Klage gegen NSO GroupStaatstrojaner-Firma soll Quellcode von Pegasus übergeben

Das Unternehmen NSO Group soll eine Sicherheitsheitslücke in WhatsApp ausgenutzt haben, um 1.400 Nutzer:innen auszuspähen. Ein US-Gericht hat in einem laufenden Verfahren nun überraschend angeordnet, dass das Unternehmen den Quellcode seines Staatstrojaners für WhatsApp offenlegen muss.

Staatstrojaner-Unternehmen NSO: Soll erstmals Einblick in seinen Quellcode gewähren. – Alle Rechte vorbehalten IMAGO / Omar Marques / SOPA Images

Der Staatstrojaner Pegasus gilt als eines der ausgeklügeltesten Überwachungswerkzeuge der Welt. Ihr Hersteller, das israelische Unternehmen NSO Group, muss im Rahmen eines Gerichtsverfahrens in den USA nun den Quellcode für seine Software an WhatsApp übergeben. Das hat ein Gericht in Kalifornien angeordnet.

Seit 2019 hatte WhatsApp gegen die NSO Group geklagt: Das Unternehmen soll demnach eine Sicherheitslücke in der Messenger-App ausgenutzt haben, um 1.400 Nutzer:innen von WhatsApp über ihre Smartphones auszuspionieren. Die jüngste Entscheidung im laufenden Verfahren ist vor allem ein riesiger Erfolg für WhatsApp, das zum Konzern Meta gehört.

NSO muss „volle Funktionalität“ offenlegen

Der Quellcode von Pegasus ist ein wohlgehütetes Geheimnis. Nicht mal die staatlichen Kunden, an die NSO Group ihren Staatstrojaner nach eigenem Bekunden verkauft, bekommen die Software zu sehen. Das Unternehmen verfügt Analysen zufolge über mehrere so genannte „Zero-Click“-Angriffe. Betroffene Nutzer:innen müssen dann nicht mal mehr auf einen Link klicken. Die Spionagesoftware kann ohne jedes Zutun aus der Ferne auf ihrem Handy installiert werden.

Die NSO Group hatte sich vor Gericht gegen die Herausgabe gewehrt, berichtet der Guardian. Doch die Richterin habe sich am Ende auf die Seite von WhatsApp gestellt. Das Überwachungsunternehmen müsse nun „alle relevante Spionagesoftware“ übergeben, die bei den Angriffen auf die WhatsApp-Nutzer:innen im Einsatz war. Dabei muss NSO Group die „volle Funktionalität“ der relevanten Software offenlegen.

Zugleich muss das Unternehmen nicht die Namen seiner Kunden offenlegen, wie WhatsApp ebenfalls gefordert hatte, auch nicht seine Server-Architektur, über die die Angriffe laufen.

Sicherheitslücke ist 2019 aufgeflogen

Im Mai 2019 hatte WhatsApp öffentlich gemacht, dass eine Sicherheitslücke in seiner Messaging-App dazu missbraucht wurde, um den Staatstrojaner auf das Telefon von Nutzer:innen zu schleusen. Betroffen waren sowohl das Betriebssystem von Android als auch von Apple. Mit einem Anruf in WhatsApp konnten Angreifer die Software platzieren.

Zu dem Zeitpunkt war noch nicht klar, wie viele der 1,5 Milliarden Nutzer:innen betroffen waren. Später hat WhatsApp das mit Unterstützung des IT-Forschungslabors Citizen Lab rekonstruiert: Laut der Klage sollen vor dem Schließen der Lücke 1.400 Nutzer:innen in einem Zeitraum von zwei Wochen  betroffen gewesen sein.

Die Spionage-Software Pegasus wird aus der Ferne unbemerkt auf dem Smartphone von Personen aufgespielt, um diese auszuspähen. Gelingt die Infektion, bekommen die staatlichen Hacker Zugriff auf Telefongespräche, Mails, Fotos, Standortdaten und verschlüsselte Nachrichten ohne das Betroffene das mitbekommen. Selbst das Mikrofon und die Kamera aus der Ferne aktivieren, so dass das Smartphone zur Wanze wird.

Auch BKA und BND haben Lizenz für Pegasus

NSO Group verkauft den Trojaner laut eigener Aussage nur an staatliche Stellen, die damit gegen Terror, so genannte Kinderpornografie und andere schwere Verbrechen ermitteln soll. In Deutschland haben etwa das Bundeskriminalamt und der Auslandsgeheimdienst BND eine Lizenz.

Bis heute gibt es keine Liste aller Staaten und Behörden, die über eine Lizenz für den Staatstrojaner Pegasus verfügen. Zugleich haben forensische Analysen und Recherchen in den vergangenen Jahren gezeigt, dass Pegasus etwa in Mexiko, Saudi-Arabien, Ruanda oder Indien gegen Journalist:innen, Aktivist:innen oder die politische Konkurrenz zum Einsatz kam. Auch in der EU haben Ungarn, Polen und weitere Staaten Pegasus verwendet um Journalist:innen oder auch das eigene politische Lager auszuspähen.

Halbherziger Umgang

Das EU-Parlament hatte deswegen mehr als anderthalb Jahre lang in einem Untersuchungsausschuss zu den Missbrauchsfällen recherchiert. Die Empfehlungen des Ausschusses, zumindest rechtsstaatliche Minimalstandards für den Einsatz zu etablieren, hat die EU-Kommission bislang weitgehend ignoriert. Zuletzt waren wieder Fälle von Spyware auf Geräten von Mitarbeitern und Abgeordneten im EU-Parlament bekannt geworden.

In den USA hat US-Präsident Joe Biden die NSO Group dagegen beherzter angegangen. Sie steht seit 2021 auf einer Sperrliste, US-Unternehmen dürfen nun keine Technologien mehr an das Unternehmen exportieren.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

3 Ergänzungen

  1. Da die NSO Group in Israel und somit außerhalb der Reichweite der US-Gerichte sitzt, halte es für sehr unwahrscheinlich, dass sie tatsächlich ihren Quellcode freigeben wird. Und dass Israel kooperiert ist auch so gut wie ausgeschlossen.
    Und auch wenn die USA zu Druckmitteln (Sanktionen, aufgeben Militärischer Zusammenarbeit, etc.) gegen Israel greifen kann, welche auch massive Folgen für Israel hätten, geht die Wahrscheinlichkeit, dass das passiert gegen null.

    1. „Und auch wenn die USA zu Druckmitteln (Sanktionen, aufgeben Militärischer Zusammenarbeit, etc.) gegen Israel greifen kann, welche auch massive Folgen für Israel hätten, geht die Wahrscheinlichkeit, dass das passiert gegen null.“

      Da Israel sehr wahrscheinlich in vielerlei Dingen stark von den USA abhängig ist, werden die ab einem bestimten Punkt mit Sicherheit einlenken. Die andere Frage wäre natürlich: Ist der übergebene Code dann auch wirklich der Code mit dem die Geräte gehackt wurden oder z.b. vielleicht eine schon ältere Version oder sogar unbrauchbare?

  2. Durch Zufall gefunden – ein alter Bericht zur CDU-Spendenaffäre. Die Aussagen der Unionsabgeordneten sind, besonders aus heutiger Perspektive und bezogen auf das Thema Staatstrojaner, extrem interessant.

    https://www.youtube.com/watch?v=ip8kYHAon-s

    Zitate aus dem Video:

    „Hier wird nicht mit zweierlei Maß gemessen. Hier geht es darum, in dem Fall ‚Verwendung im Untersuchungsausschuss‘, ob wir nennen es mal ‚Beweismittel‘ in Anführungsstrichen, ob ‚Beweismittel‘ verwendet werden dürfen, die kriminell erlangt worden sind, und deren Wahrheitsgehalt fraglich ist. Dies darf bei uns in der Bundesrepublik Deutschland in keinem Fall geschehen.“

    „Allein, dass man darüber diskutieren muss ist fast schon ein Skandal. Das ist unmöglich, wenn man jetzt Honecker und Mielke recht geben will, die mit rechtsstaatswidrigen Aktionen hier Dinge mitgehört haben…“

    Hier sei nochmal zu erwähnen, dass man auf einem kompromittierten System rein theoretisch alle möglichen Dateien verändern und unterjubeln und somit auch angebliche „Beweise“ fabrizieren kann, wenn dies gewollt ist.

    So geschehen z.B. in Indien, wo ein Menschenrechtsaktivist und Kritiker der Regierung nach einer Infektion mit Pegasus plötzlich zum „Terrorist“ wurde.

    https://www.theguardian.com/news/2021/dec/17/pegasus-spyware-found-on-phone-of-jailed-critic-of-narendra-modi-

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.