Pegasus-Ausschuss: Spyware stiehlt auf Dauer die Identität der Opfer

IT-Experten stellten im Pegasus-Untersuchungsausschuss des EU-Parlaments die Auswirkungen aktueller Spähsoftware dar. Es gelte, dem Markt das Wasser abzugraben.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 28 Beiträge

(Bild: iHaMoo/Shutterstock.com)

Von
  • Stefan Krempl

Der Untersuchungsausschuss des EU-Parlaments zum Einsatz von Pegasus und vergleichbarer Spionagesoftware hat am Dienstag mit einer Anhörung von IT-Sicherheitsexperten seine inhaltliche Arbeit aufgenommen. Der Angreifer fungiere im Fall von Pegasus als "allmächtiger Administrator" des übernommenen Mobilgeräts, führte Adam Haertlé vom polnischen Portal Zaufana Trzecia Strona den Abgeordneten dabei vor Augen. Dieser könne etwa Dateien und Nachrichten lesen. Dazu gehörten Authentifizierungscookies, die es ermöglichten, auf dem Smartphone geführte Konten etwa für WhatsApp und soziale Netzwerke zu öffnen.

Der Pegasus-Operateur stehle so die Identität der Opfer, verdeutlichte Haertlé in der Runde. "Er kann Sie online nachahmen und an Ihrer Stelle handeln." Es sei auch technisch möglich, Dateien auf dem Telefon zu platzieren. Ob diese Optionen genutzt würden, bleibe offen. Solche Funktionen stelle der Pegasus-Hersteller, die israelische NSO Group, nicht in ihren Werbebroschüren dar. Es bräuchte aber "nur eine Codezeile mehr", um sie verfügbar zu machen.

Die Spähsoftware aus dem Nahen Osten "gibt Zugang zu allem auf dem Smartphone", bestätigte Bill Marczak vom Citizen Lab in Toronto, das bereits zahlreiche Fälle von Pegasus-Einsätzen analysierte. Bei Messenger-Diensten wie WhatsApp oder Signal könne damit die Verschlüsselung umgangen werden, indem Daten im Klartext direkt auf dem Gerät abgegriffen würden. Auch hierzulande setzt die Politik im Rahmen der Quellen-Telekommunikationsüberwachung zu diesem Zweck auf Staatstrojaner auch der NSO Group für die Polizei und Geheimdienste.

Habe ein Angreifer erst einmal Authentifizierungscookies in Händen, könne er sich damit einen permanenten Zugang zu den einschlägigen Diensten verschaffen, berichtete Marczak. Selbst wenn das Gerät nicht mehr mit der Malware infiziert sei, blieben die Kennungen gespeichert und müssten geändert werden. Grundsätzlich sei die Manipulation des gesamten Telefons möglich, ergänzte Constanze Kurz vom Chaos Computer Club (CCC). Eine solche Schadsoftware müsse einen Zugriff auf das System mit allen Rechten haben.

Als misslich bezeichnete es Kurz, dass in den vergangenen Jahren ein lukrativer Markt für den Handel mit Sicherheitslücken entstanden sei, die Hersteller von Staatstrojanern ausnutzen. Eine strukturierte Forschung über diese Spionagebranche finde aber nicht statt. Die Hackerin empfahl den Parlamentariern, sich auch einschlägige Firmen anzusehen, "über die man weniger weiß".

Die Mechanismen der Überwachungsunternehmen zielen Kurz zufolge auf häufig genutzte Anwendungen wie WhatsApp oder iMessage, bei denen für Sicherheitslücken auch die besten Preise gezahlt würden. Neben iPhones seien zwar auch Android-Telefone "in ähnlicher Weise betroffen". Besser für die Abwehr solcher Angriffe sei es generell, auf Nischenprodukte zu setzen.

Aufgrund der Fragmentierung im Android-Markt sei es nicht so lukrativ, dafür Spyware zu entwickeln, meinte Marczak. Bei Apple entfielen 90 Prozent des Marktes für iPhones auf rund 15 Geräte, erläuterte Haertlé. Bei Android gebe es viel mehr verschiedene Geräte und Betriebssystemversionen, auf die man den Trojaner passgenau zuschneiden müsse. In der Praxis habe er eine Pegasus-Variante für das Google-Mobilsystem in den vergangenen drei Jahren so noch nicht gesehen. Die aktuellsten, teuren Modelle von Samsung würden aber in NSO-Werbebroschüren als unterwanderbar genannt. Viele Zielpersonen nutzten eventuell aber auch iPhones.

NSO verkaufe Pegasus-Lizenzen nur an Regierungen, verdeutlichte Haertlé. In Mexiko sei aber zumindest in einem Fall der Verdacht entstanden, dass lokale Clans solche Nutzungsoptionen den Behörden abgekauft haben. Generell werde solche Spyware vor allem gekauft von Ländern, "die nicht genügend Möglichkeiten haben, eine eigene zu bauen". Einem Bericht zufolge habe etwa Polen für rund 7,5 Millionen Euro etwa 30 bis 35 Lizenzen für die NSO-Software erstanden. Aus Ghana sei ein Vertrag von 2015 publik geworden, wonach dort 8 Millionen US-Dollar für 25 Lizenzen geflossen seien. Staaten wie die USA, Russland oder Frankreich hätten eigene Entwicklungskapazitäten und einschlägige Werkzeuge selbst zur Verfügung.

Sollten die Volksvertreter mehr über den Betrieb von Pegasus wissen, sollten sie sich auch an nationale Polizeibehörden und Geheimdienste der EU-Länder wenden, riet Marczak. Diese seien fast alle NSO-Kunden. Nachdem der deutsche Staatstrojaner-Produzent FinFisher Insolvenz angemeldet habe, genieße die israelische Firma "eigentlich derzeit ein Monopol in den EU-Staaten". Eine Attribuierung sei zwar herausfordernd. Man könne aber Cluster von Angriffen bilden uns sehen, ob diese vom gleichen Operateur kämen. Zusammen mit Informationen aus geleakten NSO-Verträgen ergebe sich so ein Bild über die Angreifer.

Die NSO Group selbst wisse genau, "wer wann ausspioniert wird", ließ Haertlé durchblicken. Abgezogene Daten könnten auch über Server laufen, die das Unternehmen kontrolliere. In Polen habe dann die Firma Marik die Stellen vor Ort für den Einsatz der Spyware geschult. Pegasus sei nicht einfach nur ein Produkt, sondern komme mit einer zugehörigen Dienstleistung, illustrierte Marczak. Nötig seien etwa Wartung und Qualitätssicherung, was Spuren hinterlasse. So ließen sich "Fingerabdrücke" feststellen, die man teils bis zu den meist bei großen Cloud-Anbietern gemieteten "Command & Control"-Server für das Programm zurückverfolgen könne. Bei diesen handle es sich aber um anonymisierte Zwischenstationen, um das finale Ziel zu verschleiern.

Auf die Frage, ob Apple seine Kunden zu wenig schütze, antwortete Haertlé, dass Software in Telefonen ausgesprochen komplex sei. Daher könne es immer auch eklatante und dem Hersteller zunächst verborgene Schwachstellen geben, die sich sogar ohne Zutun der User ausnutzen ließen (Zero-Click-Exploit). Bei massiven Sicherheitslücken reagiere Apple auch schnell. Die Politiker könnten aber noch Druck ausüben, dass alle relevanten Schwachstellen binnen sieben Tagen behoben werden. Generell müsse es schwerer und teurer werden, neue Exploits einzukaufen.

Ausschussmitglieder wie die Niederländerin Sophie in ’t Veld und der Katalane Carles Puigdemont, dessen Frau mit Pegasus ausgespäht worden sein soll, zeigten sich vor allem verblüfft darüber, dass Angreifer mit solcher Spyware ihre Persönlichkeiten übernehmen könnten. Dies habe massive Auswirkungen auf die Rechtsstaatlichkeit, gab Puigdemont zu bedenken. Dazu komme, dass die NSO Group offenbar auf die erbeuteten Daten selbst zugreifen könne, obwohl sie dazu gar nicht dazu befugt sei. Offenbar agiere da eine "kriminelle Vereinigung". Das Gremium hatte Mitte April seine erste Sitzung und will etwa noch den NSO-Chef Shalev Hulio vorladen.

(mho)