2022-01:Mehr Unsicherheit durch Regierungsaufträge im privaten Spionagesektor

Aus grünes blatt
Zur Navigation springenZur Suche springen

Mehr Unsicherheit durch Regierungsaufträge im privaten Spionagesektor

fb Der umfangreiche, im Sommer 2021 weltweit durch ein Bündnis von Journalist*innen und NGOs[1] bekannt gemachte, Einsatz privater Spionagedienstleistungen zur ille­gitimen Ver­folgung von Whistleblowern, Demokratieaktivist*innen, Journalist*innen, Regierungsmit­gliedern und anderen am Beispiel des „Pegasus“ genannten Tools der israeli­schen Firma „NSO Group“ (vgl. ZEIT 2021)⁠ hat die Frage aufgeworfen, ob demokratische Gesellschaf­ten durch die Benutzung des oft in einer Grauzone agierenden Marktes für geheimgehal­tene Sicherheitslücken und Werkzeuge zu deren Ausbeutung einerseits die Datensicher­heit für alle Nutzer*innen aktueller Technologie aufs Spiel setzen, andererseits demokrati­sche Werte selbst unterlaufen (vgl. Krack 2021; Marczak et al. 2020)⁠. Pegasus ist ein Werkzeug, mit dem praktisch je­der Mensch mit Smartphone lokalisiert, überwacht und de­ren privateste Kommunikation sowie Präferenzen durch Abgreifen sämtlicher auf dem Ge­rät installierter Dienste ein­schließlich solcher, die nicht aktiv benutzt werden, abgegriffen werden können. Ermöglicht wird dies durch kontinuierliche Beschaffung geheimer Sicher­heitslücken, die von Hacker*innen für viel Geld nur an die Käufer*in kommuniziert werden. Je nach individuellem Sicherheitsverhalten kann diese Komplettüberwachung mehr oder weniger perfekt realisiert werden – ganz schützen können sich die Nutzer*innen kaum (vgl. Biermann 2021a, 2021b; Chawla 2021; Hegemann 2021; Kirchgaessner et al. 2021)⁠. Die in diesem Text argumentierte These lautet, dass der über Nationalstaatsgrenzen hinweg erfolgende Einkauf von Spionage­dienstleistungen unter Ausnutzung von Sicher­heitslücken und deren Geheimhaltung durch demokratische Regierungen zu einer globa­len Verringerung von Datensicherheit führt.

Das früheste Beispiel für eine solche von Regierungen eingesetzte Cyberwaffe ist der Com­puterwurm W32.Stuxnet, der 2010 entdeckt wurde, auf der Ausnutzung unveröffent­lichter Sicherheitslücken aufbaute und die Sabotage von Industrieanlagen, vermutlich ira­nischer Atomanlagen, zum Ziel hatte (vgl. Falliere et al. 2011)⁠. Als Verantwortliche für die­se Schadsoftware werden US-amerikanische und israelische Sicherheitsorgane verdäch­tigt (vgl. SPIEGEL 2013)⁠. Vergleichbar mit Pegasus: die Schadsoftware war so angelegt, dass sie prinzipiell auf jedem Windows-PC der Welt funktionierte und eine vom Hersteller Microsoft unbekannte Sicherheitslücke ausnutzte (vgl. Beuth 2020)⁠. Pegasus wiederum wird nicht nur, wie anfangs kritisiert, in autokratischen Systemen zur Verfolgung von Demokratieaktivist*innen eingesetzt, sondern auch in der Bundesrepublik zumindest durch den BND und das BKA (vgl. Biermann 2021a, 2021b)⁠. Die öffentliche Skandalisierung führte in den USA dazu, dass NSO Group auf eine Embargoliste gesetzt wurde, denn sie „develo­ped and supplied spyware to foreign governments that used this tool to maliciously target government officials, journalists, businesspeople, activists, academics, and embas­sy wor­kers“ (ECR 2021)⁠. Die deutsche Bundesregierung dagegen sieht keinen Grund die Zusammenarbeit mit dem Unternehmen in Frage zu stellen (vgl. Biermann 2021a)⁠. Ein weiteres Beispiel ist der von der israelischen Spionagesoftwarefirma Candiru angebotene browserbasierte Zero-Click[2]-Angriffsvektor „Sherlock“, der vom Hersteller als „un­traceable“ beworben wird und auf Windows-, iOS- und Android-Systemen funktionieren soll. Auch Candiru behauptet seine Spionagetools ausschließlich an Regierungen zu ver­kaufen. Mit seiner Software ist es auch möglich, gefälschte Beweise auf den Geräten der Opfer zu platzieren, was in einzelnen Fällen von forensischen Spezialist*innen nachge­wiesen werden konnte. Ebenso wie NSO Group steht auch Candiru auf der US-Embargo­liste (vgl. ECR 2021; Pandey 2021)⁠.[3]

Den Softwareherstellern unbekannte Sicherheitslücken (Zero-Day-Exploits) stellen die ge­fährlichsten Instrumente dar, wenn es um das Knacken von IT-Security und die davon ge­schützten Prozesse, Daten oder Funktionen geht, weil Angriffe ausgeführt werden kön­nen, bevor Entwickler*innen Abwehrmaßnahmen überhaupt nur ersinnen können (vgl. Zetter 2014: Chapter 1)⁠. Solange diese Lücken nicht geschlossen sind, können sie von Angreifer*innen genutzt werden, die das Wissen darüber von Zero-Day-Exploits-Märkten eingekauft oder selbst potenzielle Angriffsszenarien entwurfen haben. Wenn nun demo­kratisch legitimierte Organe selbst solche Sicherheitslücken aufkaufen und geheim halten, vergrößert sich für die Nutzer*innen der betroffenen Technologien mit jedem weiteren Tag nicht nur das Risiko von diesen Institutionen infiltriert zu werden, son­dern auch Opfer von anderen Kriminellen zu werden, die sich finanzielle Vorteile aus ihren Attacken versprechen (vgl. Chawla 2021; Hegemann 2021)⁠.

Abbildung 1: Beispiel für Preise, die für bislang unveröffentlichte Sicherheitslücken geboten werden. Quelle: https://zerodium.com/program.html

Die Preise, die für solche Zero-Day-Exploits (siehe Abbildung 1) erzielt werden, belaufen sich je nach Bedeu­tung der angreifbaren Sicherheitsarchitektur auf mehrere hundert bis zu mehrere Millio­nen US-Dollar (vgl. Zerodium 2021)⁠. Neben Märkten im Darknet preisen auch einige Regie­rungsplattformen hohe Summen für die unterschiedlichsten noch unver­öffentlichten An­griffsszenarien aus. Statt Hacker*innen und Andere, die Sicherheitslücken auf die Spur gekommen sind, dazu zu motivieren, Öffentlichkeit oder zumindest Software­hersteller zu informieren, werden starke Anreize geschaffen, diese Information an die Höchstbietenden zu verkaufen. Auch der Einkauf solcher Zero-Day-Exploits oder kommer­zieller Spionage­software durch demokratische Regierungen auf Märkten in einer legalen, teils auch offensichtlich illegalen, Grauzone verschafft die­sen Legitimität und macht es unwahr­scheinlicher, dass effektiv gegen den Missbrauch von Sicherheitslücken vorge­gangen wird. So wird eine Industrie gefördert und aufgebaut, die sich auf das Eindringen in Si­cherheitsarchitekturen millionenfach verbreiteter Geräte und den Einsatz von Schad­software spezialisiert (vgl. Biermann 2021b; Hegemann 2021; Snowden 2021)⁠.

Was ist die Motivation für Sicherheitsorgane, solche IT-Securityprobleme nicht zu lösen, sondern Sicherheitslücken offen zu halten? Innenpolitiker*innen und Lobbyist*innen argu­mentieren, dass es ohne den Bruch von Sicherheitsarchitektu­ren schwerer oder gar un­möglich wäre, organisierte Kriminalität und Terrorismus effektiv zu bekämpfen. Individuelle Si­cherheit und öffentliche Sicherheit werden somit als konträr präsentiert; der allgemeinen Sicherheit müssten die Interessen der Individuen untergeordnet werden. Dem widerspre­chen Datenschützer*innen, die meinen, dass die systematische Verbesserung von Daten­sicherheit einen größeren Nutzen in Aussicht stellt, da das Ausmaß von Cyberattacken auf einfache Leute, aber auch Unternehmen und Behörden, das auch auf solche Sicher­heitslücken zurückgeführt werden kann, ausgeufert ist (vgl. Keeper 2017)⁠. Statt den wach­senden Spionagesoftwaremarkt mit Einkäufen zu fördern, sollte der kommerzielle Handel mit Si­cherheitslücken und Tools, die diese ausnutzen, global verboten und so die Motivation für Unternehmen wie NSO Group, mit Cyberangriffen Profite zu machen, beendet wer­den (vgl. Bamford 2016; Biermann 2021a; Krack 2021; Marczak et al. 2020; Snowden 2021)⁠.

Schadsoftware wie Pegasus, die neben Autokratien auch Länder wie die Bundesrepublik benutzen, stellt eine Gefahr für alle Nutzer*innen von Smartphones dar, weil diese dem Wohlwollen oder der Willkür aller, die darauf Zugriff erlangen, bedeutet. Außerdem führen derartige Geschäftsmodelle dazu, dass Hacker*innen motiviert werden, Sicherheitslücken nicht zu veröffentlichen, sondern an die Meistbietenden zu verkau­fen. Die Nutzung von Märkten, deren Geschäftsmodell auf dem Profit aus Zero-Day-Exploits oder Spionagesoft­ware basiert, durch demokratische Sicherheitsorga­ne legitimiert diese Branche und behin­dert die Schließung von Schwachstellen in weitver­breiteten Technologien. Eine internatio­nale Politik[4], die mehr Sicherheit bewirken will, sollte den Handel mit Angriffsvektoren und Schadsoftware unterbinden, den transparenten Um­gang mit Sicherheitslücken fördern und Hacker*innen, die dabei behilflich sind, unterstüt­zen[5]. Wie genau dies umgesetzt wer­den kann, bleibt zu ergründen. Ein Ansatz könnte sein, Studien zur Wirkung von Open­Source-Technologien und damit verbundene Communitys auf Instrumente und Mechanis­men zu untersuchen, die hier wirksam werden könnten.

Literatur


  1. Auf die geleakten Pegasus-Daten hatten zuerst Forbidden Stories und Amnesty International Zugriff, die ein internationales Konsortium von 80 Journalist*innen aus 17 Ländern einbezogen; in der BRD gehören dazu ZEIT, Süddeutscher Zeitung, NDR und WDR (vgl. Biermann 2021; Kirchgaessner et al. 2021; ZEIT 2021)⁠⁠.
  2. „Zero-Click“-Angriffe sind solche, die ein Einschleusen von Schadsoftware ohne Benutzer*inneninterak­tion ermöglichen, wo also nicht einmal ein Link angeklickt werden muss, sondern Sicherheitslücken einer Anwendung genutzt werden, um über diese im Hintergrund das Programm herunterzuladen und zu instal­lieren (vgl. Becker 2021)⁠.
  3. Ein weiteres Beispiel ist das – der NSO Group angeschlossene – Spionageunternehmen „Circles“, das Schwachstellen im globalen Telekommunikationsnetzwerk ausnutzt, um Anrufe, Textnachrichten und In­formationen über Standorte der Opfer weltweit abzufangen. Dabei hinterlässt seine Technologie im Ge­gensatz zu Pegasus keine auf den Geräten erkennbaren Spuren (vgl. Marczak u. a. 2020)⁠.
  4. Marczak et al. (2020)⁠ führen im „Citizen Lab Research Report No. 133“ eine Reihe von Empfehlungen für konkrete technische und politische Maßnahmen auf, die zum Schutz der Telekommunikationsnetzwerke international vorgenommen werden sollten.
  5. Interessant könnten dabei communitybasierte Geschäftsmodelle wie „HackerOne“ sein, welches eine Plattform für Hacker*innen sein möchte, die „Gutes“ tun wollen, und eine Schnittstelle zu Hard- und Soft­wareherstellern bildet, um IT-Security zu testen, Schwachstellen zu finden und Lösungen anzubieten (sie­he https://www.hackerone.com). 2016 rief das US-amerikanische Verteidigungsministerium in Kooperation mit HackerOne zu einem Wettbewerb „Hack the Pentagon“ auf (vgl. DoD 2016)⁠.