Pegasus-Skandal: Gericht verurteilt NSO Group für illegale Zugriffe auf 1.400 WhatsApp-Konten

Ein US-Gericht entschied zugunsten von Meta, dem Unternehmen hinter WhatsApp, im Verfahren gegen die israelische NSO Group. Die NSO Group, die durch ihre Spähsoftware „Pegasus“ bekannt ist, wurde beschuldigt, rund 1.400 WhatsApp-Nutzer gehackt zu haben. Laut Gericht verstieß die NSO Group sowohl gegen das Computer Fraud and Abuse Act als auch gegen die Nutzungsbedingungen von WhatsApp.

Auch deutsche Behörden setzen die Spähsoftware „Pegasus“ ein.

Dieses Urteil stellt einen bedeutenden Fortschritt für den Schutz der Privatsphäre dar und könnte weitreichende Konsequenzen für die gesamte Spyware-Branche nach sich ziehen. Die NSO Group hatte ihre Software als Werkzeug zur Bekämpfung von Terrorismus und Kriminalität gerechtfertigt, doch das Gericht wies diese Argumentation zurück.

„NSO kann sich der Verantwortung für seine unrechtmäßigen Angriffe auf WhatsApp, Journalisten, Menschenrechtsaktivisten und die Zivilgesellschaft nicht mehr entziehen“, erklärte WhatsApp-Sprecher Carl Woog in einer Stellungnahme. „Dieses Urteil sollte Spyware-Unternehmen verdeutlichen, dass ihre illegalen Aktionen nicht toleriert werden.“ Die NSO Group hat bisher keine Stellungnahme zum Urteil abgegeben.

Der Fall tritt nun in eine nächste Phase ein, in der die Höhe des Schadensersatzes, den die NSO Group an Meta zahlen muss, bestimmt wird. Dieses Urteil könnte als wegweisender Präzedenzfall dienen und andere Unternehmen davon abhalten, vergleichbare Praktiken in den USA zu verfolgen.

Sicherheitsforscher sieht „großen Sieg für Opfer“

Sicherheitsforscher John Scott-Railton vom kanadischen Citizen Lab bezeichnet das aktuelle Urteil als einen „großen Sieg für Opfer von Spionagesoftware“ und zugleich als eine „bedeutende Niederlage für NSO“ sowie für private Anbieter von Hacking-Software, wie „Reuters“ berichtet.

Laut Scott-Railton habe sich die gesamte Branche hinter der Behauptung versteckt, sie sei nicht für die Nutzung ihrer Hacking-Tools durch ihre Kunden verantwortlich. Das Urteil stelle jedoch klar, dass „die NSO Group tatsächlich für zahlreiche Gesetzesverstöße verantwortlich ist“, erklärte er.

Nach Angaben der NSO Group sei der „Pegasus“-Trojaner für staatliche Geheimdienste und Strafverfolgungsbehörden entwickelt worden, um „die Zivilgesellschaft vor ernsthaften Bedrohungen wie Terrorismus und organisierter Kriminalität zu schützen“. Dennoch wurden Spuren des Trojaners auf zahlreichen Smartphones von Menschenrechtlern, Journalisten und Aktivisten weltweit gefunden.

Der israelische Hersteller betonte, dass der „Pegasus“-Trojaner unbemerkt auf den Geräten der Opfer installiert werden könne, ohne dass diese selbst aktiv werden müssten, etwa durch das Anklicken eines Links oder das Öffnen einer Nachricht, wie aus dem Gerichtsschreiben hervorgeht.

Android, iOS oder BlackBerry

Nach der Installation könne der „Pegasus“-Trojaner laut NSO Group „aus der Ferne und im Verborgenen wertvolle Informationen von nahezu jedem mobilen Gerät abrufen“, unabhängig vom verwendeten Betriebssystem, ob Android, iOS oder BlackBerry, wie aus den Gerichtsunterlagen hervorgeht.

Der Trojaner sei laut Hersteller unter anderem dazu entwickelt worden, die Kommunikation abzufangen, die von einem Gerät gesendet oder empfangen wird – einschließlich Nachrichten über iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp und andere Anwendungen, heißt es weiter.

Darüber hinaus könne die „Pegasus“-Software für verschiedene Zwecke angepasst werden, sodass auch das Erfassen von Screenshots sowie das Abgreifen von Browserverläufen und Kontakten des infizierten Geräts möglich sei, heißt es weiter.

Andere Medien berichten, dass die Software auch den Zugriff auf gespeicherte Fotos und andere Dateien ermögliche und eine unbemerkte Nutzung der Kamera und des Mikrofons zulasse.

1.400 Smartphones gehackt

Meta reichte die nun erfolgreiche Klage bereits im Jahr 2019 ein. Damals war bekannt geworden, dass die NSO Group eine Sicherheitslücke bei WhatsApp ausnutzte, um in rund 1.400 Smartphones einzudringen. Im Mai 2019 entdeckte und stoppte WhatsApp nach eigenen Angaben den unbefugten Zugriff durch den „Pegasus“-Trojaner.

Laut WhatsApp wollte die NSO Group gezielt die Nutzer der App „überwachen“, da die Ende-zu-Ende-Verschlüsselung nicht geknackt werden konnte, heißt es in den Gerichtsdokumenten.

Der Mutterkonzern Meta warf der NSO Group vor, mit ihrem erfolgreichen Hackerangriff gegen die WhatsApp-Nutzungsbedingungen sowie gegen den U.S. Computer Fraud and Abuse Act (18 U.S.C. § 1030) und den California Comprehensive Computer Data Access and Fraud Act (California Penal Code § 502) verstoßen zu haben. Daher erhob Meta Klage auf Unterlassung und Schadensersatz.

Die NSO Group bestreitet die Vorwürfe, musste sich jedoch, wie bereits in früheren Fällen, mehrfach in gerichtlichen Prozessen geschlagen geben. Offen bleibt, wie hoch das israelische Überwachungsunternehmen nun bestraft wird. Diese Entscheidung wird im Hauptverfahren getroffen. Gegen das aktuelle Urteil ist eine Berufung möglich.

Deutsche Behörden nutzen „Pegasus“-Trojaner

2021 wurde bekannt, dass auch deutsche Behörden in Deutschland den „Pegasus“-Trojaner der NSO Group einsetzen. Die Vizepräsidentin des Bundeskriminalamtes (BKA), Martina Link, bestätigte dies damals dem Bundestag. Das Trojaner-Programm werde für Ermittlungsverfahren im Bereich des Terrorismus und der organisierten Kriminalität genutzt, erklärte sie. Das BKA habe jedoch nicht die Standardversion der Software erworben, da „Pegasus“ weit mehr Funktionen bietet, als das deutsche Gesetz erlaubt. Zudem sei nicht ausreichend nachvollziehbar, welche Aktionen die Software auf einem Zielgerät ausführe.

Auf Wunsch des BKA nahm die israelische Herstellerfirma daher eine technische Anpassung vor und entwickelte eine Version der Software, die verfassungskonform eingesetzt werden könne, so Link laut der „Süddeutschen Zeitung“.

Dieser maßgeschneiderte Trojaner sei vom BKA umfangreich überprüft worden, und es seien zusätzliche Sicherheitsvorkehrungen getroffen worden. So würden die überwachten Telefonnummern durch Hashwerte verschleiert, sodass die Herstellerfirma die Zielpersonen nicht identifizieren könne. Darüber hinaus habe man sich vertraglich von NSO zusichern lassen, dass keine Daten an die Firma abgeführt werden, sondern an das BKA, heißt es in dem Bericht.

Laut netzpolitik.org bestehe der Verdacht, dass durch den Einsatz des „Pegasus“-Trojaners auch in der EU Gesetzesverstöße begangen wurden. Die Organisation stützt diesen Verdacht auf die Tatsache, dass im Rahmen einer Untersuchung durch einen Sonderausschuss in Polen Opfer der Spähsoftware gefunden wurden. Zuvor hatten dortige Ermittler das Pegasus-Spionagesystem in einer staatlichen Behörde beschlagnahmt.

Apple zieht Klage gegen NSO Group zurück

Auch Apple klagte gegen die NSO Group, zog die Klage aber zurück, da die israelische Regierung den Quelltext für den „Pegasus“-Trojaner beschlagnahmte, womit dieser nicht mehr verfügbar war.

Zudem befürchtete das Unternehmen, dass die Weiterführung des Prozesses sensible Sicherheitsinformationen offenlegen könnte. Diese seien jedoch essenziell, um die Sicherheit der Nutzer vor weiteren Spionageangriffen zu gewährleisten.

Auch ein Untersuchungsausschuss des EU-Parlaments untersuchte anderthalb Jahre lang Vorwürfe rund um den „Pegasus“-Trojaner und das Ausspionieren von EU-Bürgern.

Konsequenzen durch die EU-Kommission gab es jedoch bisher nicht, obwohl der Untersuchungsausschuss empfahl, dass die EU-Mitgliedsländer zumindest rechtsstaatliche Minimalstandards für den Einsatz von Staatstrojanern einhalten sollten, berichtet „netzpolitik.org“.