Interview: Sicherheitsexperte Fred Raynal über den Einsatz von Spyware

Skandale rund um Spyware ebben einfach nicht ab: Mit dem Experten Fred Raynal haben wir diskutiert, wie die Zukunft von Pegasus und Co. aussehen könnte.

In Pocket speichern vorlesen Druckansicht

(Bild: Shutterstock.com / Gorodenkoff)

Lesezeit: 7 Min.

Spionageunternehmen wie die NSO Group oder der Verbund Intellexa Alliance wollen mit ihrer Spyware nach eigenem Bekunden die Welt zu einem besseren Ort machen: "Terrorismus bekämpfen" und "innere Sicherheit stärken" sind nur ein paar der Slogans, mit denen die Firmen auf ihren Webseiten werben. Ganz so schön sieht die Realität nicht aus. Es gibt zahlreiche Skandale rund um den missbräuchlichen Einsatz von Spyware an Journalisten, Menschenrechtsaktivisten und oppositionelle Politikern. Wir haben mit Fred Raynal, Gründer der Sicherheitsfirma Quarkslab, auf der Hacking-Konferenz Nullcon über Spyware gesprochen und diskutiert, wie man Missbrauch von solch gefährlicher Software verhindern könnte.

Lesen Sie auch:

Auf der Nullcon-Konferenz sprach Fred Raynal darüber, wie Spyware für viel Geld vermietet wird.

(Bild: Antriksh Shah)

c’t: Wie würden Sie Spyware definieren?

Fred Raynal: Eine Spyware ist eine Software, die üblicherweise auf einem Smartphone installiert wird. Der rechtmäßige Benutzer des Telefons weiß aber nicht, dass sie da ist, denn das Ziel der Spyware ist es, den Benutzer auszuspionieren. Das bedeutet, seine Kommunikation abzuhören, seine Position zu beobachten, seine Bilder zu stehlen; im Grunde sein gesamtes Privatleben, das sich in seinem Smartphone befindet.

c’t: Wer nutzt solche Software und warum?

Raynal: Spyware wird üblicherweise von Regierungen eingesetzt, selten von einer Einzelperson gegen eine andere. Dafür ist Spyware zu fortschrittlich und für den Einzelnen zu teuer. Regierungen verwenden sie, um entweder ihre eigenen Bürger oder Menschen im Ausland auszuspionieren. In der Welt des Militärs und der Spionage ist Spyware deswegen ein wichtiger Bestandteil geworden. Der Bedarf stieg also mit der Zunahme der Nutzung. Und da der Bedarf steigt, kommt das Geld, und wenn es Geld gibt, bieten einige Leute eine Dienstleistung für dieses Geld an. Der Rest ist einfach nur Wirtschaft.

c’t: Warum ist es so schwer, Infektionen mit Spyware zu verhindern?

Raynal: Im Vergleich zu normaler Malware verbreiten sie sich nicht so stark. Der Sinn und Zweck einer Ransomware ist es zum Beispiel, Tausende von Systemen zu infizieren, eben so viele wie möglich. Aber Systeme wie Pegasus sind nicht dazu gedacht, es wird gezielt auf ganz wenigen Geräte eingesetzt. Daher ist es also nicht so einfach, Proben der Spyware zu bekommen und sie zu analysieren. Hinzu kommt, dass es sehr viele Versionen gibt, die unterschiedlich funktionieren: 2019 zum Beispiel brach die Software für zwei Wochen über einen WhatsApp-Sprachanruf in Geräte ein. Nachdem diese Lücke geschlossen wurde, nutzte Pegasus eine neue aus.

Die NSO Group wirbt auf ihrer Webseite damit, dass Regierungen mit ihrer Software Terrorismus bekämpfen.

c’t: Sie erwähnten gerade Pegasus, eine lukrative Spyware des israelischen Unternehmens NSO. Die Firma behauptet von sich selbst, dass sie nur an Regierungen verkaufe. Intellexa hingegen bietet seine Software Predator jedem an, der bereit ist, dafür zu zahlen. In solchen Fällen gibt es doch keine Garantie, dass sie für einen guten Zweck verwendet wird, oder?

Raynal: Das Ziel all dieser Unternehmen ist es, ihr Produkt zu verkaufen. Sie haben zwar eine Art von Nutzungsbedingung, die besagt, dass man damit nichts Böses anstellen soll und es lediglich für die Bekämpfung von Terroristen oder sehr bösen Jungs verwendet werden soll. Aber es gibt nun mal Missbrauch, auch wenn die Unternehmen schwören, dass sich all ihre Kunden an die Regeln halten.

c’t: So wie zum Beispiel der Abhörskandal in Polen durch die ehemalige Regierungspartei PiS oder das Ausspionieren von Aktivisten in Saudi-Arabien?

Raynal: Genau, einige Länder sind nicht gerade für ihre vorbildliche Menschenrechtssituation bekannt. Uns liegen zum Beispiel Hinweise für einen Fall eines ermordeten Journalisten in Saudi-Arabien vor, der vermutlich mit Pegasus ausgehorcht wurde. Wenn ich mich nicht irre, fand man später Spuren von Pegasus auf den Smartphones seiner Familie. Sollte das je eindeutig nachgewiesen werden, bin ich mir sicher, dass NSO behaupten wird: "Nein, nein, das haben wir nicht gewusst". Das ist dann mit Sicherheit geheuchelt.

Selbstlob: Im Transparenzbericht von 2023 erklärt die NSO Group, wie hoch ihr Ethik-Standard ist.

c’t: Im Transparenzbericht der NSO Group heißt es, dass die israelische Regierung jeden Verkauf überwacht. Passiert das etwa nur pro forma?

Raynal: Wenn Sie die Software kaufen möchten, müssen Sie in Israel eine Ausfuhrgenehmigung beantragen, eine Art Bewertung der Menschenrechte Ihres Landes vorlegen und angeben, ob und wie sich der Einsatz der Spyware auf Ihr Land auswirken wird. Und dann entscheidet die Regierung, ob die Ausfuhrgenehmigung erteilt wird oder nicht. Aber wenn man in Europa lebt und eine Ausfuhrgenehmigung aus Israel beantragt, dann muss man eine solche Menschenrechtsbewertung nicht vorlegen. Das erklärt, warum einige Länder wie Polen oder Ungarn Zugang zu dieser Art von Software haben. Und wir sind uns ziemlich sicher, dass diese Regierungen dieses Instrument nicht nur gegen den Terrorismus nutzen. Oder anders gesagt: Ihre Definition von Terrorismus ist sehr flexibel.

c’t: In der EU zumindest gibt es Vorschriften, die den Einsatz und den Handel von Spyware regulieren. Wie kann es trotzdem zu einem solchen Missbrauch kommen?

Raynal: Einige Länder setzen die Vorschriften nicht auf die gleiche Weise durch wie andere. Ein Beispiel aus einem anderen Bereich: Wir wissen, dass Zypern gegen eine bestimmte Summe EU-Pässe ausstellt – was eigentlich nicht erlaubt ist. Das Land will eben wachsen. Ich denke, das Ziel ist legitim, aber die Art und Weise, wie sie es erreichen, ist fragwürdig.

Zurück zur Spyware: Mit Geldbußen bei Missbrauch oder mit der Jagd auf zwielichtige Kunden wird man nicht weit kommen, denn es wird immer Regierungen, Spionageagenturen oder die Polizei geben, die diese Art von Spyware haben will. Anders gesagt: Sie brauchen die Spyware als Werkzeug, weil sie jetzt Teil der militärischen Diskussion sind, die sie führen. Die Technik ist jetzt schon zu stark und beinahe unentbehrlich geworden.

c’t: Das klingt, als würde man den Missbrauch einfach hinnehmen.

Raynal: Spyware lässt sich eben gut mit einer Waffe vergleichen: Wenn man jemandem eine Waffe verkauft, weiß man nicht, wie er sie benutzen wird. Das ist eine ethische Diskussion. Verstehen Sie mich nicht falsch: Ich bin der festen Überzeugung, dass es einer stärkeren Regulierung bedarf und dass man sie zwingend durchsetzen und kontrollieren muss. Aber ich bin mir nicht sicher, ob der politische Wille dazu vorhanden ist.

c’t: Wie meinen Sie das?

Raynal: Wenn wir möglichen Missbrauch durch einen Kunden von Spyware feststellen, reagiert das Rechtssystem einfach zu langsam. Sie können ganz einfach ein neues Unternehmen gründen und von einem Land ins andere ziehen, und es dauert immer länger, bis der Gesetzgeber weiß, was vor sich geht. Ein Rechtsprozess dauert Jahre, während es eine Woche dauert, irgendwo ein neues Unternehmen zu gründen. Der einzige Weg, den ich sehe, ist also durch strengere Regulierung und Kontrollen. Vielleicht liege ich aber auch falsch. Ich bin kein Politiker oder Jurist. Ich versuche hier nur, logisch zu denken.

c’t: Wir werden Spionageprogramme also nie loswerden?

Raynal: Da bin ich mir sicher. Einige Parteien werden sie weiterhin einsetzen, egal ob auf legitime Weise oder im Verborgenen. Ich verstehe, dass Regierungen sie benutzen wollen und vielleicht auch müssen. Und da sind wir wieder beim eigentlichen Punkt: Das Problem ist der Missbrauch.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(wid)