„Wir sind ein Geist“, rühmte sich Omri Lavie, Mitbegründer der israelischen NSO Group, 2013 in einem Interview zum Spionagetool Pegasus, „unsere Ziele sind transparent und wir hinterlassen keine Spuren“. Nach den jüngsten Enthüllungen über Pegasus scheint es, als sei der Geist übermütig geworden.
Laut Recherchen eines Mediennetzwerks, zu dem Süddeutsche Zeitung, Zeit, NDR, WDR und 15 weitere Redaktionen aus zehn Ländern gehören, sollen Geheimdienste und Polizeibehörden mehrerer Staaten die Spähsoftware des israelischen Unternehmens NSO Group missbraucht haben, um damit Mobiltelefone anzuzapfen. Das Netzwerk erhielt die Liste von dem in Paris ansässigen Verein Forbidden Stories und von Amnesty International und konnte eigenen Angaben zufolge ein Datenleak mit mehr als 50 000 Telefonnummern auswerten, die seit 2016 zum Ziel möglicher Überwachungen durch NSO-Kunden wurden. Auf der Liste mit Persons of Interest soll sich auch eine Nummer des französischen Staatspräsidenten Emmanuel Macron befinden. Dahinter steckt mutmaßlich der marokkanische Geheimdienst.
Die forensische Untersuchung von über 60 Smartphones von Betroffenen stellte auf 37 Geräten einen versuchten Angriff mit Pegasus fest. Die Software kann leicht auf ein Handy gelangen, indem die Zielperson einen Link anklickt oder eine Datei öffnet, die ihr zugeschickt wurde. Genug ist aber auch, dass das Handy nur eingeschaltet ist, damit der Angreifer die Spionagesoftware in einer unsichtbaren Nachricht verschicken kann. Sobald das vollbracht ist, wird Pegasus zum Wunderkind der Cyberwaffen: Es kann Chat-Nachrichten und E-Mails lesen, Gespräche mithören und Fotos sehen.
Die NSO Group hat auch Büros im Luxemburg, die nach Angaben von Außenminister Jean Asselborn (LSAP) aber nur zur Steuerung der Finanzgeschäfte des Unternehmens genutzt werden. Laut Amnesty International wurde die Pegasus-Software nicht hier entwickelt. „Ich kann nur eines sagen. Wenn sich herausstellt, dass die NSO-Gruppe in Luxemburg Menschenrechtsverletzungen begangen hat, dann muss und wird Luxemburg reagieren“, so Asselborn. Recherchen zeigen, dass die Kunden von NSO staatliche Stellen – etwa Geheimdienste – in Aserbaidschan, Indien, Mexiko, Marokko, Ruanda, Saudi-Arabien, Bahrain und den Emiraten sind. Als einziger EU-Mitgliedsstaat soll auch Ungarn Pegasus eingesetzt haben.
Besonders brisant ist der Vorwurf, dass auch Hatice Cengiz, die Verlobte des 2018 ermordeten regimekritischen saudiarabischen Journalisten Jamal Khashoggi, abgehört wurde. Laut einer Untersuchung ihres Telefons sei ihr Handy vier Tage nach dem Mord an Khashoggi mit Pegasus angegriffen worden.
NSO hat sich indes entschieden, im Skandal die Opferrolle einzunehmen. Das Unternehmen besteht darauf, ihre Spähsoftware würde nur im Kampf gegen Verbrechen und Terror eingesetzt werden, die Vorwürfe hingegen seien eine „falsche Behauptungen“ und eine „komplette Lüge“.
Israels Verteidigungsministerium kündigte nun eine Untersuchung an. Sollte eine Verletzung der Exportregeln zutage kommen, will man Maßnahmen ergreifen. Klar ist: Die Exportdeals der NSO Group sind eng verwoben mit Israels Regierung und Militär. NSO und Dutzende ähnliche Unternehmen mit Sitz in der wohlhabenden Küstenstadt Herzlia fallen in das breite Spektrum der israelischen Hightech-Branche. Häufig rekrutieren Hightech-Unternehmen Nachwuchs aus der angesehenen Geheimdiensteinheit 8200 der Armee, die berüchtigt ist für ihre Abhörtechniken in den Palästinensischen Gebieten. Auch die drei NSO-Gründer sind 8200-Alumni. Dort lernten sie das Einmaleins im Gebrauch von Cyberwaffen.
Der nun bekannt gewordene Verkauf des Pegasus-Trojaners an autoritäre Regierungen weltweit wirft unbequeme Fragen zur israelischen Mitverantwortung an dem Spionageskandal auf. Auf eine Klage hin, die der NSO schon 2016 ihre Exportlizenz entziehen sollte, kommentierte Gerichtspräsidentin Esther Hayut die Angelegenheit mit den Worten: „Unsere Wirtschaft hängt zu sehr von diesem Exporthandel ab.“ Nach Regierungsangaben werden jährlich Cyberware-Produkte im Wert von knapp sieben Milliarden US-Dollar exportiert. Wie viel davon Cyberwaffen sind, ist aber unklar. Global betrachtet deuten Daten darauf hin, dass israelische Produkte zwischen zehn und 20 Prozent des internationalen Marktes für Cyberware ausmachen.
Exporte von Spionagesoftware müssen vom Verteidigungsministerium genehmigt werden. Doch Menschenrechtsanwalt Mack zweifelt an der Transparenz und Glaubwürdigkeit der Kontrollen. „Diese Entscheidungen werden von hochrangigem Personal im Ministerium und im Zweifel von Netanjahu selbst getroffen“, gab er 2018 gegenüber der Zeitung Haaretz an. 2019 lockerte die Regierung zudem die Bestimmungen zum Verkauf von Cyberwaffen.
Der Ex-Premier, der erst seit wenigen Wochen nicht mehr die Regierungsgeschäfte führt, soll indes den Verkauf von Pegasus an Autokraten als diplomatischen Joker eingesetzt und aktiv ermutigt haben. Dies berichtete am Dienstag die Zeitung Haaretz, die Teil der internationalen Recherchegruppe zu Pegasus ist. Sie sieht einen Zusammenhang zwischen Besuchen Netanjahus in Ländern wie Indien, Ruanda, Saudi-Arabien, Aserbaidschan und Ungarn und deren Nutzung von Pegasus. Von guten Beziehungen versprach sich Netanjahu offenbar geopolitische Vorteile als Israels Fürsprecher..
Yuval Adam arbeitet im Bereich der Cyber-Technologie und ist Aktivist für digitale Bürgerrechte mit Sitz in Tel Aviv. Er will Bürger/innen freien Zugang zu Software und Quellcodes für ihre politischen Aktivitäten ermöglichen.
d'Land: Ist der Missbrauch der Spionagesoftware Pegasus eine Überraschung?
Yuval Adam: Niemand, der über längere Zeit hinweg im Bereich der Cybersicherheit arbeitet, ist überrascht. Für uns ist das wirklich eine alte Leier. Gerade jetzt wurden eben großflächig Telefonnummern aus einem Datenpool geleakt, deshalb der aktuelle Skandal. Die NSO Group und ähnliche Unternehmen, sowohl israelische als auch internationale, existieren aber nicht erst seit gestern. Man bastelt seit Jahren Spähsoftware wie Pegasus, um sie dann zu missbrauchen. Erst letzte Woche enttarnte die digitale Platform CitizenLab, wie das kleinere israelische Unternehmen Candiru Spyware an Regierungen verkauft und möglicherweise sogar mit der NSO zusammenarbeitet. Das Besondere an der NSO ist, dass es das größte dieser Unternehmen ist. Sie ist skrupellos und geht am aggressivsten vor. Damit schafft sie es immer wieder in die Öffentlichkeit.
Wie schützt man sich vor solchen Angriffen?
Das ist bei so einer leistungsfähigen Software wie Pegasus schwierig. Ich selbst habe vor Jahren die CryptoParty in Israel gegründet: Das ist eine globale Bewegung mit dem Ziel, sich gegenseitig auf unkommerzieller Freiwilligenbasis Verschlüsselungs- und Verschleierungstechniken beizubringen. Damit lernt man, sich besser vor Cyberangriffen zu schützen. Wir arbeiten nicht nur mit Individuen, sondern führen auch Workshops für Aktivist/innen und Menschenrechtsorganisationen durch, die hier besonders gefährdet sind. Aber die NSO arbeitet mit hochentwickelten Cyberwaffen, die Mobiltelefone infiltrieren, ohne dass man sich davor irgendwie schützen kann. Menschen und Organisationen, die von Cyberangriffen gefährdet sind, können zwar Vorkehrungen treffen, aber Attacken wie die der NSO abzuwenden, ist beinahe unmöglich. Es wäre eigentlich Aufgabe der jeweiligen Regierungen, sicherzustellen, dass die Zivilgesellschaft geschützt wird. So etwas bedarf aber einer strengen Regulierung und Kontrolle.
Tun die Regierungen nicht genau das Gegenteil?
Genau. Und die NSO hat kein Problem damit. Sie ist bereit, ihre Software an jeden zu verkaufen, der sie haben will – auch wenn das Staaten wie Saudi-Arabien oder Bahrain sind, die Menschenrechte mit Füßen treten. Was interessant ist und am Sonntag auf Twitter intensiv diskutiert wurde: Warum kommt Pegasus in Israel und den USA nicht zum Einsatz? Das mag einfach daran liegen, dass die Spähsoftware hier nicht mehr benötigt wird. Man hat schon genug Ressourcen, um Menschen auszuspionieren. Die israelische Militäreinheit 8200 ist vergleichbar mit dem US-Geheimdienst NSA und ist neben Abhörtätigkeiten auch für Cybersicherheit zuständig. Es sieht so aus, als würde NSO Pegasus nur an Länder verkaufen, die diese Ressourcen noch nicht haben.
Wie viel ist davon der israelischen Regierung bekannt?
In Israel ist die Symbiose zwischen dem Verteidigungsministerium und der NSO ein offenes Geheimnis. Man weiß, dass sich staatliche Abhöraktionen der Regierung und ihre Zusammenarbeit mit Unternehmen wie der NSO stark überschneiden. Die NSO kam bisher mit allen ihren Skandalen ungeschoren davon. Das ist kein Zufall. Aber hoffentlich wird es dieses Mal anders und sie wird einen Schaden davontragen. Meiner Meinung nach ist das Vorgehen der israelischen Behörden in der nächsten Zeit entscheidend. Welche Beziehungen zwischen den Verteidigungsministerium und NSO herrschen, darüber wissen wir bisher zu wenig.