Pegasus-Skandal: Kein System ist sicher!
30. Juli 2021
Dutzende Staaten und Regierungen haben die Überwachungssoftware "Pegasus" der israelischen Cyber-Security-Firma NSO Group benutzt. Was Netzaktivisten wie netzpolitik.org, das citizen lab Toronto oder Amnesty International schon seit 2018 behaupten, wurde im Juli 2021 durch die Enthüllungen eines internationalen Rechercheteams traurige Gewissheit: Regierungen in Mexiko, Indien, Marokko oder auch Ungarn benutzten "Pegasus", um Smartphones in mobile Überwachungsapparate zu verwandeln.
Über 50.000 von "Pegasus" infizierte Telefonnummern wurden Amnesty International und "Forbidden Stories" zugespielt. Medien auf der ganzen Welt enthüllten in den letzten Wochen immer mehr Einzelheiten. Der Hersteller NSO streitet alle Vorwürfe ab. Schon heute kann "Pegasus" als einer der größten Überwachungsskandale unserer Zeit bezeichnet werden. Höchste Zeit, sieben wichtige Lehren aus "Pegasus" zu ziehen:
Es gibt keine sicheren Kommunikationsplattformen
Der Messenger-Dienst "WhatsApp" galt noch vor wenigen Jahren als eine der sichersten Kommunikationsplattformen. Doch auch "WhatsApp" war nicht vor "Pegasus" sicher, mittlerweile hat der zu Facebook gehörende Konzern Klage gegen "Pegasus"-Hersteller NSO eingereicht.
Und auch der Gründer der als besonders sicher geltenden Messenger-App "Telegram", Pawel Durow, soll mit "Pegasus" überwacht worden sein. Der "Pegasus"-Skandal zeigt, dass es in der Welt der digitalen Kommunikation keine absolute Sicherheit gibt! Zwar bestätigten IT-Experten, dass "Pegasus" kein alltägliches Produkt, sondern ein Geniestreich ist. Trotzdem gilt in der Welt der Cyber-Spionage: Angreifer müssen nur eine Schwachstelle finden, Sicherheitsexperten aber jede Schwachstelle schließen.
Selbst Kommunikationsdienste, die auf ein Maximum an Sicherheit setzen, sind irgendwo verwundbar. Und diese Schwachstellen werden online ver- und gekauft, sofern sich Geheimdienste und Regierungen weltweit nicht vorneherein "Hintertüren" in Email-, Telefon- oder Chat-Programmen gesichert haben. Für Nutzer gilt: Kein Kommunikationssystem ist 100 Prozent sicher!
In der digitalen Welt gibt es keine Geheimnisse
Einmal mehr zeigt "Pegasus", dass Privatsphäre, aber auch persönliche und berufliche Geheimnisse durch digitale Überwachungstechnologien noch stärker gefährdet sind als zu analogen Zeiten. Aber auch die Hersteller und Anwender digitaler Überwachungstechnologien schaffen es nicht mehr, ihre eigenen Geheimnisse zu schützen: Ein massives Datenleck (durch einen Whistleblower? durch einen Konkurrenten? durch einen Hackerangriff?) sorgte dafür, dass Medien und Menschrechtsorganisationen Details zu Opfern von "Pegasus", zu Interna des Herstellers NSO und technische Einzelheiten bekannt wurden.
Whistleblower, Leaks, Plattformen und Hacks sind alltägliche Erscheinungen unserer Zeit geworden. Und sie werden auch zur "Überwachung der Überwacher" genutzt.
Wer wurde durch "Pegasus" überwacht?
Der "Pegasus"-Hersteller NSO behauptet seit Jahren, seine Software nur zu Überwachung von Terroristen und Kriminellen an Regierungen zu verkaufen. Dazu würden spezielle Überprüfungen und Garantien eingesetzt, so die Hersteller. Der aktuelle Skandal zeichnet jedoch ein anderes Bild - mindestens 180 Journalisten auf der ganzen Welt wurden mit "Pegasus" überwacht. Darüber hinaus sollen auch Aktivisten und hochrangige Politiker wie der französische Präsident Emmanuel Macron zu den Opfern zählen.
Bei den Käufern der "Pegasus"-Software handelte es sich nach übereinstimmenden Medienberichten vor allem um demokratisch zweifelhafte Regierungen wie Aserbaidschan oder Saudi-Arabien. Die große - und bislang zumeist unbeachtete - Frage bleibt jedoch: Wem gehörte der Großteil der 50.000 Telefonnummern, die mit "Pegasus" infiziert gewesen sein sollen?
Wurden mehrheitlich Journalisten, Aktivisten und Politiker überwacht oder waren sie nur eine "Zugabe", während das Gros der überwachten Nummern tatsächlich Terroristen und Kriminellen gehörte? Diese - bislang offene - Frage ist essentiell zur Einordnung der Überwachungsaffäre.
Digitale Überwachung ist eine Gefahr - aber unausweichlich
"Pegasus" verdeutlicht, das digitale Überwachung ein zweischneidiges Schwert ist: Einerseits können es sich Sicherheitsbehörden nicht erlauben, Kriminelle und Terroristen im digitalen Raum ungestört kommunizieren zu lassen. Ähnliche Befugnisse zum Abhören von Telefonen oder dem Öffnen von Briefen sind ihnen auch in der analogen Welt gestattet.
Andererseits höhlt digitale Massenüberwachung demokratische Grundrechte aus und der geplante Einsatz von Schwachstellen in Softwareprodukten erzeugt immer auch neue Risiken.
Überwachungssoftware kann und wird eben nicht nur zur legitimen Bekämpfung von Kriminellen und Terroristen eingesetzt, sondern auch für politische Unterdrückung. "Pegasus" zeigt also wieder einmal, dass Sicherheit und demokratische Freiheitsrechte in der digitalen Welt neu balanciert werden müssen.
Kampf gegen Terrorismus ist die Mutter der Überwachungsindustrie
"Am Anfang stand der Kampf gegen den Terrorismus", so könnte die Geschichtsschreibung der digitalen Massenüberwachung beginnen. Ob Social Media Intelligence, Drohnen, Gesichtserkennungssoftware, XKeyscore oder "Pegasus" - die Werkzeuge digitaler Überwachung wurden und werden durch den Kampf gegen den Terror legitimiert. Immer mehr Programme und Technologien sollen dabei helfen, Terroranschläge zu verhindern.
Was legitim klingt, ist es nicht immer. Schon in den 1970er Jahren begannen undemokratische Staaten (damals zum Beispiel die Sowjetunion) unliebsame Personen und Gruppen wie Oppositionelle, Aktivisten oder Journalisten als "Terroristen" zu bezeichnen - und zu bekämpfen. Terrorist ist, wer gegen uns ist - dieses Motto gilt auch für zahlreiche Kunden, die die "Pegasus"-Software von der NSO Group kauften. Und anschließend überwachten sie unliebsame Personen unter dem Deckmantel angeblicher Terrorabwehr.
Der Pegasus-Skandal spielt mitten in Europa
Indien, Mexiko, Aserbaidschan, Marokko, Saudi-Arabien oder Bahrain sind die in dem Datenleck genannten "Pegasus"-Nutzer. Was auf den ersten Blick aussieht wie ein Überwachungsskandal irgendwo in demokratisch zweifelhaften Staaten, betrifft uns mitten in Europa und in Deutschland!
Zum einen bot NSO "Pegasus" auch in Deutschland an. Nach Informationen von Zeit online wurden Vertreter der israelischen Firma 2017 bei allen deutschen Sicherheitsbehörden, Geheimdiensten und Polizeien, sogar auf der Länderebene vorstellig, blitzten jedoch wegen der Unvereinbarkeit der Software mit deutschem Recht ab.
Andererseits nutzte NSO offenbar seine Standorte in Zypern und vor allem in Bulgarien, um seine Produkte zu exportieren. Nach Recherchen bulgarischer Medien erhielt die zur NSO Group gehörende Firma "Circles Bulgaria" im Jahr 2019 eine bis 2023 gültige Exportgenehmigung von der bulgarischen Regierung. Unklar ist, ob auch "Pegasus" über Bulgarien exportiert wurde. NSO-Produkte gehen aber - wie andere Überwachungssoftware auch - mitten durch die EU!
Privatisierung von Sicherheit und Überwachung
Wenn von digitaler Überwachung und Spionage die Rede ist, geht der erste Blick zu den üblichen Verdächtigen NSA, CIA, GRU oder das chinesische MSS. Doch die größten Datensammler sind schon lange private Konzerne wie Google Alphabet, Facebook und Co. Und "Pegasus" zeigt: Auch bei der Herstellung und dem Verkauf von Überwachungssoftware ist die Privatisierung von Sicherheit in vollem Gange.
Was nach dem Kalten Krieg mit einem Massenexodus von Geheimdienstlern und Militärs in private Sicherheitsfirmen begann, spiegelt sich heute in der Bedeutung von Kommunikations- und Cyber Security-Firmen. Sicherheit und Überwachung sind kommerzielle Produkte, der Handel mit Cyberwaffen und Überwachungsprogrammen ist jedoch - genau wie private Sicherheitsfirmen - kaum reguliert.
Private Firmen, die nur ihrem eigenen Profit verpflichtet sind, niemandem Rechenschaft schulden und außerhalb demokratischer Kontrolle agieren, sind längst zu wichtigen Akteuren globaler Sicherheit geworden. Eine nationale wie internationale Regulierung dieses Marktes sind längst überfällig.