Staatstrojaner8 Punkte, die wir aus der Pegasus-Anhörung gelernt haben

Noch läuft sich der Untersuchungsausschuss im EU-Parlament zum Pegasus-Abhörskandal warm. In der heutigen Sitzung ging es vor allem um die technischen Hintergründe. Die wichtigsten Erkenntnisse.

Sophie in‘ t Veld und ihre liberale Fraktion hatten auf die Einrichtung eines Untersuchungsausschusses zu Pegasus gedrängt. (Archiv) – Alle Rechte vorbehalten IMAGO / ZUMA Wire

Zum zweiten Mal tagte heute der Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware (PEGA) des Europäischen Parlaments. Angehört wurden in dieser Runde drei Expert:innen, die vor allem Auskunft zu den technischen Möglichkeiten von Spionagesoftware geben sollten. (Eine davon, Constanze Kurz, ist Co-Autorin dieses Beitrags.)

Der Fokus der Anhörung lag stark auf der Spionagesoftware Pegasus des Anbieters NSO Group. Das kommerziell vertriebene Produkt erlaubt nach der Infektion des gewünschten Mobiltelefons einen Zugriff auf Mikrofon und Kamera sowie allen auf dem Gerät gespeicherten Daten. Auch Anruflisten oder Kalenderdaten können eingesehen werden, Anrufe direkt mitgeschnitten und Live-Bewegungsprofile erstellt werden. Die Spionagesoftware gibt im Grunde umfassenden Zugriff auf alles, was mit dem Smartphone kommuniziert, gespeichert oder zugegriffen wird.

Dass in der Anhörung völlig neue Informationen ans Licht kommen würden, war nicht zu erwarten. Der Ausschuss wärmt sich gerade erst auf und holt sich dazu die Einschätzungen von Fachleuten: Journalist:innen, Sicherheitsforscher:innen und NGOs. Ans Eingemachte geht es wohl erst, sollten später Verantwortliche aus Regierungen oder Firmen aussagen – sofern diese tatsächlich kommen, denn zwingen kann das Parlament sie nicht. Trotzdem machte die Anhörung nochmal einige der zentralen Erkenntnisse rund um den Spionage-Skandal sehr anschaulich. Der nächste Ausschuss-Termin wird der 13. Juni sein.

1. Spyware ist nicht nur ein Produkt, sondern eine umfassende Dienstleistung

Diese Feststellung betont Bill Marczak, einer der profiliertesten Forscher zur Pegasus-Spionagesoftware und anderen Staatstrojanern. Marczak untersucht am kanadischen Citizen Lab seit Jahren die Software der NSO Group. Er sagt: Wenn man etwas verstehen sollte, dann das: Die NSO Group stellt für ihre Kund:innen weit mehr als nur ein Produkt zur Verfügung. So richte die Firma für ihre Kund:innen etwa auch die Proxyserver ein, über die Pegasus Daten von den ausgespähten Telefonen weiterleitet. Eine offene Frage dazu, die Marczak an den Ausschuss weitergibt: Haben diese Proxyserver womöglich noch weitere Funktionen als die Daten lediglich weiterzuleiten?

2. Die NSO Group weiß mehr über die ausspionierten Ziele seiner Kunden als sie zugibt

Nach den Enthüllungen der Pegasus Papers betonte die NSO Group, man habe keinen Einblick in die Aktivitäten der eigenen Kund:innen. Sprich: Welche Ziele einzelne Staaten oder deren Behörden mit Pegasus ins Visier nehmen, dazu könne man gar nichts sagen, weil man es schlicht nicht weiß. In der Anhörung wird klar: Stimmen kann das nicht.

Denn Kund:innen kaufen von der NSO Group bestimmte Lizenzen. Diese erlauben ihnen, Pegasus in ganz bestimmten Regionen – etwa nur innerhalb der eigenen Landesgrenzen – und auf einer maximalen Zahl von Geräten anzuwenden. Wollte die NSO Group überprüfen, ob das eingehalten wird, müsste die Firma zumindest die Landesvorwahlen der ins Visier genommenen Nummern prüfen sowie die Standorte, an denen sich die Geräte befinden. Wäre das nicht der Fall, könnte etwa Ungarn Ziele in der gesamten EU ausspähen – obwohl es nur für ungarische Nummern bezahlt hat.

Außerdem, so berichtet der polnische Infosec-Experte und Journalist Adam Haertle, ist die NSO Group für den reibungslosen Betrieb seines Produktes verantwortlich. Er vermutet, dass die NSO Group deswegen auch auf Kundenserver zugreifen kann, sei es nur, um dort Troubleshooting aus der Ferne zu machen, falls etwas nicht läuft. In der eigenen Produktwerbung, die in verschiedenen Versionen öffentlich geworden ist, wird diese Möglichkeit auch erwähnt.

3. Attribution von Angriffen ist möglich, wenn man technische Analysen mit anderem Wissen kombiniert

Es ist oft eine wichtige Frage: Ist es möglich, mit hinreichender Sicherheit festzustellen, welcher Kunde ein Gerät ausgespäht hat – also im Fall von Pegasus welcher Staat oder staatlicher Kunde, denn die NSO Group verkauft nach eigenen Angaben nur an staatliche Institutionen? Bill Marczak berichtet aus eigener Erfahrung: Rein technisch sei das fast unmöglich zu verfolgen.

Es sei aber möglich, wenn Angriffe auf mehrere Geräte gebündelt betrachtet und miteinander in Verbindung gebracht werden können. Dann sehe man nämlich, an welchen Orten dieser Kunde angreift. Das Bild, das sich so ergibt, kann man kombinieren mit bekannten Informationen aus alten NSO-Verträgen. Die Standard-Lizenz sei: Spionage nur für Nummern im eigenen Land. Wenn ein Kunde also ausschließlich Nummern in einem Land ausspäht, dann ist es mit großer Wahrscheinlichkeit die Regierung dieses Landes, faktisch also eine staatliche Behörde.

4. Regierungen kaufen nicht direkt von der NSO Group, sondern von lokalen Firmen

Als ein Beispiel dafür wird in der Anhörung Polen angeführt: Eine lokale Firma lizenziert und verkauft dort die Spionagesoftware als Vermittler. In Polen soll das laut Recherchen der Zeitung Gazeta Wyborcza die Firma Matic Sp. gewesen sein, die 2017 als Mittler zwischen der NSO Group und der polnischen Antikorruptionsbehörde wirkte, die Pegasus gekauft hat. Ob es vergleichbare Firmen in anderen Ländern wie Ungarn oder Spanien gab, wo Regierungsbehörden ebenfalls Pegasus lizenzierten, kam in der Anhörung nicht zur Sprache.

5. Ein jahrelang gewachsener Markt von Spionagefirmen steht großen Wissenslücken gegenüber

Der Anbietermarkt für Spionagesoftware wächst seit mindestens einem Jahrzehnt kontinuierlich und bedient eine ebenfalls wachsende Nachfrage. Weitgehend unbehelligt von regulatorischen Maßnahmen oder rechtlichen Schranken ist der jetzige Zustand dadurch gekennzeichnet, dass es zu wenig Wissen über die Produkte und Anbieter gibt. Eine nur kleine Gruppe von Forschern und Aktiven veröffentlicht zwar detaillierte Berichte und nachprüfbare Fakten. Die zuständigen Behörden in den EU-Mitgliedsstaaten tappen aber weitgehend im Dunkeln oder leisten gar keinen Beitrag zur technischen Aufklärung. Sieht man von der NSO Group und Pegasus sowie FinFisher ab, so ist das Wissen über Produkte und Anbieterfirmen gering, erst recht, wenn auch Spionagesoftware einbezogen wird, die Staaten selber produzieren.

6. Die „Pegasus-Flatrate“ können sich die wenigsten leisten

Ein Beispiel: Die Lizenz Ghanas erlaubt, dass 25 Geräte parallel überwacht werden dürfen. In Polen beruft sich die Zeitung Gazeta Wyborcza auf eine anonyme Quelle mit Einblick in die Verträge, laut deren Aussage die Lizenz 40 Geräte umfasst.  Für Deutschland drängt sich unmittelbar die Frage auf, wie viele Geräte wohl die Kunden BND oder BKA laut Lizenz gleichzeitig ausschnüffeln dürften.

7. Die EU-Parlamentarier:innen haben noch viele Fragen

Kann der Handel mit Sicherheitslücken überhaupt effektiv reguliert werden? An wen sollen wir uns richten, um herauszufinden, wohin via Pegasus ausgespähte Daten fließen? Sind es die Firmen selbst, die Zwischenhändler, die Kund:innen? Die belgische Abgeordnete Saskia Bricmont macht es am deutlichsten: „Wenn Sie sagen, Sie wissen nicht, an wen die Daten gehen, wie könnten wir das konkret herausfinden? An wen sollen wir uns richten?“

Aber auch andere Fragen aus der Runde machen klar: Wenn der Ausschuss auch nur einige der vielen offenen Fragen aufdecken soll, dann sind die Mitglieder dabei auf die Hilfe derjenigen Fachleute angewiesen, die sich teils seit Jahrzehnten mit Staatstrojanern beschäftigen. Sie sitzen in Redaktionen, arbeiten bei Nichtregierungsorganisationen oder Forschungseinrichtungen wie dem Citizen Lab.

8. Ist die Branche kriminell oder sind es ihre Kund:innen?

Ein Opfer der Spionagesoftware Pegasus sitzt in der Anhörung. Es ist der katalanische Abgeordnete Carles Puigdemont, der selbst ausspioniert wurde, aber auch dessen Frau, Angestellte und Kollegen. Er stellt die Frage in den Raum, ob man eigentlich von einer kriminellen Branche sprechen müsse. Die Frage dürfte zu kurz greifen, denn der Blick darf sich nicht auf die Anbieter verengen – und die Kunden der Spionage-Dienstleister aus dem Blick verlieren.

15 Ergänzungen

  1. Der Artikel zeigt: Es gibt unter den derzeitigen Bedingungen nur zwei Wege, diesem die Menschheit schädigenden Wahnsinn zu entkommen.
    Eine internationale Ächtung jeglicher Spionagesoftware ähnlich derjenigen chemischer Kampfstoffe o. ä. – oder: einen vollständigen Verzicht auf jegliche digitale Kommunikation.

    Das erste ist in den demokratischen Staaten durchaus durchsetzbar, in Diktaturen naturgemäß schwierig bis unmöglich. Das zweite ist auf persönlicher Ebene einfach umzusetzen und auf behördlicher wäre es das ebenfalls, sofern das im Artikel beschriebene, bis dato fehlende Problembewusstsein bzw. die Ignoranz gegenüber wirklich funktionierenden Schutzsystemen sowie Open Source aufgegeben wird.

    Denn unter diesen Bedingungen kann es niemals gelingen, die vielbeschworene „Digitalisierung“ sowohl politisch-demokratisch als auch strukturell umzusetzen. Dessen sollten sich sämtliche damit liebäugelnden Staaten bewusst sein!

    1. „Es gibt unter den derzeitigen Bedingungen nur zwei Wege, …“
      Das erste, was mich an diesem Satz stört ist das Wort „nur“. Ist das jetzt die Begrenztheit eigenen Denkens oder die Absicht diese auf den Leser zu übertragen?

      Das zweite, was mich an diesem Satz stört ist sogleich das Wort „zwei“. Es gibt sicherlich noch viele andere Möglichkeiten, aber erzählwürdig fand der Autor nur diese zwei.

      Zur Ächtung: Prinzipiell gut. Doch nun kommt das unausweichliche aber: Schurken halten sich nicht an Ächtungen.

      Zum “ vollständigen Verzicht auf jegliche digitale Kommunikation“: Jegliche? Wirklich jegliche? Die Kommunikation mittels sog. Smartphones ist das Problem, nicht aber „digitale Kommunikation“ als solche. Es gibt ziemlich sichere Arten elektronischer Kommunikation, nur können das die meisten Menschen nicht. Und könnte man es selbst, braucht es auch noch einen Empfänger, der das genau so gut kann. Und möchte man das Metadata Problem auch noch umgehen, wird es ganz schnell sehr dünn.

    2. Dass der „vollständige Verzicht auf jegliche digitale Kommunikation“ einfach umzusetzen sei ist eine Illusion. Alles mit einer EDV-Komponente irgendwo im Pfad ist letztlich digital.

      1. Wo fallen Daten an, über die man keine Kontrolle hat?

        Es bleibt nicht viel übrig, was nicht von irgendwem ins digitale rübergerotzt werden könnte, sollte es selbst nicht schon digital genug für den Sprung sein, oder anders formuliert: Grundrechte im Analogen zählen bald nur noch für Adlige.

  2. Bemerkt eigentlich jeder die Heuchelei? Während hier im Untersuchungsausschuss die Pegasus-Spionage aufgearbeitet werden soll tagt man andernorts um Gesetzgebung für die „Chatkontolle“ (Neusprech!) auf den Weg zu bringen.

    1. „Bemerkt eigentlich jeder die Heuchelei? “

      Ich hoffe nicht! Denn was wären Voraussetzungen für Heuchelei?

      Es müssten die gleichen Personen sein, die gleichzeitig die Chatkontrolle einführen wollen und im Pegasus-Untersuchungsausschuss sitzen.

      Man kann unterschiedlichen Interessengruppen „Heuchelei“ zurechnen, wenn die einen das eine tun tut und andere etwas anderes.

      1. Es mögen nicht exakt dieselben Personen sein, aber es sind dieselben Interessengruppen, das ist es ja. Dieselben Parteien, welche die Chatkontrolle einfordern, verhandeln alles Mögliche hinter verschlossenen Türen und versuchen es noch so zu drehen, dass die Chatnachrichten einer Zensursula nicht als Beweismittel gelten sollen, lassen auf nationaler Ebene Pegasus einsetzen und wollen gleichzeitig sicherstellen, dass es natürlich niemals gegen sie selbst eingesetzt werden darf. Also ja, Heuchelei auf allerunterstem Niveau.

        1. Deine Verallgemeinerung ist unzulässig. „Interessengruppen“ und „Parteien“ sind Sammelbecken divergenter Strömungen und keine Akteure, sondern nur die handelnde Personen. Die Gegner von Überwachung sind sicher nicht identisch (Personalunion) mit den Befürwortern.

  3. Berichtigung:

    Man kann unterschiedlichen Interessengruppen „Heuchelei“ nicht zurechnen, wenn die einen das eine tun tut und andere etwas anderes.

    1. Systemheuchelei vielleicht? Systemvertreter sollten zudem eine Ahnung davon haben, dass eine Art von Balance nötig sein könnte, beim Formen des Systems. Ansonsten würde ich sagen, bedarf es einer technischen Abteilung, die nach Konsistenzprüfung ganz simpel Vetorecht hat. Dann könnten die Politiker gerne so bösartig und inkompetent weitermachen.

      Die Heuchelei steckt also im System.

  4. Es gilt als wahrscheinlich, dass der spanische Ministerpräsident und mehrere Regierungsmitglieder von Marokko bespitzelt wurden. Nun wird spekuliert, ob die plötzliche Anerkennung Spaniens der West-Sahara das Ergebnis einer Erpressung basierend auf den durch Pegasus gewonnenen Daten ist.
    Es gibt generelle Empörung darüber, wer bespitzelt wurde, aber keinerlei Kritik an dem Einkauf und der Nutzung solcher Bespitzelungssoftware an sich, nicht einmal Diskussion darüber.
    Ich wünschte mir, wir würden es Waffe nennen, und nicht Software oder Service

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.