Tech

Exklusiv: Angestellter von mächtiger Überwachungsfirma wollte heimlich eine Frau mit Spyware überwachen

Eigentlich setzen Geheimdienste die Software ein, um in Smartphones einzudringen. Laut VICE-Recherchen hat ein Mitarbeiter der NSO Group das Werkzeug missbraucht.
29 April 2020, 2:38pm
Illustrierte Smartphones und Code
Illustration: SETH LAUPUS / MOTHERBOARD

Ein Angestellter des israelischen Überwachungs-Unternehmens NSO Group soll eines der mächtigsten Spionage-Werkzeuge seiner Firma für private Zwecke missbraucht haben. Recherchen von VICE zufolge wollte der Mitarbeiter mit der Software Pegasus das Smartphone einer Frau ausspionieren – offenbar, weil er auf sie stand.

VICE berichtet erstmals über den Fall. Er stellt einen schweren Missbrauch der Überwachungswerkzeuge der NSO Group dar. Üblicherweise werden die von Behörden und Geheimdiensten eingesetzt. Und selbst das ist umstritten. Recherchen von IT-Sicherheitsexperten zeigen, dass autoritäre Regime damit auch Menschenrechtlerinnen und Journalisten verfolgen. Denn NSO verkauft seine Software an Regierungen.

Der mutmaßliche Missbrauch durch den Mitarbeiter zeigt: Wenn eine Waffe erstmal da ist, lässt sie sich nicht dauerhaft kontrollieren. Offenbar nicht einmal im engsten Kreis ihrer Erschaffer.

"Es gibt keine wirkliche Möglichkeit, sich gegen so etwas zu schützen. Die technischen Mitarbeiter werden immer Zugang haben", sagte ein ehemaliger NSO-Mitarbeiter, der von dem Vorfall weiß, gegenüber VICE. Das bestätigte ein zweiter ehemaliger NSO-Mitarbeiter, eine dritte vertraute Quelle bestätigte Teile der Aussage. Auch eine vierte Quelle, die mit NSO vertraut ist, gab an, dass ein Angestellter das firmeneigene System missbraucht habe. Um sie zu schützen, gewähren wir den Quellen Anonymität.


Auch bei VICE: Totalüberwachung für 150 Euro


Pegasus ist eines der gefährlichsten Überwachungswerkzeuge für Smartphones. Zwischen Smartphone-Herstellern und Hackern gibt es ein Wettrennen darum, welche Geräte sich knacken lassen und welche nicht. Mithilfe von Pegasus sollen Angreifer aus der Ferne selbst auf voll geupdatete iPhones und Android-Smartphones zugreifen können. Dafür muss die Zielperson des Angriffs offenbar einmalig auf einen Link klicken, unter Umständen ist aber auch gar kein Klick nötig. Pegasus nutzt mehrere sogenannte "Zero Day"-Schwachstellen aus. Dabei handelt es sich um Sicherheitslücken, von denen Smartphone-Hersteller noch nichts wissen.

Mit Pegasus auf dem Smartphone können Angreifer den Aufenthaltsort der Zielperson tracken, SMS, E-Mails und Messenger-Nachrichten lesen, Fotos und Videos anschauen und die Kamera sowie das Mikrofon des Handys aktivieren. Berichten zufolge wurde Pegasus bereits von Saudi-Arabien, den Vereinigten Arabischen Emiraten, Mexiko und Dutzenden anderen Ländern benutzt.

NSO zufolge sollen mit dem Werkzeug ausschließlich Terrorismus und schwere Verbrechen bekämpfet werden. Sicherheitsforschende und Journalisten konnten jedoch schon mehrere Fälle aufdecken, bei denen NSO-Software offenbar eingesetzt wurde, um Regimekritiker und politische Gegner auszuspionieren. Die Vereinten Nationen kritisieren das mit Blick auf die Verletzung von Menschenrechten.

Zuerst kam der Einbruch, dann die Cyber-Attacke

Der Vorfall der missbrauchten Software lässt sich in etwa so rekonstruieren: Vor mehreren Jahren sei ein damaliger NSO-Mitarbeiter geschäftlich in die Vereinigten Arabischen Emirate gereist, wie ein ehemaliger NSO-Angestellter gegenüber VICE berichtete. NSO habe den Mitarbeiter dorthin geschickt, um den Kunden vor Ort zu betreuen.

In den Vereinigten Arabischen Emiraten soll der Mitarbeiter laut der ersten Quelle dann in das Büro des Kunden eingebrochen sein. Der Kunde habe durch eine Nachricht bemerkt, dass sich jemand außerhalb der regulären Arbeitszeiten in das Pegasus-System eingeloggt habe, wie eine der Quellen berichtete. Das Ziel des Angriffs soll den Quellen zufolge eine Frau gewesen sein, die der Mitarbeiter persönlich kannte. Die Behörden hätten den Mitarbeiter dann festgenommen.

"Der Kunde war richtig angepisst", sagte der erste ehemalige NSO-Angestellte.

"Er nutzte das System aus, als niemand hinsah", fügte der zweite ehemalige Angestellte hinzu. Das Kunden-Interface von Pegasus soll simpel sein: In einigen Fällen muss man offenbar nur die Telefonnummer der Zielperson eingeben, damit sich das Tool in das entsprechende Smartphone hackt.

NSO habe den Angestellten gefeuert, sagten zwei Quellen. Außerdem soll die Führungsriege die Belegschaft über den Vorfall aufgeklärt haben, damit so etwas nie wieder passiere.

"Bei einem Missbrauch des Systems verstehen sie keinen Spaß", sagte einer der ehemaligen NSO-Angestellten.

Zwei Quellen zufolge soll sich der Vorfall 2016 ereignet haben, als NSO zum Großteil der US-amerikanischen Investmentfirma Francisco Partners gehörte. Im Februar 2019 kauften die Gründer von NSO ihr Unternehmen wieder zurück.

Die Botschaft der Vereinigten Arabischen Emirate in Washington, D.C. hat auf unsere Bitte um eine Stellungnahme nicht reagiert. NSO wollte kein offizielles Statement zu dem Vorfall abgeben.

Spionagesoftware ermöglicht Angriffe auf Regimekritiker

Es gibt nicht viele Firmen auf der Welt, die wissen, wie sich moderne Smartphones knacken lassen. Die NSO Group ist deshalb weltweit berüchtigt. In den Fokus der breiten Öffentlichkeit geriet das Unternehmen, nachdem es seine Software an Saudi-Arabien verkauft hatte – denn dort wurde das Tool dazu genutzt, um sich Zugriff auf die Handys von Regimekritikern zu verschaffen. Darunter soll auch der _Washington Post_-Kolumnist Jamal Khashoggi gewesen sein. Die CIA geht davon aus, dass saudi-arabische Agenten Khashoggi 2018 in Istanbul ermordeten – wohl im Auftrag des Kronprinzen von Saudi-Arabien.

Eva Galperin ist Menschenrechtsaktivistin bei der US-amerikanischen Electronic Frontier Foundation. Sie beschäftigt sich mit Spionage durch Regierungen und mit sogenannter Stalkerware, also dem Einsatz von Überwachungstechnologie durch Laien an Fremden und innerhalb von Beziehungen.

"Es ist gut zu sehen, dass die NSO Group sich ernsthaft darum bemüht, dass es zu keiner unautorisierten Nutzung ihrer Überwachungssoftware kommt", sagt Galperin. "Ich wünschte, wir könnten die gleiche Sorgfalt beim Unternehmen beobachten, wenn seine Software für Menschenrechtsverletzungen verwendet werden."

"Es ist verstörend, dass solche Menschen mit Hacking-Tools vom NSA-Kaliber rumhantieren."

John Scott Railton forscht am Citizen Lab der University of Toronto zu IT-Sicherheit und staatlichem Hacking. Er ist besorgt, wer sonst noch auf ähnliche Weise durch einen Kunden-Zugang ausspioniert worden sein könnte.

Unmoralisch handelnde Menschen gibt es überall, in einer Firma wie der NSO Group hat das aber fatale Folgen. "Es ist verstörend, dass solche Menschen mit Hacking-Tools vom NSA-Kaliber rumhantieren", sagt Railton.

Die NSO Group betont regelmäßig, selbst keine Handys zu hacken. Man verkaufe nur die dafür notwendige Technologie. Der Fall des NSO-Mitarbeiters ändere das, sagt Railton. "Es beweist, dass Mitarbeitende illegales Hacking ausgeführt haben, unbeaufsichtigt". Die Grenze zwischen Angriff und Verkauf von Angriffs-Technologie ist übrigens fließend: VICE-Berichten zufolge hilft NSO etwa auch Kunden, effektive Phishing-E-Mails für ihre Opfer zu erstellen.

Nach dem Vorfall habe die NSO-Group "eine strengere Untersuchung von Mitarbeitenden mit Kundenkontakt" eingeführt, sagte ein ehemaliger NSO-Mitarbeiter zu VICE. Dazu gehörten biometrische Checks. Damit solle sichergestellt werden, dass nur autorisierte Personen das System benutzen können, sagt eine weitere Quelle.

Auch wenn in diesem Fall der Angestellte beim Missbrauch ertappt wurde, gab es aus technischer Sicht "nichts, was mich daran hinderte, das System gegen jeden einzusetzen, den ich wollte", sagte der ehemalige Angestellte.

Missbrauch durch Insider ist ein strukturelles Problem

Die NSO Group befindet sich momentan in einem Rechtsstreit mit Facebook. Der Tech-Gigant verklagt das Spionagesoftware-Unternehmen, weil es eine Schwachstelle in WhatsApp ausgenutzt hatte. Kunden sollten damit aus der Ferne Handys hacken können, indem sie einfach die Nummer des Opfers anriefen. Das Unternehmen hatte auch eine Technologie entwickelt, um die Verbreitung von COVID-19 zu verfolgen. Das Design des Systems wurde allerdings von IT-Sicherheitsexpertinnen kritisiert.

Auch Mitarbeitende von Regierungsbehörden sollen bereits Spionage-Werkzeuge für private Zwecke missbraucht haben. Im Jahr 2013 berichtete das Wall Street Journal von entsprechenden Fällen bei NSA-Beamten.

Die Vereinigten Arabischen Emirate wurden selbst immer wieder für die Verwendung mächtiger Hacking-Instrumente kritisiert. Die Nachrichtenagentur Reuters veröffentlichte mehrere Investigativ-Recherchen zum sogenannten Project Raven. Für das Projekt migrierten ehemalige NSA-Mitarbeitende in die Emirate und bildeten eine Elite-Hacker-Gruppe. Einige Raven-Mitglieder hatten dort auch US-Bürgerinnen und -Bürger als Ziele. Reuters berichtete außerdem, dass das FBI mindestens seit 2017 den Einsatz von von NSO-Malware zur Überwachung von US-Einwohnern und Firmen erwäge.

Viele Tech-Unternehmen haben Probleme mit Angestellten, die ihren Zugang zu Daten und Insider-Tools missbrauchen. VICE hat darüber berichtet, wie Facebook Angestellte gefeuert hat, die über ihren Insiderzugang Nutzerinnen und Nutzer stalkten, und wie MySpace-Mitarbeitende das interne Tool Overlord für Spionage nutzten. Auch bei Snapchat gab es ähnliche Vorfälle.

Folge VICE auf Facebook, Instagram und Snapchat.