Zum zweiten Mal tagte heute der Untersuchungsausschuss zum Einsatz von Pegasus und ähnlicher Überwachungs- und Spähsoftware (PEGA) des Europäischen Parlaments. Angehört wurden in dieser Runde drei Expert:innen, die vor allem Auskunft zu den technischen Möglichkeiten von Spionagesoftware geben sollten. (Eine davon, Constanze Kurz, ist Co-Autorin dieses Beitrags.)
Der Fokus der Anhörung lag stark auf der Spionagesoftware Pegasus des Anbieters NSO Group. Das kommerziell vertriebene Produkt erlaubt nach der Infektion des gewünschten Mobiltelefons einen Zugriff auf Mikrofon und Kamera sowie allen auf dem Gerät gespeicherten Daten. Auch Anruflisten oder Kalenderdaten können eingesehen werden, Anrufe direkt mitgeschnitten und Live-Bewegungsprofile erstellt werden. Die Spionagesoftware gibt im Grunde umfassenden Zugriff auf alles, was mit dem Smartphone kommuniziert, gespeichert oder zugegriffen wird.
Dass in der Anhörung völlig neue Informationen ans Licht kommen würden, war nicht zu erwarten. Der Ausschuss wärmt sich gerade erst auf und holt sich dazu die Einschätzungen von Fachleuten: Journalist:innen, Sicherheitsforscher:innen und NGOs. Ans Eingemachte geht es wohl erst, sollten später Verantwortliche aus Regierungen oder Firmen aussagen – sofern diese tatsächlich kommen, denn zwingen kann das Parlament sie nicht. Trotzdem machte die Anhörung nochmal einige der zentralen Erkenntnisse rund um den Spionage-Skandal sehr anschaulich. Der nächste Ausschuss-Termin wird der 13. Juni sein.
1. Spyware ist nicht nur ein Produkt, sondern eine umfassende Dienstleistung
Diese Feststellung betont Bill Marczak, einer der profiliertesten Forscher zur Pegasus-Spionagesoftware und anderen Staatstrojanern. Marczak untersucht am kanadischen Citizen Lab seit Jahren die Software der NSO Group. Er sagt: Wenn man etwas verstehen sollte, dann das: Die NSO Group stellt für ihre Kund:innen weit mehr als nur ein Produkt zur Verfügung. So richte die Firma für ihre Kund:innen etwa auch die Proxyserver ein, über die Pegasus Daten von den ausgespähten Telefonen weiterleitet. Eine offene Frage dazu, die Marczak an den Ausschuss weitergibt: Haben diese Proxyserver womöglich noch weitere Funktionen als die Daten lediglich weiterzuleiten?
2. Die NSO Group weiß mehr über die ausspionierten Ziele seiner Kunden als sie zugibt
Nach den Enthüllungen der Pegasus Papers betonte die NSO Group, man habe keinen Einblick in die Aktivitäten der eigenen Kund:innen. Sprich: Welche Ziele einzelne Staaten oder deren Behörden mit Pegasus ins Visier nehmen, dazu könne man gar nichts sagen, weil man es schlicht nicht weiß. In der Anhörung wird klar: Stimmen kann das nicht.
Denn Kund:innen kaufen von der NSO Group bestimmte Lizenzen. Diese erlauben ihnen, Pegasus in ganz bestimmten Regionen – etwa nur innerhalb der eigenen Landesgrenzen – und auf einer maximalen Zahl von Geräten anzuwenden. Wollte die NSO Group überprüfen, ob das eingehalten wird, müsste die Firma zumindest die Landesvorwahlen der ins Visier genommenen Nummern prüfen sowie die Standorte, an denen sich die Geräte befinden. Wäre das nicht der Fall, könnte etwa Ungarn Ziele in der gesamten EU ausspähen – obwohl es nur für ungarische Nummern bezahlt hat.
Außerdem, so berichtet der polnische Infosec-Experte und Journalist Adam Haertle, ist die NSO Group für den reibungslosen Betrieb seines Produktes verantwortlich. Er vermutet, dass die NSO Group deswegen auch auf Kundenserver zugreifen kann, sei es nur, um dort Troubleshooting aus der Ferne zu machen, falls etwas nicht läuft. In der eigenen Produktwerbung, die in verschiedenen Versionen öffentlich geworden ist, wird diese Möglichkeit auch erwähnt.
3. Attribution von Angriffen ist möglich, wenn man technische Analysen mit anderem Wissen kombiniert
Es ist oft eine wichtige Frage: Ist es möglich, mit hinreichender Sicherheit festzustellen, welcher Kunde ein Gerät ausgespäht hat – also im Fall von Pegasus welcher Staat oder staatlicher Kunde, denn die NSO Group verkauft nach eigenen Angaben nur an staatliche Institutionen? Bill Marczak berichtet aus eigener Erfahrung: Rein technisch sei das fast unmöglich zu verfolgen.
Es sei aber möglich, wenn Angriffe auf mehrere Geräte gebündelt betrachtet und miteinander in Verbindung gebracht werden können. Dann sehe man nämlich, an welchen Orten dieser Kunde angreift. Das Bild, das sich so ergibt, kann man kombinieren mit bekannten Informationen aus alten NSO-Verträgen. Die Standard-Lizenz sei: Spionage nur für Nummern im eigenen Land. Wenn ein Kunde also ausschließlich Nummern in einem Land ausspäht, dann ist es mit großer Wahrscheinlichkeit die Regierung dieses Landes, faktisch also eine staatliche Behörde.
4. Regierungen kaufen nicht direkt von der NSO Group, sondern von lokalen Firmen
Als ein Beispiel dafür wird in der Anhörung Polen angeführt: Eine lokale Firma lizenziert und verkauft dort die Spionagesoftware als Vermittler. In Polen soll das laut Recherchen der Zeitung Gazeta Wyborcza die Firma Matic Sp. gewesen sein, die 2017 als Mittler zwischen der NSO Group und der polnischen Antikorruptionsbehörde wirkte, die Pegasus gekauft hat. Ob es vergleichbare Firmen in anderen Ländern wie Ungarn oder Spanien gab, wo Regierungsbehörden ebenfalls Pegasus lizenzierten, kam in der Anhörung nicht zur Sprache.
5. Ein jahrelang gewachsener Markt von Spionagefirmen steht großen Wissenslücken gegenüber
Der Anbietermarkt für Spionagesoftware wächst seit mindestens einem Jahrzehnt kontinuierlich und bedient eine ebenfalls wachsende Nachfrage. Weitgehend unbehelligt von regulatorischen Maßnahmen oder rechtlichen Schranken ist der jetzige Zustand dadurch gekennzeichnet, dass es zu wenig Wissen über die Produkte und Anbieter gibt. Eine nur kleine Gruppe von Forschern und Aktiven veröffentlicht zwar detaillierte Berichte und nachprüfbare Fakten. Die zuständigen Behörden in den EU-Mitgliedsstaaten tappen aber weitgehend im Dunkeln oder leisten gar keinen Beitrag zur technischen Aufklärung. Sieht man von der NSO Group und Pegasus sowie FinFisher ab, so ist das Wissen über Produkte und Anbieterfirmen gering, erst recht, wenn auch Spionagesoftware einbezogen wird, die Staaten selber produzieren.
6. Die „Pegasus-Flatrate“ können sich die wenigsten leisten
Ein Beispiel: Die Lizenz Ghanas erlaubt, dass 25 Geräte parallel überwacht werden dürfen. In Polen beruft sich die Zeitung Gazeta Wyborcza auf eine anonyme Quelle mit Einblick in die Verträge, laut deren Aussage die Lizenz 40 Geräte umfasst. Für Deutschland drängt sich unmittelbar die Frage auf, wie viele Geräte wohl die Kunden BND oder BKA laut Lizenz gleichzeitig ausschnüffeln dürften.
7. Die EU-Parlamentarier:innen haben noch viele Fragen
Kann der Handel mit Sicherheitslücken überhaupt effektiv reguliert werden? An wen sollen wir uns richten, um herauszufinden, wohin via Pegasus ausgespähte Daten fließen? Sind es die Firmen selbst, die Zwischenhändler, die Kund:innen? Die belgische Abgeordnete Saskia Bricmont macht es am deutlichsten: „Wenn Sie sagen, Sie wissen nicht, an wen die Daten gehen, wie könnten wir das konkret herausfinden? An wen sollen wir uns richten?“
Aber auch andere Fragen aus der Runde machen klar: Wenn der Ausschuss auch nur einige der vielen offenen Fragen aufdecken soll, dann sind die Mitglieder dabei auf die Hilfe derjenigen Fachleute angewiesen, die sich teils seit Jahrzehnten mit Staatstrojanern beschäftigen. Sie sitzen in Redaktionen, arbeiten bei Nichtregierungsorganisationen oder Forschungseinrichtungen wie dem Citizen Lab.
8. Ist die Branche kriminell oder sind es ihre Kund:innen?
Ein Opfer der Spionagesoftware Pegasus sitzt in der Anhörung. Es ist der katalanische Abgeordnete Carles Puigdemont, der selbst ausspioniert wurde, aber auch dessen Frau, Angestellte und Kollegen. Er stellt die Frage in den Raum, ob man eigentlich von einer kriminellen Branche sprechen müsse. Die Frage dürfte zu kurz greifen, denn der Blick darf sich nicht auf die Anbieter verengen – und die Kunden der Spionage-Dienstleister aus dem Blick verlieren.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires