Name: Pegasus - So können Staaten nahezu jedes Mobiltelefon weltweit hacken
Uploaded: 2021-07-19T08:48:43+02:00
Description: Die Cyberwaffe Pegasus greift Smartphones über Sicherheitslücken unbemerkt an. Wer die Ziele sind und warum eine Gegenwehr mittlerweile zwecklos ist. Ein Erklärvideo

Der heimliche Angriff beginnt in aller Frühe. Aber Szabolcs Panyi, der Mann, dem die Attacke gilt, bemerkt sie nicht. Der Reporter hat an diesem Donnerstagmorgen im April 2019 keine Termine, er schläft noch, als die Angreifer um kurz nach halb acht schon am Ziel sind: Sein iPhone ist für sie jetzt ein offenes Buch, das all seine Geheimnisse mit ihnen teilt. Es ist eine Kamera, die sie für ihre Zwecke nutzen können. Es ist ein Mikrofon, das sich nach Belieben an- und ausschalten lässt.

Szabolcs Panyi ist Investigativjournalist, preisgekrönter Redakteur der Rechercheplattform Direkt36. Seine Angreifer haben mithilfe der Cyberwaffe Pegasus, einer Software des Unternehmens NSO, das Mobiltelefon des Reporters aufgebohrt. Seine gesamte Kommunikation steht ihnen nun offen – Telefonate ebenso wie verschlüsselte Nachrichten. Nichts davon ist für Panyi von außen sichtbar oder erkennbar, als er aufsteht. Panyi kocht sich einen Kaffee und startet in einen scheinbar gewöhnlichen Arbeitstag.

Erst zwei Jahre später, im Frühjahr 2021, wird der 35-Jährige erfahren, dass er ausspioniert wurde: als einem internationalen Journalistenkonsortium unter Leitung der gemeinnützigen Organisation Forbidden Stories Telefonnummern aus einem Datenleak zugespielt werden. Diese Telefonnummern wurden von Kunden des Unternehmens NSO als potenzielle Ziele für die Pegasus-Überwachung ausgewählt. Darunter ist eine Liste mit ungarischen Telefonanschlüssen. Eine der Handynummern auf dieser Liste führt zu Szabolcs Panyis iPhone.

Das Journalistenkonsortium, zu dem auch die ZEIT gehört, kontaktierte Panyi nach Erhalt des Datenleaks über verschlüsselte Kanäle. Der Reporter ließ sein iPhone daraufhin im Security Lab der Menschenrechtsorganisation Amnesty International (AI) untersuchen. Die digitale Spurensicherung auf seinem Gerät bestätigte nach Einschätzung der Cyberexperten, dass Panyis iPhone mit Pegasus infiziert war. Ihre Analyse macht es sogar möglich, den zeitlichen Verlauf der Überwachung grob nachzuvollziehen. Mehr als ein halbes Jahr lang, von Anfang April bis in den späten Herbst hinein, hinterließ Pegasus Spuren auf seinem Handy.

Pegasus - So können Staaten nahezu jedes Mobiltelefon weltweit hacken Die Cyberwaffe Pegasus greift Smartphones über Sicherheitslücken unbemerkt an. Wer die Ziele sind und warum eine Gegenwehr mittlerweile zwecklos ist. Ein Erklärvideo © Foto: Nicolás Grone

Pegasus wird von dem israelischen Cyberunternehmen NSO an Polizeibehörden und Geheimdienste in aller Welt verkauft – für die Jagd auf Terroristen oder Verbrecher. Doch Szabolcs Panyi ist nichts von beidem. Der Journalist hat als Fulbright-Stipendiat ein Jahr lang investigativen Journalismus in den USA studiert. Seit 2018 ist er Redakteur des gemeinnützigen Onlinemediums Direkt36. Sein Spezialgebiet sind internationale Sicherheitsthemen: Waffenhandel, Spionage, Finanzgeschäfte. Panyi gilt als einer der hartnäckigsten jungen Rechercheure des Landes. Machte ihn das zum Ziel der Überwachung? Und wer hat diese Überwachung überhaupt zu verantworten? NSO jedenfalls erklärte auf Nachfrage, dass es keinen "Zugang zu den Daten der Zielpersonen seiner Kunden" habe und nicht wisse, welche Personen durch die Kunden überwacht würden, die mit Pegasus beliefert wurden.

Monatelang recherchierten Reporterinnen und Reporter aus zahlreichen Ländern, wo, wie und gegen wen die Spionagesoftware Pegasus des israelischen Unternehmens NSO von Geheimdiensten und Polizeibehörden weltweit eingesetzt wird. Ausgangspunkt war eine Liste mit mehr als 50.000 Handynummern aus rund 50 Ländern, die dem gemeinnützigen Verein Forbidden Stories sowie Amnesty International zugespielt wurde.

Koordiniert von Forbidden Stories waren die folgenden Redaktionen an der Recherche beteiligt: Le Monde und Radio France aus Frankreich, The Washington Post aus den USA, The Guardian aus Großbritannien, DIE ZEIT, Süddeutsche Zeitung, der NDR und der WDR aus Deutschland, Direkt36 aus Ungarn, Knack und Le Soir aus Belgien, Haaretz aus Israel, The Wire aus Indien, Daraj Media aus dem Libanon, Proceso und Aristegui Noticias aus Mexiko. Außerdem die investigative Rechercheplattform OCCRP. Bei den Recherchen in Polen war die Gazeta Wyborcza beteiligt.

Die Analyse der Daten übernahm das Security Lab von Amnesty International. Ein ausführlicher Bericht zur Methodik der Untersuchung und wie das Lab Spuren von Pegasus auf den Handys nachweisen konnte, findet sich hier. Die Ergebnisse wurden in einer unabhängigen Untersuchung vom kanadischen IT-Sicherheitslabor Citizen Lab der Universität Toronto bestätigt. Die Sicherheitsforscher untersuchen seit Jahren Cyberangriffe auf Dissidenten und Journalisten, auch solche mit Pegasus. Sie stellten in ihrem Zweitgutachten fest, spezifische Spuren auf den untersuchten Handys seien bisher nur auf Geräten beobachtet worden, bei denen man davon ausgehe, dass sie mit Pegasus infiziert worden seien.

Die Handynummern wurden nach Angaben von Forbidden Stories in ein System der NSO Group eingespeist, eines Unternehmens, das seine Spähsoftware Pegasus weltweit an Polizeibehörden und Geheimdienste verkauft. Die Liste reicht von 2016 bis in die Gegenwart. Die Nummern wurden aus mehr als zehn Staaten eingespeist, die Kunden von NSO sind.

Vor einer geplanten Überwachung mit Pegasus identifizieren die Überwacher in der Regel, ob ein Mobiltelefon online ist und in welchem Land es sich befindet. Der Einsatz von Pegasus ist laut NSO nicht in allen Ländern möglich.

Der Ort, an dem ein Handy bei einem Mobilfunkbetreiber eingebucht ist und ob es online ist, sind Informationen, die Netzbetreiber weltweit in einem System namens Home Location Register (HLR) speichern. Damit Handykommunikation international funktioniert, müssen Mobilfunkbetreiber unter anderem Daten aus diesem HLR miteinander austauschen. Wer Zugang zu diesem System hat, kann Informationen über jedes Handy weltweit abrufen. Neben der Rufnummer ist das auch die Hardware-Identifikationsnummer der SIM-Karte.

Die Liste der mehr als 50.000 Nummern umfasst demnach Abfragen des HLR-Systems. Das bedeutet nicht, dass jede der 50.000 Nummern anschließend angegriffen oder von Pegasus infiltriert wurde. NSO legt Wert auf die Feststellung, dass man "keinen Zugang zu den Daten der Zielpersonen seiner Kunden" habe. Die Eingabe einer Nummer bedeutet aber zumindest, dass Polizeibehörden und Geheimdienste ein Interesse an den Menschen hatten, denen die Handynummer gehört.

Dem Pegasus Project ist es gelungen, auf den Smartphones von verschiedenen Betroffenen digitale Spuren des Angriffs zu finden, auch wenn der Trojaner sich selbst gelöscht hatte. Das war möglich, weil die an der Recherche beteiligten Reporter und Reporterinnen potenzielle Opfer kontaktiert und sie gebeten haben, die Daten ihrer Mobiltelefone für eine Untersuchung durch das Security Lab von Amnesty zur Verfügung zu stellen. Insgesamt konnten 67 Smartphones von Menschen, die auf der ursprünglichen Liste auftauchten, vom Security Lab analysiert werden.

Laut den Amnesty-Cyberexperten fanden sich bei insgesamt 37 Geräten Spuren von Pegasus-Aktivitäten: 23 Handys waren erfolgreich mit der Schadsoftware infiziert und 14 zeigten Spuren eines versuchten Angriffs mit der Cyberwaffe. Auf einzelnen untersuchten Geräten war das Programm demnach noch bis in den Juli aktiv. Selbst neueste iPhones mit aktuellen Betriebssystemen waren betroffen. Dabei konnte in 15 Fällen nachgewiesen werden, dass die Geräte weniger als eine Minute nach der in den geleakten Daten dokumentierten Abfrage mit der Pegasus-Schadsoftware infiziert worden waren.

In der Vergangenheit waren bereits notorisch skrupellose Regierungen wie die mexikanische von kanadischen IT-Sicherheitsforschern dabei erwischt worden, die mächtige Cyberwaffe Pegasus zu missbrauchen. Der Fall Panyi belegt nun erstmals, dass der globale Skandal um das NSO-Produkt bis in die Europäische Union reicht. Es handelt sich auch nicht um einen Einzelfall: Neben den Anschlüssen mehrerer ungarischer Krimineller, für deren Beobachtung Pegasus gedacht ist, finden sich mindestens fünf Nummern ungarischer Journalisten, die nach den geleakten Daten für eine mögliche Überwachung ausgewählt wurden. Außerdem der Anschluss eines der letzten unabhängigen Medienunternehmer Ungarns, der als Kritiker der Regierungspolitik von Ministerpräsident Viktor Orbán bekannt ist.

Es gibt keinen finalen Beweis dafür, dass die ungarische Regierung die Spionagewaffe gegen Journalisten eingesetzt hat. Aber die Recherche des Pegasus Project, an der neben der ZEIT 16 weitere Medien aus zehn Ländern mitgewirkt haben, legt die Vermutung nahe. Zum Ersten, weil NSO nur an staatliche Behörden verkauft. Zum Zweiten, weil Ungarn Kunde von NSO war, wie ehemalige Mitarbeiter des Unternehmens der ZEIT bestätigten. Zum Dritten, weil es keinen anderen plausiblen Verdächtigen gibt. Und nicht zuletzt, weil die zeitlichen Umstände der rekonstruierbaren Spähattacken darauf hindeuten. Damit steht der Verdacht im Raum, dass Ungarn die Cyberwaffe nicht nur zur Verbrechensbekämpfung und Terroristenjagd eingesetzt hat, sondern auch für einen Anschlag auf die Pressefreiheit. Mutmaßlich mit dem Ziel, potenziellen Kritikern und Aufklärern einen Schritt voraus zu sein und so die Macht der Regierung zu stützen. Die ungarische Regierung ging auf Nachfrage nicht im Detail auf die Vorwürfe ein, das Büro des Ministerpräsidenten teilte lediglich mit, Ungarn halte sich an Recht und Gesetz. Die "Datensammlung" sei ihr nicht bekannt.

Angriff auf die Pressefreiheit: Ungarische Journalisten mit Spähsoftware überwacht

Artikelzusammenfassung

Jetzt teilen auf: