VG-Wort Pixel

Hack Mitlesen trotz Verschlüsselung: Was das Spionage-Programm Pegasus für Whatsapp und Co. bedeutet

Frau mit Handy, Whatsapp Logo
Whatsapp ist trotz zahlreicher Kontroversen der beliebteste Messenger (Symbolbild)
© Whatsapp und mdphoto16 / Getty Images
Mit einer geheimen Spionage-Software wurden zehntausende Politiker, Journalisten und Aktivisten weltweit überwacht und auch die eigentlich als sicher geltende Verschlüsselung von Whatsapp und Co. ausgehebelt. Was bedeutet das für die Messenger – und die Überwachungspläne der Bundesregierung?

Es ist ein Hack von gigantischem Ausmaß: In einer geleakten Datenbank des israelischen Schnüffel-Unternehmens NSO fanden sich mehr als 50.000 Telefonnummern, deren Besitzer teils potenziell, teils bewiesen ohne ihr Wissen ausspioniert wurden – darunter Firmenchefs, Politiker und Journalisten. Sogar die als sicher geltende Verschlüsselung von Smartphone-Messengern konnte über die Software Pegasus ausgehebelt werden. Doch was bedeutet das für den Normalnutzer?

Der Hack klingt grundsätzlich erst einmal sehr gruselig: Über eine nicht angezeigte SMS oder korrumpierte Wlan-Netze können die NSO-Hacker selbst aktuelle iPhones und Android-Smartphones komplett übernehmen, inklusive Zugriff auf die Kamera und das Mikrofon. Dabei bekommen sie auch Zugriff auf Chats bei Messenger wie Whatsapp, Signal oder Telegram, die eigentlich über Ende-zu-Ende-Verschlüsselung nicht mitlesbar übertragen werden.

Schutzmaßnahmen ausgehebelt

Die Verschlüsselung soll einen solchen externen Zugriff eigentlich verhindern: Indem die Chats das sendende Gerät bereits verschlüsselt verlassen und erst auf dem Empfangsgerät wieder entschlüsselt werden, ist es für Dritte, die Zugriff auf den Datenstrom haben, nicht möglich, die Nachrichten mitzulesen.

Das NSO-Programm Pegasus hebelt diese Schutzmaßnahme über den Vollzugriff aus. Indem er statt der verschlüsselt übertragenen Chats die lesbare Version direkt auf den Geräten abgreift, gibt er den Kunden von NSO vollen Zugriff auf alle Chats auf dem Gerät. Unabhängig davon, in welchem Messenger sie geschrieben wurden.

Das Gerät als Schwachstelle

Für Experten ist dieses Vorgehen nicht überraschend. "Aus Forschersicht war klar: Das Endgerät ist immer die größte Schwachstelle", erklärt der auf die Verschlüsselungs-Technologien spezialisierte Sicherheits-Forscher Paul Rösler gegenüber dem stern. "In den sehr gut untersuchten Verschlüsselungs-Methoden, etwa dem Signal-Protokoll, das vom gleichnamigen Messenger stammt und auch in Whatsapp benutzt wird, ist es viel schwerer, eine noch unentdeckte Schwachstelle zu finden", ist er überzeugt. "Die Smartphone-Systeme wie Apples iOS sind zwar ebenfalls sehr gut gesichert, aber eben auch viel komplexer. Weil sie wegen der Geheimhaltung schlechter von Forschern untersucht werden können, lässt sich eine gefundene Lücke zudem länger von böswilligen Akteuren ausnutzen, bis sie entdeckt und geschlossen wird."

Für die Normalverbraucher ist das aber eher eine gute Nachricht. Auch wenn es paradox klingt: Für den Durchschnittsnutzer wird Pegasus eine kleinere Gefahr sein, als es ein Hack etwa des Signal-Protokolls wäre. "Eine Überwachung wie über Pegasus wird nie ein Massenphänomen sein", ist sich Rösler sicher. "Dafür sind die genutzten Schwachstellen zu wertvoll. Würde man sie massenhaft nutzen, würden sie auch schneller entdeckt und von den Betriebssystem-Entwicklern wie Apple behoben."

Die Apps Telegram und Signal auf einem Smartphone

Bundestrojaner will Verschlüsselung schwächen

Umso kritischer ist der Forscher gegenüber Versuchen von Regierungen, die Verschlüsselung gezielt aufzuweichen, wie es etwa die Bundesregierung mit der Ausweitung des Bundestrojaners plant. Die Ermittlungsbehörden wie der Verfassungsschutz sollen nach dem Willen der aktuellen Regierung auch Kommunikation mitlesen können, die über verschlüsselte Messenger wie Whatsapp übertragen wird. Eine entsprechende Erweiterung wurde erst im Juni beschlossen.

Das ist nach Ansicht von Experten wie Rösler aber keine gute Idee. "Eine sichere Verschlüsselung lässt sich nicht umsetzen, wenn staatliche Stellen eine Entschlüsselung über Schwachstellen erzwingen können", erklärt er. "Im Endeffekt wird dadurch der Nutzen der Verschlüsselung an sich für alle Nutzer ausgehebelt."

Seiner Ansicht nach ist es aber auch beim Bundestrojaner wahrscheinlich, dass der Zugriff über das Betriebssystem passieren wird. "Bei den Messengern sind die Hürden einfach höher. Signal und Whatsapp werden aus den USA betrieben, Telegram aus Russland. Sie stehen nicht unter dem Rechtseinfluss der deutschen Behörden. Die aus Prinzip für Privatsphäre einstehenden Betreiber von Signal würden vermutlich nur lachen, wenn eine solche Anfrage kommt", glaubt Rösler. Alle Messenger-Betreiber dazu zu zwingen, für einen Betrieb in Deutschland Lücken einzubauen, hält er ebenfalls für wenig aussichtsreich. "Da ist es doch einfacher, direkt beim Betriebssystem anzugreifen und gleich auf alle installierten Messenger Zugriff zu haben."

Offenbar kein Pegasus in Deutschland

Das Tool Pegasus scheinen die deutschen Behörden dabei bislang nicht einzusetzen, das ergaben Nachfragen des "NDR", "WDR" und der "Zeit" bei den Ländern. Demnach wurde das Programm den deutschen Behörden zwar demonstriert und angeboten, letztlich aber nicht eingekauft. Der vermutliche Grund: Der Funktionsumfang ist zu groß, er sprengt die engen gesetzlichen Vorgaben zum staatlichen Einsatz von Überwachungssoftware.

So dürfen die deutschen Behörden nur diejenige Kommunikation überwachen, die nach der richterlichen Genehmigung stattfand, nicht aber ältere Chats nachträglich lesen. Dieses Prinzip nennt sich Quellen-Telekommunikationsüberwachung, kurz Quellen-TKÜ. Auch vorangegangene Kommunikation abzurufen, wird nach geltendem Recht als Online-Durchsuchung betrachtet, die aber noch einmal deutlich strenger reglementiert ist.

Letztlich sei es aber nur eine Frage der Umsetzung, glaubt Rösler. "Ich kann mir nicht vorstellen, dass die Regierung nun auf Lücken in einzelnen Messengern hofft. Da ist es doch einfacher, die Funktionalität eines Tools wie Pegasus zu beschränken", erläutert er. "Dabei muss man aber immer das Risiko bedenken, dass die Programme eigentlich mehr können. Und darauf vertrauen, dass der Bundestrojaner, der dann eingesetzt wird, nicht sein volles Machtspektrum einsetzt."

Quelle:Tagesschau


Mehr zum Thema


Wissenscommunity


Newsticker