Drücken Sie „Enter“, um den Inhalte zu überspringen

Klage gegen NSO Group: Staatstrojaner-Firma soll Quellcode von Pegasus übergeben

19. März 2024

Dieser Artikel stammt von Netzpolitik.org.

Das Unternehmen NSO Group soll eine Sicherheitsheitslücke in WhatsApp ausgenutzt haben, um 1.400 Nutzer:innen auszuspähen. Ein US-Gericht hat in einem laufenden Verfahren nun überraschend angeordnet, dass das Unternehmen den Quellcode seines Staatstrojaners für WhatsApp offenlegen muss.

Staatstrojaner-Unternehmen NSO: Soll erstmals Einblick in seinen Quellcode gewähren. – Alle Rechte vorbehalten IMAGO / Omar Marques / SOPA Images

Der Staatstrojaner Pegasus gilt als eines der ausgeklügeltesten Überwachungswerkzeuge der Welt. Ihr Hersteller, das israelische Unternehmen NSO Group, muss im Rahmen eines Gerichtsverfahrens in den USA nun den Quellcode für seine Software an WhatsApp übergeben. Das hat ein Gericht in Kalifornien angeordnet.

Seit 2019 hatte WhatsApp gegen die NSO Group geklagt: Das Unternehmen soll demnach eine Sicherheitslücke in der Messenger-App ausgenutzt haben, um 1.400 Nutzer:innen von WhatsApp über ihre Smartphones auszuspionieren. Die jüngste Entscheidung im laufenden Verfahren ist vor allem ein riesiger Erfolg für WhatsApp, das zum Konzern Meta gehört.

NSO muss „volle Funktionalität“ offenlegen

Der Quellcode von Pegasus ist ein wohlgehütetes Geheimnis. Nicht mal die staatlichen Kunden, an die NSO Group ihren Staatstrojaner nach eigenem Bekunden verkauft, bekommen die Software zu sehen. Das Unternehmen verfügt Analysen zufolge über mehrere so genannte „Zero-Click“-Angriffe. Betroffene Nutzer:innen müssen dann nicht mal mehr auf einen Link klicken. Die Spionagesoftware kann ohne jedes Zutun aus der Ferne auf ihrem Handy installiert werden.

Die NSO Group hatte sich vor Gericht gegen die Herausgabe gewehrt, berichtet der Guardian. Doch die Richterin habe sich am Ende auf die Seite von WhatsApp gestellt. Das Überwachungsunternehmen müsse nun „alle relevante Spionagesoftware“ übergeben, die bei den Angriffen auf die WhatsApp-Nutzer:innen im Einsatz war. Dabei muss NSO Group die „volle Funktionalität“ der relevanten Software offenlegen.

Zugleich muss das Unternehmen nicht die Namen seiner Kunden offenlegen, wie WhatsApp ebenfalls gefordert hatte, auch nicht seine Server-Architektur, über die die Angriffe laufen.

Sicherheitslücke ist 2019 aufgeflogen

Im Mai 2019 hatte WhatsApp öffentlich gemacht, dass eine Sicherheitslücke in seiner Messaging-App dazu missbraucht wurde, um den Staatstrojaner auf das Telefon von Nutzer:innen zu schleusen. Betroffen waren sowohl das Betriebssystem von Android als auch von Apple. Mit einem Anruf in WhatsApp konnten Angreifer die Software platzieren.

Zu dem Zeitpunkt war noch nicht klar, wie viele der 1,5 Milliarden Nutzer:innen betroffen waren. Später hat WhatsApp das mit Unterstützung des IT-Forschungslabors Citizen Lab rekonstruiert: Laut der Klage sollen vor dem Schließen der Lücke 1.400 Nutzer:innen in einem Zeitraum von zwei Wochen  betroffen gewesen sein.

Die Spionage-Software Pegasus wird aus der Ferne unbemerkt auf dem Smartphone von Personen aufgespielt, um diese auszuspähen. Gelingt die Infektion, bekommen die staatlichen Hacker Zugriff auf Telefongespräche, Mails, Fotos, Standortdaten und verschlüsselte Nachrichten ohne das Betroffene das mitbekommen. Selbst das Mikrofon und die Kamera aus der Ferne aktivieren, so dass das Smartphone zur Wanze wird.

Auch BKA und BND haben Lizenz für Pegasus

NSO Group verkauft den Trojaner laut eigener Aussage nur an staatliche Stellen, die damit gegen Terror, so genannte Kinderpornografie und andere schwere Verbrechen ermitteln soll. In Deutschland haben etwa das Bundeskriminalamt und der Auslandsgeheimdienst BND eine Lizenz.

Bis heute gibt es keine Liste aller Staaten und Behörden, die über eine Lizenz für den Staatstrojaner Pegasus verfügen. Zugleich haben forensische Analysen und Recherchen in den vergangenen Jahren gezeigt, dass Pegasus etwa in Mexiko, Saudi-Arabien, Ruanda oder Indien gegen Journalist:innen, Aktivist:innen oder die politische Konkurrenz zum Einsatz kam. Auch in der EU haben Ungarn, Polen und weitere Staaten Pegasus verwendet um Journalist:innen oder auch das eigene politische Lager auszuspähen.

Halbherziger Umgang

Das EU-Parlament hatte deswegen mehr als anderthalb Jahre lang in einem Untersuchungsausschuss zu den Missbrauchsfällen recherchiert. Die Empfehlungen des Ausschusses, zumindest rechtsstaatliche Minimalstandards für den Einsatz zu etablieren, hat die EU-Kommission bislang weitgehend ignoriert. Zuletzt waren wieder Fälle von Spyware auf Geräten von Mitarbeitern und Abgeordneten im EU-Parlament bekannt geworden.

In den USA hat US-Präsident Joe Biden die NSO Group dagegen beherzter angegangen. Sie steht seit 2021 auf einer Sperrliste, US-Unternehmen dürfen nun keine Technologien mehr an das Unternehmen exportieren.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel

Author: Chris Köver

Erfolg für kinder, jugendliche und den zusammen-halt in der gesellschaft - die spd im kölner norden. The real baby reindeer.