Die Software „Pegasus“ der israelischen Firma NSO ist eines der mächtigsten Überwachungswerkzeuge der Welt. Das Programm kann heimlich auf Handys installiert werden, ohne dass das Opfer etwas davon ahnt.

Aber mal ganz von vorn: Was ist eigentlich eine Spyware?

Spyware ist eine Zusammensetzung aus den Wörtern spy (dem englischen Wort für Spion) und -ware (als Endung von Software, also Programm) und bedeutet übersetzt etwa so viel wie Spionageprogramm oder Schnüffelsoftware.

Auch wenn der Name nach einer James-Bond-Ausrüstung klingt, handelt es sich bei Spyware tatsächlich um eine bösartige Software. Sie kann deinen PC oder dein Smartphone infizieren und Informationen über dich (zum Beispiel Browser- und Internet-Aktivitäten, aber auch Standortdaten und Tonaufnahmen) sammeln.

Den Namen „Pegasus“ habe man ausgewählt, weil das Programm ein trojanisches Pferd sei, und zwar eines mit Flügeln, das direkt auf das Handy fliegt – so erzählte Shalev Hulio, Chef der israelischen Firma NSO, welche das Programm entwickelt hat, einst in einem Interview. Dabei ist kein körperlicher Zugriff auf das Gerät notwendig. Das Spionageprogramm kann aus der Ferne installiert werden, ohne dass es die Zielperson mitbekommt – sogar ohne dass das Opfer selbst irgendetwas tun muss.

Denn die Spionagesoftware, ist eines der fortschrittlichsten Programme, die jemals zur Überwachung entwickelt wurden. Das Privatunternehmen verkauft die Lizenzen für die Software angeblich nur an staatliche Einrichtungen. Das Programm soll dabei eigentlich für die Überwachung von potenziellen Straftätern und Terroristen genutzt werden und soll also grundsätzlich als Strafverfolgungsinstrument gelten.

Einem Bericht der Zeit Online zufolge, wurde die Software bereits im Jahr 2019 von dem Bundeskriminalamt (BKA) beschafft. Juristen des BKA hätten zuvor Bedenken gegen die Anschaffung des Programms geäußert, da diese nicht mit dem deutschen Recht vereinbar wäre. Und dennoch hat das BKA offenbar unter größter Geheimhaltung die umstrittene Spähsoftware gekauft, um Verdächtige zu überwachen. Seit einer Entscheidung des Bundesverfassungsgerichts zur sogenannten Online-Durchsuchung dürfen deutsche Sicherheitsbehörden nur in besonderen Fällen Handys und Computer von Verdächtigen ausspähen und dabei nur bestimmte Überwachungen vornehmen.

Die deutschen Beamten bestanden wohl darauf, dass nur diejenigen Funktionen freigeschaltet werden, die mit dem Vorgaben des Bundesverfassungsgerichts vereinbar sind. Ob, wie oft, in welchem Umfang und gegen wen Pegasus bisher eingesetzt wurde, ist allerdings unklar. Das BKA verweigert hierzu grundsätzlich jeglichen Kommentar.

Auch an die Bundesregierung wurden bereits drei Anfragen gestellt, ob Bundesbehörden die NSO-Software einsetzen. Das Innenministerium antwortete immer, dass man auf diese Frage keinerlei Auskunft erteilen würde.

Nun könnte man sagen, dass das Vorbeugen von Straftaten und die frühzeitige Erkennung von Terrorangriffen eine gute Sache ist. Anders als das Unternehmen sagt, gibt es allerdings Beweise dafür, dass die Software auch für andere Zwecke genutzt wird. Staaten nutzen das erworbene Programm nachweislich auch zum Ausspionieren ihrer Bürgerinnen und Bürger sowie von anderen Staatsoberhäuptern. Auch Journalisten, Politiker, Rechtsanwälte und Aktivisten wurden nicht verschont.

So zeigen Recherchen, dass Pegasus wohl bei der Ermordung des saudischen Journalisten Jamal Khashoggi im Herbst 2018 eine große Rolle gespielt hat. Vermutlich wurden viele Menschen aus seinem Umfeld gezielt ausgespäht. Von NSO wurden diese Vorwürfe bestritten. Deren Chef erklärte später dem US-Sender CBS, er könne „sehr klar“ sagen, dass man „nichts mit diesem schrecklichen Mord zu tun“ habe. „Ich kann Ihnen garantieren, dass unsere Technologie nicht bei Jamal Khashoggi oder seinen Angehörigen eingesetzt wurde“, so Shalev Hulio.

Diese Aussage war offenbar falsch. Recherchen im Rahmen des „Pegasus-Projekts“ zeigen nun, dass Familienangehörige, Freunde und Kollegen Khashoggis vor und nach der Tat ins Visier genommen wurden.

Grundsätzlich sind Apps auf dem Smartphone voneinander abgeschirmt, eine App kann also nicht einfach auf andere Teile des Handys zugreifen. Dies geht nur, wenn es aktiv zugelassen wird. Deshalb fragen Apps auch immer, ob sie zum Beispiel die Kamera, den Standort oder Kontaktlisten nutzen dürfen. Pegasus macht genau das, was eigentlich nicht gehen sollte. Durch bestehende Schwachstellengreift Pegasus auf den Systemkern zu.

Für den initialen Zugriff auf das Smartphone reicht dabei die Telefonnummer, ein angeklickter Link oder eine WhatsApp-Nachricht. Unter anderem wird hier die Methode des „Spear-Phising“ genutzt, dabei erhält das Opfer einen personalisierten Link (zum Beispiel über Mail oder WhatsApp), welcher zunächst einen „normalen“ Eindruck macht und auf eine ihm bekannte Seite verweist. Klickt man auf diesen Link, wird die Schadsoftware automatisch auf dem Computer oder Smartphone installiert. Gleichzeitig wird man aber auf die bekannte sichere Seite (zum Beispiel einer Bank) weitergeleitet. So bekommt man gar nicht erst mit, dass sich das Programm im Hintergrund bereits installiert. Pegasus nutzt mittlerweile sogar sogenannte „zero-click“ Attacken, bei denen der Nutzer nicht einmal auf einen Link klicken muss, um das Smartphone mit dem Programm zu infizieren.

Einmal installiert, kann sich Pegasus Zugriff auf alle alten und neuen Daten verschaffen (zum Beispiel E-Mails, Dokumente, Videos und Fotos). Außerdem kann es als Wanze fungieren und sich Zugriff auf Mikrofon und Kamera eines Smartphones erhalten, auch wenn diese gerade gar nicht aktiv genutzt werden. So können auch Bildschirmaufnahmen erstellt und Standort-Daten erfasst werden. All diese Daten werden dann an den entsprechenden Auftraggeber übermittelt.

Problematisch an der ganzen Sache ist, dass Smartphone-Nutzer es nur schwer erkennen können, wenn ihr Handy mit der Software infiziert ist. Aber selbst wenn man das Programm feststellt, kann Pegasus bestehende Schutzmaßnahmen (zum Beispiel die Firewall des Computers) durchdringen, in dem es Schwachstellen im System findet. Dabei werden „Zero-Day-Schwachstellen“ genutzt, die selbst Google und Apple noch nicht bekannt sind.

Es besteht also kaum Schutz vor der Software, außer man würde alle „smarten“ Geräte aus seinem Umfeld beseitigen.

Eine gute Nachricht: Die Nutzung von Pegasus ist sehr teuer und aufwendig, weshalb derzeit offenbar nur wenige und bedeutende Personen (also zum Beispiel Journalisten und Staatsoberhäupter) ausspioniert werden.

Auch wenn man sich nicht effektiv gegen Pegasus wehren kann, so gibt es dennoch genügend Gründe, sich alltäglich im Netz zu schützen. Denn nicht jeder Angreifer ist so mächtig wie Pegasus.

Es kommt hierbei immer auf das Bedrohungsszenario an. Will ein Hacker jemanden ausspionieren oder betrügen, um damit Geld zu verdienen, muss die Sache ökonomisch sein. Sie darf also nicht mehr kosten, als sie letztendlich einbringt. Dies wird oft dadurch erreicht, dass der Nutzer durch Tricks dazu gebracht wird, die schädliche Software selbst zu installieren. Zum Beispiel durch den Besuch von unsicheren Seiten im Internet oder das Öffnen von auffälligen Links via E-Mail. Hiergegen wirken Schutzmaßnahmen wie Firewalls und Spam-Blocker.

Außerdem ist es zu raten, regelmäßige Updates auf seinem Computer oder Smartphone vorzunehmen. Diese Aktualisierungen von Google, Android, iOS und Co. beseitigen eventuell erkannte Schwachstellen häufig.

Amnesty International hat neben einer Analyse der Schadsoftware auch ein Kommandozeilen-Tool mit dem Namen „Mobile Verification Toolkit (MVT)“ veröffentlicht. Hiermit kann offenbar ermittelt werden, ob Pegasus auf einem Gerät genutzt wurde.

Der US-amerikanische Whistleblower Edward Snowden fordert, Malware wie Atomwaffen zu behandeln. Der Handel mit Atomwaffen sei nicht erlaubt, warum sollte er mit Schadsoftware erlaubt sein, fragt Snowden.

Er erklärt weiter: "Es gibt bestimmte Industrien, bestimmte Sektoren, vor denen man sich nicht schützen kann, und deshalb versuchen wir, die Verbreitung dieser Technologien zu begrenzen. Wir erlauben keinen kommerziellen Markt für Atomwaffen".