Nach zwei Stunden vor dem Bildschirm wird Max Bazaliy langsam klar, dass er gerade Computercode analysiert, wie ihn IT-Sicherheitsforscher nur selten zu sehen bekommen. Code, der so brisant ist, dass Firmen dafür viel Geld zahlen.
Bazaliy arbeitet für das Unternehmen Lookout, das auf die Sicherheit von Smartphones spezialisiert ist. Er verbringt noch mehrere Stunden an seinem Rechner, bis er sich sicher ist. "Ich habe gemerkt, dass da sehr komische Dinge passieren", erzählt der 29-Jährige in einem Gespräch in Hamburg Ende 2016, am Rande der Hacker-Konferenz 33c3. An dem Abend, an dem er den Code sieht, ruft er seinen Chef an. Es ist sehr dringend.
Der Code, der ihn von Mitte August an für mehrere Wochen beschäftigen wird, kann anscheinend komplett auf fremde iPhones zugreifen: Skype-Gespräche mitlesen, auf E-Mails zugreifen, Tastaturanschläge protokollieren. Noch mehr ist möglich. "Ich war sehr beeindruckt. Der Angriff ist extrem clever", sagt Bazaliy. Sein Kollege formulierte es im Gespräch mit der Vanity Fair so: "Bei jeder Zeile war es ein: 'Oh shit, das kann doch nicht wahr sein. Oh shit. Oh shit.' So ging es weiter und weiter."
Ein außergewöhnlicher Fall von Spionage
Es ist das erste Mal, das öffentlich ein Fall dokumentiert wird, in dem das iPhone durch Unbefugte bedient werden kann, die sich auch am anderen Ende der Welt befinden könnten. Ein außergewöhnlicher Fall von Spionage, der gleich drei Schwachstellen des Gerätes nutzt. Beim Boxen würde man sagen: Zwei kurze Gerade, dann der Kinnhaken - und die Verteidigung des iPhone ist ausgeknockt.
Ausgerechnet jenes Smartphone, das auch in Sachen Sicherheit einen exzellenten Ruf genießt. Denn Apple kontrolliert sowohl Hard- als auch Software - im Gegensatz etwa zu den meisten Herstellern von Android-Telefonen. Apples Vorteil: Werden Sicherheitslücken gefunden, können diese mit einem Update vergleichsweise schnell geschlossen werden. Das erschwert Angriffe. Apple reagierte Im August 2016 im Eiltempo. Binnen zwei Wochen war die Lücke geschlossen.
Bazaliy analysierte die technischen Details des Angriffs, IT-Sicherheitsforscher der Forschungsgruppe Citizen Lab aus Kanada die politische Dimension. Erst beide Untersuchungen zusammen ergaben ein klares Gesamtbild.
Milliardenschwerer Schattenmarkt um Spionage-Software
Es zeigt sich, dass weltweit in den vergangenen Jahren ein nicht zu überblickender Schattenmarkt entstanden ist, in dem aggressiver Computercode gehandelt wird. Es gibt wenige Schätzungen darüber, wie viele Milliarden Euro im Jahr mit dem Vertrieb von Spionage-Software umgesetzt werden. In einer von 2012 hieß es, dass schon damals fünf Milliarden Dollar jährlich umgesetzt werden.
Staaten und ihre Polizeibehörden kaufen auf diesem Markt ein. Was Hacker in penibler Arbeit finden und für gutes Geld verkaufen, wird auch von unterdrückerischen Regimen eingesetzt, um Dissidenten auszuspionieren. So auch im Fall von "Pegasus", wie Fachleute den großen Angriff auf das iPhone nennen.
Das eigentliche Ziel des Angriffs war Ahmad Mansour. Er lebt in den Vereinten Arabischen Emiraten, legt sich für die Bürger mit dem Staat an. Für seine Arbeit wurde ihm unter anderem von Amnesty International und Human Rights Watch der Menschenrechtspreis verliehen. In den Emiraten wurde er inhaftiert, geschlagen, sein Pass eingezogen. Und mindestens drei Mal wurde versucht, seine Kommunikation zu überwachen.
Im August 2016 bekommt Mansour eine SMS von einer unbekannten Nummer. Darin steht: "Neue Geheimnisse über emiratische Bürger, die in Gefängnissen gefoltert wurden" Klingt nach einem Thema, das den Menschenrechtler interessieren dürfte. Darunter ein Link. Es ist eine klassische Phishing-Nachricht. Dabei versuchen Angreifer, ihre Opfer mit einer gezielten Botschaft zu ködern. Die SMS ist maßgeschneidert, damit der Empfänger auf jeden Fall den Link anklickt - und sich so Spionagesoftware auf das Smartphone lädt, ohne es zu ahnen.
"Für mich ist es ganz normal, auch das Zweifellose anzuzweifeln"
Mansour war bereits zweimal auf einen vergleichbaren Phishing-Trick hereingefallen. Dieses Mal klickte er die Nachricht nicht an. "Ich habe fast alle Formen von Überwachungssoftware gesehen, alle Hacking-Techniken. Für mich ist es ganz normal, auch das Zweifellose anzuzweifeln", sagte er im Interview mit Motherboard.
Stattdessen leitete er die Nachricht an Bill Marczak von Citizen Lab weiter. Der IT-Sicherheitsforscher deckte in den Jahren zuvor die Machenschaften von Firmen auf, die Überwachung als Dienstleistung anbieten. Sie verkaufen nicht nur die Schwachstellen, sondern bieten auch Support-Dienste für die Technik an. Marczak sah sich den von Mansour weitergeleiteten Code an, und leitete ihn direkt an Bazaliy weiter, den Fachmann von Lookout. Die Firma hat sich auf die Sicherheit von iOS-Geräten spezialisiert.