Mächtige Spionagesoftware: So funktioniert Pegasus

Dass das israelische Unternehmen NSO Group mit Pegasus über eine leistungsfähige Spionagesoftware verfügt, die an Regierungen in aller Welt verkauft wird, weiß man schon seit vielen Jahren. Durch ein Leak wurde nun aber klar, in welchem Umfang die Software dazu genutzt wird, um Regimegegner*innen und unliebsame Journalist*innen zu überwachen. Wir haben den Cybersicherheitsexperten Otmar Lendl von CERT.at zu den technischen Fähigkeiten des Programms befragt.

Wie kommt die Schadsoftware Pegasus auf Smartphones?

In früheren Versionen war eine Aktion der Nutzer*innen notwendig, um Pegasus zu installieren - etwa ein Klick auf einen Link in einer vermeintlich harmlosen SMS. Heute kann Pegasus Smartphones völlig ohne Zutun der Nutzer*innen infizieren, indem es so genannte "Zero Day"-Lücken ausnutzt. Das sind Sicherheitslücken in Betriebssystemen oder Apps, die deren Entwickler*innen selbst (noch) nicht entdeckt haben.

"Das ist ein ewiges Katz- und Maus-Spiel", erklärt Otmar Lendl. "Es gibt ständig neue Updates von Apple und Google, um Schlupflöcher zu stopfen, während die Gegenseite nach neuen Löchern sucht. Alle existenten Lücken zu schließen, ist extrem schwierig. Ein Smartphone ist ein sehr komplexer Computer."

Welche Daten kann Pegasus sammeln?

Alle auf dem Smartphone existenten Daten können ausgelesen werden, also z.B. sämtliche Nachrichten, Bilder, Kalender- und Adressbucheinträge. Außerdem können durch Pegasus aktiv Daten abgerufen werden, etwa Ortsdaten. Die Software kann auch unbemerkt Kamera und Mikrofon aktivieren, um Konversationen aufzuzeichnen. Wird nach ihr gesucht, kann sie sich sogar selbst zerstören.

Sind auch Nachrichten aus verschlüsselten Messengern betroffen?

Ja. Die Verschlüsselungsmethoden von WhatsApp, Signal und Co. funktionieren zwar, aber Pegasus kann Nutzer*innen bereits beim Tippen oder Lesen über die sprichwörtliche Schulter blicken. "Wenn ich die Verschlüsselung nicht knacken kann, brauche ich am Mobiltelefon selbst eine Software, die die Daten abgreift, bevor sie in das sichere Kuvert gesteckt werden."

Der Experte vergleicht die Lage mit einem Telefonat über einen sicheren Kanal, wobei man sich aber in einem verwanzten Raum befindet. "Daten müssen am Ende sichtbar oder hörbar zum Nutzer bzw. zur Nutzerin kommen und da müssen sie zwangsläufig offen sein", sagt Lendl. Genau diesen Umstand sollte sich auch der "Bundestrojaner" zunutze machen, der 2019 vom Verfassungsgerichtshof verboten wurde.

Warum schafft es Pegasus nicht, alle Spuren zu verwischen?

"Alles auf einem Smartphone aufzuräumen, ist nicht möglich", sagt Lendl. Betriebssysteme legen eine Vielzahl von Protokollen an, in denen Spuren auftauchen. Die Datenforensiker*innen von Amnesty International führen ihre aktuellen Funde hauptsächlich auf iOS zurück. Möglicherweise fanden sie dort mehr Informationen als bei Android vor.

Kann man sich irgendwie gegen Pegasus schützen?

"Jedes Smartphone ist verwundbar", meint Lendl. Relativ sicher sei man, wenn man Plattformen benutze, die nicht weit verbreitet seien, etwa Smartphones mit kaum bekannten Betriebssystemen wie Sailfish OS oder Ubuntu Touch. "Die sind per se nicht sicherer, aber seltener. Angreifer*innen konzentrieren sich eher auf weit verbreitete Systeme." Am Ende sei das "ewige Spiel" aber unlösbar. "Ich muss dem Gerät vertrauen können und das ist momentan nicht wirklich garantierbar."