Pegasus: BKA kauft Spionage-Software von NSO Group

Kommentare zu folgendem Beitrag: Pegasus: BKA kauft Spionage-Software von NSO Group

Und klar, das BKA soll Horst Seehofer angeblich nicht informiert haben. Der behauptet, er wusste von nichts. Die Aussage ist sehr „überzeugend“ so kurz vor der nächsten Bundestagswahl.

Die beste Strafverfolgung, die man sich kaufen kann, Sire…

Ja, offenkundig …

Das Bundeskriminalamt (BKA) setzt seit diesem Jahr die umstrittene Spionagesoftware Pegasus in Deutschland ein – weil die selbst entwickelte Software zur Handyüberwachung scheiterte. Das gestanden Behördenvertreter am Dienstag im Innenausschuss des Bundestages ein. Jahrelang und mit großem Aufwand hatte das Bundeskriminalamt versucht, eine eigene Software zu entwickeln, um Handys von Verdächtigen aus der Ferne überwachen zu können. Das in der Öffentlichkeit Staatstrojaner genannte Spionagewerkzeug funktioniert im Prinzip auch, doch gelingt es dem BKA bis heute nicht, diesen Trojaner heimlich auf die Handys der Verdächtigen zu spielen. Zu unterschiedlich, zu komplex und zu gut gesichert sind die mobilen Betriebssysteme offenbar. Das zumindest sagten Behördenvertreter im Innenausschuss. Sie wollten damit rechtfertigen, dass sie einen noch viel umstritteneren Spähtrojaner nutzen: die Software Pegasus der israelischen Firma NSO Group

Die ist seit Jahren weltweit berüchtigt. Das Spionagewerkzeug ist so mächtig, dass viele Regierungen der Versuchung nicht widerstehen können und es missbrauchen. Erst im Juli wurde durch die Recherchen von Amnesty International und einem internationalen Journalistenkonsortium, dem unter anderem DIE ZEIT angehört, bekannt, wie umfassend dieser Missbrauch der Software ist. Menschenrechtsaktivistinnen, Journalisten und Oppositionelle werden in diversen Ländern mit Pegasus ausgespäht. Zu den Opfern zählen aber auch Staats- und Regierungschefs, etliche Minister sowie hochrangige Diplomaten. Die technische Analyse zahlreicher Mobiltelefone von Betroffenen belegte, dass sie mithilfe der Software angegriffen und teilweise über Jahre überwacht worden waren.

NSO verkauft sein System nur an Regierungen und staatliche Organisationen. Das Unternehmen erklärt immer wieder, Pegasus diene allein dazu, Terroristen und Kriminelle zu fangen und dass man sich strengen Kontrollen unterwerfe, um solchen Missbrauch zu verhindern. Die Recherche zeigte jedoch, dass diese Kontrollen nicht funktionieren.

Abgespeckte Version für das BKA

Die Juristen im BKA hatten denn auch Bedenken, zumindest am Anfang des Kontaktes mit NSO. Im Jahr 2017 hatte die Firma ihre Wunderwaffe dem Bundeskriminalamt das erste Mal vorgeführt. Damals seien die Beamten begeistert gewesen, berichteten Teilnehmer der Veranstaltung. Die Rechtsexperten aber waren besorgt, weil Pegasus viel mehr kann, als deutsches Recht den Behörden erlaubt. Zwei Jahre später entschied sich die Vizepräsidentin des BKA, Martina Link, Pegasus trotzdem für einen einstelligen Millionenbetrag zu kaufen. 2019 startete das Beschaffungsverfahren, die Abnahme der extra für das BKA entwickelten Version erfolgte im Herbst 2020.

Vorangegangen waren längere Verhandlungen. NSO habe in deren Verlauf zugestimmt, eine Version mit eingeschränkten Funktionen zu liefern, soll BKA-Vizepräsidentin Martina Link nun im Innenausschuss gesagt haben. So hatte das BKA demnach gefordert, dass sämtliche Einsätze protokolliert und gespeichert werden, damit Aufsichtsbehörden wie der Bundesdatenschutzbeauftragte nachträglich überprüfen können, was der Trojaner alles gesehen und kopiert habe.

Auch eine weitere deutsche Besonderheit sollte Pegasus nun berücksichtigen: Deutsche Gesetze erfordern eine technische Trennung zwischen der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und der Onlinedurchsuchung. Bei der Quellen-TKÜ lesen Ermittler die eigentlich verschlüsselte Kommunikation direkt an der Quelle mit. Bei der Onlinedurchsuchung werden Daten kopiert, also vom Gerät abgesaugt. In Deutschland dürfen diese beiden Ermittlungsinstrumente nur unabhängig voneinander angewendet werden. Zudem dürfen keinerlei Informationen aus dem „Kernbereich der privaten Lebensführung“ überwacht werden. Nacktbilder beispielsweise darf das BKA nicht absaugen.

Pegasus kennt diese deutschen Rechtsunterschiede nicht. Ist die israelische Software auf einem Handy heimlich eingeschleust worden, übernimmt sie das Gerät vollständig. Sie kann alle Daten lesen, verändern und an die Überwacher verschicken. Sie kann unbemerkt Mikrofon und Kamera einschalten, Standortdaten abrufen und sämtliche Nachrichten mitlesen, noch bevor sie verschlüsselt werden. Die Software sammelt alles ein, was sie finden kann. In der deutschen Pegasus-Version habe man den Schutz des Kernbereichs durch eine sofortige und separate Datenlöschung sichergestellt, so das BKA. Diese Löschfunktion sei nachträglich in Pegasus eingebaut worden.

Pegasus könne in Deutschland auch nicht wie sonst üblich im Einsatz aktualisiert werden. Normalerweise verschickt NSO neue Konfigurationsdateien und kann so den Trojaner auf dem Zielgerät anpassen – beispielsweise, wenn neue Funktionen verfügbar sind. Die abgespeckte Version erlaube das nicht, hieß es im Innenausschuss. Pegasus müsse bei jeder Änderung jedes Mal neu auf das Handy aufgespielt werden. Allerdings sind das nicht die einzigen Probleme. NSO verkauft den Behörden zwar seinen Trojaner. Die technische Infrastruktur aber, durch die dieser Trojaner auf die Zielhandys gespielt wird, baut das Unternehmen selbst und es kontrolliert sie auch. Seit Jahren untersucht beispielsweise das Citizen Lab, ein IT-Labor der kanadischen Universität Toronto, genau diese NSO-Server im Internet. So konnte das Labor nachweisen, in welchen Ländern das Spähwerkzeug eingesetzt wird. Das aber bedeutet, dass NSO genau weiß, welcher Kunde damit welches Handy angreift. Das Unternehmen legt Wert auf die Feststellung, dass man bei Überwachungen nicht live zuschaue. Man könne jedoch nachträglich prüfen, ob Kunden das Werkzeug vertragsgemäß eingesetzt hätten.

Weiß also NSO, für welche Menschen sich das BKA interessiert? Nein, behauptete die Behörde nun wohl im Innenausschuss. Die Telefonnummern der Ziele würden nur „gehasht“ übermittelt, habe es geheißen. Man sende nicht die eigentliche Nummer, sondern nur einen jeder Nummer zugeordneten Codewert. Doch wie genau das passiert und was genau NSO dabei sieht, blieb offen. Man habe vertraglich vereinbart, dass keine sensiblen Daten oder irgendetwas Rückverfolgbares an die israelische Firma gehe, habe Link im Innenausschuss gesagt. Wie aber soll das technisch funktionieren? Wenn BKA-Beamte sehen, dass Pegasus beispielsweise Nacktbilder kopiert hat, können sie diese nun zwar löschen. Zuvor aber sind sie bereits über die Server von NSO verschickt worden. Selbst Daten, die in Deutschland gar nicht von Behörden gespeichert werden dürfen, laufen also zunächst einmal über Server im Netz, die einer Firma im Ausland gehören.

Überhaupt wäre es ein Novum, wenn NSO jede Kontrolle über Pegasus aufgegeben hätte. Die Firma legt großen Wert darauf, wesentliche Teile selbst zu warten und zu verwalten – schließlich investiert NSO enorme Summen darin, technische Schwachstellen zu finden und zu kaufen, mit deren Hilfe sie in die Handys eindringen kann. Allein schon dieser Punkt ist politisch umstritten. Mit der Nutzung solcher Werkzeuge finanziert die Bundesregierung indirekt einen grauen Markt, auf dem Sicherheitslücken gehandelt und offen gehalten werden – statt diese zu schließen und die Technik für alle sicherer zu machen. Derzeit entscheide die Behörde, die sie nutzt, darüber, ob eine Schwachstelle gemeldet und also geschlossen werde, soll das Bundesinnenministerium im Ausschuss erklärt haben.

Abgeordnete des Bundestages haben ebenfalls Zweifel daran, dass alles so sauber funktioniert, wie es dargestellt wurde. „Das ist eine Auslagerung von staatlichen Eingriffsbefugnissen, hier wird ein Eingriff in den Grundrechtsbereich outgesourct“, sagt Manuel Höferlin, Innenpolitiker und digitalpolitischer Sprecher der FDP-Fraktion. Es sei ungefähr so, als ob man „einen Kopfgeldjäger beauftrage“ und sich darauf verlasse, dass der rechtlich und technisch sauber „in die Häuser von Verdächtigen eindringt“.

Im Jahr 2021 nahm das BKA die umgebaute Pegasus-Version in Betrieb. Das BKA hält sie für verfassungskonform und will sie weiter nutzen, wie es im Innenausschuss hieß. Bislang habe man sie bereits in einer „mittleren einstelligen Zahl“ von Verfahren eingesetzt, einige davon würden noch laufen. Es gehe in ihnen um Terrorismus, um schwere und um organisierte Kriminalität und es handele sich sowohl um Strafverfolgung von Verdächtigen als auch um Verfahren der sogenannten Gefahrenabwehr. Die Entscheidung, wann und gegen wen Pegasus losgelassen werde, treffe die Amtsleitung des BKA in einem Vieraugenprinzip. (Quellen: u.a. Zeit)

Pegasus wird uns noch lange verfolgen. Hier eine Pegasus-Analyse von Googles Project Zero:
https://www.golem.de/news/nso-pegasus-mit-der-logikgatter-vm-im-fax-algorithmus-zum-trojaner-2112-161847.html
Funktioniert ohne Nutzerinteraktion - ein sogenannter Zero-Click-Angriff.

Dort wird aber nur ein Angriff unter Apples iOS beschrieben, der anscheinend iMessage als Einfallstor benutzt und durch einen Fehler im dortigen Parser, ausgeführt werden könnte. Allerdings wurde die Lücke schon am 13.09.2021 gefixt durch Apple!

Hier mal die ProjectZero-Analyse:

https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

Das unser BKA ihre Pegasus-Variante für verfassungskonform hält, zeigt nur einmal mehr, wie sehr DE im Bereich „Digital“ hinterherhinkt…!
Da wir uns in Deutschland doch so gerne die USA als Vorbild nehmen, gerade in solchen Bereichen der Spionage, sollten wir deren Beispiel jetzt erst recht einmal folgen!!
Die USA haben nämlich die NSO Group und ihre Tools Anfang November 2021 auf die interne „Entity List“ gesetzt. Das bedeutet, das US-Firmen extrem eingeschränkt sind beim Business mit der NSO-Group und deren Software!! Siehe auch:

https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

Das US-Handelsministerium schreibt dazu:

Die NSO Group und Candiru (Israel) wurden in die Entitätenliste aufgenommen, basierend auf Beweisen dafür, dass diese Entitäten Spyware entwickelt und an ausländische Regierungen geliefert haben, die diese Tools verwendet haben, um Regierungsbeamte, Journalisten, Geschäftsleute, Aktivisten, Akademiker und Botschaftsmitarbeiter böswillig anzugreifen. Diese Instrumente haben es ausländischen Regierungen auch ermöglicht, transnationale Repressionen durchzuführen. Dies ist die Praxis autoritärer Regierungen, die auf Dissidenten, Journalisten und Aktivisten außerhalb ihrer souveränen Grenzen abzielen, um abweichende Meinungen zum Schweigen zu bringen. Solche Praktiken bedrohen die regelbasierte internationale Ordnung.

Müssen wir Deutsche uns nun tatsächlich etwas von den USA vormachen lassen, hinsichtlich Datenschutz und Menschenrechte…??