#Das Auge der NSO

Beim Abhören ist es praktisch, wenn auf vorhandene Infrastruktur zurückgegriffen werden kann. Das Smartphone – fast jeder hat eins, meist 24 Stunden bei sich, fast durchgehend ist es mit dem Internet verbunden – ­bietet, ähnlich wie portable Computer und Tablets, die ideale Angriffsfläche für Abhöraktionen. Der Anti­viren-Software-Unternehmer Jewgeni Kasperski erzählte schon 2017, er trage ein altes Nokia-Handy bei sich. Es sei kaum zu prüfen, ob ein Smartphone wirklich ausgeschaltet sei.

Ein Recherchenetzwerk unter der Führung der französischen Non­Profit-Organisation Forbidden Stories des Investigativjournalisten Laurent Richard hat nun Teile einer großangelegten Recherche zu solchen Abhörmaßnahmen veröffentlicht. Sie belegt, wie mindestens zehn Länder, darunter Ungarn, Saudi-Arabien, Kasachstan, Aserbaidschan, Mexiko und Indien mit Hilfe der Spionage-Software Pegasus der israelischen Firma NSO Group die Smartphones von Journalisten, Aktivisten und Oppositionspolitikern in Überwachungsmaschinen verwandelt haben. Im bisher prominentesten Fall soll die Regierung Saudi-Arabiens das Umfeld des 2018 in Istanbul ermordeten Journalisten Jamal Khashoggi vor und nach dem Mord abgehört haben. In Indien soll, wie der Guardian berichtet, der Rivale des Premierministers Narendra Modi, Rahul Gandhi, unter den für die Pegasus-Überwachung Avisierten sein.

Die Recherche, die am Montag gleichzeitig in mehreren internationalen Medien veröffentlich wurde (in Deutschland sind der Recherche-Verbund aus NDR, WDR und Süddeutscher Zeitung sowie Die Zeit beteiligt), stützt sich auf geleakte Daten, die Forbidden Stories und Amnesty International zugespielt worden sind. Es handele sich um eine Liste mit mehr als 50.000 Telefonnummern, die seit 2016 als mögliche Ziele für staatliche Überwachung ausgesucht worden seien, um sie mit Pegasus auszuspionieren.

Auch demokratische Staaten unter den Kunden

Die NSO Group hatte schon zuvor beteuert, sie verkaufe ihre Software nur staatlichen Institutionen, die vorher geprüft würden. Nachzuweisen ist die Software laut Guardian in mehr als fünfzig Ländern. Auch demokratische Staaten wie Spanien und die Niederlande seien unter den mutmaßlichen Kunden. Wie die SZ berichtet, habe man bei NSO auch versucht, sein Produkt an deutsche Behörden zu verkaufen. Offiziell habe man dabei aber zumindest bei den Polizeien der Länder kein Erfolg gehabt. Dennoch forderte der Deutsche Journalisten-Verband am Montag von „deutschen Sicherheitsbehörden und den Geheimdiensten Auskunft darüber, ob die Pegasus-Spähsoftware gegen deutsche Journalisten eingesetzt wurde“.

Um Pegasus einzusetzen, muss der jeweilige Anwender, zum Beispiel der Geheimdienst eines Landes, das Smartphone über die Telefonnummer anvisieren. Dann muss er es über verschiedene Türen probieren: Das System kann ein Handy-Netz simulieren, mit dem sich das Smartphone verbindet, was zur Folge hat, dass der Verkehr über NSO-Server gelenkt wird, von denen sich die Spähsoftware aufspielt. Oder aber ein manipulierter Link wird per Nachricht an den Empfänger gesandt, der beim Anklicken dafür sorgt, dass Pegasus auf das Telefon geladen wird. Doch das sind nur einige Angriffsvektoren. Noch sind längst nicht alle bekannt. Ist das Smartphone mit Pegasus infiziert, hat der Anwender aus der Ferne Zugriff auf verschiedene Funktionen des Geräts. Unter anderem kann er Chat-Nachrichten lesen (selbst verschlüsselte), er kann den Kalender einsehen, Passwörter auslesen, Gespräche mitschneiden und das Mikrofon ansteuern. Sich gegen die Software zu schützen ist mit den meisten gebräuchlichen Smartphones schwer – wer sich nicht sicher ist oder gar den Verdacht hat, er werde ausgespäht, kann sich an das Amnesty International Security Lab wenden.

In einer Stellungnahme vom Sonntag ging die NSO Group zum Gegenangriff über: Der Bericht von „Forbidden Stories“ sei „voll von falschen Annahmen und unbestätigten Theorien, die ernsthafte Zweifel hinsichtlich der Verlässlichkeit und Interessen der Quellen aufkommen lassen“. Deren Informationen hätten „keine faktische Basis und seien fern der Realität“. Man habe die Behauptungen überprüft und weise die „falschen Anschuldigungen zurück“. Auch ziehe man eine Klage wegen Rufschädigung in Betracht. Die Quellen der Berichterstattung hätten vermutlich öffentlich zugängliche Daten wie die des Home Location Registers eines Mobilfunknetzes „irreführend“ interpretiert. Dass die Daten von NSO-Servern stammten, sei eine Lüge, sie hätten dort nie existiert.