zurück zum Artikel

Der berüchtigte Produzent von Überwachungssoftware gab sich im vergangenen Jahr offener als je zuvor. Die Spyware wird aber weiter eingesetzt.

Dieser Beitrag stammt aus Heft 12/20 von Technology Review [1]. Wir veröffentlichen ihn hier angesichts des sich ausweitenden Spionageskandals um NSO [2] für alle Leser.

Der Tag, an dem wir miteinander sprechen, ist sein 58. Geburtstag, aber Maâti Monjib ist nicht nach Feiern zumute. „Die Überwachung ist höllisch“, sagt er. „Sie kontrolliert mein ganzes Leben, alles, was ich tue.“ Monjib ist Geschichtsprofessor an der Universität von Rabat, Marokko – und er ist ein scharfer Kritiker der Menschenrechtsverletzungen durch die marokkanische Regierung. 2017 von der Regierung wegen Gefährdung der Staatssicherheit angeklagt, saß er vor einem Gerichtssaal, als sein iPhone plötzlich eine Reihe von Textnachrichten in WhatsApp anzeigte, deren Absender er nicht kannte. Sie enthielten Links zu anzüglichen Online-Artikeln, zu Petitionen, aber auch zu Shopping-Deals.

TR 12/2020

Dieser Beitrag stammt aus Ausgabe 12/2020 der Technology Review. Das Heft ist ab 5.11. 2020 im Handel sowie direkt im heise shop erhältlich. Highlights aus dem Heft:

• CO2 zu Stein [3]
• Neue Karriere für alte Pillen [4]
• So ticken Hersteller von Spionage-Software [5]
• Die neue Laserdisc [6]
• Fokus Energie: EU-Klimaziele verfehlt – was kostet uns das? [7]
• Fokus Energie: Die Mär vom sauberen Erdgas [8]
• TR bestellen [9]

Einen Monat später erschien ein Artikel auf einer Nachrichtenseite, die eng mit dem marokkanischen Königshaus verbunden ist. Monjib wurde darin des Verrats beschuldigt. Er war zwar an Angriffe gewöhnt, aber nun schien es, dass seine Angreifer alles über ihn wussten: Sie hatten Informationen über eine prodemokratische Veranstaltung, an der er teilnehmen wollte, von der er aber fast niemandem erzählt hatte. In einem späteren Text prahlten die Autoren gar damit, dass der Professor „keine Geheimnisse vor uns hat“. Er war gehackt worden. Und zwar mithilfe der WhatsApp-Nachrichten, die er bekommen hatte, während er vor dem Gerichtssaal wartete. Sie alle hatten zu Websites geführt, die als Köder eingerichtet worden waren, um die Geräte der Besucher mit Pegasus zu infizieren – einem der berüchtigtsten Spionageprogramme der Welt.

Pegasus ist das erfolgreichste Produkt der NSO Group, einer geheimnisumwitterten, milliardenschweren israelischen Überwachungsfirma. Es wird an Strafverfolgungs- und Geheimdienste auf der ganzen Welt verkauft, die das Tool nutzen, um die Smartphones ihrer Ziele zu übernehmen. Der Fall von Monjib gehört zu einer langen Liste von Vorfällen, bei denen Pegasus eingesetzt wurde. Es steht im Zusammenhang mit Fällen wie der Ermordung des saudischen Journalisten Jamal Khashoggi, der gezielten Verfolgung von Wissenschaftlern und Aktivisten, die auf politische Reformen in Mexiko drängen, und der Überwachung katalanischer Separatisten-Politiker durch die spanische Regierung.

Software als staatliche Rüstungstechnologie

Diese Form des Hackings wird als „lawful interception“ bezeichnet – legales Abhören –, weil sie von legitimen staatlichen Behörden durchgeführt wird, die sich, zumindest in der Regel, an die Gesetze ihres Landes halten. Das muss jedoch nicht heißen, dass es sich dabei um Rechtsstaaten handelt. Auch autokratische Regierungen setzen zunehmend auf solche Software. Das Geschäft hat in den vergangenen Jahren enorm zugenommen – was sich auch in Zahlen niederschlägt. NSO beispielsweise war im Jahr 2014 rund 130 Millionen Dollar wert, 2019 wurde der Wert des Unternehmens mit knapp einer Milliarde Dollar veranschlagt. Die gesamte Branche expandiert, denn sie profitiert von der Verbreitung alltäglicher Kommunikationstechnologie genauso wie von einer zunehmenden globalen Instabilität. Und im Gegensatz zu konventionellen Waffen, die verschiedenen internationalen Gesetzen unterliegen, werden Cyberwaffen derzeit nicht durch weltweite Rüstungskontrollabkommen reguliert.

Lediglich das sogenannte Wassenaar-Abkommen, das auch die Exportkontrolle von „doppelverwendungsfähigen Gütern und Technologien“ regelt und seit 2013 auch Software als potenzielle Rüstungstechnologie auflistet, wurde mittlerweile von 41 Staaten unterzeichnet. Es stellt als „internationale, nicht bindende Vereinbarung“ jedoch nur eine Leitlinie für die nationalen Entscheidungen über Exportkontrolle dar.

Es gibt jedoch mehrere Trends, die politischen Druck auf die Spionageindustrie ausüben: Auf der einen Seite machen die wachsenden internationalen Spannungen Exportkontrollen zu einer immer interessanteren politischen Waffe für Nationalstaaten. Was früher nur für Rüstungsgüter galt – Exportgenehmigungen im Austausch gegen politisches Wohlverhalten in bestimmten Fragen –, wird zunehmend auch auf Dual-Use-Güter wie Software ausgedehnt. Auf der anderen Seite verdienen die großen IT-Unternehmen des Silicon Valley ihr Geld damit, zumindest ein gewisses Maß an Privatsphäre und Datenintegrität zu verkaufen. Und deshalb sind sie nicht erfreut über die wachsende Spyware-Industrie.

Im Oktober 2019 reichten WhatsApp und seine Muttergesellschaft Facebook in Kalifornien deshalb Klage gegen NSO ein. Der Vorwurf: NSO habe eine (mittlerweile geschlossene) Sicherheitslücke in WhatsApp genutzt, um mehr als 1400 Mobiltelefone mit der Spyware Pegasus zu infizieren. Dies, so argumentierte WhatsApp, sei ein Verstoß gegen amerikanisches Recht.

Problematische Menschenrechtsbilanz

Solche Anschuldigungen hat NSO, solange es sich im Besitz einer Private-Equity-Firma befand, schweigend ausgesessen. 2019 wurde NSO jedoch für eine Milliarde Dollar an seine Gründer und eine andere Private-Equity-Firma, Novalpina, zurückverkauft und ändert jetzt seine Strategie. Das Unternehmen beauftragte eine renommierte PR-Agentur, entwarf eine neue Menschenrechtspolitik und entwickelte neue Selbstverwaltungsdokumente, um aus dem Schatten aufzutauchen

„Es ist eine schwierige Aufgabe“, sagt Shmuel Sunray, der neue Leiter der Rechtsabteilung von NSO. „Es handelt sich nicht um einen klassischen Fall von Menschenrechtsverletzungen durch ein Unternehmen, denn wir betreiben die Systeme nicht.“ Das ist das Hauptargument von NSO, das auch unter Waffenherstellern weit verbreitet ist: Das Unternehmen stelle Technologie her, die von Regierungen eingesetzt wird. Selbst greift es niemanden an, sodass es nicht zur Verantwortung gezogen werden kann.

Amerikanische Nummern sind geschützt

Dennoch gibt es laut Sunray mehrere Schutzebenen, die sicherstellen sollen, dass die Software nicht missbraucht wird: Wie die meisten anderen Länder hat Israel Exportkontrollen, denen natürlich auch NSO im Fall von Pegasus unterliegt. Darüber hinaus führt NSO eigene Prüfungen durch, sagt Sunray: Seine Mitarbeiter untersuchen die Menschenrechtsbilanz eines potenziellen Käuferlandes und untersuchen seine Beziehung zu Israel. Sie beurteilen die Bilanz der kaufwilligen Behörde in Bezug auf Korruption, Sicherheit, Finanzen und Missbrauch von Menschenrechten – und berücksichtigen dabei, wie dringend sie das Tool benötigt.

Manchmal wird dabei Negatives gegen Positives abgewogen. Marokko zum Beispiel hat eine sich verschlechternde Menschenrechtsbilanz, aber eine lange Geschichte der Zusammenarbeit mit Israel und dem Westen in Sicherheitsfragen. Zudem hat das Land ein echtes Terrorismusproblem, sodass Berichten zufolge ein Verkauf genehmigt wurde. Demgegenüber hat NSO erklärt, dass China, Russland, Iran, Kuba, Nordkorea, Katar und die Türkei zu den 21 Nationen gehören, die niemals Kunden sein werden.

Zusätzlich sollen technologische Leitplanken bestimmte Arten des Missbrauchs verhindern. Zum Beispiel lasse Pegasus nicht zu, dass amerikanische Telefonnummern infiziert werden, sagt NSO. Zudem zerstöre die Software sich selbst, wenn sie feststellt, dass sich das infizierte Telefon innerhalb der amerikanischen Grenzen befindet. Laut NSO sind „unter anderem auch israelische Telefonnummern geschützt“. Unklar bleibt, wer sonst noch Schutz erhält und warum.

Wenn Menschenrechtsorganisationen einen Missbrauch der Software melden, wird ein Ad-hoc-Team von bis zu zehn NSO-Mitarbeitern zur Untersuchung zusammengestellt. Sie befragen den Kunden zu den Vorwürfen und fordern Pegasus-Datenprotokolle an. Diese Protokolle enthalten allerdings keine Überwachungsdaten wie Chats oder E-Mails, sondern nur Metadaten wie etwa eine Liste aller Telefone, die die Spyware zu infizieren versuchte, und deren Standorte zu diesem Zeitpunkt.

Schärfere Exportkontrollen der EU

Das ist für viele Kritiker nicht genug. „Kein Unternehmen, das glaubt, es könne der unabhängige Wachhund seiner eigenen Produkte sein, überzeugt mich jemals“, sagt Marietje Schaake, eine niederländische Politikerin und ehemaliges Mitglied des Europäischen Parlaments. „Die ganze Vorstellung, dass sie ihre eigenen Mechanismen haben, während sie kein Problem damit haben, kommerzielle Spyware an jeden zu verkaufen, der sie kaufen will, wohl wissend, dass sie gegen Menschenrechtsaktivisten und Journalisten eingesetzt wird – ich denke, das zeigt mehr als alles andere die mangelnde Verantwortung dieses Unternehmens.“

„Es besteht kein Zweifel, dass jeder Staat das Recht hat, diese Technologie zu kaufen, um Verbrechen und Terrorismus zu bekämpfen“, ergänzt Danna Ingleton, stellvertretende Direktorin von Amnesty International. „Aber das muss mehr mit einem Regulierungssystem einhergehen, das Missbrauch verhindert und einen Mechanismus zur Rechenschaftslegung bietet, wenn Missbrauch stattgefunden hat.“

Tatsächlich ist die Europäische Union dabei, einen Plan abzuschließen, der die Exportkontrollen für Spionage- und Überwachungstechnologien in Nicht-EU-Länder verschärft, so die Online-Nachrichtenseite Politico. Diese neuen Beschränkungen würden sich auf die Ausfuhr von Dual-Use-Technologien auswirken, darunter Hacker-Software und Gesichtserkennungssysteme: Sie würde von den Unternehmen eine Lizenz für den Verkauf solcher Produkte ins Ausland verlangen. Und die Regierungen wären verpflichtet, Einzelheiten über die von ihnen erteilten Lizenzen zu veröffentlichen. Der jüngste Textentwurf würde nach Ansicht von Politico die Transparenzverpflichtungen der Regierungen deutlich erhöhen und den NGOs und Menschenrechtsgruppen dabei helfen, diejenigen zu benennen, die sich nicht an diese Regeln halten. Die neuen Regeln der EU würden damit über das Wassenaar-Abkommen hinausgehen. Sollten Facebook und WhatsApp den Prozess in Kalifornien gewinnen, drohen zudem weitere Klagen von anderen Unternehmen.

Doch während die EU an Regeln feilt, geht die Überwachung munter weiter. 2019 war Maâti Monjib mindestens vier weiteren Hackerangriffen ausgesetzt, von denen jeder technisch fortgeschrittener war als der vorherige. Mindestens sieben weitere Marokkaner, darunter Menschenrechtsaktivisten, Journalisten und Politiker, erhielten von WhatsApp Warnungen, dass Pegasus ihre Telefone ausspioniert. Sind das die legitimen Spionageziele – Terroristen und Kriminelle –, die in dem Vertrag aufgeführt werden, den alle NSO-Kunden unterzeichnen? (wst [10])

URL dieses Artikels:
https://www.heise.de/-6141498

Links in diesem Artikel:
[1] https://www.heise.de/select/tr/2020/12
[2] https://www.heise.de/news/Spyware-Neue-Ueberwachungsvorwuerfe-gegen-israelischen-Software-Anbieter-NSO-6141286.html
[3] https://www.heise.de/select/tr/2020/12/2028014442848290338
[4] https://www.heise.de/select/tr/2020/12/2028014470528702578
[5] https://www.heise.de/select/tr/2020/12/2028014543076697466
[6] https://www.heise.de/select/tr/2020/12/2028014483836740021
[7] https://www.heise.de/select/tr/2020/12/2028015060830777606
[8] https://www.heise.de/select/tr/2020/12/2028015075594244025
[9] https://shop.heise.de/technology-review-12-2020/Print?wt_mc=intern.shop.shop.tr_2012.dos.textlink.textlink
[10] mailto:wst@technology-review.de

Copyright © 2021 Heise Medien