Der Doktor hat sich diesmal für seine Kolumne einen Klopper ausgesucht. Wir dachten eigentlich, dass er eine Frage zu "Wie mache ich Facebook nützlich?" beantwortet. "Das hat Zeit. Wer benutzt schon noch facebook?" grummelte er uns an. Dies hier sei wichtiger. Angesichts seines niedrigen Mojito-Pegels gaben wir nach. Er ließ sich immerhin bewegen, eine Kurzzusammenfassung (tldr – "too long; didn´t read") anzufügen.
Maik M. aus Meuselwitz:
Lieber Dr. Herbst, mit Interesse habe ich Deine Antwort auf Karolas Frage in der vorletzten Cuba Libre gelesen. Und ich bemühe mich nun, meine Mails zu verschlüsseln und so. Leider klappt das nicht immer, liegt manchmal auch an der Gegenseite. Nun las ich vor kurzem etwas über eine Software, das war sogar in den Nachrichten, die alles auf meinem Handy abhören kann und an "Stellen" schickt. "Ikarus" oder so? Das ist schon ein bisschen scary, finde ich. Kann nun jeder auch das lesen, was ich verschlüsselt schreibe? Kann ich mich schützen? Kann ich merken, ob auf meinem Handy das Zeug installiert ist?
Dr. Herbst:
Lieber Maik, ich habe Deine Frage aus den zahllosen Einsendungen, die ich meist per Mail, fernmündlich oder gar nicht beantworte, ausgewählt, weil sie daran erinnert, mit unseren tragbaren Kommunikationsgeräten umsichtig umzugehen, also nicht nur den Computer einzuschalten, sondern auch das Gehirn.
Den Namen dieser Spionagesoftware hast Du Dir aber falsch gemerkt: "Ikarus" war der Typ, der aus Übermut zu nahe an die Sonne geflogen ist, worauf seine Flügel abfackelten und er abstürzte. Das wäre ein ziemlich blöder Name für eine solche Software. "Pegasus" – Dichterross und Quelle aller Weisheit – hat die israelische Firma NSO Group, die diese Software vertreibt, ihr hochausgeklügeltes Machwerk genannt. (Den wütenden Einschub über die Verantwortung der Wissenschaftler muss ich streichen, die Kolumne ist ohne das schon zu lang,)
Amnesty International hat im Juli 2021 diese Spionagesoftware "geouted".
tldr |
Was macht "Pegasus"?
Es kopiert alles was Du machst (wischst, tippst oder dergleichen) zusammen mit Screenshots und schickt es "zu gegebener Zeit" an diejenigen, die die Software für den Einsatz gekauft oder gemietet haben. Während Du also Deine Nachricht eintippst wird sie abgefangen, bevor die Verschlüsselung einsetzt.
Wer kann "Pegasus" kaufen?
Im Prinzip "jeder, der ein berechtigtes Interesse" hat. Also die "Dienste" aller Länder.
Wie kommt die "Pegasus"- Abhörsoftware auf mein Handy?
Zunächst einmal über die bekannten Standardmethoden bösartiger Software: Phishing, Trojaner, Spear-Phishing. (Wenn Euch die Worte nichts sagen: Nachgucken und staunen!)
Hier hilft das immer zu wiederholende Mantra: Nichts leichtfertig anklicken in Mails.
Nichts heißt Nichts: Auch keine Datei, die Euch eine Freundin schickt, wenn ihr nicht sicher seid, dass die Freundin euch was schicken wollte. Word-Dateien nie mit Makros laufen lassen. Keine Software von unbekannten Quellen laden, auch wenn sie dort "unglaublich billig" ist. Und so weiter, ihr wisst schon (Katzenbilder, "Britney Spears Naked" ...).
Aber: Raffiniert und durchaus nicht ohne ein gehöriges Maß an Gehirnschmalz (und krimineller Energie ... ach nein, das sind ja die Guten Spione) ist, dass "Pegasus" auch mit "zero click exploits" arbeitet. Also Methoden, bei denen der Benutzer nichts(!) machen muss und das Zeug wird installiert. Amnesty International hat einen Fall genau dokumentiert [1], in dem der Angegriffene die Website von "Le Parisien" aufgerufen hat und (über Zwischenschritte) dann "Pegasus" installiert wurde.
Wow – "Eine ganz normale Website aufrufen, und ich fang mir den Mist?" Ja, das ist nicht ganz einfach, Amnesty erklärt die Funktionsweise ganz gut (für "Experten"), aber die kurze Antwort lautet: Ja.
Kann ich mich schützen?
Schwierig, sehr schwierig, an der Grenze zu "unmöglich".
Okay, Apple hat im September einen Patch rausgehauen, der angeblich "Pegasus" erkennen und blockieren soll. iOS-Geräte könnten also gegen die im Juli 2021 kursierende Version immun sein. Iphones waren das Hauptziel der "Pegasus"-Benutzer, weil es für Android preiswertere Methoden gibt.
Patches für Androiden? "Kommt drauf an" – jeder mit einem Android-Taschencomputer weiß, wie unterschiedlich die Hersteller das Update handhaben. Kann sein, kann nicht sein. Da kann ich nur auffordern: "Guckt mal dringend nach!".
Dennoch – es bleibt das übliche Hase-und-Igel-Spiel. Außer der NSO-Group und ihren "vertrauenswürdigen Kunden" weiß wohl kaum jemand, was die noch in Petto haben. Ich würde die Patches nur als "kurzfristigen Stolperstein" einordnen.
Kann ich feststellen, ob auf meinem Telefon Pegasus" läuft?
Zumindest für die im Juli 2021 kursierende Version hat Amnesty ein Toolkit für die Erkennung zusammengestellt [2]. Sie schreiben aber selbst, dass das noch in einem Zustand ist, der nur für Experten benutzbar ist.
Wenn ihr also einen Verdacht habt: sucht euch eine Computer-Nerdin (falls ihr selber keiner seid). Für iOS (Hauptziel dieser Software) gibt es eine halbwegs verständliche Anleitung bei Heise.[3]
Und nun? Was hat das jetzt mit Cuba Libre zu tun?
"Nur weil Du paranoid bist, heißt das nicht, dass sie nicht hinter Dir her sind", war so ein 80er-Jahre Spruch. (Für die Digital Natives: Das war die "Vokuhila"-Zeit.)
Auch deutsche Behörden setzen "Pegasus" ein. So klar uns das scheint, wurde es erst Ende Oktober 2021 inoffiziell bestätigt.[4] Doch der Einsatz dieser Software ist mit ziemlich hohem Aufwand verbunden, weil gezielt einzelne Personen ausgesucht, die entsprechenden Fallen für sie aufgebaut und der "Datenstrom" überwacht werden muss.
Für 99 Prozent oder mehr der Cuba-Libre-Leser ist zwar Paranoia nicht unnütz, aber "Pegasus" nicht relevant. Hier dürfte das Update auf die neueste iOS oder Android-Version zunächst reichen. Wesentlich relevanter bleibt für uns die Ausleitung aller Daten am DECIX (siehe CL 3–2021) vor der wir uns mit ausreichender Verschlüsselung immer noch schützen können. (Maik: Vorbildlich!)
"Pegasus" ist ein teures und aufwendiges Instrument für die Geheimdienste, das – so das bisher Bekannte – gegen "Dissidenten" eingesetzt wird. Vermutlich wird die BRD das nicht anders handhaben, für KiPo und dergleichen stehen billigere Methoden bereit. Ob Faschisten hierzulande zu "Dissidenten" zählen scheint manchmal fraglich. Kubafreundinnen und -freunde andererseits ...
Der Appell an Maik und andere: Solches Zeug wie "Pegasus" ist das Gegenteil von einem Grund, auf Verschlüsselung zu verzichten. Der Appell an "ihr wisst schon, wenn ihr gemeint seid" ist: Schaut mal, ob auf eurem Telefon schon Pegasus läuft!
[1] Kurzlink: https://t1p.de/ivoo
[2] Kurzlink https://t1p.de/mvt
[3] Kurzlink: https://t1p.de/pegasus-iphone
[4] Kurzlink: https://t1p.de/pegasus-brd
CUBA LIBRE 1-2022