WEBINAR: "Die Gefahren von iOS" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Sie wollen nicht warten? Sprechen Sie direkt mit uns!

Die Gefahren von Cyber-Waffen wie Pegasus

28 Sep, 2021

CTO-Kommentar: Handel mit Cyber-Waffen wie Pegasus stellt ernstzunehmende Sicherheitsbedrohung dar

Der mediaTest digital CTO Wulf Bolte liefert einen Kommentar zu den Gefahren vom Handel mit Schwachstellen wie der Pegasus-Sicherheitslücke.

Das Medienecho um Pegasus ist verhallt und die Menschen sind wieder beruhigt. Apple hat vermeintlich die Sicherheitslücke behoben, die es dem Trojaner “Pegasus” ermöglicht hat, auf iOS-Geräte zuzugreifen. Nun gelten Apple–Geräte wieder als Fels in der Brandung der Sicherheitslecks. Aber woher kommt eigentlich diese gefühlte Sicherheit? Und wieso ist das eigentliche Problem noch lange nicht gelöst?

Pegasus nur ein Beispiel von vielen

Bei genauerer Betrachtung ist es äußerst irreführend, dass sich die mediale Pegasus-Berichterstattung insbesondere auf die von Apple geschlossene Pegasus-Sicherheitslücke konzentriert. Im Zuge dessen sollte man jedoch über das grundsätzliche, strukturelle Problem sprechen: “Weaponised Exploits” und ein völlig falscher Umgang der Politik mit diesen Themen. Denn die moralischen Versprechen der Trojaner-Hersteller sind faktisch falsch. Wie zum Beispiel, dass Pegasus „ausschließlich an Strafverfolgungsbehörden und Geheimdienste von geprüften Regierungen verkauft [wird], mit dem alleinigen Ziel, durch Verhinderung von Verbrechen und Terrorakten Menschenleben zu retten“¹. Ein Realitätsabgleich offenbart jedoch, dass das Pegasus-Projekt mehr als 80 Journalist:innen aus 17 Medienorganisationen in zehn Ländern umfasste, darunter auch Die Zeit und Die Süddeutsche Zeitung.² Und das ist keineswegs überraschend: Menschenrechts- und netzpolitische Organisationen warnen regelmäßig vor den verheerenden Folgen einer auf Überwachung ausgerichteten Sicherheitspolitik.³

Staat missachtet seine Pflichten

In einem freiheitlich demokratischen System muss es die Pflicht des Staates sein, seine Bürger:innen vor derartigen Sicherheitslücken zu schützen: “Das Recht auf Leben schützt den Grundrechtsträger gegen Verletzungen seines Lebens durch den Staat sowie durch Dritte und verpflichtet den Staat, Eingriffe nicht nur zu unterlassen, sondern aktiv zum Schutz gegen solche tätig zu werden.”⁴ Allerdings fordert das Innenministerium stets vor dem Hintergrund eines Kontrollbedürfnisses der Sicherheitsbehörden, Hintertüren in Software und Verschlüsselung bereit zu halten. Diese sollen die Behörden im Verdachtsfall verwenden können. Doch es gibt kein Szenario, in dem Staaten Sicherheitslücken nutzen können und Kriminelle nicht. Verschlüsselung und sichere Software werden also strukturell untergraben, indem der Staat Überwachungsmöglichkeiten und Zugriffe auf informationstechnische Systeme (z.B. Telefone) von vermeintlichen Verdächtigen fordert.

Die Macht der Schwachstellen

Um Zugriffsmöglichkeiten auf mobile Geräte und Computer zu erhalten, muss immer eine Sicherheitslücke (Schwachstelle) gefunden werden. Für diese wird dann ein spezifisches Programm geschrieben (“Exploit”). Dieses verwendet die Lücke dazu, eine Überwachungssoftware zu installieren. Derartige Schwachstellen sind schwierig zu finden und werden – solange sie der Allgemeinheit und dem Hersteller unbekannt sind – für viel Geld auf dem Schwarzmarkt gehandelt. Das heißt, dass die Nachfrage von Sicherheitsbehörden nach solchen Schwachstellen zum einen den Schwarzmarkt ankurbelt. Zum anderen verwenden die Behörden Steuergelder und Energie des Staates darauf, Schwachstellen für Überwachungszwecke zu nutzen und diese nicht den Herstellern bekannt zu machen. Dadurch werden die Sicherheitslücken nicht behoben, sondern für die Überwachung der eigentlich zu schützenden Bevölkerung genutzt.

Wenn jedoch Lücken von staatlichen Institutionen bekannt gemacht werden, wie es von anderen Organisationen und Gruppierungen praktiziert wird (Ethical Hacking etc.) und der Hersteller diese behebt, werden Systeme sicherer gegen Angriffe. Der Staat würde seine Ressourcen somit für die Einschränkung der Möglichkeiten für Kriminelle und die Verhinderung von Kriminalität nutzen.

Auch Deutschland setzt Pegasus ein

Das Geheimhalten von Schwachstellen ermöglicht es Kriminellen überhaupt erst, rechtswidrige Aktivitäten durchzuführen. Wenn Software zur Überwachung von Bürger:innen entwickelt wird, dann wird diese auch eingesetzt. Es handelt sich um ein wiederkehrendes Phänomen, dass Staaten Überwachungstechnik zunächst nur unter strengen Vorgaben und gegen schwerste Verbrechen (z.B. Terrorismus) einsetzen. Doch diese Restriktionen werden nach und nach aufgeweicht. Das von Toll Collect betriebene Mautsystem ist eines von vielen Beispielen dafür, dass technische Nachverfolgungsmöglichkeiten regelmäßig Begehrlichkeiten der Sicherheitsbehörden wecken, diese für Überwachungszwecke zu verwenden. Und auch den Bundestrojaner verwenden Sicherheitsbehörden inzwischen gegen Kleinkriminelle wie Drogendealer.⁵ Seit Juni dürfen Trojaner sogar eingesetzt werden bevor eine Straftat begangen wurde.⁹

Der Schutz der Bevölkerung und das Geheimhalten der Lücken stellt also einen Widerspruch dar. Nur dank diverser NGOs wurde die geschlossene Pegasus-Lücke so dokumentiert, dass überhaupt Gegenmaßnahmen eingeleitet werden konnten. Das bedeutet jedoch nicht, dass Überwachungssoftware wie der in Deutschland illegale Pegasus-Trojaner nun nicht mehr funktionieren. Deutsche Behörden beteuern zwar, dass Pegasus zu mächtig sei und viel mehr könne, als es die deutsche Gesetzeslage erlaubt. Umso interessanter ist jedoch, dass das BKA die Software von NSO im Herbst 2020 gekauft hat. Firmen wie NSO verwahren ein ganzes Arsenal von sogenannten “Zero-Days” (= ungepatchte Sicherheitslücken), um dadurch – wie in diesem Fall – auf andere Einfallstore ausweichen zu können.

Cyberwaffen-Handel muss ernst genommen werden

Das Pegasus-Projekt hat verdeutlicht, dass Weaponised Exploits auch gegen Journalist:innen und Oppositionelle eingesetzt werden. Die eigentliche Diskussion sollte deshalb in folgende Richtung gehen: Das Handeln von Sicherheitslücken in Software muss genauso behandelt werden wie der Waffenhandel. Firmen, die Sicherheitslücken identifizieren, müssen dazu verpflichtet sein, diese zu melden. Unsere Politik hat das Thema grundlegend nicht verstanden. Dies wird zum Beispiel am Umgang mit der Sicherheitsforscherin Lilith Wittmann nach ihrer Entdeckung und Meldung von Sicherheitslücken in der CDU-Connect-App deutlich.⁶ Wenn Politiker:innen mit rechtlichen Schritten gegen Personen vorgehen, die Bürger:innen vor Sicherheitslücken schützen wollen, ist etwas grundsätzlich schief gegangen und ein Beleg für fachliche Inkompetenz.

Empfehlung zum Umgang mit Sicherheitslücken

Die Sicherheitsexperten von mediaTest digital fordern daher:

  • Verpflichtung zur Offenlegung von Sicherheitslücken (Responsible disclosure)
  • Verbot des Handels mit Cyber-Waffen (Sicherheitslücken)
  • Verpflichtung von Herstellern, Sicherheitsprobleme in einem definierten Zeitraum zu lösen
  • einen Mindestzeitraum zur weiteren Pflege von Soft- und Hardware nach Ende des offenen Handels
  • Verpflichtung zum Veröffentlichen von Entwicklungsschnittstellen und Dokumentation, um abgekündigte Produkte von einer Community weiter pflegen und reparieren zu können und damit das Recht auf Reparierbarkeit auf EU-Ebene zu verankern⁷
  • Endgültige Streichung der Maßnahmen 8.3.1, 8.3.7, 8.3.8, 8.3.9, 8.3.11, 8.3.12, 8.3.14, 8.4.7. (Hacker-Paragraph)⁸

Stellen Sie mithilfe des Pegasus-Checks sicher, dass sich keine infizierten Geräte in Ihrem Unternehmen befinden!

 

Haben Sie Fragen zur Sicherheit Ihrer eingesetzten Mobilgeräte?

Das könnte Sie auch interessieren:

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.
Update-Prüfung Corona-Warn-App

Update-Prüfung Corona-Warn-App

Die Corona-Warn-App wurde im Oktober geupdatet und beinhaltet jetzt auch einen QR-Code-Scan. Wie schneidet sie dabei datenschutzrechtlich ab?

Lage der IT-Sicherheit in Deutschland

Lage der IT-Sicherheit in Deutschland

Das BSI bestätigt, was Sicherheitsexperten schon lange wissen: Die IT-Sicherheit in Deutschland ist kritisch. Wie müssen wir darauf reagieren?

PRESSEKONTAKT

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Newsletter

Exklusive Tipps und Neuigkeiten rund um Apps und mobile Sicherheit

Contact