[datensicherheit.de, 28.07.2021] Der Digitalcourage e.V. und 145 weitere Organisationen fordern ein sofortiges Moratorium für Überwachungstechnologien – als Reaktion auf die Veröffentlichungen des „Pegasus“-Projektes sei jetzt die Politik gefordert, den Schutz von Bürgern in den Vordergrund zu stellen. Daher müssten staatliche Genehmigungen für Verkauf und Export solcher Technologien umgehend ausgesetzt werden, mindestens bis Regulierungen zum Schutz der Menschenrechte umgesetzt wurden.

Entwicklung, Vertrieb und Nutzung von Überwachungstechnologien gefährden Demokratie und Menschenrechte

Digitalcourage kritisiert den Einsatz von sogenannten Staatstrojanern, wie z.B. der „Pegasus“-Software: „Die Berichterstattung der letzten Woche zum ,Pegasus‘-Projekt hat bestätigt, wie gefährlich die Entwicklung, der Vertrieb und die Nutzung von Überwachungstechnologien für Demokratie und Menschenrechte ist.“ Durch die Installation derartiger Software könnten Dritte die vollständige Kontrolle über das Gerät übernehmen und so z.B. Nachrichten auf einem Smartphone mitlesen oder Mikrofon und Kamera aus der Ferne einschalten.
Daher hätten sich über 145 Organisationen und 28 Experten zusammengetan und einen Offenen Brief verfasst, welcher nun von Amnesty International veröffentlicht worden sei. Dem „Amnesty International Security Lab“ sei beim „Pegasus“-Projekt eine Schlüsselrolle zugekommen, da es die „Pegasus“-Software auf zahlreichen Smartphones habe nachweisen können – zu den Betroffenen hätten Journalisten, Regierungsmitglieder, Oppositionspolitiker aber auch deren Familien und Freundeskreise gehört.

Kommerzielle Anbieter von Überwachungstechnologien sollten verpflichtend Prüfung der Kunden auf menschenrechtliche Standards vornehmen

Möglich geworden seien die Veröffentlichungen zu der von der israelischen Firma NSO Group vertriebenen „Pegasus“-Software durch ein Datenleck. Dadurch habe ein internationales Journalisten-Netzwerk Einblick in die Opfer dieser Software erhalten. Darunter seien 50.000 Telefonnummern mit potenziellen Ausspähzielen von Behörden aus mindestens elf Ländern. In dem Offenen Brief forderten Digitalcourage und viele weitere Bürgerrechtsorganisationen daher ein sofortiges Moratorium für „Staatstrojaner“ und andere Überwachungstechnologien.
Der Einsatz von „Pegasus“ sowie die Vergabe von Exportlizenzen müssten umgehend unabhängig und transparent aufgeklärt werden. Kommerzielle Anbieter von Überwachungstechnologien sollten verpflichtet werden, eine Prüfung der Kunden auf menschenrechtliche Standards vorzunehmen und bei Verstößen haftbar gemacht werden. Die Staaten Israel, Bulgarien und Zypern, aus welchen die NSO Group ihre Software vertreibe, müssten sofort die Exportlizenzen widerrufen und das Ausmaß der rechtswidrigen Überwachungsmaßnahmen prüfen.

Überwachungsindustrie hat sich weltweit zur Gefahr für Demokratiebewegungen und freien Journalismus entwickelt

„Leider ist die NSO Group eine von vielen Anbieterinnen in diesem Feld. Zum Beispiel wurde ,Staatstrojaner‘-Software der in München ansässigen Firma FinFisher von deutschen Behörden bezahlt und der Export unterstützt“, sagt Konstantin Macher von Digitalcourage. Politik und Zivilgesellschaft könnten nicht weiter tatenlos zuschauen. Die Überwachungsindustrie habe sich weltweit zu einer Gefahr für Demokratiebewegungen und freien Journalismus entwickelt, warnt Macher und fordert: „Das Leben und die Freiheit von Menschen darf nicht Profit- und Machtinteressen geopfert werden.“
Letzte Woche habe Digitalcourage außerdem in einer Pressemitteilung auf den Zusammenhang der „Pegasus“-Software zum deutschen Einsatz von „Staatstrojanern“ verwiesen. Macher erläutert: „Immer wenn deutsche Behörden ,Zero Days‘ – also öffentlich nicht bekannte IT-Sicherheitslücken – kaufen, bzw. für die eigene Nutzung geheim halten, dann unterstützen sie damit auch die Überwachungsindustrie und den Einsatz gegen Unschuldige.“ Statt Autokraten und Kriminellen den Angriff auf Systeme zu erleichtern, müssten staatliche Stellen unsere Sicherheit in den Vordergrund stellen. Darum habe Digitalcourage bereits gefordert, dass der Gesetzgeber seinen Gestaltungsspielraum nutzen müsse, um zu Gunsten der Sicherheit von Bürgern und Unternehmen eine behördliche und kommerzielle Nutzung von „Zero Days“ für den „Staatstrojaner“ zu verbieten und stattdessen eine Meldepflicht für Behörden einführen solle.

Weitere Informationen zum Thema:

Amnesty International, 27.07.2021
Joint open letter by civil society organizations and independent experts calling on states to implement an immediate moratorium on the sale, transfer and use of surveillance technology

datensicherheit.de, 21.07.2021
Digitalcourage-Stellungnahme: Offenhalten von Sicherheitslücken erhöht Gefahr für Einzelne und Unternehmen angegriffen zu werden / Digitalcourage verweist auf Zusammenhang zwischen aktuellem Beschluss des Bundesverfassungsgerichts und Pegasus

datensicherheit.de, 19.07.2021
Pegasus – Spyware für gezieltes Ausforschen / Seit 2016 hat Avast mehrere Versuche von Pegasus, in Android-Telefone einzudringen, verfolgt und blockiert

[datensicherheit.de, 21.07.2021] Die aktuelle Berichterstattung über die „Pegasus“-Staatstrojaner und das Urteil des Bundesverfassungsgerichts vom 21. Juli 2021 (1 BvR 2771/18) hängen nach Ansicht des Digitalcourage e.V. zusammen – sie zeigten, dass dringender Handlungsbedarf bestehe: „Es ist höchste Zeit, dass der Bundestag der Überwachungsindustrie einen Riegel vorschiebt, welche auf Kosten der Grundfreiheiten von Bürgerinnen und Bürgern Profite macht.“ Staatliche Behörden dürften sich nicht länger daran beteiligen, die IT-Sicherheit in Deutschland zu schwächen, indem sie unbekannte Sicherheitslücken („Zero-Days“) für die eigene Nutzung geheimhielten.

Digitalcourage-Kritik: Erwerb kommerzieller Staatstrojaner finanziert Ausspähung

„Das Urteil macht klar, dass ein Zusammenhang besteht zwischen dem Offenhalten von Sicherheitslücken und der Gefahr für Einzelne und Unternehmen, zunehmend Opfer von Angriffen zu werden. Wer jetzt auf der einen Seite die ,Pegasus‘- und ,Candiru‘-Angriffe kritisiert, darf auf der anderen Seite bei den deutschen Sicherheitsbehörden nicht wegschauen. Wer Demokratie und Menschenrechte ernstnimmt, kann sich nicht weiter an der Förderung von Staatstrojanern und den ihnen zugrunde liegenden Sicherheitslücken beteiligen“, kommentiert Konstantin Macher von Digitalcourage.
Wenn eine Behörde einen kommerziellen Staatstrojaner erwerbe, dann finanziere sie damit auch die Entwicklung von Technologien, mit denen z.B. Journalisten ausgespäht würden. „Wenn Schwachstellen zur Entwicklung eigener Staatstrojaner gekauft werden, dann beflügeln deutsche Sicherheitsbehörden diesen Markt und schaffen damit die Anreize, um neue Schwachstellen zu finden und an die höchstbietenden zu verkaufen“, warnt Macher.

Digitalcourage warnt vor Gefahren für Demokratiebewegungen, die Pressefreiheit, öffentliche Infrastruktur wie auch für Unternehmen oder Stalking-Opfer

Solche Sicherheitslücken beträfen nicht nur Macron, Khashoggi oder Journalisten in Ungarn, sondern gefährdeten auch die Sicherheit der breiten Bevölkerung. Macher erinnert: „Im Jahr 2017 wurden weltweit IT-Systeme – auch in Krankenhäusern – durch die ,WannaCry‘-Erpressungssoftware lahmgelegt, weil die NSA Sicherheitslücken lieber selbst nutzte als diese zu melden.“
Jeden Zugang, den sich Behörden für digitale Systeme offenhielten, stehe auch Kriminellen zur Verfügung. „Wenn das BKA also Sicherheitslücken für den eigenen Gebrauch zurückhält, dann trägt es eine Mitverantwortung dafür, wenn diese auch für bösartige Angriffe gegen uns alle eingesetzt werden“, stellt Macher klar. Diese Praxis gefährde gleichermaßen Demokratiebewegungen, Pressefreiheit, öffentliche Infrastruktur wie auch Unternehmen oder Stalking-Opfer.

Urteil des BVerfG macht laut Digitalcourage gesetzliche Regelung zum Schutz der deutschen IT-Landschaft und Bevölkerung notwendig

„Das heutige Urteil des Bundesverfassungsgerichts bekräftigt, dass die Nutzung geheimgehaltener Sicherheitslücken ein Sicherheitsrisiko darstellt und es eine konkrete staatliche Schutzpflicht gibt. Das Gericht hält fest, dass für die Nutzung von ,Zero-Days‘ für Staatstrojaner erhöhte Rechtfertigungsanforderungen gelten, da aus der Offenhaltung von Sicherheitslücken eine erhebliche Gefahr für die Sicherheit informationstechnischer Systeme resultiert“, sagt Macher. Damit erkenne es explizit an, dass diese Praxis im Konflikt mit mehreren Grundrechten stehe, nämlich dem Fernmeldegeheimnis, dem Recht auf Informationelle Selbstbestimmung und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Digitalcourage fordert daher nach eigenen Angaben, dass der Gesetzgeber seinen Gestaltungsspielraum nutzt, um zu Gunsten der Sicherheit von Bürgern und Unternehmen eine behördliche und kommerzielle Nutzung von „Zero-Days“ für den Staatstrojaner zu verbieten und stattdessen eine Meldepflicht für Behörden einführt.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2021
Pegasus – Spyware für gezieltes Ausforschen / Seit 2016 hat Avast mehrere Versuche von Pegasus, in Android-Telefone einzudringen, verfolgt und blockiert

datensicherheit.de, 10.06.2021
Staatstrojaner: Einsatz im Bundespolizeigesetz massiv ausgeweitet / Gregor Voht kritisiert unkontrollierte Ausweitung der Befugnisse zum Einsatz des Staatstrojaners als Verstoß gegen Bürgerrechte

datensicherheit.de, 10.06.2021
Staatstrojaner: Reporter ohne Grenzen und Prof. Niko Härting streben Verfassungsbeschwerde an / Reporter ohne Grenzen warnt vor gravierendem Schaden für Pressefreiheit und digitalen Quellenschutz

[datensicherheit.de, 19.07.2021] „Pegasus“ sei ein „Remote Access Tool“ (RAT) mit Spyware-, also Spionagesoftware-Eigenschaften, erläutert Jakub Vavra, „Mobile Threat Analyst“ bei Avast, in seiner Stellungnahme. „Android“-Varianten dieser Spyware könnten Daten von beliebten Messenger-Plattformen wie „WhatsApp“, „facebook“ und „Viber“ sowie aus E-Mail-Programmen und Browsern extrahieren.

Foto: Avast

[avast-jakub-vavra.jpg]

Jakub Vavra: Pegasus ein gefährliches Tool, das sich zum Ausspionieren von unwissenden Personen missbrauchen lässt

Pegasus kann Bildschirm der Benutzer über Mikrofon und Kamera aus der Ferne überwachen

„Pegasus“ sei in der Lage, den Bildschirm der Benutzer über Mikrofon und Kamera aus der Ferne zu überwachen, Screenshots zu erstellen und die Eingaben der Smartphone-Besitzer per Keylogging aufzuzeichnen. „Diese Funktionen machen ,Pegasus‘ zu einem gefährlichen Tool, das sich zum Ausspionieren von unwissenden Personen missbrauchen lässt“, warnt Vavra.
„Seit 2016 haben wir mehrere Versuche von ,Pegasus‘-Spyware, in ,Android‘-Telefone einzudringen, verfolgt und blockiert, die meisten davon im Jahr 2019.“ Avast blockiere „Pegasus“ wie jede andere Spyware, um Nutzer zu schützen.

Pegasus wird offenbar zu Überwachungszwecken eingesetzt

Offensichtlich werde „Pegasus“ sehr gezielt eingesetzt, denn im Gegensatz zu weit verbreiteter Spyware zum massenhaften Abgreifen von Nutzerdaten, habe „Pegasus“ eine geringe Verbreitung und werde nur bei wenigen Personen – offenbar zu Überwachungszwecken – eingesetzt.
Die minimale Verbreitung dieser Spyware mache diese nicht weniger gefährlich, denn für jeden Einzelnen, der überwacht wird, „sei der Schaden für die Privatsphäre sicherlich enorm hoch“, so Vavra.

Weitere Informationen zum Thema:

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten