Die Enthüllungen durch das internationale Recherche-Netzwerk Pegasus Project läuten das Ende der Privatsphäre ein, wie wir sie kennen. Während Snowdens mutige Enthüllungen bereits 2013 gezeigt haben, dass wir einer ständigen Überwachung unterliegen, war man noch im naiven Irrglauben, dass verschlüsselte Chats tatsächlich privat sind und bleiben. Journalist*innen konnten noch der Überzeugung sein, dass sie ihre Quellen und Informant*innen geheim halten können. Menschenrechtsaktivist*innen konnten noch denken, dass sie sich verstecken und – wenn nötig – anonym sein können. Rechtsanwält*innen konnten noch glauben, dass sie ihre Klientinnen schützen können. Oppositionelle konnten noch hoffen, dass sie sich in den eigenen vier Wänden ehrlich austauschen können. Man müsste nur auf verschlüsselte Kommunikation achten und lange und individuelle Passwörter haben.
Wie nun die Auswertung der Schadsoftware Pegasus offenlegt, ist dies bereits seit vielen Jahren nur noch eine unrealistische Fantasie-Welt mit der Illusion einer Privatsphäre, die es so schon lange nicht mehr gibt.
„Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.“
Artikel 12 der Allgemeinen Erklärung der Menschenrechte
Pegasus: Rest in Peace, Privatsphäre!
Mit Pegasus, entwickelt und vermarktet durch das israelische Unternehmen NSO Group, können Angreifer das komplette Handy vollkommen unbemerkt auslesen mitsamt allen Daten: GPS, Chats, E-Mails, Browser-Verläufe, Einkäufe, Banking, Fitness-Daten, Bilder, Videos, Kamera- und Mikro-Zugriff etc.
Verschlüsselte Kommunikation? Kein Problem. Alle verschlüsselten Nachrichten inklusive WhatsApp, Signal, Telegram und Threema können ausgelesen werden.
Gute Passwörter? Kein Hindernis. Alle Zugangsdaten auf dem Handy können durch den Angreifer extern abgespeichert werden.
„NSO arbeitet mit hochentwickelten Cyberwaffen, die Mobiltelefone infiltrieren, ohne dass man sich davor irgendwie schützen kann. Menschen und Organisationen, die von Cyberangriffen gefährdet sind, können zwar Vorkehrungen treffen, aber Attacken wie die der NSO abzuwenden, ist beinahe unmöglich.“
Israelischer Menschenrechtsaktivist Yuval Adam im taz-Interview
Pegasus: die Crème de la Crème unter der Spyware aus dem Privatsektor
Auch wenn die Pegasus-Software offiziell von Staaten eingesetzt wird, um Kriminelle und Terrorverdächtigte auszuhorchen, kommt Pegasus unbemerkt auch gegen Journalist*innen, Menschenrechtsaktivist*innen, Oppositionelle und Rechtsanwält*innen zum Einsatz. Alles unter dem Deckmantel der Terror- und Kriminalitätsbekämpfung.
Dabei ist die Schadware besonders perfide und nutzt besonders effektiv Sicherheitslücken aus. Auch konnte Pegasus so konzipiert werden, dass es sich auf Befehl fast rückstandslos wieder selbst entfernt. Dem Amnesty International Security Lab ist es aber gelungen, Restspuren einer Infizierung auch nach der Selbstlöschung nachzuweisen. Somit kann nach forensischer Überprüfung des Handys eindeutig gesagt werden, ob Pegasus im Einsatz war.
Die Schadware wird dabei von einer Vielzahl an Kunden aktiv benutzt. Insgesamt nutzen wohl 36 Länder Pegasus, darunter nachweislich folgende Länder: Aserbaidschan, Bahrain, Kasachstan, Mexiko, Marokko, Rwanda, Saudi Arabien, Ungarn, Indien und die Vereinigten Arabischen Emirate. Nach NSO-Angaben werde hauptsächlich an Geheimdienste (51%) verkauft, gefolgt von Strafverfolgungsbehörden (38%) und schließlich dem Militär (11%).
Pegasus muss als besonders fortschrittliche Cyberwaffe verstanden werden und gilt als eines der leistungsfähigsten Spähprogramme für Handys. Während früher das Opfer noch auf einen infizierten Link klicken musste, ist die Schadware mittlerweile so ausgefeilt, dass man mithilfe einer Stillen Nachricht das Handy infiltrieren kann, ohne dass das Opfer davon etwas mitbekommt. Um dies möglich zu machen, arbeitet NSO mit 860 Programmierer*innen daran, unbekannte Sicherheitslücken zu entdecken und auszunutzen.
Pegasus: Kein Einzelfall, sondern stellvertretend für eine boomende und hoch professionalisierte Branche
Auch wenn Pegasus ganz vorne in der Champions League der Spähsoftware spielt, ist es bei weitem kein Einzelfall. Pegasus ist zwar besonders ausgefeilt, jedoch gibt es mehr als ein Dutzend Unternehmen, die derartige Spähsoftware anbieten.
Auch ist Pegasus keine neue Erfindung. Die Schadware ist bereits seit Jahren im Einsatz. Vor 10 Jahren wurde Pegasus von der damaligen mexikanischen Regierung zum ersten Mal eingesetzt. Neu sind bei den aktuellen Enthüllungen lediglich die gut dokumentierten und detaillierten Auswertungen darüber, in welchem Ausmaß bestimmte Personenkreise betroffen sind.
Damit steht Pegasus stellvertretend für eine ganze Branche, die sich darauf spezialisiert hat, Sicherheitslücken zu finden, schamlos auszunutzen und für sehr viel Geld zu verkaufen.
„Niemand, der über längere Zeit hinweg im Bereich der Cybersicherheit arbeitet, ist überrascht [von Pegasus]. Für uns ist das wirklich eine alte Leier.“
Israelischer Menschenrechtsaktivist Yuval Adam im taz-Interview
Pegasus: Angriff auf die Pressefreiheit, den Rechtsstaat und die Demokratie
Die jüngsten Enthüllungen stellen auch eine Verbindung zu erfolgten Attentaten her, im Zusammenhang mit denen Pegasus ebenso im Einsatz war. Beispielsweise wurde in Mexiko der Journalist Cecilio Pineda Birtoum im März 2017 ermordet, wenige Wochen zuvor wurde er in die Liste der Zielpersonen für Pegasus aufgenommen. In der Türkei wurde der saudische Journalist Jamal Khashoggi in der Botschaft von Saudi-Arabien ermordet und zerstückelt, Pegasus kam im unmittelbaren Umfeld des Journalisten zum Einsatz.
Inwiefern Pegasus in diesen und möglichen weiteren Fällen eine ausschlaggebende Rolle gespielt hat, wird sich wohl abschließend nur schwer beantworten lassen. Sicher ist aber dennoch, dass Pegasus auf den Handys von zahlreichen Menschenrechtler*innen, Medienschaffenden und Oppositionellen installiert war und womöglich noch ist. Damit werden zentrale, rechtsstaatliche Stützpfeiler einer Gesellschaft untergraben und es wird deutlich, dass Pegasus ein direkter Angriff auf die Pressefreiheit ist.
Auch wenn uns die Enthüllungen Snowdens deutlich gemacht haben, dass auch Demokratien massenhaft Überwachungsinstrumente einsetzen, wundert es nicht, dass die bisher bekannt gewordenen Kunden der NSO insbesondere dem autoritären Bereich zuzuordnen sind:
| Kunden von NSO / Pegasus | Staatsform nach Demokratieindex 2020 | World Press Freedom Index |
| Aserbaidschan | Autoritäres Regime | 167. |
| Bahrain | Autoritäres Regime | 168. |
| Kasachstan | Autoritäres Regime | 155. |
| Mexiko | Unvollständige Demokratie | 143. |
| Marokko | Hybridregime | 136. |
| Ruanda | Autoritäres Regime | 156. |
| Saudi Arabien | Autoritäres Regime | 170. |
| Ungarn | Unvollständige Demokratie | 92. |
| Indien | Unvollständige Demokratie | 142. |
| Vereinigte Arabischen Emirate | Autoritäres Regime | 131. |
Der Demokratieindex bewertet Nationalstaaten aufgrund ihrer Staatsform und ordnet sie u.a. unter Berücksichtigung der Menschenrechte in folgende Kategorien ein: Vollständige Demokratie, Unvollständige Demokratie, Hybridregime, Autoritäres Regime. Der World Press Freedom Index ordnet 180 Länder nach dem Stand ihrer Pressefreiheit ein, wobei höhere Plätze für eine besondere Einschränkung der Pressefreiheit gelten.
Schaut man sich diese Aufstellung an, wird schnell deutlich, dass die NSO nicht besonders wählerisch bei ihrer Kundschaft war und dass Menschenrechtsverletzungen dabei wohl überhaupt keine Rolle gespielt haben dürften. Die Kunden von NSO zeichnen sich in der Mehrheit durch autokratische Staatsformen aus mit starken Beschränkungen der Pressefreiheit. Hier wird auch deutlich, dass die von NSO vorgetragene Rechtfertigung, dass Pegasus „ausschließlich überprüften Regierungen zur Verfügung gestellt wird“ und zwar „unter strengen Lizenzbedingungen“ – mehr als fraglich ist.
Auch deutsche Sicherheitsbehörden und Ministerien wurden von NSO angefragt, ob sie Interesse an Pegasus hätten. Selbst beim Bayerischen Innenminister Joachim Herrmann wurde vorgesprochen und schmackhaft gemacht, was Pegasus alles kann. Die deutschen Behörden sind jedoch aufgrund eines Urteils des Bundesverfassungsgerichts an strengere Auflagen bei Onlinedurchsuchungen gebunden, weswegen der Einsatz der Pegasus-Software als verfassungswidrig eingestuft wurde und nach eigenen Angaben nicht zum Einsatz kam.
„Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“
BVerfG, Urteil des Ersten Senats vom 27. Februar 2008 – 1 BvR 370/07
Wer ist verantwortlich?
Für Pegasus und dessen höchst problematischen Einsatz sind zunächst und in allererster Linie das Unternehmen, NSO Group, sowie deren Kunden direkt verantwortlich. Im zweiten Schritt liegt die Verantwortlichkeit aber auch klar bei der israelischen Regierung, insbesondere dem israelischen Verteidigungsministerium, das dem Export der Schadware ausdrücklich zugestimmt und mitunter sogar noch befördert hat. Hier stellt sich natürlich die Frage, warum Pegasus als Cyberwaffe nicht unter die Exportkontrollregelungen gefallen ist und warum Menschenrechtsverletzungen und der Export an Autokratien auch hier keine Rolle gespielt haben.
Darüber hinaus trägt aber auch der globale Sicherheitssektor mitsamt der Nachrichtendienste und Geheimdienste weltweit eine Verantwortung. Dadurch, dass hohe Preise für Backdoors und Sicherheitslücken gezahlt werden, wird solch eine Branche erst ermöglicht. Aber auch die gesamte Gesellschaft trägt eine Verantwortung in dem Fall, weil wir die zweifelhaften Machenschaften der Branche bisher toleriert haben und uns Großteils mit einer massenhaften Überwachung im Cyberraum abgefunden haben, uns an den Datenkapitalismus mit all den sensiblen Daten und den alltäglichen Datenleaks gewöhnt haben und uns seit der Enthüllung Snowdens 2013 nicht zu wirklich verändernden Entwicklungen und Verpflichtungen durchringen konnten.
Die Cyber-Büchse der Pandora ist weit offen: und jetzt?
Nach den neuesten Enthüllungen muss man sich unweigerlich eingestehen, dass es die Möglichkeit auf echte digitale Privatsphäre effektiv nicht mehr gibt. Das hat schwerwiegende Folgen, sowohl gesamtgesellschaftlich als auch für jede*n Einzelne*n. Aus diesem Grund müssen wir uns zuallererst fragen, ob wir diese Entwicklung weiter hinnehmen wollen.
Wollen wir das nicht, wären sehr weitreichende Konsequenzen nötig, um diesen bereits weit voran geschrittenen Auflösungsprozess aufzuhalten. Es bräuchte beispielsweise ein globales Übereinkommen zum Schutz der Privatsphäre im digitalen Raum sowie ein internationales Abkommen zur Exportkontrolle von Dual-Use-Gütern wie Software, welches von den Staaten auch wirklich respektiert und umgesetzt wird. Geschäftsmodelle zur Herstellung von Schadware müsste verboten werden. Server-Dienstleister, die die digitale Infrastruktur für solche Unternehmen wie NSO bereitstellen, wie beispielsweise AWS von Amazon sollten ihre Dienste für solche Kunden einstellen müssen (Amazon hat dies mittlerweile eingestellt; der bei weitem größte Anteil an Server über die Pegasus läuft wird übrigens in Deutschland gehostet). Sicherheitsbehörden müssten aufgestockt werden, um den Kriminellen im Cyberraum entgegenzutreten. Whistleblowern müsste politischer Asyl gewährt werden. Sämtliche Anbieter von Software und Hardware müssten sich verpflichten, Sicherheitslücken unmittelbar zu schließen und keine Backdoors einzurichten. Verschlüsselungen, Privacy by Design und Security by Design müssten auf allen Ebenen der technischen Wertschöpfungskette berücksichtigt werden. Erhebliche Investitionen in Präventionsmaßnahmen und Informationskampagnen müssten getätigt werden…
Doch all dies wird wahrscheinlich nicht passieren oder nicht in dem nötigen Umfang umgesetzt werden. Zu schwer wiegen die Interessen der Nationalstaaten, ihre eigenen und die Bürger*innen anderer Staaten auszuspionieren. Zu schwer wiegt die Rivalität der Staaten und Interessensgruppen. Zu schwer wiegt die Anziehungskraft der Macht und des Machbaren. Zu schwer wiegt die Angst vor Terrorismus und Kriminalität. Zu schwer wiegt die naive Illusion, dass die Privatsphäre immer noch vorhanden wäre und man selber ja nichts zu verbergen hätte.
„Ich wäre gerne optimistisch und würde sagen, ein solches internationales Abkommen werden wir bald sehen, aber ich glaube daran nicht, weil viel zu häufig […] wird solche Technologie ja auch exportiert, weil sie Teil von Außen- und Sicherheitspolitik ist und es ein gutes Geschäft ist. Ich fürchte, wir werden keine schnellen Regeln sehen. Dieser Missstand wird leider andauern.“
Georg Mascolo, Leiter Recherchekooperation NDR/WDR/SZ, zur Spionagesoftware „Pegasus“, 18.07.2021, Interview im ARD
Wir müssen diese Realität des umfassenden Ausspähens im Cyberraum anerkennen und uns endlich tiefgreifend und ehrlich damit auseinandersetzen, was das für uns persönlich bedeutet, aber auch für unser aller Miteinander, unsere Staatsform, unsere Gesetze und unsere Gesellschaft.
Es stellt sich nun zunehmend nicht mehr die Frage, ob wir in so einer Welt leben wollen, sondern vielmehr wie wir in so einer Welt leben können.
Dieser Text sollte unbedingt an die EU Ursula von der Leien geschickt werden.
Der World Press Freedom Index-Link lässt sich nicht öffnen…?
Danke für deinen Hinweis, eigentlich müsste er aber funktioniert. Habe es soeben auch noch einmal ausprobiert. Dennoch hier noch einmal zur Sicherheit der Link zum World Press Freedom Index: https://rsf.org/en/ranking