Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Pegasus – Staatstrojaner gegen Oppositionelle
Geschrieben: 10.08.2021
Letzte Überarbeitung: 14.02.2022
Stichwörter: Angriffe
Der Skandal
Die israelische Firma NSO verkauft seit Jahren an Regierende aller Welt die Spähsoftware "Pegasus", angeblich zur Bekämpfung von Kriminellen, tatsächlich jedoch auch zur Beobachtung von Oppositionellen, Verfolgung von Regimegegner*innen und Überwachung von Journalist*innen.1 Unter den Betroffenen befinden sich auch der dann inzwischen (2018) gewählte mexikanische Präsident López Obrodor, in dessen Umfeld 40 Personen ausgepäht wurden. Auch der französische Präsident Macron stand auf der Liste. In letzterem Fall stehen die marokkanischen Machthaber im Verdacht, den Spähangriff in Auftrag gegeben zu haben.
Damit wird das Geschäft mit der Spionage privatisiert.2 Für genügend Geld können Diktator*innen Technik einkaufen, die zuvor nur hochtechnologischen Staaten wie den USA vorbehalten war.
Man kann auch weiterdenken: Reiche Privatmenschen könnten sich hier ebenfalls bedienen, um ihre Widersacher*innen auszuschalten.
Die Software
Die Entdeckung des Trojaners reicht ins Jahr 2016 zurück. Seither arbeiten die Hersteller der Smartphone-Betriebssysteme iOS3 und Android3 an Abwehrwehrmaßnahmen, aber NSO scheint inzwischen neu entdeckte Schwachstellen der Betriebssysteme auszunutzen, so dass neuere Versionen von Pegasus, zumindest beim iPhone3 auch in jüngerer Zeit noch aktiv waren.
Die Installation lief über Phishing-Messages4, manipulierte Mobilfunkmasten und SMSen. Klicken auf einen Link reichte zur Installation, weil Schwachstellen der Betriebssysteme ausgenutzt wurden. (Wir lernen: Auch wenn ein Link eigentlich niemals direkt eine Malware installieren können sollte, so geschieht dies offenbar dennoch, und wir sollten deshalb nie und nimmer auf einen Link in einer unerwarteten E-Mail, SMS oder anderen Nachricht klicken!)
Aber zum Teil installierte sich der Trojaner auch ohne jedes Zutun des Opfers, z. B. durch den reinen Empfang einer SMS. Auch hierzu musste jedoch eine Schwachstelle des Telefons ausgenutzt werden.
Die Auswirkungen
Ist der Trojaner erst einmal installiert, kann er weitere Malware nachladen, damit Daten abgreifen, Screenshots an die Auftraggeber versenden, das Mikrofon einschalten und abhören und er kann ebenso die Kamera verwenden. Aber auch Tastatureingaben zum Abgreifen von Kennwörtern können mitgeschnitten werden.
Ist das Mobiltelefon infiziert, so ist dieses kompromittiert. Wenn die Zielperson damit z. B. auf ihre key.matiq-Box zugreift so wäre auch das Hauptkennwort kompromittiert, da Pegasus dieses mitschneiden könnte.
Gelänge es damit der Angreifer*in in die key.matiq-Box zu kommen, wären auch sämtliche in der Box gespeicherten Geheimnisse kompromittiert.
Wie hoch ist die Gefahr, dass ich betroffen bin?
Bei knapp vier Milliarden Smartphones 2021 und 50.000 Opfern von Pegasus liegt das Risiko der durchschnittlichen Nutzer*in bei etwa einem Hunderstel Prozent, zu den Opfern zu gehören. (Allerdings unter der Annahme, dass die bekanntgewordene Liste der Opfer-Rufnummern halbwegs vollständig ist.)
Ist man aber im Visier von Geheimdiensten oder gehört zu gefährdeten Gruppen in Staaten mit unzureichendem Schutz vor unberechtigter Ausspähung, so ist das Risiko natürlich weitaus höher.
Auch wenn der Anteil der betroffenen Benutzer*innen gering ist: Diese Art der Ausspähung ist besorgniserregend, weil auch normale Internetkriminelle irgendwann von den ausgenutzten Schwachstellen erfahren können und dann ebenfalls ohne Zutun der Opfer diese massiv angreifen könnten.
Gibt es Abwehrstrategien?
Eine ist natürlich, immer die neueste Software-Version zu installieren. Allerdings weiß dies NSO auch und hat Pegasus so gestaltet, dass dieser Updates verhindert.
Eine weitere ist, derartige Malware zu entdecken. Allerdings versucht Pegasus seine Existenz zu verschleiern, indem sich der Trojaner z. B. selbst vom Smartphone löscht, wenn er sich längere Zeit nicht mehr mit dem Pegasus-Server verbinden konnte.
Amnesty International hat aber eine forensische Software (MVT) entwickelt, mit der auch nach Löschung von Pegasus dessen Spuren gefunden werden können. Leider ist diese nicht mal so eben installiert, sondern eher eine Sache für IT-Fachleute.
Wie steht es um die key.matiq-Box?
Wenn der Pegasus-Trojaner aktiv ist, und man sich bei der key.matiq-Box anmeldet, kann der Trojaner prinzipiell auch Tastatur-Eingaben und key.matiq-Ansichten mitschneiden. Wenn man das key.matiq-Hauptkennwort im Browser gespeichert hat, kann dieses der Trojaner auch auslesen, ohne dass man sich bei der key.matiq-Box anmeldet.
Hat man allerdings das key.matiq-Hauptkennwort in einem separaten lokalen Passwortmanager gespeichert, der über ein extra-Kennwort gesichert ist, so kommt der Trojaner ohne dieses extra-Kennwort oder eine key.matiq-Anmeldung oder das Öffnen des Passwortmanagers nicht an das key.matiq-Hauptkennwort heran.
Mit dem Zugriff auf die Cookies des Browsers könnte Pegasus den zweiten Faktor für die Zwei-Faktor-Authentisierung finden, so dass dessen Schutz ausgehebelt würde.
Wenn man bei key.matiq aber Sitzungsnamen verwendet, kann man erkennen, ob jemand unberechtigt in die key.matiq-Box gekommen ist, was in der Regel schon 80% der Miete ist! Denn dann kann man alle Kennwörter wechseln und ggf. auch andere warnen. Und man hat einen hinreichenden Grund, den Aufwand für die MVT-Software von Amnesty International zu spendieren.
Ist die key.matiq-Box noch nicht kompromittiert, aber es wurde über die MVT-Software entdeckt, dass das Smartphone kompromittiert wurde, sollte man von einem anderen Gerät aus das Hauptkennwort für key.matiq ändern. Außerdem sollte man sich – falls noch nicht geschehen – mit der Zwei-Faktor-Authentisierung bei der key.matiq-Anmeldung beschäftigen und diese aktivieren.5 Schließlich sollte der Geräteeintrag für das Smartphone gelöscht werden.6
Aufwändige, aber sichere Abwehr
Man kann kritische Daten auf einem nicht mit dem Internet verbundenen Rechner halten und vor der Übertragung auf andere Rechner (z. B. um sie in der key.matiq-Box zu speichern) stark verschlüsseln.
Der Schlüssel dafür sollte dann nicht nur von einem einzelnen Kennwort, sondern von mehreren Komponenten abgeleitet sein. Diese Komponenten sollten an unterschiedlichen Stellen verwahrt werden. Will man die Daten jemandem mitteilen, der sie entschlüsseln soll, so sollte man die Komponenten über unterschiedliche Wege mitteilen. Wie von den Komponenten der Schlüssel abgeleitet wird, ist nebensächlich. Wichtig ist nur, dass jede einzelne Komponente so stark ist, dass nur alle Komponenten zusammen die Entschlüsselung ermöglichen.
Man sollte auch auf strikte Abgrenzung zwischen dem Offline-Rechner und anderen Geräten achten. Die Übertragung zwischen diesen könnte mittels CDs oder Disketten erfolgen. Gemeinsam genutzte USB-Geräte (z. B. Memory-Sticks) könnten dagegen ein Sicherheitsrisiko darstellen, über das man sich informieren sollte.
Dieses Verfahren ist recht aufwändig und nicht leicht durch jede*n durchführbar. Will man es wählen, so sollte man schauen, welche Geheimnisse besonders zu schützen sind, und wo die Risiken eher gering sind, um sich nicht beim Schutz minder wichtiger Geheimnisse abzuarbeiten, so dass dann die Kraft an anderer wichtigerer Stelle fehlt.
Verzicht auf das Smartphone?
Man könnte natürlich auch darauf verzichten, das Smartphone zu benutzen (zumindest für kritische Kommunikation, kritische Daten und den Zugriff auf key.matiq), an dem PC weder Kamera noch Mikrofon anschließen, auf dem Laptop beides abkleben. Und keine Messenger-Dienste verwenden. Und niemals auf Links in E-Mails klicken. Und E-Mails über einen zuverlässigen Web-Client lesen (der bereits einen Teil von virusbehafteten E-Mails aussortiert), mit einem zuverlässigen, gut getesteten Browser, z. B. Firefox®3, für den regelmäßig Sicherheitsupdates eingespielt werden und der von Haus aus nicht so empfindlich auf bösartig konstruierte HTML-Inhalte reagiert.
Auf der hoffnungsarmen Suche nach einer besseren Lösung
Sabina Wolf vom Bayerischen Rundfunk diskutierte auf tagesschau.de7 das Problem, dass es durchaus Fälle gibt, bei denen eine Kommunikation von Kriminellen staatlich überwacht werden sollte,8 andererseits die Ausnutzung von Sicherheitslücken für Staatstrojaner ebenfalls gefährlich ist, weil dann diese Lücken bewusst offengehalten werden.
In dem Beschluss 1 BvR 2771/18 des Bundesverfassungsgerichts vom 8. Juni 2021 verlangt das Gericht vom Staat, die dem Fernmeldegeheimnis unterfallende Kommunikation vor dem Zugriff privater Dritter zu schützen. Sabine Wolf schreibt: "Dass dies nur mit einem umfassenden Schwachstellenmanagment möglich ist, darauf weisen IT-Sicherheitsexperten seit Jahren hin."9
Doch die große Koalition hat sich leider auf dieses Schwachstellenmanagement nicht einigen können. Es bleibt zu hoffen, dass das im September 2021 zu wählende Parlament endlich dieser Forderung nachkommt.
Doch selbst dann bestünde das Problem, dass möglichst alle Schwachstellen, die private Anbieter wie NSO ausnutzen, gefunden und geschlossen werden müssten, die deutsche Polizei und die Geheimdienste aber darauf pochen, ihren eigenen Staatstrojaner nutzen zu können. Dazu müssten diese aber wohl weitaus schlauer oder effizienter sein, als die entsprechenden Dienste der übrigen Welt.
Danach sieht es aber, wenn man sich z. B. die Berichte über die ZITiS10 anschaut, überhaupt nicht aus.
Resümee
Es gibt leider nicht die eine gute Lösung für den Umgang mit der Bedrohung durch den Pegasus-Trojaner. Auf der anderen Seite sind wir auch nicht ganz hilflos.
Auf jeden Fall ist es empfehlenswert, bei Anmeldungen an die eigene key.matiq-Box konsequent kreative Sitzungsnamen zu verwenden, um einen möglichen Einbruch alsbald erkennen zu können. Solange dieser nicht passiert ist, kann man dann wenigstens etwas ruhiger schlafen, anderenfalls aber daran gehen, den Schaden zumindest zu begrenzen.
Updates September/Oktober 2021
Während im Juli noch das Bundesinnenministerium jegliche Auskunft verweigerte, ob auch die Bundesregierung Pegasus eingekauft hatte, so kam im September heraus, dass das BKA inzwischen diese Spionage-Software eingekauft hat. Die Software sei allerdings entsprechend der deutschen Gesetzeslage angepasst worden. Die ZITiS sei dabei jedoch nicht beteiligt gewesen.11 Auch der zuständige Minister sei nicht informiert worden, dies sei aber auch nicht nötig gewesen.12
Auch bezüglich des Schwachstellen-Managements gab es Bewegung. Das Bundesinnenministerium habe diesbezüglich Kontakt zu den Bundesländern aufgenommen. Offenbar bestand die Befürchtung, dass Baden-Württemberg sonst eigene Regelungen auf den Weg bringt.13
Im Oktober kam dann heraus, dass auch der BND längst Pegasus nutzt, was die Bundesregierung jedoch dem Parlamentarischen Kontrollgremium verschwiegen hatte.14 Gerade letzterer Umstand zeigt m. E. dass von der alten Bundesregierung sehr fragwürdig mit dem Thema umgegangen wurde. Mal sehen, was die Koalitionsverhandlungen für die neue Regierung in dieser Hinsicht ergeben werden.
Updates Januar/Februar 2022
In den beiden EU-Mitgliedstaaten, gegen die wegen Verletzung der Rechtsstaatlichkeitsprinzipien ein Vertragsverletzungsverwahren läuft, Ungarn und Polen, wurden Investigativreporter (Ungarn) und Oppositionelle (Polen) durch die Pegasus-Software ausgespäht. Jedenfalls ergab dies die forensische Analyse der Mobiltelefone der Betroffenen. Die Regierungen beider Länder gehören zu den Kunden des Pegasus-Herstellers NSO.15
Im Februar 2022 weitete sich die Pegasus-Affäre in Polen noch aus, weil die Oberste Kontrollbehörde des Landes meldete, dass ihre Mitarbeiter in den vergangenen zwei Jahren tausendfach ausgespäht worden sein. Ob dies auch durch Pegasus geschah, wurde allerdings zum Zeitpunkt der Meldung erst überprüft. Brisant ist die Meldung, weil diese Behörde als einzige in der Lage zu sein scheint, die Regierung zu kontrollieren.16
1) In dem Artikel "Wie autoritäre Staaten ihre Gegner ausspähen" (18.07.2021) von tagesschau.de decken Christian Baars, Florian Flade und Georg Mascolo die Machenschaften der israelischen Firma NSO auf.
2) "Die Privatisierung des Geheimdientsgeschäftes", Georg Mascolo, Video, Morgenmagazin 19.07.2021
3) Hinweise zu Marken Dritter:
"iPhone" ist eine Marke der Apple Inc., eingetragen in den USA und anderen Ländern und Regionen.
"iOS" ist eine Marke oder registrierte Marke von Cisco in den U. S. und anderen Ländern und wird von der Apple Inc. lizensiert genutzt.
"Android" ist eine Marke der Google LLC.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.
4) Begriffserklärung für "Phishing" in Wikipedia
5) Einstellungen > Anmeldung > Verfahren
6) Einstellungen > Anmeldung > Registrierte Geräte
7) "Einladung für Kriminelle und Spione", Sabina Wolf, BR, 28.07.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
8) "Werden die Niederlande zum Narco-Staat", Michael Schneider, ARD-Studio Brüssel, 12.07.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
9)
Der in dem Artikel von Sabina Wolf zitierte stellvertretende
Fraktionsvorsitzende der CDU/CSU Thorsten Frei nennt als einzige Alternative
zum Staatstrojaner die Verpflichtung von Kommunikationsdiensten zur
unverschlüsselten Ausleitung der Kommunikation der zu überwachenden
Betroffenen. Er behauptet, das würde bedeuten, dass verschlüsselte
Kommunikationsdienste damit jederzeit einen dritten stillen
Kommunikationsteilnehmer in einen Ende-zu-Ende-verschlüsselten Chat
einschleusen könnten, um die dort geführte Kommunikation unbemerkt mitzulesen.
Rein technisch gesehen erscheint zwar diese Behauptung zweifelhaft. Eine
Ausleitung könnte ebenso ebenfalls Ende-zu-Ende verschlüsselt gestaltet
werden. Es gäbe auch kryptografische und organisatorische Mittel, die
Ausleitung nach dem 4-, 6- oder 8-Augen-Prinzip zu kontrollieren, um
Missbrauch zu unterbinden. In einem Rechtsstaat sollte es auch möglich sein,
dies rechtsstaatlich sicher zu fassen. Allerdings könnte ein solcher
Mechanismus insgesamt nur innerstaatlich sicher funktionieren. Zumindest
außereuropäische Kommunikationsdienste wären kaum auf die Einhaltung der dafür
notwendigen Datenschutzregeln hin kontrollierbar.
Insofern hat Herr Frei im Ergebnis recht. Die Ausleitung wäre keine
praktikable Alternative, sondern würde im Ergebnis zu einer systematischen
Schwachstelle verschlüsselter Kommunikation führen.
10) "Was macht eigentlich die 'Hackerbehörde'", Florian Flade, WDR, 28.10.2020
11) "BKA kaufte Spionagesoftware bei NSO", Florian Flade und Georg Mascolo, NDR/WDR, 07.09.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
12) "BKA soll Seehofer nicht informiert haben", Florian Flade, Georg Mascolo und Reiko Pinkert, NDR/WDR, 07.09.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
13) "Wie weit darf der Staat gehen?", Florian Flade, WDR, und Georg Mascolo, NDR/WDR, 07.09.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
14) "Bundesnachrichtendienst spitzelt mit Pegasus", Florian Flade und Georg Mascolo, NDR, WDR, 08.10.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
15)
Ungarn: "'Dass Fidesz so tief gesunken ist'", Srdjan Govedarica, ARD-Studio Wien, 19.07.2021 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
Polen: "'Watergate' in Polen", Jan Pallokat, ARD-Studio Warschau (ursprünglicher Link offline, nun gelinkt zu einem Archiv) und "Kaczynski gibt Kauf der Spionagesoftware zu", 07.01.2022 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
16) "Cyber-Attacken beunruhigen Polen", Jan Pallokat, ARD-Studio Warschau, 09.02.2022 (ursprünglicher Link offline, nun gelinkt zu einem Archiv)