Die israelische NSO-Group ist eine der berüchtigtesten IT-Sicherheitsfirmen Israels. Das liegt vor allem an ihrer Software "Pegasus". Diese erlaubt es ihrem Nutzer, fremde Smartphones auszuspionieren. Das an sich ist noch kein großer Coup. Eine Software zu schreiben, die Daten an ihre Macher sendet, können viele Hacker. Die Schwierigkeit besteht darin, die Spionagesoftware unbemerkt auf die Geräte der Nutzer zu schmuggeln. In dieser Disziplin macht der israelischen Cyberfirma so schnell niemand etwas vor.
Gewöhnliche Spionagesoftware bringt Nutzer dazu, sie quasi freiwillig zu installieren, indem sie sich etwa in einem anderen Programm versteckt. Oder die Angreifer schicken E-Mails mit dem Schadcode und hoffen darauf, dass die Opfer die E-Mail auf ihrem Mobilgerät öffnen und auf einen Link klicken. Profi-Software wie die der israelischen Firma dagegen nutzt bislang unbekannte Schwachstellen in Apps oder Betriebssystemen, sogenannte Zero-Days.
In der aktuellsten Version der App wird eine Sicherheitslücke geschlossen. Durch einen Anruf konnten Angreifer eine der mächtigsten Überwachungssoftwares installieren.
Eine dieser Sicherheitslücken betraf offenbar Whatsapp, die zu Facebook gehörende Messenger-App. Die kanadische NGO "Citizen Lab", die sich gegen die Verbreitung von Spionagesoftware engagiert, will nun nachgewiesen haben, dass Pegasus in der Lage ist, Geräte per Sprachanruf via Whatsapp zu infizieren. Aufgefallen sei das bei einem versuchten Angriff auf einen britischen Menschenrechtsanwalt. Damit sich die Software installierte, mussten Opfer den Anruf nicht einmal annehmen.
Mit Zero-Days gegen Terroristen - und Journalisten
Solche schwerwiegenden Sicherheitslücken werden immer wieder öffentlich. Unternehmen zahlen teils viel Geld, wenn Sicherheitsforscher sie über solche Fehler in ihren Programmen informieren. Dann aktualisieren die Firmen ihre Software und die Kunden können wieder in Ruhe chatten. Doch lukrativer ist es offenbar, das Wissen über Zero-Days an Unternehmen wie NSO zu verkaufen. Forschern der US-Universität MIT zufolge gibt es Anbieter, die für 150 000 Dollar im Monat Zugriff auf bisher unbekannte Lücken gewähren. Eine lohnende Investition für Firmen wie NSO. Die Firmengruppe sitzt in Herzliya nahe Tel Aviv. Die NSO-Gruppe hat laut der israelischen Zeitung Haaretz nach eigenen Angaben im Jahr 2018 einen Umsatz von rund 250 Millionen Dollar gemacht.
Gegründet wurde das Unternehmen 2010 von Niv Carmi, Shalev Hulio und Omri Lavie. Der Name der Firma setzt sich aus den Initialen der drei Vornamen zusammen. Carmi verließ das Unternehmen bald nach Gründung. Vier Jahre später erwarb eine US-Investmentfirma 60 Prozent der Anteile für etwa 120 Millionen Dollar. Im März 2019 kauften Lavie und Hulio die Anteile wieder zurück, Medienberichten zufolge sollen sie mehr als 600 Millionen Dollar gezahlt haben.
Über die neuen alten Eigentümer Lavie und Hulio ist wenig bekannt. In der Szene wird gemunkelt, sie seien früher, wie viele israelische IT-Security-Gründer, Mitglieder der berüchtigten israelischen Cyber-Armee-Einheit Unit 8200 gewesen. Hulio hat das dementiert. Ein guter Teil der Belegschaft israelischer IT-Firmen rekrutiert sich aus ehemaligen Soldaten der diversen Cyber-Einheiten der israelischen Armee, Unit 8200 ist die berühmteste. Dort lernen Rekruten, wie sie feindliche Computersysteme hacken, ausspionieren und manipulieren können - Fähigkeiten, die ihnen nach dem Militärdienst in der israelischen IT-Branche zugute kommen. Die meisten Firmen verkaufen jedoch Produkte und Dienstleistungen, die anderen Unternehmen helfen sollen, sich gegen Hacker zu verteidigen, NSO-Group dagegen verkauft Angriffswerkzeuge.
IT-Firmen voller ehemaliger Cyberkrieger
Die Liste der Kunden von NSO ist den Firmengründern zufolge lang. Wie lang genau, verrät die zugeknöpfte Firma nicht. Gerne beglückwünscht sich die Firma für Ermittlungserfolge: Pegasus soll etwa bei der Festnahme des mexikanischen Drogenbosses El Chapo zum Einsatz gekommen sein. Doch die kanadische Organisation Citizen Lab dokumentiert auch deutlich zwielichtigere Fälle, in denen die Software zum Einsatz kam. Demnach sei der emiratische Bürgerrechtler Ahmed Mansur ebenso ausspioniert worden wie ein mexikanischer Journalist, der über Korruption im Präsidentenamt recherchierte.
Ein Sprecher von NSO sagte auf Anfrage, das Unternehmen verkaufe seine Technologie nur an "autorisierte Regierungsorganisationen zur Bekämpfung von Kriminalität und Terrorismus". Christian Mihr, Geschäftsführer von Reporter ohne Grenzen, hält von solchen Beteuerungen wenig. Zwar verböten Verträge zwischen NSO und den Käufern einen "Missbrauch" der Technologie. Wenn die Produkte dann aber doch dort landen würden, wo sie eigentlich niemals genutzt werden dürften, verschlössen die Firmen die Augen. Mihr fordert deshalb eine rechtlich bindende Regulierung von Spähsoftware auf globaler Ebene. Bisher scheitere das allerdings noch an den Regierungen, die sich dem Druck dieser Industrie allzu oft beugten.
