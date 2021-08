Die Spionagesoftware Pegasus wurde auf den Geräten von Journalisten und Aktivistinnen weltweit gefunden. Tech-Konzerne und Regierungen müssen nun handeln, findet der IT-Sicherheitsforscher Claudio Guarnieri. Die zerstörerische Überwachungsindustrie darf nicht einfach so weitermachen.

Claudio Guarnieri ist IT-Sicherheitsforscher und leitet das Security Lab von Amnesty International. Das internationale Team hat die technische Arbeit für das Pegagus Projekt gemacht und Werkzeuge entwickelt, um die Spähsoftware Pegasus auf Smartphones zu entdecken und analysieren. Dieser Text erschien zuerst in seinem Newsletter und Blog unter der Lizenz CC BY-NC-SA 4.0. Übersetzung von netzpolitik.org.

In den letzten sechs Monaten war mein Newsletter zu IT-Sicherheit und Überwachung inaktiv. Es lag nicht nur daran, dass ich zu sehr mit dem Inhalt dieser Ausgabe beschäftigt war. Mir fehlte auch jeglicher Anreiz zum Schreiben. Nachdem ich ein Dutzend Jahre in der IT-Sicherheit gearbeitet habe, davon ein Jahrzehnt für die Zivilgesellschaft, hatte ich das Gefühl, keine Argumente mehr zu haben. Nicht weil all die Probleme, mit denen ich mich beschäftigt habe, erledigt wären – ganz im Gegenteil. Sondern weil alles, worüber ich schreiben oder auf einer Konferenz sprechen könnte, nur wie eine kaputte Schallplatte klingen konnte.

Wer sich mit diesen Themen befasst, hat jahrelang bis zum Erbrechen wiederholt, dass Journalist:innen und Aktivist:innen besonders anfällig für Cyberangriffe sind und dass die ihnen zur Verfügung stehenden Verteidigungsmaßnahmen angesichts ihrer Gegenspieler nicht ausreichen. Wir haben immer wieder davor gewarnt, dass die Kommerzialisierung der Überwachung den Weg zu systematischem Missbrauch ebnet.

Nur wenige hörten zu, die meisten waren einfach gleichgültig. Jeder neue Bericht, jeder neue Fall kam mir so belanglos vor, dass ich anfing, mich zu fragen, ob das Beharren etwas anderem dient als unserem eigenen Ego.

Doch dann kam die Gelegenheit, all das noch einmal zu hinterfragen.

Das Pegasus-Projekt

Monatelange komplexe und sorgfältige Untersuchungen haben dutzende Ziele unrechtmäßiger Überwachung aufgedeckt und Hinweise auf unzählige weitere gegeben. Das Pegasus-Projekt beleuchtet den Einsatz von Pegasus, einer Spionagesoftware des Überwachungsanbieters NSO Group. Mein Team bei Amnesty International, das Security Lab, war technischer Partner für 16 Medienorganisationen in der gemeinsamen Anstrengung, um ein für alle Mal mit dem falschen Narrativ gezielter Überwachung aufzuräumen.

Firmen wie NSO möchten uns glauben machen, dass Tools wie Pegasus entscheidend sind zum Schutz vor Terrorismus und organisiertem Verbrechen, und der gelegentliche Missbrauch nur anekdotisch ist. Diese Erzählung basiert auf Geheimnissen und Lügen einer undurchsichtigen Industrie, die zu mächtig und unreguliert ist. Das Pegasus-Projekt enthüllt eine viel dunklere Realität.

Es geht nicht um einen, es geht um viele. Es geht nicht nur um Omar Radi oder Ahmed Mansoor, sondern um alle, die ihre Stimme gegen autoritäre Herrschaft erheben. Es geht nicht um Ausnahmen, es geht um die Norm. Es geht nicht um diesen oder jenen Sicherheitshinweis, es geht um das Versagen eines gesamten Ökosystems.

Die Dimension des Problems geht zwischen Schlagzeilen und Twitter-Kommentaren verloren. Wie ich bereits gegenüber Medien erklärt habe, lassen mich unsere täglichen Entdeckungen neuer kompromittierter Geräte wie ein Pestarzt im Jahr 1300 fühlen: im Grunde nutzlos und nur da, um die Zahl der Toten festzuhalten. Auf fast jedem von uns analysierten iPhone, das Daten aus dem relevanten Zeitraum enthielt, fanden wir forensische Spuren einer Spähsoftware-Infektion.

Überbringer schlechter Nachrichten

Trotz meiner langjährigen Erfahrung im Umgang mit infizierten Geräten hat dieses Projekt mich auch mental herausgefordert. Es ist zum Kotzen, schlechte Nachrichten an all die Journalist:innen und Aktivist:innen zu überbringen, die sich für die Sicherheit ihrer Familie, Freund:innen, Kolleg:innen und Quellen auf ihre Geräte und Apps verließen.

„Es tut mir leid, Ihr Telefon scheint bis vor … Minuten infiziert gewesen zu sein.“ „Ja, es ist sehr gut möglich, dass Ihre Gespräche aufgezeichnet wurden…“ „Ja, leider könnten auch diejenigen über verschlüsselte Messaging-Apps aufgezeichnet worden sein…“ „Ich kann Ihnen einige Abhilfemaßnahmen vorschlagen, aber leider können wir nicht viel tun, um zukünftige Angriffe wie diesen zu verhindern…“

Ich musste mich so oft wiederholen, dass ich schließlich anfing, meine Antworten vorzuformulieren.

Es war schwer, die plötzliche Angst der Betroffenen zu ertragen, das instinktive Gefühl der Verletzung und die Sorge, wer sonst noch durch diese Spionagesoftware gefährdet wurde. Was noch schlimmer war: Ich konnte ihnen nicht helfen, dass es nochmal passiert. Einige waren nur Tage nach der ersten Entdeckung erneut kompromittiert. Bei anderen, die beschlossen hatten, ihre Geräte zu entsorgen, waren die Ersatzgeräte bereits wenige Stunden nach der Einrichtung ebenfalls infiziert.

Ein Weckruf

Ich hoffe, dass das Pegasus-Projekt nicht nur ein Weckruf dafür ist, wie zerstörerisch die Überwachungsindustrie geworden ist. Sondern auch dafür, wie unzureichend die verfügbaren Schutzmaßnahmen sind. Es ist ein Mythos, dass nur besondere Personen Bedrohungen dieses Kalibers ausgesetzt sind. Das konnten wir durch die zahlreichen Fälle zeigen, die aus schockierend banalen Gründen ins Visier genommen wurden. Anbieter können sich daher nicht mehr herausreden, nicht angemessenen in den Schutz ihrer Produkte zu investieren. Smartphones sind eine Lebensader für viele.

Zweifellos wird die Behebung dieser oder jener Schwachstelle NSO und andere nicht davon abhalten, weitere Zero-Day-Schwachstellen zu finden und in ihr Arsenal aufzunehmen. Apple, Google, Microsoft und Co. müssen ihre entscheidende Rolle in diesem Markt der industrialisierten Unsicherheit anerkennen. Sie müssen mehr investieren, um Angriffsvektoren zu schließen, die Auslieferung von Exploits zu erschweren und schädliches Verhalten zu erkennen. Wenn sie noch keine Teams haben, die gezielte Bedrohungen für die Zivilgesellschaft zu untersuchen und abzuwehren, ist es an der Zeit, jetzt ein solches Team zusammenzustellen.

Es sollte nicht eine Handvoll Forscher von Amnesty International oder Citizen Lab brauchen, damit diese Fälle ans Licht kommen. Vor allem, wenn man bedenkt, dass wir keinen Zugriff auf Telemetrie-Daten haben, keinen privilegierten Zugang, keinen Einblick in die Systeminterna. Wir haben nur die wenigen Diagnosedaten, die die Endgeräte liefern.

Kontrolle über die Geräte zurückgewinnen

Dass Pegasus so lange den unverdienten Ruf genoss, unauffindbar zu sein, lag nicht an irgendwelchen dunklen, geheimen Zaubereien von NSO. Es lag daran, dass es so schwierig ist, mobile Geräte zu untersuchen. Dass selbst Techies aufgegeben haben, die Telefone von Aktivisten zu überprüfen. Mein Team versucht, das zu ändern, indem wir unsere Methoden und Werkzeuge veröffentlicht haben. Und wir werden weiterhin mit Techies, Journalisten und Aktivisten zusammenarbeiten, um die Kontrolle über unsere Geräte zurückzugewinnen.

Forensische Beweise zu sammeln ist jedoch noch schwieriger als es sein sollte. Wir haben zwar ein brauchbares Verfahren für iPhones entwickelt, bei den meisten Android-Geräten tappen wir allerdings noch im Dunkeln. Die Hersteller müssten Nutzer:innen mehr Möglichkeiten geben, Diagnoseinformationen zu sammeln, um die Integrität ihrer Geräte zu überprüfen und potenzielle Spuren einer Kompromittierung zu erkennen.

Was wir jetzt haben, reicht nicht aus.

Die Bedürfnisse gefährdeter Personen gehen über die der meisten Endnutzer hinaus. Während letztere die geringstmöglichen Reibungsverluste wünschen, ist es für erstere entscheidend, informiert zu sein: Ein gezielter Angriff könnte ein wichtiger Hinweis sein, der zu erhöhter Vorsicht mahnt. Für diejenigen, die ihr Leben oder das Leben anderer riskieren, geschehen die Angriffe nicht in einem luftleeren Raum. Wenn sich ihre Geräte besser beobachten lassen, könnte das am Ende ein Leben retten.

Und was nun?

Die Enthüllungen des Pegasus-Projekts müssen ein deutlicher Hinweis sein, von hier an müssen sich Dinge ändern.

Der Technologiesektor muss genau hinsehen und tief in die Tasche greifen, um diese Probleme zu lösen. Es ist eine schwierige Aufgabe, aber sicherlich eine, der sich die größten Unternehmen der Welt stellen können, oder? Vielleicht würde ich mich im nächsten Herbst anstelle eines Telefons mit einer absurden Menge an Kameras und Pixeln über ein erschwinglicheres und sicheres Gerät freuen, dem wir vertrauen können.

Gleichzeitig müssen die Regierungen denjenigen helfen, die zu Unrecht angegriffen wurden. Und sie müssen diejenigen zur Rechenschaft ziehen, die die diese Angriffe durchgeführt und ermöglicht haben. Überwachungsunternehmen können sich nicht länger den jeweiligen Apparaten „nationaler Sicherheit“ anbiedern und repressive Staaten auf der ganzen Welt aufrüsten. Ihr zur Schau gestellter guter Wille und ihr Engagement für die Menschenrechte sind eine Farce. Stoppt sie, bevor der Schaden nicht mehr behebbar sein wird.

Wir müssen die gesamte Überwachungsindustrie in Frage stellen und ihren unregulierten Markt eindämmen. Bisher erschien ein globales Moratorium für den Verkauf von Spähsoftware utopisch, aber jetzt fühlt es sich notwendig an, um uns etwas Zeit zu verschaffen, bis geeignete politische und technologische Änderungen entwickelt wurden, um dieses Chaos in den Griff zu bekommen.