Snowden: »Story des Jahres«
Mit einer israelischen Cyberwaffe wurden Journalisten, Menschenrechtler und Oppositionelle weltweit ausspioniert. Auch französische und ungarische Journalisten sind darunter.
Wien, 19. Juli 2021 | Für Edward Snowden ist die Enthüllung „die größte Story des Jahres“. Tausende Journalisten, Menschenrechtsaktivisten und Oppositionelle weltweit sollen Opfer illegaler staatlicher Abhöraktionen geworden sein. Demnach hätten Polizei und Geheimdienste mehrerer Länder die Cyberwaffe des israelischen Unternehmens NSO Group genützt, um Smartphones zu infiltrieren. Das zeigen Recherchen von “Zeit”, “Süddeutscher Zeitung” sowie 17 weiteren Redaktionen aus zehn Ländern.
Datenleak führte zur Enthüllung
Der Rechercheverbund konnte demnach ein Datenleak mit mehr als 50.000 Telefonnummern auswerten, die mutmaßlich von NSO-Kunden als Ziele möglicher Überwachung ausgewählt wurden. Das Programm „Pegasus“ gilt unter Fachleuten als das derzeit leistungsfähigste Spähprogramm für Handys und ist als Cyberwaffe eingestuft. Es kann infiltrierte Smartphones in Echtzeit ausspähen und die Verschlüsselung von Chatprogrammen wie WhatsApp oder Signal umgehen, ebenso Kamera und Mikrofon unbemerkt aktivieren.
Das Programm wird nur an staatliche Behörden zum Zweck der Bekämpfung von Terrorismus und schwerer Kriminalität weitergegeben. Auf der geleakten Liste finden sich den Recherchen zufolge jedoch unter anderem auch die Handynummern von mehr als 180 Journalisten, darunter Reporterinnen von Le Monde, Mediapart und Le Canard Enchainé in Frankreich, eine Reporterin des US-Fernsehsenders CNN, ungarische Investigativreporter sowie bekannte Journalistinnen aus Aserbaidschan.
Die geleakten Daten geben keine zweifelsfreie Auskunft darüber, wer sie zu welchem konkreten Zweck erfasst hat. Sie waren zunächst der französischen Rechercheorganisation Forbidden Stories und der Menschenrechtsorganisation Amnesty International zugespielt worden. Die am Journalistenkonsortium beteiligten Redaktionen konnten sie einsehen. Die Handyforensik wurde im Security Lab von Amnesty International vorgenommen. Das auf die Analyse von Cyberangriffen spezialisierte Citizen Lab der kanadischen Universtität Toronto verifizierte die Methode, die in der Lage ist, digitale Spuren auf den Geräten mit größtmöglicher Gewissheit Pegasus zuzuordnen.
Französische und ungarische Journalisten im Visier
Die NSO Group teilte auf Anfrage mit, sie habe “keinen Zugang zu den Daten der Zielpersonen” ihrer Kunden. Die Erfassung der Nummern könne “viele legitime und vollständig saubere Anwendungsmöglichkeiten haben, die nichts mit Überwachung oder NSO” zu tun hätten.
Zu den Journalisten, auf deren Smartphones Spuren erfolgreicher Pegasus-Angriffe nachgewiesen wurden, zählen zwei Reporter des ungarischen Investigativmediums Direkt36. Die Recherche legt den Verdacht nahe, dass diese Angriffe von staatlichen Stellen in Ungarn ausgeführt wurden. Die ungarische Regierung widersprach dem auf Nachfrage nicht. Ein Sprecher des Büros von Ministerpräsident Viktor Orbán teilte mit, dass staatliche Stellen in Ungarn “verdeckte Methoden” stets nur im gesetzlichen Rahmen einsetzen würden.
In Frankreich wurde laut forensischer Untersuchung das Handy des Gründers der Rechercheplattform Mediapart, Edwy Plenel, infiziert. Ausgespäht wurde offenbar auch eine bekannte Reporterin von Le Monde. In beiden Fällen sprechen eine Analyse der Daten und weitere Recherchen dafür, dass diese Angriffe von Marokko ausgingen. Die marokkanische Regierung teilte mit, es sei nicht erwiesen, dass es eine Geschäftsbeziehung zwischen Marokko und “dem genannten israelischen Unternehmen” gebe.
Zu den Betroffenen der Handyüberwachung zählt laut den Recherchen des Journalistenkonsortiums auch Hatice Cengiz, die Verlobte des 2018 ermordeten saudischen Dissidenten Jamal Khashoggi. Ihr Handy wurde nur vier Tage nach dem Mord laut dem Cyberexperten von Amnesty International mit der Schadsoftware Pegasus infiziert. NSO teilte dazu mit, die Technologie seines Unternehmens habe “in keiner Weise” mit dem Mord an Khashoggi in Verbindung gestanden.
Journalisten fordern Aufklärung
Der Vorsitzende des Deutschen Journalisten-Verbandes, Frank Überall, sprach am Montag von einem “nie da gewesenen Überwachungsskandal”. Von dem weltweiten Skandal sind auch ungarische Journalisten, Juristen, Oppositionelle und Geschäftsleute betroffen, berichtet das Onlineportal “Telex.hu” am Montag.
Die ungarische Opposition forderte Aufklärung und die Einberufung des Parlamentsausschusses für Nationale Sicherheit. Der Vorstand des Ungarischen Journalistenverbandes (MUOSZ) forderte die ungarischen Behörden in einer Aussendung vom Montag auf, ihre Rolle bei der Nutzung der Spähsoftware zu klären. Dabei solle offengelegt werden, in welchem Auftrag, mit wessen Genehmigung und mit welchem Ziel die Abhöraktionen erfolgten.
Google und Apple, in deren Betriebssystem die Spyware installiert werden kann, haben sich bisher nicht zum Skandal geäußert. Microsoft gab schon im Jahr 2020 bekannt, dass man an der Sicherheit „arbeiten“ werde.
(ot/apa)
Titelbild: APA Picturedesk
Was hier fehlt, ist die Tatsache, dass die NSO Group (Entwickler der Späh-Software Pegasus) ohne die Zustimmung der israelischen Regierung weder existieren noch auf globaler Ebene operieren könnte. Jeder Export der Software muss vom Staat lizenziert werden, was oft auf höchster Ebene des Staates geschieht. Die Berichte zeigen, dass Pegasus mit dem Mord an Kashoggi und dem an prominenten mexikanischen Journalisten in Verbindung steht. Warum wird Israel nicht zur Verantwortung gezogen?
Hier fehlt was ganz wichtiges im Artikel: die “EU ePrivacy-Ausnahmeverordnung”. Im Juli wurde diese abschließend beschlossen.
Bedeutet: 100% Überwachung aller EU Bürger.
https://www.patrick-breyer.de/chatkontrolle-eu-verordnung-zur-flaechendeckenden-und-verdachtslosen-durchsuchung-elektronischer-nachrichten-angenommen-klage-geplant-widerstand-gegen-ausweitung/
Ui, das überrascht mich aber😂
Es kann nicht sein, was nicht sein darf!
Nicht nur Snowden, auch Julian Assange werden sich die Hände reiben.
Was sagt denn der Schrems dazu 🙈
Und unsere Digiministerin, weiß die überhaupt, dass es sowas gibt. Rofl
Und Jeder der meint er habe nichts zu verbergen ist ein Teil des Systems. Bewegungsprotokolle und Begegnungsdaten werden bereitwillig zur Verfügung gestellt und es wird von Seiten der panischen Tiere, meist komatösen Schlafschafen, danach gerufen doch endlich diese oder jene Verpflichtung zum Datenstriptease gesetzlich zu festzuschreiben, wegen der Krankheit warat‘s! Wo bleibt eigentlich da der Aufschrei? Ahhh gut für dich, gut für mich? Ja genau, so schaut‘s aus!
Erhebt sich die frage, was unser bundesbastel in israel und im silikon valley zu suchen hat.
Wäre auch interessant, etwas über die Hintergründe der Softwareentwicklung in Israel zu erfahren. Denn es ist kein Zufall, dass diese ausgerechnet von dort kommt. Damit lässt sich viel Geld verdienen. In Isreal gibt’s auch ausgezeichnete Mathematiker*innen. In Bezug auf die europäische Spitzenforschung (Europäischer Forschungsrat, ERC) ist Isreal herausragend im Einwerben von Forschungsgeldern. (Israel ist so wie Norwegen, die Schweiz, etc. assoziiert und nimmt an Horizon Europe teil.) Wenn nun viel Forschungsgeld in die Rüstung fließt, dann muss man sich fragen, warum es jetzt einen Aufschrei gibt …
P.S. Ich weiß nur, dass viel Technologie (Überwachung an Flughäfen, biometrische Daten, etc.) aus Isreal kommt und die besonders viel Interesse an Überwachung haben. Mir hat einmal jemand gesagt, dass es ohne der Entwicklung der IT in den letzten Jahrzehnten schon längst eine Lösung im Konflikt mit den Palistinänsern gäbe. Leider weiß ich zuwenig darüber.
Na gut, Pegasus ist jetzt an die Öffentlichkeit gekommen. Jetzt geloben alle verbesserte Sicherheitsvorkehrungen und bald zaubert ein findiger IT -ler eine Lösung herbei… weiß man, wer mit welchen Absichten dahintersteckt?
Anderes Beispiel: vor nicht allzu langer Zeit wurden doch abhörsichere Handys im Umlauf gebracht, und dadurch konnten Drogendeals, Mafiageschäfte,… bewiesen und zig Tatverdächtige inhaftiert werden.
War doch im Grunde nichts anders, oder?
In der digitalen Welt sind wir das Produkt das verkauft werden will.
… Pegasus hat es in die Presse geschafft, öffentlich sind viele andere auch, allerdings nur auf einschlägigen Plattformen, die werden meist nur von Insidern frequentiert.
Wenn es Sie interessiert, da gibt es eine Übersicht der Angriffsformate.
https://www.netzwelt.de/malware/index.html
Danke, aber davon laß ich lieber die Finger 😅.
Ich wollte nur aufzeigen, dass der Aufschrei und die Entrüstung bzgl Malware recht situationselastisch ist.
Ich gebe zu, dass ich es auch befürworten würde wenn unserem Liebling samt Anhang so endlich das Handwerk gelegt werden könnte.
Das Schlimme ist, dass ich mir sogar sicher bin, dass das auch jetzt schon möglich wäre, aber la famiglia is grande… molto tentacolo….
… dann werde ich ihnen weitere technische Details ersparen, solche die auch Sie persönlich betreffen. (nicht betreffen können!)
Ok, jetzt bin ich neugierig.
Ich muß gestehen, dass ich mich auf unsere IT verlasse, die (soviel man bisher sagen kann) vor einigen Monaten einem Hackerangriff ausgesetzt war und wirklich gut abgewehrt hat. Mehr möchte ich dazu auch nicht sagen; ich hoffe Sie sehen es mir nach.
Das ist der Vorteil wenn man in einem Konzern arbeitet und Leute um sich hat die wissen was sie tun. Auch alle Mitarbeiter müssen regelmäßig Schulungen und Prüfungen über Cyber Kriminalität ablegen.
Die größte Gefahr sehe ich bei der Jugend, wo 10jährige mit einem Smartphone, Computer,… ausgestattet sind und (wie wir alle wissen) vor allem in den letzten 1 1/2 Jahren in der Schulzeit darauf angewiesen waren um dem Schulstoff folgen zu können.
Selbst als Erwachsener muß man wirklich aufmerksam sein; diese Achtsamkeit und dieses Grundwissen kann ich von Kindern noch nicht erwarten.
Was schlagen Sie vor?
.. der IT müssen Sie wohl vertrauen und Hoffen das bei der Sicherheit nicht gespart wird.
“Hackerangriffe” werden meist überbewertet, mein Dachbodenserver wert seit 2009 täglich hunderte “Angriffe” ab, meist sind das böse Crowler oder Skript Kiddy’s, gefährliche Angriffe merkt man meist nicht gleich.
Social Engineering ist die gefährlichste und “sicherste” Art eines Angriffs, meist erfolgreich….
Wichtig sind laufende Verhaltensschulungen, auch disziplinäre Richtlinien sollte es geben, und einen klar definierten Verhaltenskodex, auch bei Kindern.
Wichtig ist aber nicht mit Verboten zu arbeiten, es müssen immer Ursache und Wirkung genau erklärt sein, manchmal ist dafür auch eine Checkliste nützlich.
Zum oberen: Haben Sie ein Modem/Router von einem Betreiber?
Diese Geräte haben alle einen verstecken Benutzer installiert, dieser ist bei Wartung und Problemlösung im Einsatz, normalerweise….
Die Zugänge und Passwörter dazu sind im Internet verfügbar, diese Benutzer zu deaktivieren, oder das Passwort zu ändern, macht schon mal die Garagentür zu..
Da bin ich schon sehr vorsichtig, auch mit den Passwörtern (mind 12stellig Klein- Großbuchstaben, Zahlen und Sonderzeichen = Pflicht! und regelmäßiger Wechsel; auch da dürfen die nicht mit den letzten 10 übereinstimmen.
Bei Kindern weiß ich schon was man soll oder auch nicht soll, doch man kann sie nicht ständig mit Argusaugen beobachten, die brauchen auch Freiheiten.
Doch vor allem die Pupertiere haben einen eigenen Willen.
Bei uns ist das aktuell eine Gratwanderung.
Absprachen; Kontrolle; Richtlinien; Vertrauen,… muß Hand in Hand gehen.
=> Nicht immer lustig.
… meine Jungs hab ich gut durch die Zeit bekommen, aufwändig war das schon. Wirken tut die Aufklärung am besten mit fundierter Information über das jeweilige Thema, das setzt allerdings voraus, dass man es selber auch verstanden hat. Allerdings war das vor 10 Jahren etwas einfacher, vielleicht…
Frage an die ZackZack Redaktion: Habt ihr hoffentlich schon alle Eure Handies auf Pegasus-Spuren untersuchen lassen?
Schäden tut‘s bestimmt nicht.
Jede Wette, der Bub macht das längst, bzw lässt es die Flex machen….
Wenn es um sensible Kommunikation geht, einfach nicht benutzen, die Dinger. So einfach ist das. Hat wirklich irgendwer jemals geglaubt, dass irgendeine Kommunikation über Smart Phones sicher wäre? Wer wichtige Sachen, die nicht für Dritte bestimmt sind, SMS oder Chats anvertraut, ist wirklich selber schuld. Das soll nicht den Einsatz von Pegasus relativieren; das ist eine Riesenschweinerei. Die war aber zu erwarten.
…ist nicht ganz so einfach, dieser Artikel geht nur auf ein Produkt dieses Herstellers ein.
Es gibt etliche Varianten die auch andere Systeme, oder Betriebssysteme, befallen können.
Darunter sind auch Systeme wie Router, oder Switches, auch IoD und Webcam Firmware kann befallen werden, kurz gesagt, nahezu jedes Gerät das irgendwie kommunizieren kann, kann auch ein Angriffsziel sein. Auch Smart TV….
Habe vor Jahren mal was von einer EU-Polizeikonferenz gelesen wo diese Backdoors bei elektronischen, vernetzten Geräten diskutiert und anscheinend auch standardisiert wurden (ohne Gewähr, ist zu lange her). Ich sehe diese Gefahr genauso wie Sie. Bei Smart Phones ist allerdings allzu offensichtlich, da man dort ganz als normaler Benutzer nicht einmal auf OS-Ebene irgendwas zu sagen hat. Ich hatte immer das Gefühl, man kauft ein Gerät das einem irgendwie nie richtig gehört.
Hilft eine TOTP für E-Mails da weiter? Weil die Abhörerei ja schon VOR der Verschlüsselung beginnt.
…meines Wissens ist dieses Vorhaben nicht realisiert worden, allerdings gibt es einige (US) Hardwarehersteller die in der Firmware ein Backdoor eingebaut haben, die CIA hat da mitunter Zugriff drauf. Backward engineering der Firmware hat klare Erkenntnisse dazu geliefert.
Time-based One-time Password: TOTP, könnten nutzen, allerdings gehe ich da von einem Rootkit aus, dieser sitzt tiefer im System und leitet Anfragen entsprechend um.
Ein korrumpiertes System ist wahrscheinlich nicht zu retten, Rootkit’s sind für das System unsichtbar, für einschlägige Software meist auch.
Was schlagen Sie vor? Hardware mit Linux o.ä. selber aufsetzen? Oder ist die Hardware selber schon vorbelastet? Dann müsste man sich wahrscheinlich auf die Suche nach entsprechender sauberer Hardware machen.
Linux ist ein Vorteil, zum einen wegen der geringen Verbreitung und zu anderen weil es unglaublich viele verschieden Distributionen gibt. ( hab mal bei 70 zu zählen aufgehört)
Die Verbreitung meint den Endbenutzer, im Server und Systembereich ist Linux führend. Sogar Windows entsteht unter Linux.
Es hilft eine Konsequent durchgehende Strategie für alle Systembereiche, beginnen mit dem Netzwerk.
Das wichtigste ist aber die Komponente Mensch, alles anklicken, “Gratis” Software installieren und immer das gleiche Passwort.
Das sind die Grundzutaten für alle erfolgreichen Großangriffe der letzten Zeit.
Eine Übersicht…
https://de.wikipedia.org/wiki/Liste_von_Linux-Malware
Ich danke! Taste mich berufsbedingt und aus eigenem Interesse seit einiger Zeit hinein in diese Welt. Nachdem ich jahrelang auf MacOS gearbeitet habe, ist der Einstieg auch etwas einfacher. Mich stößt ab, wie sehr man sich mit einem neuen MacOS oder Windows10 ausliefert. Das war für mich ein Anstoß nach Alternativen zu suchen. Eigentlich gehört einem das OS nicht. Und das ist nur die Softwareseite. In vielen Firmen, die ich kenne, ist alles offen und z.Bsp. von google bzw. MS abhängig.
MacOS läuft auch unter einer Unix-Variante, ist also nicht viel mehr als wie eine graphische Oberfläche von Linux. (Von Linus Torwalds gibt’s übrigens ein wunderschönes Buch “Just for fun”.) LInux kann man ziemlich sicher machen (z.B. mittels Tripwire, Verschlüsselung, etc.), aber man muss aufpassen, dass man nicht irgendetwas übersieht (z.B. temporäre Dateien, die vom Editor angelegt werden, etc.) Trügerische Sicherheit kann eine Gefahr sein. Viele Dinge sind für Einsteiger nicht so trivial, z.B. Partitionierung von Festplatten und die Vergabe von Zugriffsrechten bzw. das Sperren des Startens von Programmen. Ein paar Sicherheitslücken gibt’s auch wegen der vorinstallierten Spiele in Bezug auf Pfade und Startberechtigungen. Aber, für einen privaten PC ist ein Standardlinux meist schon viel besser als Windows & Co.
Der Mensch ist, wie fast immer, die Schwachstelle.
Windows 10 kann man fast so “sicher”, wie z.B. Ubuntu, hin bekommen.
… und Windows kann mittlerweile auch Linux Software verwenden…, allerdings ist das, genau wie Linux, nicht wirklich trivial. 😉
Ich finde auch, dass man beim Linux eine ordentliche Lernkurve hinzulegen hat und am Anfang einiges verhaut bzw. einfach nicht richtig versteht und bedacht hat. Aber dafür müssen die grauen Zellen wieder einmal was leisten und man bekommt ein besseres Verständnis was ein Betriebssystem überhaupt ist. Ich bin unendlich dankbar dafür, dass es soviele Leute gibt, die diese ganzen Distros am Leben erhalten und weiter entwickeln.
.. wünsche gutes Geling, sie öffnen eine Büchse der Pandora.
Bis zum I.Mac war ich da auch dabei, Windows verwende ich seit 3.2. (0.95 hab ich getestet und sofort wieder verworfen). Bis 1995 war mein Persönliches Betriebssystem TOS.
Windows 10 ist sehr Modular aufgebaut und man kann es, mit etwas Insiderwissen punktgenau konfigurieren, die ganzen, oft beschimpften, “Telemetriefunktionen” kann man recht einfach raus nehmen, nicht benötigte Sachen auch, sowie die berüchtigten Store Anwendungen.
Chromecast, Office 360, oder ähnliches finde ich nicht gut, für mich muss alles “Offline” funktionieren, Abhängigkeiten mag ich da nicht.
Eine restriktive Firewall, auch dynamisch, ist wichtig.
Bis jetzt macht mir Linux (LMDE4) viel, viel Spaß. Das ist für mich die wichtigste Motivation. Ich habe auch zigmal neu aufgesetzt, weil ich wieder irgendwas verhauen bzw. neu entdeckt hatte, was man da noch besser oder anders machen kann. Vom MacOS her hatte ich schon früh eine tiefe Liebe zum Terminal. Mit Windows10 tue ich mich wirklich schwer, obwohl es vom Beruf her sehr verlangt wird. Da hat jeder seinen eigenen Geschmack, ich finde da nichts richtig oder falsch. Wichtig für mich ist, dass ich das meiste irgendwie konfigurieren, an- und abschalten und maßschneidern kann. Und auch verstehe, was ich da gerade getan habe.
…. meiner Ansicht nach ist Linux ein ausgezeichnetes, vor allem auch sichereres; Betriebssystem.
Bin mit Windows aufgewachsen, da kenn ich mich aus, bei Linux steige ich aus wenn ich “sudo” lese…😉
Hab zwar immer wieder irgendwelch Distributionen laufen, nur richtig warm werde ich da nicht damit.
Anders ist das mit Mediageräten oder Routern, da ist Linux fast ein Muss. Hatte mal eine Kaffeemaschine in Arbeit, glaub da lief auch Linux drauf
Ich finde, es sollte überall ein “sudo” geben. Schon beim Einsteigen in die U-Bahn.
😂😂
… vom Konzept her schon, aber der Syntax….😱
Erinnert an den Österreichischen “Bundestrojaner” ebenso wie an den “Mafiaparagraphen”. Geschaffen um angeblich den Terrorismus und das organisierte Verbrechen zu bekämpfen um dann in Wirklichkeit dazu benutzt zu werden unliebsame Kritiker auszuspionieren, vor Gericht zu zerren und mundtot zu machen….Also die ÖVP ist denkbar ungeeignet dazu solche Instrumente in Händen zu halten weil dieser Partei die dafür notwendigen moralischen Grundsätze meiner Meinung nach völlig fehlen…
Und finanziell zu ruinieren.
https://www.derstandard.at/story/2000128284289/spyware-sumpf-rund-um-orban-regierung-steckt-tief-im
Ja, ja, alles Verschwörungstheorien.