Spyware Pegasus: Wie die NSO Group für mehr Transparenz sorgen wollte
Der berüchtigte Produzent von Überwachungssoftware gab sich im vergangenen Jahr offener als je zuvor. Die Spyware wird aber weiter eingesetzt.
- Patrick Howell O'Neill
Dieser Beitrag stammt aus Heft 12/20 von Technology Review. Wir veröffentlichen ihn hier angesichts des sich ausweitenden Spionageskandals um NSO für alle Leser.
Der Tag, an dem wir miteinander sprechen, ist sein 58. Geburtstag, aber Maâti Monjib ist nicht nach Feiern zumute. „Die Überwachung ist höllisch“, sagt er. „Sie kontrolliert mein ganzes Leben, alles, was ich tue.“ Monjib ist Geschichtsprofessor an der Universität von Rabat, Marokko – und er ist ein scharfer Kritiker der Menschenrechtsverletzungen durch die marokkanische Regierung. 2017 von der Regierung wegen Gefährdung der Staatssicherheit angeklagt, saß er vor einem Gerichtssaal, als sein iPhone plötzlich eine Reihe von Textnachrichten in WhatsApp anzeigte, deren Absender er nicht kannte. Sie enthielten Links zu anzüglichen Online-Artikeln, zu Petitionen, aber auch zu Shopping-Deals.
Einen Monat später erschien ein Artikel auf einer Nachrichtenseite, die eng mit dem marokkanischen Königshaus verbunden ist. Monjib wurde darin des Verrats beschuldigt. Er war zwar an Angriffe gewöhnt, aber nun schien es, dass seine Angreifer alles über ihn wussten: Sie hatten Informationen über eine prodemokratische Veranstaltung, an der er teilnehmen wollte, von der er aber fast niemandem erzählt hatte. In einem späteren Text prahlten die Autoren gar damit, dass der Professor „keine Geheimnisse vor uns hat“. Er war gehackt worden. Und zwar mithilfe der WhatsApp-Nachrichten, die er bekommen hatte, während er vor dem Gerichtssaal wartete. Sie alle hatten zu Websites geführt, die als Köder eingerichtet worden waren, um die Geräte der Besucher mit Pegasus zu infizieren – einem der berüchtigtsten Spionageprogramme der Welt.
Pegasus ist das erfolgreichste Produkt der NSO Group, einer geheimnisumwitterten, milliardenschweren israelischen Überwachungsfirma. Es wird an Strafverfolgungs- und Geheimdienste auf der ganzen Welt verkauft, die das Tool nutzen, um die Smartphones ihrer Ziele zu übernehmen. Der Fall von Monjib gehört zu einer langen Liste von Vorfällen, bei denen Pegasus eingesetzt wurde. Es steht im Zusammenhang mit Fällen wie der Ermordung des saudischen Journalisten Jamal Khashoggi, der gezielten Verfolgung von Wissenschaftlern und Aktivisten, die auf politische Reformen in Mexiko drängen, und der Überwachung katalanischer Separatisten-Politiker durch die spanische Regierung.
Software als staatliche Rüstungstechnologie
Diese Form des Hackings wird als „lawful interception“ bezeichnet – legales Abhören –, weil sie von legitimen staatlichen Behörden durchgeführt wird, die sich, zumindest in der Regel, an die Gesetze ihres Landes halten. Das muss jedoch nicht heißen, dass es sich dabei um Rechtsstaaten handelt. Auch autokratische Regierungen setzen zunehmend auf solche Software. Das Geschäft hat in den vergangenen Jahren enorm zugenommen – was sich auch in Zahlen niederschlägt. NSO beispielsweise war im Jahr 2014 rund 130 Millionen Dollar wert, 2019 wurde der Wert des Unternehmens mit knapp einer Milliarde Dollar veranschlagt. Die gesamte Branche expandiert, denn sie profitiert von der Verbreitung alltäglicher Kommunikationstechnologie genauso wie von einer zunehmenden globalen Instabilität. Und im Gegensatz zu konventionellen Waffen, die verschiedenen internationalen Gesetzen unterliegen, werden Cyberwaffen derzeit nicht durch weltweite Rüstungskontrollabkommen reguliert.
Lediglich das sogenannte Wassenaar-Abkommen, das auch die Exportkontrolle von „doppelverwendungsfähigen Gütern und Technologien“ regelt und seit 2013 auch Software als potenzielle Rüstungstechnologie auflistet, wurde mittlerweile von 41 Staaten unterzeichnet. Es stellt als „internationale, nicht bindende Vereinbarung“ jedoch nur eine Leitlinie für die nationalen Entscheidungen über Exportkontrolle dar.
Es gibt jedoch mehrere Trends, die politischen Druck auf die Spionageindustrie ausüben: Auf der einen Seite machen die wachsenden internationalen Spannungen Exportkontrollen zu einer immer interessanteren politischen Waffe für Nationalstaaten. Was früher nur für Rüstungsgüter galt – Exportgenehmigungen im Austausch gegen politisches Wohlverhalten in bestimmten Fragen –, wird zunehmend auch auf Dual-Use-Güter wie Software ausgedehnt. Auf der anderen Seite verdienen die großen IT-Unternehmen des Silicon Valley ihr Geld damit, zumindest ein gewisses Maß an Privatsphäre und Datenintegrität zu verkaufen. Und deshalb sind sie nicht erfreut über die wachsende Spyware-Industrie.
Im Oktober 2019 reichten WhatsApp und seine Muttergesellschaft Facebook in Kalifornien deshalb Klage gegen NSO ein. Der Vorwurf: NSO habe eine (mittlerweile geschlossene) Sicherheitslücke in WhatsApp genutzt, um mehr als 1400 Mobiltelefone mit der Spyware Pegasus zu infizieren. Dies, so argumentierte WhatsApp, sei ein Verstoß gegen amerikanisches Recht.
