Claudio Guarnieri ist IT-Sicherheitsforscher und leitet das Security Lab von Amnesty International. Das internationale Team hat die technische Arbeit für das Pegagus Projekt gemacht und Werkzeuge entwickelt, um die Spähsoftware Pegasus auf Smartphones zu entdecken und analysieren. Dieser Text erschien zuerst in seinem Newsletter und Blog unter der Lizenz CC BY-NC-SA 4.0. Übersetzung von netzpolitik.org.
In den letzten sechs Monaten war mein Newsletter zu IT-Sicherheit und Überwachung inaktiv. Es lag nicht nur daran, dass ich zu sehr mit dem Inhalt dieser Ausgabe beschäftigt war. Mir fehlte auch jeglicher Anreiz zum Schreiben. Nachdem ich ein Dutzend Jahre in der IT-Sicherheit gearbeitet habe, davon ein Jahrzehnt für die Zivilgesellschaft, hatte ich das Gefühl, keine Argumente mehr zu haben. Nicht weil all die Probleme, mit denen ich mich beschäftigt habe, erledigt wären – ganz im Gegenteil. Sondern weil alles, worüber ich schreiben oder auf einer Konferenz sprechen könnte, nur wie eine kaputte Schallplatte klingen konnte.
Wer sich mit diesen Themen befasst, hat jahrelang bis zum Erbrechen wiederholt, dass Journalist:innen und Aktivist:innen besonders anfällig für Cyberangriffe sind und dass die ihnen zur Verfügung stehenden Verteidigungsmaßnahmen angesichts ihrer Gegenspieler nicht ausreichen. Wir haben immer wieder davor gewarnt, dass die Kommerzialisierung der Überwachung den Weg zu systematischem Missbrauch ebnet.
Nur wenige hörten zu, die meisten waren einfach gleichgültig. Jeder neue Bericht, jeder neue Fall kam mir so belanglos vor, dass ich anfing, mich zu fragen, ob das Beharren etwas anderem dient als unserem eigenen Ego.
Doch dann kam die Gelegenheit, all das noch einmal zu hinterfragen.
Das Pegasus-Projekt
Monatelange komplexe und sorgfältige Untersuchungen haben dutzende Ziele unrechtmäßiger Überwachung aufgedeckt und Hinweise auf unzählige weitere gegeben. Das Pegasus-Projekt beleuchtet den Einsatz von Pegasus, einer Spionagesoftware des Überwachungsanbieters NSO Group. Mein Team bei Amnesty International, das Security Lab, war technischer Partner für 16 Medienorganisationen in der gemeinsamen Anstrengung, um ein für alle Mal mit dem falschen Narrativ gezielter Überwachung aufzuräumen.
Firmen wie NSO möchten uns glauben machen, dass Tools wie Pegasus entscheidend sind zum Schutz vor Terrorismus und organisiertem Verbrechen, und der gelegentliche Missbrauch nur anekdotisch ist. Diese Erzählung basiert auf Geheimnissen und Lügen einer undurchsichtigen Industrie, die zu mächtig und unreguliert ist. Das Pegasus-Projekt enthüllt eine viel dunklere Realität.
Es geht nicht um einen, es geht um viele. Es geht nicht nur um Omar Radi oder Ahmed Mansoor, sondern um alle, die ihre Stimme gegen autoritäre Herrschaft erheben. Es geht nicht um Ausnahmen, es geht um die Norm. Es geht nicht um diesen oder jenen Sicherheitshinweis, es geht um das Versagen eines gesamten Ökosystems.
Die Dimension des Problems geht zwischen Schlagzeilen und Twitter-Kommentaren verloren. Wie ich bereits gegenüber Medien erklärt habe, lassen mich unsere täglichen Entdeckungen neuer kompromittierter Geräte wie ein Pestarzt im Jahr 1300 fühlen: im Grunde nutzlos und nur da, um die Zahl der Toten festzuhalten. Auf fast jedem von uns analysierten iPhone, das Daten aus dem relevanten Zeitraum enthielt, fanden wir forensische Spuren einer Spähsoftware-Infektion.
Überbringer schlechter Nachrichten
Trotz meiner langjährigen Erfahrung im Umgang mit infizierten Geräten hat dieses Projekt mich auch mental herausgefordert. Es ist zum Kotzen, schlechte Nachrichten an all die Journalist:innen und Aktivist:innen zu überbringen, die sich für die Sicherheit ihrer Familie, Freund:innen, Kolleg:innen und Quellen auf ihre Geräte und Apps verließen.
„Es tut mir leid, Ihr Telefon scheint bis vor … Minuten infiziert gewesen zu sein.“
„Ja, es ist sehr gut möglich, dass Ihre Gespräche aufgezeichnet wurden…“
„Ja, leider könnten auch diejenigen über verschlüsselte Messaging-Apps aufgezeichnet worden sein…“
„Ich kann Ihnen einige Abhilfemaßnahmen vorschlagen, aber leider können wir nicht viel tun, um zukünftige Angriffe wie diesen zu verhindern…“
Ich musste mich so oft wiederholen, dass ich schließlich anfing, meine Antworten vorzuformulieren.
Es war schwer, die plötzliche Angst der Betroffenen zu ertragen, das instinktive Gefühl der Verletzung und die Sorge, wer sonst noch durch diese Spionagesoftware gefährdet wurde. Was noch schlimmer war: Ich konnte ihnen nicht helfen, dass es nochmal passiert. Einige waren nur Tage nach der ersten Entdeckung erneut kompromittiert. Bei anderen, die beschlossen hatten, ihre Geräte zu entsorgen, waren die Ersatzgeräte bereits wenige Stunden nach der Einrichtung ebenfalls infiziert.
Ein Weckruf
Ich hoffe, dass das Pegasus-Projekt nicht nur ein Weckruf dafür ist, wie zerstörerisch die Überwachungsindustrie geworden ist. Sondern auch dafür, wie unzureichend die verfügbaren Schutzmaßnahmen sind. Es ist ein Mythos, dass nur besondere Personen Bedrohungen dieses Kalibers ausgesetzt sind. Das konnten wir durch die zahlreichen Fälle zeigen, die aus schockierend banalen Gründen ins Visier genommen wurden. Anbieter können sich daher nicht mehr herausreden, nicht angemessenen in den Schutz ihrer Produkte zu investieren. Smartphones sind eine Lebensader für viele.
Zweifellos wird die Behebung dieser oder jener Schwachstelle NSO und andere nicht davon abhalten, weitere Zero-Day-Schwachstellen zu finden und in ihr Arsenal aufzunehmen. Apple, Google, Microsoft und Co. müssen ihre entscheidende Rolle in diesem Markt der industrialisierten Unsicherheit anerkennen. Sie müssen mehr investieren, um Angriffsvektoren zu schließen, die Auslieferung von Exploits zu erschweren und schädliches Verhalten zu erkennen. Wenn sie noch keine Teams haben, die gezielte Bedrohungen für die Zivilgesellschaft zu untersuchen und abzuwehren, ist es an der Zeit, jetzt ein solches Team zusammenzustellen.
Es sollte nicht eine Handvoll Forscher von Amnesty International oder Citizen Lab brauchen, damit diese Fälle ans Licht kommen. Vor allem, wenn man bedenkt, dass wir keinen Zugriff auf Telemetrie-Daten haben, keinen privilegierten Zugang, keinen Einblick in die Systeminterna. Wir haben nur die wenigen Diagnosedaten, die die Endgeräte liefern.
Kontrolle über die Geräte zurückgewinnen
Dass Pegasus so lange den unverdienten Ruf genoss, unauffindbar zu sein, lag nicht an irgendwelchen dunklen, geheimen Zaubereien von NSO. Es lag daran, dass es so schwierig ist, mobile Geräte zu untersuchen. Dass selbst Techies aufgegeben haben, die Telefone von Aktivisten zu überprüfen. Mein Team versucht, das zu ändern, indem wir unsere Methoden und Werkzeuge veröffentlicht haben. Und wir werden weiterhin mit Techies, Journalisten und Aktivisten zusammenarbeiten, um die Kontrolle über unsere Geräte zurückzugewinnen.
Forensische Beweise zu sammeln ist jedoch noch schwieriger als es sein sollte. Wir haben zwar ein brauchbares Verfahren für iPhones entwickelt, bei den meisten Android-Geräten tappen wir allerdings noch im Dunkeln. Die Hersteller müssten Nutzer:innen mehr Möglichkeiten geben, Diagnoseinformationen zu sammeln, um die Integrität ihrer Geräte zu überprüfen und potenzielle Spuren einer Kompromittierung zu erkennen.
Was wir jetzt haben, reicht nicht aus.
Die Bedürfnisse gefährdeter Personen gehen über die der meisten Endnutzer hinaus. Während letztere die geringstmöglichen Reibungsverluste wünschen, ist es für erstere entscheidend, informiert zu sein: Ein gezielter Angriff könnte ein wichtiger Hinweis sein, der zu erhöhter Vorsicht mahnt. Für diejenigen, die ihr Leben oder das Leben anderer riskieren, geschehen die Angriffe nicht in einem luftleeren Raum. Wenn sich ihre Geräte besser beobachten lassen, könnte das am Ende ein Leben retten.
Und was nun?
Die Enthüllungen des Pegasus-Projekts müssen ein deutlicher Hinweis sein, von hier an müssen sich Dinge ändern.
Der Technologiesektor muss genau hinsehen und tief in die Tasche greifen, um diese Probleme zu lösen. Es ist eine schwierige Aufgabe, aber sicherlich eine, der sich die größten Unternehmen der Welt stellen können, oder? Vielleicht würde ich mich im nächsten Herbst anstelle eines Telefons mit einer absurden Menge an Kameras und Pixeln über ein erschwinglicheres und sicheres Gerät freuen, dem wir vertrauen können.
Gleichzeitig müssen die Regierungen denjenigen helfen, die zu Unrecht angegriffen wurden. Und sie müssen diejenigen zur Rechenschaft ziehen, die die diese Angriffe durchgeführt und ermöglicht haben. Überwachungsunternehmen können sich nicht länger den jeweiligen Apparaten „nationaler Sicherheit“ anbiedern und repressive Staaten auf der ganzen Welt aufrüsten. Ihr zur Schau gestellter guter Wille und ihr Engagement für die Menschenrechte sind eine Farce. Stoppt sie, bevor der Schaden nicht mehr behebbar sein wird.
Wir müssen die gesamte Überwachungsindustrie in Frage stellen und ihren unregulierten Markt eindämmen. Bisher erschien ein globales Moratorium für den Verkauf von Spähsoftware utopisch, aber jetzt fühlt es sich notwendig an, um uns etwas Zeit zu verschaffen, bis geeignete politische und technologische Änderungen entwickelt wurden, um dieses Chaos in den Griff zu bekommen.
Es wäre Zeit, an den Anfang zurück zu gehen: Warum überwachen wir überhaupt?
9/11 war ein Schock, verständlich, dass im ersten Reflex alles unternommen wurden, um eine Wiederholung zu verhindern. Das ist allerdings 20 Jahre her, seit 10 Jahren ist Al Quaida Geschichte, eine Terrororganisation, die es übrigens nie geschafft hat, einen zweiten Anschlag mit vergleichbaren Auswirkungen wie 9/11 durch zu führen.
Gegen welche Bedrohung verteidigen wir uns eigentlich?
Die Kriminalität ist auf dem niedrigsten Stand seit langem, Terrororganisationen, die den Staat und die Demokratie gefährden könnten, sind nicht in Sicht.
Und bei den „Maßnahmen“ gegen Querdenker, Fake-News und Hate-Speech stellt sich immer mehr die Frage, ob die Medizin nicht gefährlicher ist als die Krankheit.
Auf meinem Smartphone läuft noch ein Android 5.0, vom Hersteller wird kein Update dafür angeboten obwohl der Prozessor und Arbeitsspeicher für eine neue Android Version leistungsstark genug wären. Der Industrie scheint IT Sicherheit also sowas von Egal zu sein, ganz offensichtlich.
Wenn Millionen Geräte angreifbar sind dann ist es doch nur eine Frage der Zeit bis diese für DDoS Angriffe und Botnetz usw. gekapert werden. Im Grunde wird durch die Weigerung Sicherheitsupdates anzubieten die gesamte Nationale und Internationale IT Infrastruktur massiv gefährdet.
Selbst Google schlampt da gewaltig, es gibt ja noch nichteinmal einen eingebauten Virenscanner in Android. Es ist also noch nichteinmal möglich selbst bekannte Schadsoftware effizient aufzufinden.
„Selbst Google schlampt da gewaltig, es gibt ja noch nichteinmal einen eingebauten Virenscanner in Android. Es ist also noch nichteinmal möglich selbst bekannte Schadsoftware effizient aufzufinden.“
noch schlimmer: Mehrmals schon wurden im PlayStore offizielle, von Google „geprüfte“ Apps mit eingebauten Schadfunktionen gefunden. Einem Virenschutz von Google würde ich NULL vertrauen. Der einzige Geräteschutz, dem ich vertraue, ist der von GData.
Aber tröste dich, Sicherheitslücken im System waren bei Pegasus gar nicht das Thema. In iOS-Geräte kam Pegasus durch eine Sicherheitslücke (aka Hintertür) in iMessage, in Android durch eine Sicherheitslücke (aka Hintertür) in der WhatApp-App.
Wenn du einigermaßen sicher sein willst, dann betreibst du ein Smartphone mit einem Google-freien CustomROM wie LineageOS, SailfishOS, ShiftOS, System /e/. Solche Geräte kann man auch fertig kaufen, da muss man nicht mal selber hacken. Und darauf dann nur FOSS Apps und ausgewählte Apps von VERTRAUENSWÜRDIGEN Anbietern. Da bin ich sehr wählerisch; so ein Sch… wie Watsab kommt mir nicht ins Haus!
Da wird es wohl keine Lösung für geben. Eine Strafbarkeit des Handelns der Überwachungsindustrie und auch für die staatlichen Nutzer ist nicht in Sicht. Nur hohe Haftstrafen und ein Einzeihen des Vermögens könnten dem Einhalt gebieten. Im September ist Bundestagswahl. Jeder hat die Chance etwas zu ändern.
Keine Kontrolle, keine Sanktionen, keine Entschädigungen.
Auch Edward Snowden fordert ein Verbot des Handels von (Staats)trojaner.
https://edwardsnowden.substack.com/p/ns-oh-god-how-is-this-legal
„Und sie müssen diejenigen zur Rechenschaft ziehen, die diese Angriffe durchgeführt und Ermöglicht haben“
Gut, Verklagen wir Jack Daniels & Ford, weil irgend ein Betrunkener in einem Ford, eine Mutter und ihr Baby beim Zebrastreifen über den Haufen gefahren hat.
Was für eine Sinnlose Aussage.