Es war eine Szene wie aus einem James-Bond-Film: Als NGO-Vertreter und Anwälte den Whistleblower Edward Snowden in einem Hotelzimmer in Hongkong besuchten, wo er sich vor den US-Geheimdiensten versteckte, mussten sie ihre Handys im Kühlschrank deponieren. Snowden kannte die Überwachungsfähigkeiten der National Security Agency (NSA), entwickelt von anderen technikbegeisterten Supernerds.
Das war 2014.
Dass es sich bei solchen Angriffswerkzeugen, die auf sogenannten Zero Day Exploits basieren, um brandgefährliche Cyberwaffen handelt, wurde vielen erst bewusst, als sie Dritten in die Hände fielen und ausser Kontrolle gerieten.
2016 veröffentlichte eine mutmasslich russische Gruppierung namens The Shadow Brokers einen ganzen «Werkzeugkasten» mit bis dato unbekannten NSA-Exploits.
Darunter befand sich auch EternalBlue – quasi ein Büchsenöffner für Windows-Systeme. Einmal im Internet verfügbar, verwendeten Kriminelle den Exploit für eigene Malware-Attacken. Mit gravierenden Folgen: WannaCry und NotPetya legten weltweit Computernetzwerke lahm und verursachten Schäden in mehrstelliger Milliardenhöhe.
Bei der öffentlichen Aufarbeitung des Schlamassels durch unabhängige IT-Sicherheitsexperten stellte sich heraus, dass eine chinesische Hackergruppe die NSA-Exploits geklaut und während Jahren für eigene Zwecke genutzt hatte.
Was lernen wir daraus?
Kein Smartphone ist vor den ausgeklügelten Angriffsmethoden sicher. Auch kein iPhone, das mit Apples aktueller Software iOS 14.6 läuft. Das zeigen die neusten Enthüllungen zu der in Israel entwickelten Spionagesoftware Pegasus.
Der britische «Guardian» fasst zusammen, was die Öffentlichkeit eigentlich seit Jahren über Pegasus weiss:
Dafür sei seitens der Opfer kein einziger Klick erforderlich.
Der NSA-Whistleblower Snowden findet in einem aktuellen Interview mit dem «Guardian» deutliche Worte, was den kommerziellen Anbieter, die NSO Group, betrifft:
Snowden, der 2013 die geheimen Massenüberwachungs-Programme der US-Geheimdienste enthüllt hatte, bezeichnet die gewinnorientierten Entwickler von Spionage-Software nun als «eine Industrie, die nicht existieren sollte».
Für traditionelle Polizeieinsätze, um Wanzen zu platzieren oder das Handy eines Verdächtigen abzuhören, müssten staatliche Behörden einen gewissen Aufwand betreiben, argumentiert Snowden. Sei dies, dass Ermittler «in das Haus von jemandem einbrechen oder zu seinem Auto oder ins Büro» gehen müssten, «und wir würden gerne denken, dass sie wahrscheinlich einen Durchsuchungsbefehl haben».
Hingegen ermögliche kommerzielle Spyware eine gezielte Überwachung von weitaus mehr Menschen mit weniger Aufwand. «Wenn sie dasselbe aus der Ferne tun können, mit geringen Kosten und ohne Risiko, fangen sie an, es ständig zu tun, gegen jeden, der auch nur am Rande von Interesse ist», warnt der in Russland im Exil lebende Snowden.
Regierungen müssten ein globales Moratorium für den internationalen Handel mit Spyware verhängen oder sich einer Welt stellen, in der kein Mobiltelefon vor staatlich geförderten Hackern sicher sei, gibt Snowden zu bedenken. Und er zieht einen Vergleich zur Bedrohung durch Atombomben.
Wenn demokratische Staaten nichts täten, um den Verkauf der Technologie zu stoppen, würden es nicht nur 50'000 Ziele sein, sondern 50 Millionen Ziele, und es werde viel schneller passieren, als irgendjemand von uns erwartet.
Möglich, ja. Realistisch: nein.
Die NSO Group wies in einer Reihe von Erklärungen «falsche Behauptungen» über das Unternehmen und seine Kunden zurück – ohne jedoch konkrete Vorwürfe zu entkräften.
Die Verantwortlichen sagen, sie hätten keinen Einblick in die Nutzung der Pegasus-Spyware durch ihre Kunden gehabt. Sie würden die Software nur an überprüfte Regierungsstellen verkaufen und ihre Technologie habe geholfen, Terroranschläge und schwere Verbrechen zu verhindern.
Unabhängige IT-Sicherheitsexperten stellen bei Github eine Software zur Verfügung, mit der sich Einbruchsversuche mit der Pegasus-Spyware auch nachträglich noch erkennen lassen sollen. Das «Mobile Verification Toolkit» kann laut «Guardian» Hinweise auf iPhones und Android-Smartphones aufspüren. Das Forensik-Tool sei aber nicht für das breite Publikum gedacht, sondern für fachkundige IT-Spezialisten.
Und niemand (von den Politikern) hört ihm zu.
Es herrscht ein regelrechter Markt für 0days. Da werden auch schon mehrere 100k$ bezahlt von den Überwachungssoftwareherstellern.
Und solange die Kunden (wie die Schweizer Polizeikorps, NDB, NDA, etc.) bereit sind viel Geld auszugeben um ihre Bürger zu beschnüffeln, wird das Geschäft munter weitergehen. Allimentiert mit Steuergeldern. Abgesegnet durch das Stimmvieh.
Unschön: Ein Nachbar hat mir vorgeführt, wie er mit Hilfe von Spyware seine Freundin überwacht und jederzeit ihre SMS mitlesen und ihren Standort feststellen kann. Offenbar mit Erfolg - die zwei sind heute kein Paar mehr... -;-))