piwik no script img

Israelischer Hacker über Pegasus und NSO„Sie sind skrupellos“

Gegen hochentwickelte Cyberwaffen wie Pegasus hat man keine Chance, sagt Aktivist Yuval Adam. Die Angriffe sind für ihn nicht überraschend.

Wissenschaftler wappnen sich im Raum „Cyber Range“ gegen Angriffe Foto: Frank Rumpenhorst/dpa
Interview von Marina Klimchuk

taz: Herr Adam, ist der Missbrauch der Spionagesoftware Pegasus eine Überraschung?

Yuval Adam: Niemand, der über längere Zeit hinweg im Bereich der Cybersicherheit arbeitet, ist überrascht. Für uns ist das wirklich eine alte Leier. Gerade jetzt wurden eben großflächig Telefonnummern aus einem Datenpool geleakt, deshalb der aktuelle Skandal. Die NSO Group und ähnliche Unternehmen, sowohl israelische als auch internationale, existieren aber nicht erst seit gestern. Man bastelt seit Jahren Spähsoftware wie Pegasus, um sie dann zu missbrauchen.

Erst letzte Woche enttarnte die digitale Platform CitizenLab, wie das kleinere israelische Unternehmen Candiru Spyware an Regierungen verkauft und möglicherweise sogar mit der NSO zusammenarbeitet. Beide helfen Staaten, Menschenrechtler, Regimekritiker, Journalisten, Aktivisten und Politiker auszuspähen. Das Besondere an der NSO ist, dass es das größte dieser Unternehmen ist. Sie ist skrupellos und geht am aggressivsten vor. Damit schafft sie es immer wieder in die Öffentlichkeit.

Wie schützt man sich vor solchen Angriffen?

Das ist bei so einer leistungsfähigen Software wie Pegasus schwierig. Ich selbst habe vor Jahren die CryptoParty in Israel gegründet: Das ist eine globale Bewegung mit dem Ziel, sich gegenseitig auf unkommerzieller Freiwilligenbasis Verschlüsselungs- und Verschleierungstechniken beizubringen. Damit lernt man, sich besser vor Cyber­angriffen zu schützen.

Im Interview: Yuval Adam

arbeitet im Bereich der Cyber-Technologie und ist Aktivist für ­digitale Bürgerrechte mit Sitz in Tel Aviv. Er will Bür­ge­r:in­nen freien Zugang zu Software und Quellcodes für ihre politischen Aktivitäten ermöglichen.

Wir arbeiten nicht nur mit Individuen, sondern führen auch Workshops für Aktivisten und Menschenrechtsorganisationen durch, die hier besonders gefährdet sind. Aber die NSO arbeitet mit hochentwickelten Cyberwaffen, die Mobiltelefone infiltrieren, ohne dass man sich davor irgendwie schützen kann. Menschen und Organisationen, die von Cyberangriffen gefährdet sind, können zwar Vorkehrungen treffen, aber Attacken wie die der NSO abzuwenden, ist beinahe unmöglich. Es wäre eigentlich Aufgabe der jeweiligen Regierungen, sicherzustellen, dass die Zivilgesellschaft geschützt wird. So etwas bedarf aber einer strengen Regulierung und Kontrolle.

Tun die Regierungen nicht genau das Gegenteil?

Genau. Und die NSO hat kein Problem damit. Sie ist bereit, ihre Software an jeden zu verkaufen, der sie haben will – auch wenn das Staaten wie Saudi-Arabien oder Bahrain sind, die Menschenrechte mit Füßen treten. Was interessant ist und am Sonntag auf Twitter intensiv diskutiert wurde: Warum kommt Pegasus in Israel und den USA nicht zum Einsatz? Das mag einfach daran liegen, dass die Spähsoftware hier nicht mehr benötigt wird. Man hat schon genug Ressourcen, um Menschen auszuspionieren.

Die israelische Militäreinheit „8200“ ist vergleichbar mit dem US-Geheimdienst NSA und ist neben Abhörtätigkeiten auch für Cybersicherheit zuständig. Es sieht so aus, als würde NSO Pegasus nur an Länder verkaufen, die diese Ressourcen noch nicht haben.

Wie viel ist davon der israelischen Regierung bekannt?

In Israel ist die Symbiose zwischen dem Verteidigungsministerium und der NSO ein offenes Geheimnis. Man weiß, dass sich staatliche Abhöraktionen der Regierung und ihre Zusammenarbeit mit Unternehmen wie der NSO stark überschneiden. Die NSO kam bisher mit allen ihren Skandalen ungeschoren davon. Das ist kein Zufall. Aber hoffentlich wird es dieses Mal anders und sie wird einen Schaden davontragen.

Meiner Meinung nach ist das Vorgehen der ­israelischen Behörden in der nächsten Zeit entscheidend. Angeblich werden die Aktivitäten der NSO vom Verteidigungsministerium reguliert. Aber wie effektiv ist das tatsächlich? Welche Beziehungen herrschen zwischen den beiden? Darüber wissen wir zu wenig.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

11 Kommentare

 / 
  • "keine Chance"

    Sorry, aber das ist nicht wahr. Wenn man keine Ahnung hat, dann hat man vermutlich keine Chance, aber man kann sich aus öffentlich zugänglichen Quellen erlesen, wie Pegasus funktioniert. Eine Möglichkeit, nicht von Pegasus infiziert zu werden ist: keine SIM Karte ins Handy, welches nicht infiziert werden soll, denn über manipulierte Sendemasten können die Daten auf dem Gerät eingeschleust werden. Wer unbedingt telefonieren will, muss Internettelefonie nutzen, über offene WLANs oder aktivierte Prepaid SIM Karten, deren Nummern nicht bekannt ist. Immer an unterschiedlichen Orten 1GB Karten kaufen, nach Verbrauch des 1GB sofort wegschmeißen. Wenn man dann keinen Spitzel in der Umgebung hat, der das Gerät händisch manipuliert, ist man vor Pegasus sicher. Aber selbst dann nimmt man eine aktuelle App, die Spuren der erhältlichen Spyware erkennen kann. Ansonsten immer sofort alle Sicherheitsupdates installieren. Ist für mich Standard diese Handhabe.

    Nur ohne Medienkompetenz hat man keine Chance. Vielleicht sollte man einen Internetführerschein einführen. Nur wer weiß, wie er nicht geloggt, ausgespäht und überwacht werden kann, sollte sich in diese gefährliche Welt begeben dürfen. Aufgrund von Deepfakes kann man jedes Verbrechen produzieren und damit jeden Menschen vorführen, der sich dagegen nicht zu wehren weiß und in gewissen Ländern lebenslang wegsperren oder hinrichten lassen. Das Internet ist der gefährlichste Ort der Welt und ich verstehe mittlerweile nicht mehr, wieso wir jeden ohne jede Kompetenz in diese Welt lassen und uns dann wundern, wenn die Masse denkt, sie hätte ja eh keine Chance vor Überwachung.

    • @LennyZ:

      Ich bin noch ein Schritt weiter gegangen. Ich habe extra einen Handyvertrag auf meinen Name abgeschlossen. Handy in der Nähe an der Bushaltestelle liegen gelassen. Natürlich ohne PIN. Und jetzt tracken alle den "ehrlichen" Finder, während ich gar keine Handy habe. Super nicht?!

  • Der einzige Angriffsvektor, vor dem man sich als Endanwender nicht wirklich schützen kann, sind Zero-Day-Schwachstellen, also solche, die nicht mal den Herstellern wie Apple und co. bekannt sind, die also auch nicht geflickt werden.

    Diese halten allerdings nicht ewig, sondern irgendwann stößt jemand darauf und es gibt Sicherheitsupdates. Die sollte man dann umgehend installieren. Uralt-Software ist das Einfallstor Nummer Eins. Es ist ein ständiges Wettrennen zwischen denen, die die Zero Days finden, und denen, die sie patchen. Ganz vermeiden kann man das nur durch Smartphone- oder Internet-Abstinenz.

    Das Abhören und Ausspähen kann man den Angreifern aber schon schwerer machen: Kameras abkleben, Mikrofonblocker oder Blindstecker, häufiges Verwenden des Flugmodus, Handy nachts ausschalten, nicht mit sich rumtragen (oder Faraday-Tasche verwenden), keine persönlichen Daten auf den Ding speichern. Und bitte kein Alexa oder ähnliches - die Dinger sind Wanzen.

    Schützen kann man sich in hohem Maße gegen kriminelle E-Mails bzw. Phishing (SMS bei Smartphones) - hier muß man einfach Bescheid wissen und aufpassen.

    Gegen Packet Insertion / Man-In-The-Middle-Angriffe beim Provider oder via gefälschtem Mobilfunktower oder WLAN-Access-Point hilft Ende-zu-Ende-Verschlüsselung - "HTTPS Everywhere", "DNS over HTTPS", "STARTTLS" bzw. E-Mail über TLS oder Mailverschlüsselung usw. Auch ein VPN würde hier funktionieren.

    Moderne Verschlüsselungsalgorithmen wie AES sind generell nicht ohne weiteres zu knacken. Ist also noch keine Malware auf dem Handy und verwendet man ein VPN, ist das eigene Gerät relativ sicher. Was mit den Nachrichten passiert, die man anderen schickt, weiß man natürlich nie. Schlußfolgerung: Weniger Nachrichten verschicken!

    Firmen ab einer gewissen Größe können sich mit Firewalls schützen. Moderne hochkalibrige Geräte sind aber schon mal so teuer wie ein Auto.

    • @kditd:

      P.S.: Auf jedem PC oder Laptop sollte eine Host-Based Firewall und ein (aktueller!) Virenschutz laufen. Windows 10 bringt diese Dinge bereits mit. Die sollten immer eingeschaltet sein.

  • Um solche Software auf Smartphones oder Rechner zu bekommen, braucht man Sicherheitslücken. Auch sog. "Rechtsstaaten" wie USA und Deutschland sorgen auf mehrere Arten dafür, dass es einen Markt für Sicherheitslücken gibt und kaufen auf diesem, zb für Staatstrojaner.

    Bald ist Wahl: Bei mir kommt keine Partei in Frage, die es für vertretbar hält, Schadsoftware gegen die eigene Bevölkerung einzusetzen.

    • @uvw:

      uih dann ist die verfügbare Wahloption gleich wie hoch?

  • Zum Fürchten aufschlussreich, dass demokratisch verfasster Länder, wie Israel, USA, Deutschland, EU Länder eigene Zivilbevölkerung, Wirtschaft als User*nnen moderner Kommunikation digitalisierter Hardware Geräte, IPhones, Smartphones der Ausbeutung durch Dritte, seien es staatliche, private Akteuren*nnen, schutzlos überlassen, personenbezogen sensible Daten durch Spionagesoftware abzugreifen, anders als zumindest bei biochemischen Waffen, keine Ächtung und Verbot durch Uno einzuforder?. Ohne Deal auf Gegenseitigkeit, nur um dabei zu sein, wie in Koalition Williger in uneingeschränkter Solidarität mit den USA nach Nine Eleven 2001 in Afghanistan im sog. Krieg gegen internationalen Terrorismus, zulasten eigener Bevölkerung, Wirtschaft und Staatshaushalte, u. a. Kostenaufwand nach Cyberattacken, kann ich mir das kaum vorstellen?

  • Sehr spannend. Sollte uns vielleicht wieder daran erinnern, dass das "Fangen" irgendwelcher "Krimineller" jedweder Couleur nicht das Flächenbombardement des Kommunikationsgeheimnisses rechtfertigt.

    Gell, deutsche Regierung?

  • Kommentar entfernt. Bitte halten Sie sich an die Netiquette.

    Die Moderation

     
  • Vielen Dank für das Interview!

    • @Grauton:

      anschließe mich.

      (Svennieboy - un nu komms du!;)((