein Prüfwerkzeug entwickelt, das eine Infizierung mit Pegasus erkennen kann.

Das „Mobile Verification Toolkit“ (MVT) durchsucht Smartphones nach Spuren von Pegasus, erstellt dabei eine Liste aller geprüften Objekte und markiert darin verdächtige Elemente. Kleines Manko: Die Nutzung des bisherigen Prüfwerkzeugs ist ziemlich kompliziert. Und: Mit den Ergebnissen können nur IT-Fachleute wirklich etwas anfangen.

IT-Fachleute unterstützen bei mobiler Sicherheit

Wenn Sie bei der Überprüfung Ihrer Firmenhandys Unterstützung benötigen, können Sie sich natürlich an ein professionelles IT-Dienstleistungsunternehmen wenden. Diese sind inzwischen auch auf die mobile Sicherheit spezialisiert und bieten dazu unter anderem ein umfassendes Mobile Device Management an. Damit können beispielsweise Sicherheitsupdates zentral ausgespielt werden, sodass neu entdeckte Schwachstellen direkt geschlossen werden. Spyware wie Pegasus hat dann zumindest über diese Lücke keine Chance mehr einzudringen.

Die IT-Fachleute aus dem IT-SERVICE.NETWORK informieren Sie gern umfassend darüber, wie Sie Ihre Flotte an mobilen Endgeräten bestmöglich absichern können. Nehmen Sie dazu einfach Kontakt zu einem IT-Systemhaus aus unserem Netzwerk auf, das sich in Ihrer näheren Umgebung befindet, und lassen sich zunächst unverbindlich beraten. Wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
WirtschaftsWoche, Tagesschau, Süddeutsche Zeitung, Forbidden Stories, NSO Group, NSO Group, Deutschlandfunk, Deutschlandfunk

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.