Offenbar hat das BKA eine Version der umstrittenen Überwachungssoftware „Pegasus“ gekauft – und womöglich auch bereits im Einsatz. Der Staatstrojaner war zuletzt international wegen der Überwachung von Journalisten, Aktivisten und Oppositionellen in die Schlagzeilen geraten. Die Bundesregierung hat den Vorgang als „geheim“ eingestuft.
Die Polizei hat es heute nicht leicht: Telefongespräche abhören, das war früher. Heute muss man als Polizei schon Chats mitlesen können – und das ist alles andere als einfach. Das Bundeskriminalamt (BKA) hat nun überraschend erklärt, dass die höchst-umstrittene Schnüffel-Software „Pegasus“ aus Israel beim BKA im Einsatz ist, mit der Smartphones überwacht werden können. Darüber wurde heute der Innenausschuss des Bundestages unterrichtet.
Was kann die Software „Pegasus“
Pegasus ist ein „Trojaner“, also eine Software, die durch Ausnutzen unbekannter oder noch nicht gestopfter Sicherheitslücken in ein Gerät kommt. Als Nutzer bemerkt man nicht, dass der Trojaner im Gerät aktiv ist. Das gilt für alle Schnüffelprogramme der Kategorie „Trojaner“ – und auch für Pegasus. Man muss Pegasus als eine Art Schweizer Taschenmesser bezeichnen, denn damit ist so ziemlich alles möglich.
Mit Pegasus können Anrufe, E-Mails, SMS und verschlüsselte Chats mit Signal, WhatsApp oder anderen Messengern mitgeschnitten werden. Der Trojaner kann Fotos und Videos auf dem Handy durchsuchen und Passwörter auslesen. Darüber hinaus ist Pegasus sogar zur Raumüberwachung tauglich, weil die Betreiber mit dem Trojaner das Mikrofon und die Kamera des Geräts einschalten kann – unbemerkt, versteht sich. Darüber hinaus lässt sich mit dem Trojaner die exakte Position des Handys orten. Pegasus ist also wirklich eine Allzweckwaffe.
Darum ist der Trojaner „Pegasus“ umstritten
Durchaus Werkzeuge, die Polizei und Behörden brauchen können, wenn eine Überwachung angeordnet ist.
Das BKA hat den Trojaner nicht selbst entwickelt, sondern bei der israelischen Firma NSO eingekauft. Die sind wahre Spezialisten, wenn es darum geht, einen Trojaner zu entwickeln, der auf jedem Gerät installiert werden kann, der Sicherheitslecks ausnutzt und nicht entdeckt wird. Das BKA hat in der Vergangenheit selbst einen „Staatstrojaner“ entwickelt, aber der war so schlecht, dass er selbst nach Auskunft des BKA praktisch nie zum Einsatz gekommen ist.
Der Trojaner „Pegasus“ von NSO allerdings schon. Bereits Ende Juli ist bekannt geworden – unter anderem durch die Recherchen von WDR, NDR, SZ und ZEIT –, dass der Trojaner „Pegasus“ bereits in 11 Ländern zum Einsatz kommt. Auch in autokratischen Staaten. Angeblich stehen 50.000 Ziele in der Liste, die ausgespäht werden. Darunter auch Staats- und Regierungschefs, aber auch viele Journalisten, Menschenrechtsvertreter und Rechtsanwälte. NGO bestreitet das – doch es sind besorgniserregende Fälle nachgewiesen.
So kommt der Trojaner in die Geräte
Um so einen Trojaner wie Pegasus auf ein Gerät zu bekommen, müssen Sicherheitslecks ausgenutzt werden – im Betriebssystem, in der Mail-Software, im Browser oder in WhatsApp. Zum Beispiel erhält die Zielperson eine Mail mit einem Anhang. Wird der geöffnet, landet die Software im Gerät – iOS wie Android gleichermaßen. Oder es reicht eine Nachricht per iMessage oder WhatsApp.
Oder die Zielperson wird – etwa durch eine WhatsApp-Nachricht oder eine Mail, die die Beamten unter falscher Adresse verwenden – auf eine Webseite gelenkt, und der Trojaner kommt so über den Browser ins Gerät. Die Wege ins Gerät ändern sich ständig: Sicherheitslecks werden gestopft, neue werden entdeckt. Aber aufwändig ist das nicht.
Da bei NSO Experten arbeiten und in der Regel sogenannte „Zero Day Exploits“ ausgenutzt werden, also bislang noch unbekannte Sicherheitslecks, werden die Eindringlinge nicht entdeckt. iPhone-Benutzer setzen sowieso praktisch nie Sicherheits-Software ein.
Die Reaktionen darauf
Netzaktivisten sind empört, da sie eine allumfassende Bespitzelung befürchten. Man muss allerdings sagen: In Deutschland sind die Grenzen sehr eng gesteckt, wann, wo und in welchem Umfang Geräte auf diese Weise auskundschaftet werden dürfen. Laut BKA hat die Behörde eine stark abgespeckte Version der Software bestellt, also mit deutlich weniger Funktionen als sie bietet, um juristisch einwandfrei zu sein und eben keine Grenzen zu überschreiten.
Davon hat auch die Polizei nichts, weil sie die Informationen dann nicht verwenden dürfte. Um welche Funktionen die Software abgespeckt wurde, wird aber aktuell nicht verraten. Geheimsache! Auch, ob und wie oft Pegasus in Deutschland bereits eingesetzt wurde.