NSO Group

Mitarbeiter soll Spyware für private Zwecke missbraucht haben

Während eines Support-Auftrags habe ein Mitarbeiter der Cyber-Intelligence-Firma NSO Group laut Berichten von Motherboard versucht, sich Zugriff auf das Smartphone einer Bekannten zu verschaffen. Der Vorgang stellt das Unternehmen, das wegen seiner Verbindungen zu autoritären Regimen in der Kritik stand, vor Herausforderungen.

Nahaufnahme eines Smartphones, in der Hand einer Person vor schwarzem Hintergrund.
„Pegasus“ ist eine mächtige Überwachungssoftware – und das weckt Begehrlichkeiten. Gemeinfrei-ähnlich freigegeben durch unsplash.com Gilles Lambert

Ein Mitarbeiter der NSO Group soll laut Berichten des Tech-Magazins Motherboard die „Pegasus“-Spyware des Unternehmens für private Zwecke missbraucht haben. Die Software erlaubt es, selbst Smartphones auszuspionieren, die auf modernen Android oder iOS-Versionen laufen.

Während er Software-Support für einen Kunden in den Vereinigten Arabischen Emiraten leistete, soll der Mitarbeiter das System genutzt haben, um Zugriff auf das Handy einer persönlichen Bekanntschaft zu erlangen. Das berichteten Motherboard mehrere Quellen aus dem Unternehmen und seinem Umfeld.

Die NSO Group steht dafür in der Kritik, dass ihre Schadsoftware von staatlichen Stellen nicht – wie das Unternehmen behauptete – nur zur Bekämpfung von Terrorismus und schwerer Kriminalität genutzt werde. Vielmehr sind auch zahlreiche Fälle bekannt, in denen die „Pegasus“-Software gegen kritische Journalist:innen, Menschenrechtsaktivist:innen oder oppositionelle Politiker:innen zum Einsatz gekommen sein soll.

Der aktuelle Fall zeigt zudem auf, dass auch Mitarbeitende des Unternehmens die mächtige Überwachungssoftware privat missbrauchen könnten – etwa wie hier für das mutmaßliche Cyberstalking.

„Pegasus“ ist ein mächtiges Tool

Die Spyware „Pegasus“ erlaubt es, über ein Software-Interface recht komfortabel Zugriff auf Smartphones zu erlangen. Dabei nutzt die NSO Group sogenannte Zero-Day-Exploits – also noch nicht offiziell bekannte Sicherheitslücken in Software, die teils für sehr hohe Summen auf dem Schwarzmarkt gehandelt werden.

Unter Nutzung dieser Lücken kann „Pegasus“ so auf Geräte zugreifen, nachdem ihre Besitzer:innen einmal einen Link besuchen, der in einer eigens für sie konzipierten Phishing-Nachricht enthalten ist. Aus Dokumenten, die im Rahmen eines Prozesses zwischen NSO Group und Facebook veröffentlicht wurden, geht hervor, dass Kund:innen der Cyber-Intelligence-Firma zwischen vier verschiedenen Support-Stufen wählen können: auch das Verfassen möglichst unverfänglicher Phishing-Mails ist in der Betreuung beinhaltet.

Ist ein Gerät infiziert, kann Pegasus auf verschiedene Daten und Funktionen des Smartphones zugreifen: Standort, SMS, Mails, Fotos und Videos sowie die Kamera und das Mikrofon des Geräts. Forschende des Citizen Lab der Universität Toronto, die sich ausgiebig mit „Pegasus“ beschäftigten, fanden die Software in 45 Ländern.

Stalking mit „Pegasus“

Im kürzlich vom Vice-Magazin Motherboard publik gemachten Fall geht es jedoch um den Missbrauch der Software durch einen Mitarbeiter des Unternehmens. Dieser habe sich vor einigen Jahren im Rahmen eines Support-Auftrages vor Ort bei einem Kunden in den Vereinigten Arabischen Emiraten befunden und sich dort Zugriff zu den Räumlichkeiten des Kunden verschafft.

Von dort aus habe der Mitarbeiter versucht, sich über die Nutzer:innenoberflächen des Kunden Zugang zum Smartphone einer Frau zu verschaffen, die er persönlich kannte. Doch der ungewöhnliche Zugriff flog auf und lokale Sicherheitskräfte setzten den Mann fest.

Die NSO Group feuerte den Mitarbeiter und führte strengere Sicherheitschecks für Personal ein, das Kontakt zu Kunden hat, berichtet ein ehemaliger Mitarbeiter. Auch biometrische Sicherheitsfeatures sollen jetzt Zugänge beschränken.

„Technische Mitarbeitende werden immer Zugang haben“

Während der Missbrauch von mächtigen staatlichen Überwachungsinstrumenten für das private Stalking von Einzelpersonen beispielsweise bei der NSA gut dokumentiert ist, stellt der Fall für die NSO Group ein Novum dar.

Doch ehemalige Mitarbeitende sind skeptisch, ob sich das Problem mit den ergriffenen Maßnahmen eindämmen lässt. Zwar sei dieser Fall aufgeflogen, doch auf einer technischeren Ebene habe es „nichts gegeben, das mich davon hätte abhalten können, das System gegen wen auch immer ich wollte einzusetzen“, sagte einer der ehemaligen Mitarbeiter gegenüber Motherboard. „Es gibt [keinen] wirklichen Weg, sich dagegen zu schützen. Techniker werden immer Zugang haben.“

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

3 Ergänzungen
  1. Hallo der Bericht ist super. Allerdings eine kleine Anmerkung: beim Wort Nutzer:innenoberflächen halte ich es für falsch das :innen einzufügen.

  2. „Die NSO Group feuerte den Mitarbeiter und führte strengere Sicherheitschecks für Personal ein, Kontakt zu Kunden hat, berichtet ein ehemaliger Mitarbeiter.“

    Fehlt hier ein „das“? („…für Personal ein, DAS Kontakt zu Kunden hat,…“)

  3. Ich habe zu Pegasus auch die Dokumentation bei cbsnews gesehen. Erschreckend! Doch was hier exemplarisch gezeigt wird, wird schon lange durch staatliche Behörden an unwissenden Bürger-innen ausgeübt. Irgendwann wird sicherlich aufgedeckt, in welchem Ausmaß Geheimdienste Menschen mit diesen technischen Mitteln überwachen. Es gibt sicher noch andere „Pegasus“, von denen wir nichts wissen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.