Betrifft Pegasus uns alle? Darum ist die Spyware so gefährlich

Auf die NSO Group und ihre Spyware Pegasus hatten Sicherheitsbehörden schon länger ein Auge. Im Juli 2021 wurde jedoch klar, dass das israelische Unternehmen Regierungen die Möglichkeit bietet, Journalisten, Politiker und Menschenrechtler auszuspionieren. Die Software, die eigentlich der Terrorbekämpfung dienen sollte, wurde somit zum Machtwerkzeug totalitärer Regierungen.

Aber die meisten von uns sind keine Aktivisten oder Journalisten, die über korrupte Regierungen berichten wollen. Dennoch warnt WhatsApp-CEO Will Cathcart davor, die Gefahr, die von Pegasus ausgeht, nur auf einen kleinen Kreis an Akteuren zu beziehen. Eine Aussage, der viele NextPit-Leser zustimmen.

Aber warum sollte ich mir Sorgen machen, wenn ich weder Enthüllungsjournalist, noch Politiker und auch kein Menschenrechtler bin? Hierfür habe ich mit Experten für Cyber-Security gesprochen und herausgefunden, dass die Gefahr von Pegasus nicht nur politischer oder gar symbolischer Natur ist.

Um die wahre Gefahr hinter Pegasus zu verstehen, müssen wir aber erst einmal herausfinden, wie die NSO Group und Pegasus selbst arbeiten. Schließlich sind unsere Handys doch sicher, oder etwa nicht?

Wie Pegasus funktioniert und was die Spyware ermöglicht

Pegasus ist ein Trojaner, der schon im Jahr 2016 von einem Menschenrechtsaktivisten entdeckt worden ist. Dabei veranschaulicht seine Entdeckung sehr gut, wie die Spyware neue Geräte infiltriert. Ahmed Mansoor erhielt 2016 eine SMS, die ihm laut Citizen Lab neue Informationen zu Menschenrechtsverletzungen versprach. Um die Hinweise zu sehen, sollte er einem Link auf eine ihm unbekannte Webseite folgen.

Statt dieser Aufforderung Folge zu leisten, leitete er die SMS an die Forscher von Citizen Lab weiter. Und diese konnten diesen Einzelfall früheren Fällen zuordnen, die auf dieselbe Domain verwiesen. Wie bei einer Phishing-Mail oder in den jüngsten Fällen von Smishing in Deutschland, verteilt die NSO Group ihre Spyware also über SMS-Nachrichten. Der Vorteil dabei: Man braucht lediglich die Telefonnummer der Zielperson und ein valides Lockmittel.

Der Besuch der Webseite, den Ahmed Mansoor im Jahr 2016 vermieden hatte, hätte dann gleich eine Reihe an sogenannten "ZETAs" ausgelöst. Damit sind Angriffe auf Zero-Day-Exploits gemeint – Angriffe also, die auf eine bisher unentdeckte Schwachstelle abzielen. Zero-Day-Exploits beschreiben streng genommen Schwachstellen, die an dem Tag ausgenutzt werden, an dem sie auch entdeckt wurden. Wie wir später herausfinden werden, blieben die von Pegasus verwendeten Exploits aber für einen längeren Zeitraum angreifbar.

Im Jahr 2016 nutzte Pegasus gleich drei Zero-Day-Exploits aus (genaue Details in den Quellen), die letztendlich einen Jailbreak ermöglichten. Unter iOS gewährt ein Jailbreak einen uneingeschränkten Zugriff auf die meisten Funktionen eines iPhones oder iPads. Dieser "versteckte Jailbreak" ließ sich durch den Nutzer kaum erkennen. Es öffnete sich lediglich kurz der Browser Safari und daraufhin installierte sich die eigentliche Spyware "Pegasus".

Video-Tipp von "Rene Ritchie": Sind iPhones durch Pegasus unsicher?

Diese Installation hatte noch eine ziemlich gewitzte Folge: Pegasus deaktivierte die automatischen Aktualisierungen von iOS. So konnte ein Update die ausgenutzten Sicherheitslücken nicht mehr schließen – das kompromittierte Gerät blieb also angreifbar.

Darauf folgte das Einrichten einer verschlüsselten Verbindung zu einem Server der NSO Group – und die Aktivierung eines Selbstzerstörungsmechanismus, um Tracking zu vermeiden.

An dieser Stelle ist es wichtig zu erwähnen, dass bei den bekannten Fällen nicht nur iOS-Geräte betroffen waren. Auch Android-Handys konnten von Pegasus kompromittiert werden – statt eines Jailbreaks wurde über Zero-Day-Exploits dabei Root-Zugriff gewährt. Spannender ist aber, welch vielfältige Daten sich mit Pegasus auslesen lassen.

Diese Daten kann Pegasus aus Smartphones auslesen

Kennt Ihr Euch ein wenig mit iOS und Android aus, haben die Begriffe "Root" und "Jailbreak" sicher schon ein mulmiges Gefühl bei Euch ausgelöst. Denn im Prinzip bleibt einem Angreifer dadurch kaum eine Tür mehr verschlossen. Was Euch selbst ziemlich coole Features ermöglicht, ist in den Händen eines Angreifers ziemlich uncool.

• Android rooten: Die ultimative Anleitung

Denn neben der Aufzeichnung von Gesprächen, dem Kopieren des Adressbuches und dem Zugriff auf Dokumente und Fotos war es im Juli 2021 vor allem das Abhören von Messengern wie WhatsApp, Telegram, Signal & Co., das für Schlagzeilen sorgte. Selbst Schutzfunktionen wie eine Ende-zu-Ende-Verschlüsselung bringen nicht viel, wenn Angreifer die Daten mit Administratorrechten vom Endgerät ziehen können.

Kurz zusammengefasst: Hat Pegasus den Weg auf Euer Handy gefunden, seid Ihr auf gut deutsch "am Arsch". Das ist natürlich besonders kritisch, wenn im Adressbuch Informationen zu geheimen Informanten, Whistleblowern oder sonstigen wichtigen Personen vorhanden sind – oder diese Euch wichtige Infos geschickt haben.

Das Vorhandensein einer Spyware wie Pegasus hat aber weitere Folgen, die weitaus weniger offensichtlich sind.

Darum betrifft Pegasus tatsächlich "uns alle"

Denn als direktes Ziel für Pegasus kommen wahrscheinlich die wenigsten von uns in Frage. Ich bin als Tech-Journalist gänzlich uninteressant für die Regierung Aserbaidschans, und das liegt neben der Irrelevanz meines Daseins auch an einem Faktor: Pegasus ist sauteuer. Somit eignet sich die Software nicht zur Massenüberwachung ganzer Bevölkerungen.

Aber Unternehmen wie die NSO Group konnten als Kundenstamm Staaten und Regierungen gewinnen und rücken damit sehr mächtige Mitspieler auf ein Spielfeld, auf dem sonst eher Cyberkriminelle, Sicherheitsunternehmen und Entwickler stehen.

Nachfolgend zeige ich zwei Dimensionen auf, die sich im Gespräch mit zwei Sicherheitsexperten als Konsequenzen für alle Internet- und Handynutzer herausgestellt haben. Da NextPit ein Tech-Magazin ist, gehe ich dabei bewusst nicht auf die politische Dimension ein, die seit den Enthüllungen im Juli viel diskutiert wird. Interessiert Euch das, möchte ich Euch an die Kollegen der Süddeutschen Zeitung weiterleiten. 

Exploit-Brokering birgt große Gefahren

Regierungen und Staaten bringen nicht nur ein sehr großes Interesse an bestimmten Informationen mit. Sie haben auch noch sehr viel Geld. Laut dem Sicherheitsunternehmen Lookout kostet ein Ziel auf dem Pegasus-Überwachungsmenü im Schnitt 25.000 US-Dollar. In einem Fall soll die NSO Group sogar 300 Lizenzen für stolze 8 Millionen US-Dollar verkauft haben.

Dem Unternehmen steht also ein millionenschweres Budget zur Verfügung, um die bereits erwähnten Zero-Day-Exploits auf dem Schwarzmarkt zu kaufen. Wie mir Bodgan "Bob" Botezatu, Director für Threat Research bei Bitdefender, im Gespräch lehrte, nennt man diesen Handel "exploit-brokering". Und Mitbieter wie die NSO Group sorgen dabei für mehrere Probleme.

Denn zum einen verringert es die Wahrscheinlichkeit, dass ein Sicherheitsunternehmen oder gar ein Entwickler selbst an Informationen zu kritischen Schwachstellen gelangt. Denn schließlich sei es nicht immer die Ethik, die Hacker und Entdecker solcher Schwachstellen im Netz antreibt, so Bob ein wenig zynisch.

Unternehmen wie die NSO Group profitieren zum anderen davon, dass die Schwachstellen möglichst lange offen bleiben. Sie wollen die Sicherheitslücken ja schließlich ausnutzen. Und auch wenn die NSO Group die heiße Ware nicht publik macht, bleiben die Schwachstellen geöffnet. Dadurch bleiben sie nicht nur nutzbar, sondern auch von anderen Hackern und Angreifern entdeckbar – ein großes Sicherheitsrisiko.

Während es die NSO Group also mit ihrem Kundenstamm nicht auf eine Vielzahl an Nutzern absieht, gibt es durchaus Unternehmen und Angreifer, die genau das tun. Ein Beispiel, so Bob sehr anschaulich, war das Bekanntwerden einer kritischen Sicherheitslücke im SMB-Protokolls – einem Protokoll zur Freigabe von Netzwerkdateien.

Eine Unterabteilung der US-amerikanischen NSA hatte hatte diese Schwachstelle fünf Jahre lang zur Überwachung bestimmter Personen genutzt. Der als "EternalBlue" bezeichnete Exploit wurde letztendlich von einer Gruppe namens "The Shadow Brokers" gestohlen und stückweise im Netz veröffentlicht. Die NSA war gezwungen, die Schwachstelle an Microsoft zu melden.

Unschuldig sein heißt nicht, niemals unter Verdacht zu stehen

Bob sprach noch ein zweites Thema an, das ich in Bezug auf Pegasus sehr interessant fand. Wie schon ein Leser in meiner Umfrage zur Spyware kommentierte, hört man beim Datenschutz häufig folgendes Argument: Wenn ich nichts zu verbergen habe, kann ich ja ruhig abgehört werden. Allerdings ist diese Einstellung ziemlich gefährlich.

Denn womöglich müsst Ihr auf einer Reise nur am berühmten "falschen Zeitpunkt am falschen Ort" zu sein und schon seid Ihr ein potenzielles Ziel für eine Überwachungs-Software. Und selbst wenn auf Eurem Handy keine kritischen Informationen zu finden sind: Pegasus tauscht die Schlösser der Türen nicht aus, die es beim Angriff aufbrechen musste. So warnt Bob: "Wurde Euer Handy gerootet oder gejailbreakt, dann bleibt das auch so."

Zusammen mit dem Aussetzen der Software-Updates ist Euer Smartphone nach einem Spyware-Angriff also weitestgehend ungeschützt. Zwar möchten Regierungen vielleicht nur nach geheimen Informationen suchen, die sie bei Euch nicht finden. Doch die Tür steht auch offen für Cyber-Kriminelle, die es auf Eure Bankdaten und Passwörter abgesehen haben.

Auch wenn Ihr Euch nicht als Ziel von Pegasus seht, ist es also wichtig, sich gegen derartige Spyware zu schützen.

So schützt Ihr Euch gegen Pegasus & Co.

Nach all dieser Schwarzmalerei müssen wir laut Filip Chytry sogar noch einen dunkleren Farbton anstimmen. Denn der Sicherheitsexperte warnt: Der Aufschrei in den Medien um Pegasus ist vor allem so groß, da es um politische Persönlichkeiten gehe und "große Namen" damit verbunden seien.

Die Zeit Online berichtete am 20. Juli 2021, dass selbst hohe Politiker wie Emmanuel Macron oder der irakische Präsident Barham Salih mithilfe von Pegasus ausgespäht worden seien. Auch die Telefonnummern von Freunden des ermordeten Journalisten Jamal Khashoggi wurden auf den Listen der NSO Group gefunden.

Bedeutet: Über Pegasus wurde vor allem so viel berichtet, da es eine gute Story ist. Die Spitze eines Eisbergs, zu dem viele weitere Unternehmen mit ähnlichem Geschäftsmodell zählen. Filip wies diesbezüglich auf die Software FinFisher hin, auf die ich aus Platzgründen nicht weiter eingehe. Das Thema FinFisher ist aber echt spannend, also lest bei Interesse gerne bei den Kollegen von T3N weiter.

Die Probleme, auf die ich in diesem Artikel eingegangen bin und die beide Sicherheitsexperten im Gespräch unabhängig voneinander erwähnten, weisen auf ein systemisches Problem hin. Sich mit dem eigenen Datenschutz zu beschäftigen, ist also mal wieder wichtiger als je zuvor.

• Lesetipp: So lange gibt's Android-Updates bei Samsung, Xiaomi & Co.!

Zu prüfen, ob Pegasus schon einmal auf Eurem Handy gewütet hat, ist 100%ig nicht ganz so einfach festzustellen. Erst einmal könnt Ihr natürlich beobachten, ob sich Euer Handy die aktuellen Sicherheitsupdates gezogen hat. Ist dies nicht der Fall, solltet Ihr zumindest Verdacht schöpfen.

Amnesty hat für iPhones ein Tool entwickelt, mit dem sich Backups unter MacOS auf Spuren von Pegasus prüfen lassen. Das ganze Prozedere ist aber recht kompliziert und benötigt ein wenig Übung im Umgang mit dem Terminal unter MacOS. Habt Ihr Lust, Euch weiter damit zu beschäftigen? Dann schaut doch einmal bei den Kollegen von Heise vorbei. Dort findet Ihr eine lange, aber ziemlich leicht verständliche Anleitung zu dem Thema.

Davon abgesehen geben die beiden Sicherheitsexperten vor allem einen echt simplen Tipp: Haltet Euer Handy und die darauf installierten Apps auf dem neusten Stand. Das Prokrastinieren von Updates ist eine schlechte Idee. Laut unserer Umfrage im Juni machen das aber ohnehin die wenigsten von Euch. Aus den weiteren Tipps von Bob Botezatu und Filip Chytry habe ich eine kurze Checkliste zusammengetippt:

Sicherheits-Checkliste: So schützt Ihr Euch gegen Spyware

1. Installiert Updates direkt, wenn sie verfügbar sind
2. Aktiviert automatische App-Updates
3. Prüft installierte APK-Versionen von Apps regelmäßig auf Updates
4. Vor Reisen ins Ausland: Prüft daheim noch einmal, ob es ein neues Sicherheits-Update gibt – verreist Ihr in ein Land, in dem Ihr Euch um eine Überwachung sorgt, besorgt Euch ein günstiges Zweit-Handy, das Ihr anschließend wegschmeißen könnt
5. Öffnet niemals Links aus Quellen, denen Ihr nicht vertraut

Gerade Bobs Tipp, sich ein "Bumper-Phone" – also ein Wegwerfhandy – anzuschaffen, wirkt wie aus einem Hollywoodfilm. Ein Blick auf die Konsequenzen, die Spyware wie Pegasus für die zukünftige Sicherheit Eures Handys hat, ist dieser Hinweis aber gar nicht so abwegig. Zusätzlich schützt Euch auch die Installation einer Sicherheits-Software auf dem Handy.

• Das sind die besten Android-Smartphones unter 200 Euro

Laut Bob nutzen viele Sicherheitslösungen – darunter auch sein Arbeitgeber Bitdefender – künstliche Intelligenz, um Anomalien im Datenverkehr und im Verhalten bestimmter Apps zu erkennen. Selbst wenn eine neue Spyware noch nicht bekannt und die Signatur somit noch nicht in den Datenbanken von Sicherheitsunternehmen vorhanden ist, erhaltet Ihr dann eine Warnung und könnt Euch schützen.

Fazit: Viele gefährden, um viele zu schützen?

Die Existenz von Spyware wie Pegasus, die gerne auch als "Staatstrojaner" bezeichnet wird, deutet auf einen Widerspruch in der Cyber-Sicherheit hin. Denn um die Kommunikation bestimmter Personen zu überwachen, wird die Sicherheit unzähliger Nutzer von Smartphones und PCs aufs Spiel gesetzt.

Dabei gibt es nicht nur direkte Konsequenzen wie die Gefahr, sich selbst auf dem privaten Smartphone einen Trojaner einzufangen. Viel mehr sind es die latenten Folgen, wie dass Sicherheitslücken viel später geschlossen werden, die jeden von uns betreffen. Auch das Anfüttern eines Marktes, in dem Zero-Day-Exploits an Spyware-Entwickler verkauft werden, sorgt für mehr Unsicherheit in der Nutzung von Betriebssystemen und Apps.

Pegasus ist dabei ein Extremfall, da die Überwachung nicht nur dem Schutz der Demokratie, sondern der Sicherung autoritärer Regime diente. Das Argument, man habe als "unschuldiger Bürger" in einem demokratischen Land wie Deutschland nichts zu verbergen oder Pegasus sei so teuer, dass nur wirklich relevante Personen ausspioniert werden, zählt also nicht.

"Pegasus betrifft uns alle" – wenn nicht in seinen direkten Folgen, dann in den Auswirkungen, die solche Spyware und der Handel mit Exploits auf die gesamte Cyber-Sicherheit hat. 

Quellen

• WhatsApp-Chef über Pegasus: „Das betrifft uns alle" – Frankfurter Allgemeine Zeitung
• The Million Dollar Dissident NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender – Citizenlab
• Technical Analysis of Pegasus – Lookout (PDF-Datei)
• Revealed: leak uncovers global abuse of cyber-surveillance weapon – The Guardian
• Zero-Day-Exploits, die Pegasus im Jahr 2016 nutzte: CVE-2016-4657, CVE-2016-4655, CVE-2016-4656
• Pegasus: Android-Version des raffinierten Staatstrojaners aufgetaucht – Heise.de
• Übersicht der Artikel über das Pegasus-Projekt – Süddeutsche Zeitung
• What is EternalBlue? – Avast.com
• Durchsuchungen: Finfisher soll unerlaubt Staatstrojaner exportiert haben – T3N
• Frankreichs Präsident Macron im Visier der Spione – Zeit Online
• Bildquelle: Shutterstock