Die NSO Group ist berühmt-berüchtigt. Die wohl von ehemaligen Hackern der israelischen Armee mit gegründete Cybersicherheitsfirma verkauft Spionage-Software an Regierungen. Berühmt ist NSO, weil ihre Software extrem gut sein soll. Berüchtigt ist sie, weil sie bei der Auswahl ihrer Kunden offenbar nicht zimperlich ist.
Die verschwiegene Firma aus Herzliya nahe Tel Aviv gilt als verlässlicher Käufer sogenannter Zero Day Lücken, also bisher unentdeckter Sicherheitslücken in weit verbreiteter Software wie iOS, Android oder Microsoft-Betriebssystemen, sowie Programmen und Apps. Die Firma verwandelt diese Lücken dann in Angriffswerkzeuge, damit ihre Spionagesoftware "Pegasus" auf den Geräten nichtsahnender Opfer installiert werden kann.
Jetzt hat die Facebook-Tochter Whatsapp die Firma vor einem kalifornischen Gericht verklagt: wegen Computerbetrugs, Hausfriedensbruchs und eines Verstoßes gegen die Nutzungsbedingungen von Whatsapp. Sie will NSO den Zugang zu Whatsapp verbieten und fordert Schadenersatz in unbekannter Höhe. Spannend ist die Klage Whatsapps vor allem, weil NSO Group stets behauptet hatte, lediglich Software zu verkaufen. Auch in einem Statement gegenüber der SZ hatte NSO im Mai erklärt, dass die Firma beim Betrieb der Software durch ihre Kunden nicht beteiligt ist. Die Logik dahinter: So bleibe man sauber, auch wenn die Programme zu unmoralischen oder gar illegalen Zwecken eingesetzt werden. Whatsapp-CEO Will Cathcart behauptet nun in einem Gastbeitrag in der Washington Post, Beweise zu haben, dass NSO Group gelogen hat.
NSO soll unter anderem daran beteiligt gewesen sein, Whatsapp-Konten anzulegen, um seine Spionagesoftware "Pegasus" auf den Geräten der Opfer zu verteilen. Auch beim Betrieb der Kontrollserver für den Trojaner soll NSO - anders als behauptet - seine Finger im Spiel gehabt haben. Über diese Server können infizierte Geräte von den Angreifern kontrolliert werden und von den Geräten heimlich verschickte Daten empfangen werden. NSO Group hat die Vorwürfe in einem Statement zurückgewiesen und angekündigt, sich zur Wehr setzen zu wollen.
Whatsapp: NSO an den Späh-Aktionen direkt beteiligt
Die Sicherheitslücke, um die es nun in der Klage geht, war im Mai dieses Jahres öffentlich geworden. Der Klage zufolge konnten NSO-Mitarbeiter Whatsapp so manipulieren, dass Pegasus über einen Whatsapp-Anruf auf den Geräten der Opfer verteilt wurde. Besonders perfide: Der manipulierte Anruf wurde den Opfern nicht einmal angezeigt. Damit der Späh-Angriff funktionierte, mussten NSO-Mitarbeiter die Whatsapp-Software jedoch entscheidend verändern und auch Whatsapp-Infrastruktur wie Server in Kalifornien manipulieren - behauptet zumindest Whatsapp in der Klage. Das wäre dem zufolge ein Verstoß gegen die Nutzungsbedingungen und gegen Computerbetrug-Gesetze in den USA. Whatsapp schloss die Lücke am 13. Mai mit einem Not-Update. Kurz darauf schrieb ein NSO-Mitarbeiter laut Klagetext: "Ihr habt unsere wichtigste Remote-Lücke für Mobiltelefone geschlossen... es ist überall in den Nachrichten."
Der Deutschland-Chef der Organisation "Reporter ohne Grenzen", Christian Mihr, nannte die Klage Whatsapps ein "entscheidendes Signal gegen Überwachungsexzesse" und forderte andere Technologieunternehmen auf, sich Whatsapp zum Vorbild zu nehmen. Mihr erneuerte in dem Zusammenhang seine Kritik an den immer wieder geforderten Hintertüren in Messengern für Sicherheitsbehörden: "Jede Schwachstelle in solchen Produkten stellt nicht nur die Privatsphäre von Millionen oder gar Milliarden Menschen infrage, sondern setzt auch Journalistinnen und ihre Informanten unabsehbaren Gefahren aus."
Ein Handy mit Pegasus-Software ist besser als jede Wanze
Die 127-seitige Klageschrift gibt auch zum ersten Mal detaillierte Einblicke in die Fähigkeiten eines der mächtigsten staatlichen Hackertools. An die eigentliche Klage angehängt, findet sich die Produktbeschreibung des Trojaners Pegasus sowie ein Vertrag über den Verkauf der Software an die Nationale Kommunikationsbehörde Ghanas. Für acht Millionen Dollar plus etwa zwei Millionen für Support bekamen die Ghanaer demnach ein Spionagewerkzeug mit weitreichenden Möglichkeiten. Die Software könne vom Nutzer unbemerkt über stille Push-Nachrichten installiert werden und überlebe sogar ein komplettes Zurücksetzen des Geräts. Einmal auf dem Smartphone oder Tablet hatten die Spitzel Zugriff auf nahezu alle Daten und konnten zudem Fotos machen und das Mikrofon der Telefone als Wanzen nutzen.
NSO hatte noch kleine zusätzliche Features eingebaut. Durch Überwachung des GPS-Signals des Geräts konnten sich die Spitzel einen Alarm zuschicken lassen, wenn das Opfer einen bestimmten Bereich betrat. Und sie konnten sich von dem Programm benachrichtigen lassen, wenn sich zwei Opfer miteinander trafen.
NSO Group hat wieder und wieder beteuert, dass die Firma ausschließlich an staatliche Stellen verkauft und sämtliche Käufer vorher überprüft. Länder, von denen Menschenrechtsverletzungen zu erwarten sind, bekämen demnach keine Lizenz. Doch selbst wenn diese Prüfungen stattfinden, besonders effektiv scheinen sie nicht zu sein. So behauptet die Bürgerrechtsorganisation Citizen Lab, dass die NSO-Software Pegasus unter anderem für die Bespitzelung von Journalisten in Mexiko, Menschenrechtsanwälten in den Vereinigten Arabischen Emiraten und saudischen Dissidenten eingesetzt wurde. In der Klage Whatsapps ist nun auch vom Königreich Bahrein als Kunde von NSO die Rede.
Der NSO-Trojaner Pegasus soll Medienberichten zufolge auch im Vorfeld der Ermordung des saudischen Washington-Post-Kolumnisten Jamal Khashoggi in der saudischen Botschaft in Istanbul 2018 eine Rolle gespielt haben. NSO hatte in der Folge bestritten, dass ihre Software "direkt" an der Bespitzelung Khashoggis beteiligt war, stellte aber die Geschäftsbeziehung zur saudischen Regierung öffentlichkeitswirksam ein.
