IT-Sicherheit

Pegasus-Software: Gefahr für Unternehmen?

Spionage-Skandal zeigt Gefahr für mobile Sicherheit

von 28.07.2021
Zu sehen ist der Umriss eines Spions. Er bekommt Unterstützung durch digitale Tools – wie der Pegasus-Software. Bild: Unsplash/Craig Whitehead

Neu ist die Spyware Pegasus nicht. Neu sind aber die Erkenntnisse, die einen Spionage-Skandal ausgelöst haben. Auch Unternehmen fragen jetzt: Werden Mitarbeiter mit der Pegasus-Software ausspioniert?

Wir erklären, was es mit dem globalen Skandal auf sich hat und warum mobile Sicherheit so wichtig ist.

Spionage – was darf sie und was nicht?

Seit ewigen Zeiten ist Spionage ein probates Mittel von Staaten. Und sie ist bis zu einem gewissen Punkt auch notwendig – zum Beispiel wenn es darum geht, Gefahren abzuwehren oder Straftäter zu verfolgen. Dennoch sollten gewisse moralisch-ethische Grenzen nicht überschritten werden. Aber wo genau liegen diese Grenzen?

Diese Frage bekommt in der heutigen digitalen Zeit eine ganz neue Dimension. Spionage-Software – im Fachjargon: Spyware – ist dabei häufig der Stein des Anstoßes. Klar ist: Sicherheitsbehörden benötigen geeignete Tools, um ihre Arbeit erledigen zu können. Aber wie weit dürfen sie dabei gehen? Und was ist, wenn die für Spionage entwickelte Software in die falschen Hände gerät und nicht aus den „richtigen“ Motiven eingesetzt wird?

In solchen Fällen kommt es meist zu einem handfesten Spionage-Skandal, der die Frage danach, was ethisch-moralisch erlaubt ist und was nicht, in den Fokus rückt. Genau so eine Diskussion hat jetzt ein fragwürdiger Einsatz der Pegasus-Software entfacht. Aber was ist die Pegasus-Software? Was ist genau der Skandal? Und wie kommt mobile Sicherheit ins Spiel?

Ein Mann versucht mit Hinweisen an einer Pinnwand ein Verbrechen zu lösen. Die Pegasus-Software kann bei der Strafverfolgung helfen. Bild: Pexels/cottonbro

Spionage-Tools wie die Pegasus-Software sind zur Strafverfolgung nützlich. Bild: Pexels/cottonbro

Was ist die Pegasus-Software?

Die Pegasus-Software ist eine Entwicklung des israelischen Technologieunternehmen NSO Group, die zur Kriminalitäts- und Terrorismusbekämpfung gedacht ist. Auf der eigenen Webseite beschreibt die NSO Group ihr Tätigkeitsfeld, übersetzt ins Deutsche, wie folgt: „NSO entwickelt Technologien, die Regierungsbehörden bei der Verhinderung und Untersuchung von Terrorismus und Verbrechen helfen und so weltweit tausende von Menschenleben retten.“

Der Name der Pegasus-Spyware ist ziemlich offensichtlich an die griechische Mythologie angelehnt – und das nicht ohne Grund. Wie Shalev Hulio, einer der Firmengründer, vor einigen Jahren in einem Interview mit der New York Times erklärte, sei die Software ein trojanisches Pferd mit Flügeln, da sie sozusagen auf das Smartphone fliegt. Wie das?

Die Pegasus-Spyware ist ein mächtiges Werkzeug. Sie lässt sich unbemerkt aus der Ferne auf Mobilgeräten installieren und beginnt dann mit der umfassenden Spionage. Sie Spyware kann verschlüsselte Kommunikation mitlesen und mithören, den Standort des Handys feststellen und eigenständig Mikrofon und Kamera aktivieren, um sogar Gespräche in der Umgebung des Geräts zu überwachen. Aber wie genau kommt Pegasus auf das Handy?

Wie kommt Pegasus auf das Handy?

Es scheint zwei Wege zu geben, über die Pegasus auf das Handy kommt. Der erste Weg ist die klassische Methode des Phishings. Die Zielperson erhält dabei eine Textnachricht oder eine E-Mail, die zu einem Klick auf einen Link oder auf einen Dateianhang leitet. Der führt dann dazu, dass sich der Pegasus-Trojaner installiert.

Der zweite Weg ist noch brisanter: Ein Angreifer verschickt dabei eine Nachricht, die auf dem Handy gar nicht angezeigt wird; dadurch unbemerkt, lädt und installiert die Nachricht die Spionage-Software anschließend im Alleingang. So lassen es zumindest die Ergebnisse der Sicherheitsexperten von Amnesty International vermuten. Ausgenutzt werde dabei eine Sicherheitslücke in Apples iMessage. Es besteht außerdem der Verdacht, dass die Spyware auch über WhatsApp-Anrufe eingeschleust werden kann.

Dass die hochentwickelte Pegasus-Software generell gern Sicherheitslücken ausnutzt, ist nichts Neues. Schon frühere Versionen der Software haben Schwachstellen in Betriebssystemen wie iOS und Android ausgenutzt – mit einer besonderen Vorliebe für Zero-Day-Exploits. Zur Erinnerung: Das sind Sicherheitslücken, die dem Hersteller selbst entweder noch gar nicht bekannt sind oder für die er noch kein Sicherheitspatch hat.

Zu sehen ist die Statue eines geflügelten Pferdes. Es verweist auf die griechische Mythologie, an die der Name der Pegasus-Software angelehnt ist. Bild: Pixabey/Montage IT-SERVICE.NETWORK

Der Name der Pegasus-Software geht auf die griechische Mythologie zurück. Bild: Pixabey/Montage IT-SERVICE.NETWORK

Spionage-Skandal um Spyware Pegasus

Das Problem ist, dass Spyware leicht missbraucht werden kann. Das zeigt der jüngste Skandal rund um die Spyware Pegasus. Für das „Projekt Pegasus“, geleitet von der investigativen Non-Profit-Redaktion Forbidden Stories und der Menschenrechtsorganisation Amnesty International, haben mehr als 80 Reporter in zehn Ländern recherchiert. In einem Enthüllungsbericht schreiben sie, dass sie im Zuge ihrer Arbeit eine Liste von mehr als 50.000 Telefonnummern zugespielt bekommen habe, die im Fokus der Nutzenden der Pegasus-Software stünden.

Die weiteren Recherchen hätten gezeigt: Unter den potenziellen Zielpersonen befinden sich keinesfalls ausschließlich vermeintliche Kriminelle und Terroristen; 1.000 Telefonnummern konnten vielmehr Journalisten, Aktivisten, politischen Gegnern, Geschäftsleuten und sogar Staatsoberhäuptern zugeordnet werden. Auch wenn vermutlich nicht alle Telefonnummern tatsächlich Ziel eines Angriffs geworden seien, lautet die Schlussfolgerung des Pegasus-Projekt-Teams: Die Spyware Pegasus wird von den Kunden zweckentfremdet und missbraucht.

Das Sicherheitslabor von Amnesty International hat insgesamt 67 Smartphones forensisch untersucht, deren Telefonnummern in den Daten aufgetaucht sind. 37 Geräte zeigten Spuren der Pegasus-Software, bei 23 Geräten konnte eine Infektion nachgewiesen werden und 14 weitere Geräten wiesen Spuren eines Infektionsversuchs auf.

NSO Group spricht von falschen Behauptungen

Zu dem Bericht des Pegasus-Projekts hat sich die NSO Group bereits geäußert: Er sei voller falscher Annahmen und unbestätigter Theorien, die an der Zuverlässigkeit und den Interessen der Quellen ernsthafte Zweifel aufkommen lassen. Demnach gebe es für die Informationen keine sachlichen Grundlagen und Belege.

Das Technologieunternehmen geht in seinen beiden Stellungnahmen davon aus, dass die Liste aus Telefonnummern aus zugänglichen und offenen Basisinformationen stammen müsste und nicht aus den eigenen Systemen. Denn: Solche Daten seien auf den eigenen Servern nie vorhanden gewesen. Die Liste an Telefonnummern stehe daher in keinerlei Zusammenhang mit der NSO Group und sei dementsprechend auch keine Liste potenzieller Ziele der Pegasus-Software.

Zu den Daten der Kunden – laut NSO Group handelt es sich dabei ausschließlich um Strafverfolgungsbehörden und Nachrichtendienste überprüfter Regierungen – habe das Unternehmen selbst gar keinen Zugriff. Sollte aber doch ein Fünkchen Wahrheit in den Anschuldigungen stecken, verspricht das Unternehmen: „NSO wird jeden glaubwürdigen Beweis für den Missbrauch seiner Technologien gründlich untersuchen […] und das System gegebenenfalls abschalten.“

Eine Person mit Hoodie sitzt vor einem Computer. Es geht um einen möglichen Missbrauch der Pegasus-Software. Bild: Pexels/Anete Lusina

Wird die Pegasus-Software missbraucht oder nicht? Dazu gibt es geteilte Meinungen. Bild: Pexels/Anete Lusina

Pegasus-Software – für Unternehmen gefährlich?

Dennoch lässt sich der negative Eindruck nicht so einfach bei Seite schieben. Immerhin werden derzeit Anschuldigungen laut, dass die Nutzung der Pegasus-Software zu dem Tod von Menschen geführt haben könnte. Und Fakt ist: Wenn die NSO Group, wie sie selbst sagt, keinen Zugang zu den Daten der Pegasus-Nutzenden hat, kann sie auch nicht sicherstellen, dass die Software wirklich verantwortungsvoll eingesetzt wird.

Das heißt, dass sie auch nicht überprüfen kann, ob die Spyware möglicherweise auch zur Wirtschaftsspionage zum Einsatz kommt. Laut Forbidden Stories befinden sich unter den Telefonnummern auch einige von Persönlichkeiten aus der Wirtschaft – kein Wunder also, dass jetzt in vielen Unternehmen die Frage auftaucht, ob eigene Mitarbeitende durch Spyware im Allgemeinen oder die Pegasus-Software im Besonderen ausgehorcht werden.

Weit hergeholt ist diese Frage nicht. Denn: Wirtschaftsspionage ist ein gewaltiges Problem im weiten Feld der Cyberspionage. Schon 2015 gab das Bundesamts für Verfassungsschutz an, dass der deutschen Wirtschaft durch Cyberspionage jährlich ein Schaden von mindestens 50 Milliarden Euro entsteht. Zweifelsohne wäre – und ist – die Pegasus-Spyware auch in diesem Bereich ein sehr nützliches Tool.

Wie lässt sich Pegasus auf dem Handy erkennen?

Grundsätzlich gilt: Eine Überwachung durch die Pegasus-Software ist teuer. Daher wird sie höchstwahrscheinlich nicht zur Massenüberwachung eingesetzt, sondern nur sehr gezielt. Daher ist davon auszugehen, dass die meisten Angestellten das Interesse von Strafverfolgungsbehörden und Nachrichtendienste wohl nicht erregt haben. Vollkommen ausschließen lässt sich eine Infizierung mit der Pegasus-Software aber nicht. Vor allem nicht, wenn Unternehmen in Branchen tätig sind, die aus Sicht der Pegasus-Kunden interessant sein könnten.

Sie fragen sich, ob die Geräte von Ihnen oder Ihren Mitarbeitenden mit Pegasus infiziert sein könnten? Egal ob Sie Pegasus auf Android finden oder Pegasus auf iPhone erkennen möchten – Amnesty International hat ein Prüfwerkzeug entwickelt, das eine Infizierung mit Pegasus erkennen kann.
Das „Mobile Verification Toolkit“ (MVT) durchsucht Smartphones nach Spuren von Pegasus, erstellt dabei eine Liste aller geprüften Objekte und markiert darin verdächtige Elemente. Kleines Manko: Die Nutzung des bisherigen Prüfwerkzeugs ist ziemlich kompliziert. Und: Mit den Ergebnissen können nur IT-Fachleute wirklich etwas anfangen.

Hände nutzen ein Smartphone. Ist die Pegasus-Software darauf? Bild: Pexels/cottonbro

Pegasus-Software auf dem Handy? Bild: Pexels/cottonbro

IT-Fachleute unterstützen bei mobiler Sicherheit

Wenn Sie bei der Überprüfung Ihrer Firmenhandys Unterstützung benötigen, können Sie sich natürlich an ein professionelles IT-Dienstleistungsunternehmen wenden. Diese sind inzwischen auch auf die mobile Sicherheit spezialisiert und bieten dazu unter anderem ein umfassendes Mobile Device Management an. Damit können beispielsweise Sicherheitsupdates zentral ausgespielt werden, sodass neu entdeckte Schwachstellen direkt geschlossen werden. Spyware wie Pegasus hat dann zumindest über diese Lücke keine Chance mehr einzudringen.

Die IT-Fachleute aus dem IT-SERVICE.NETWORK informieren Sie gern umfassend darüber, wie Sie Ihre Flotte an mobilen Endgeräten bestmöglich absichern können. Nehmen Sie dazu einfach Kontakt zu einem IT-Systemhaus aus unserem Netzwerk auf, das sich in Ihrer näheren Umgebung befindet, und lassen sich zunächst unverbindlich beraten. Wir freuen uns auf Ihre Anfrage!

Update vom 03.11.2021: BND nutzt umstrittene Überwachungssoftware!

Jüngste Nachrichten besagen, dass neben dem Bundeskriminalamt auch der Bundesnachrichtengeheimdienst (BND) die Spyware im Ausland einsetzt, wie Recherchen der Süddeutschen Zeitung, Zeit, NDR und WDR ergaben. Dass Deutsche Sicherheitsbehörden sich schon seit einigen Jahren für die Pegasus-Technologie interessieren, ist kein Geheimnis. Denn bereits 2017 reiste eine Delegation der Herstellerfirma aus Israel nach Wiesbaden, um dem BKA die Überwachungssoftware vorzuführen.

Ende 2020 verhandelte die Behörde über eine technisch limitierte Variante von Pegasus, die so modifiziert worden sein soll, dass sie auch mit deutschem Recht konform ist. Wie genau die Software überarbeitet wurde, ist jedoch bis heute unklar. Fakt ist aber: In einem halben Dutzend Fällen der organisierten Kriminalität sowie des Terrorismusverdachts soll das BKA Pegasus seit Anfang des Jahres 2021 wirkungsvoll eingesetzt haben.

Dass auch der deutsche Auslandsgeheimdienst die umstrittene Überwachungssoftware längst einsetzt, war indes jedoch unbekannt. Diese Tatsache verschwieg die Bundesregierung offenbar dem Parlamentarischen Kontrollgremium, das unter anderem für die Kontrolle des BND zuständig ist. Weder der Bundesnachrichtendienst noch das Bundeskanzleramt wollten sich bislang dazu äußern. Somit ist nicht bekannt, wofür der BND die Pegasus-Software genau einsetzt.

Update vom 25.03.2022: EU-Datenschützer wollen Pegasus verbieten

Die negativen Meldungen rund um die Pegasus-Software reißen nicht ab. Polens Regierung soll mit der Spionage-Software Oppositionspolitiker angegriffen haben; in Bahrain soll Pegasus gegen Parlamentsmitglieder, Anwälte und Mitglieder der Herrscherfamilie eingesetzt worden sein; auch in Israel sollen jahrelang Regierungskritiker, Geschäftsleute, Kommunalpolitiker und ein Sohn von Ex-Regierungschef Benjamin Netanyahu abgehört worden sein.

Parallel zur Zahl der Negativ-Schlagzeilen nimmt auch die Kritik an der Überwachungssoftware zu. Während israelische Behörden eine Untersuchung der Pegasus-Software fordern, wollen die USA deren Sanktionierung. Die Datenschützer der Europäischen Union wollen ein umfassendes Verbot erwirken und haben diese Forderung in einem zwölfseitigen Dokument festgehalten.

Die Begründung: Die Technologie stelle nicht nur eine Gefahr für Menschen und ihre Geräte dar, sondern auch für die Demokratie und Rechtsstaatlichkeit. Im Bericht heißt es: „Pegasus stellt einen Paradigmenwechsel im Hinblick auf den Zugriff auf private Kommunikation und Geräte dar. Diese Tatsache macht seine Verwendung mit unseren demokratischen Werten unvereinbar.“ Ob es tatsächlich zu einem Verbot kommt, bleibt vorerst abzuwarten.


Weiterführende Links:
WirtschaftsWoche, Tagesschau, Süddeutsche Zeitung, Forbidden Stories, NSO Group, NSO Group, Deutschlandfunk, Deutschlandfunk, Süddeutsche Zeitung, t3n, Spiegel, FAZ, Zeit, Zeit

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

IT-Grundschutz

Bausteine des BSI für die IT-Sicherheit

von • 29.06.2022

Der IT-Grundschutz des BSI dient als Arbeitsmittel, Anleitung, Selbsthilfe und Empfehlung für die Optimierung der IT-Sicherheit. Konzipiert für Unternehmen, die ihre IT und Daten schützen möchten....

Weiterlesen
IT-Sicherheit

Hive-Ransomware

Daten retten und entschlüsseln

von • 27.06.2022

Die Hive-Ransomware feiert bald ihren ersten Geburtstag und hat in den vergangenen Monaten viele Opfer gefunden. Viele Unternehmen fragen sich daher, was sie gegen einen Hive-Angriff tun können. W...

Weiterlesen
IT-Sicherheit

Hardwareverschlüsselung

Verbesserte Datensicherheit dank externer SSDs

von • 21.06.2022

Die Hardwareverschlüsselung stellt eine optimale Alternative (oder auch Ergänzung) zur Cloud dar und hilft Unternehmen dabei, ihre Datensicherheit zu erhöhen und die strengen Anforderungen an den D...

Weiterlesen