Mit dem Pegasus Project decken in diesen Tagen Medien weltweit zahlreiche staatliche Spionagemaßnahmen auf. 50.000 Menschen könnten dabei mithilfe der Software Pegasus gezielt ausgespäht worden sein – darunter auch namhafte und investigative Journalisten. Jochim Selzer vom Chaos Computer Club erklärt im Interview, wie die Software des israelischen Unternehmens NSO Group funktioniert und was Journalisten unternehmen können, um sich möglichst gut zu schützen.
Medieninsider: 50.000 Handynummern stehen auf einer Liste von potenziellen Abhöropfern, Anfang der Woche berichteten die unter Forbidden Stories formierten Medien von 180 Journalistinnen und Journalisten, auch Menschenrechtsaktivisten, Politiker, Oppositionelle sollen abgehört worden sein. Ist vor Spionage niemand mehr sicher?
Jochim Selzer: Die kurze Antwort ist: nein. Es gibt keine perfekte IT-Sicherheit, genauso wie es generell keine perfekte Sicherheit gibt. Spionage- oder Hackerangriffe passieren heute täglich, allerdings in unterschiedlichen Abstufungen und aus unterschiedlichen Motiven. Fast jeder kennt heutzutage Betrügermails, die vermeintlich von Paypal oder DHL kommen, in denen man sich Dateien herunterladen oder Links folgen soll. Das sind breit angelegte und willkürlich abgefeuerte Angriffe, die zum Ziel haben, gewisse Daten abzugreifen. Sie sind in der Regel aber auch entsprechend leicht zu erkennen und ebenso leicht abzuwehren: indem man die Mails ignoriert oder die Links nicht anklickt. Spionageangriffe wie Pegasus sind aber von ganz anderer Dimension und Qualität.
Inwiefern?
Es beginnt bei Angreifer und Opfer. Der eine hat es speziell auf den anderen abgesehen, es ist eine gezielte Attacke von beispielsweise einer Institution oder einem Geheimdienst auf einen bestimmten Journalisten oder politischen Gegner. Dementsprechend ist der Angriff präzise ausgesteuert und eben nicht mit der Schrotflinte ausgeführt. Dafür muss auch die Spionage-Software unbemerkt auf die entsprechenden Geräte gelangen und dort längere Zeit ebenso unbemerkt bleiben. Sie benötigen vorab möglichst viele individuelle Informationen: Beispielsweise welchen Rechner das Ziel benutzt, welches Betriebssystem und welche Version davon installiert sind. Je mehr man vorab über die Technik weiß, desto maßgeschneiderter kann der Angriff erfolgen. Und desto höher ist die Wahrscheinlichkeit, dass der sorgfältig vorbereitete Angriff auch gelingen wird. Das ist natürlich auch eine Kostenfrage. Wer viel Geld zur Verfügung hat, kann bereits auf dem Schwarzmarkt gehandelte aber noch nicht offiziell bekannte Sicherheitslücken kaufen, um so leichter einzudringen. Für diese gibt es nämlich noch keine Gegenmaßnahmen. Mit solchen Sicherheitslücken hat auch Pegasus gearbeitet.
Das heißt: Spionagesoftware ist das eine, bislang unentdeckte Sicherheitslücken das andere.
Ganz genau. Und so arbeiten nicht nur Kriminelle, sondern auch Rechtsstaaten. Wir wissen ja, dass der so genannten Staatstrojaner jetzt auch von den Verfassungsschutzämtern der Länder eingesetzt werden darf und somit eine gewisse Breite von Menschen mit dieser Software infiziert werden dürfen. Auch diese Software muss irgendwie auf die Geräte kommen. Man kann natürlich hoffen, dass das Gegenüber nicht auf der Höhe ist und sich per E-Mail-Anhang infizieren lässt. Das ist aber eher unwahrscheinlich. Genauso unwahrscheinlich ist es, dass das Amt für Verfassungsschutz selbst auf die sehr aufwendige Suche nach Sicherheitslücken in Betriebssystemen geht. Der Weg über den Schwarzmarkt ist dann der einfachste. Damit wird so ein illegales System noch gestützt.
Wenn bislang unbekannte Sicherheitslücken ausgenutzt werden, wie kann man sich als potenzielles Ziel denn dann überhaupt schützen?
Diese Angebote berechtigen nicht zur Nutzung der Artikel in
Pressespiegeln (o. Ä.).
Klicke hier zum Erwerb von passenden Nutzungslizenzen.