"Pegasus" liest mit: Spionage-Software für iPhones entdeckt

Es gibt kaum noch Daten, die Verbraucher nicht ihrem Smartphone anvertrauen. Fotos vom Urlaub, das Video der letzten Familienfeier, die Kontakte der Geschäftspartner, der Zugang zum Girokonto, selbst die eigenen Gesundsheitsdaten: Das alles liegt auf dem Handy, stets griffbereit. Die Nutzer vertrauen darauf, dass die Daten sicher sind. Dass niemand sie abgreift, den sie nichts angehen oder der damit Unfug treibt. Gerade der Tech-Konzern Apple hat sich lange damit gebrüstet, dass niemand an die Daten auf dem iPhone kommt – noch nicht einmal der US-Geheimdienst. Doch das war vor Pegasus: einer Spionage-Software mit beispiellosen Fähigkeiten.

Nur durch Zufall haben Experten der Sicherheitsfirma Lookout und der Universität Toronto sie nun entdeckt. Sie sprechen von einem noch nie gesehenen Zugriff auf iPhones und andere Apple-Geräte. Dabei ist ebenso erstaunlich wie unheimlich, was die Software alles kann: Mit Pegasus lassen sich Anrufe mitschneiden, Emails lesen oder Kontaktdaten abrufen. Die Hacker können sehen, wo sich der Nutzer gerade aufhält, mit wem er per Skype telefoniert oder private Nachrichten bei Facebook austauscht. „Das ist die erste aktive Bedrohung, die mit nur einem Klick die vollständige Kontrolle über ein Apple-Gerät übernimmt“, schreiben die Sicherheitsexperten von Lookout, die die Sicherheitslücke jetzt öffentlich machten.

Gleich drei Schwachstellen hat Pegasus ausgenutzt

Nach ihren Erkenntnissen kann „Pegasus“ alle Versionen des iPhone-Betriebssystems ab dem vor drei Jahren eingeführten iOS 7 befallen. Ob Datentresor oder Fingerabdruck-Sensor: Pegasus überwindet dabei sämtliche Sicherheitsmaßnahmen und nutzt gleich drei Schwachstellen aus, von denen Apple bis vor Kurzem gar nichts wusste. Die einzig gute Nachricht: Der Konzern hat inzwischen auf den Angriff reagiert und die Sicherheitslücken geschlossen. Geschützt vor Pegasus ist dennoch aber nur, wer sein iPhone möglichst schnell aktualisiert (siehe unten).

Auch wenn die Sicherheitslücke nun geschlossen ist, sorgen Nachrichten wie diese für Unsicherheit. „Das ist ein tiefgreifender Eingriff in die Privatsphäre“, sagte Marc Fliehe vom IT-Verband Bitkom. Noch ist unklar, welchen Schaden Pegasus angerichtet hat: wie viele Nutzer ausspioniert und wie viele Daten abgegriffen wurden. Denn die Betroffenen haben in der Regel von der Spionage nichts mitbekommen, das Programm installiert sich verdeckt im Hintergrund. Auch eine Verschlüsselung der eigenen Daten hilft in diesem Fall wenig: Pegasus greift sie ab, noch bevor die Daten überhaupt verschlüsselt werden.

Vor allem Menschenrechtler wurden ausspioniert

Die Experten gehen davon aus, dass die Software bislang in erster Linie aus politischen Gründen genutzt wurde – etwa um Menschenrechtler und Journalisten oder politische Gegner auszuspionieren. So ist das Schadprogramm auch aufgeflogen, als ein bekannter Menschenrechtler aus den Vereinigten Arabischen Emiraten Verdacht schöpfte: Er hatte eine Nachricht mit einem Link zu angeblich geheimen Informationen über Folter von Häftlingen in seinem Land erhalten. Statt den Link anzuklicken, schaltete er die Sicherheitsforscher ein, die Pegasus schließlich auf dem iPhone entdeckten. Auch ein mexikanischer Journalist soll dem Vernehmen nach mit Hilfe der Software ausgespäht worden sein.

Die Sicherheitsexperten vermuten, dass hinter Pegasus eine Firma namens NSO Group aus Israel steht. Über die ist wenig bekannt – sie hat noch nicht einmal eine Internetseite. Allerdings steht das Unternehmen bereits seit längerem im Verdacht, komplexe Schadprogramme zu entwickeln und sie an Regierungen und Geheimdienste zu verkaufen. Anbieter wie sie zielen vor allem auf „Zero-Day“-Schwachstellen ab: So nennen Fachleute Sicherheitslücken, die den Tech- Konzernen selbst noch nicht bekannt sind. Inzwischen ist ein regelrechtes Wettrennen unter guten und bösen Hackern ausgebrochen, wer von ihnen diese Lücken zuerst erkennt. 200.000 Euro bietet Apple ihnen zum Beispiel, wenn sie Schwachstellen aufdecken und dem Konzern melden.

Die Bundesregierung sieht die Konzerne in der Pflicht

Zu Recht, findet Ulrich Kelber, Parlamentarischer Staatssekretär im Bundesverbraucherministerium. Er sieht die Konzerne nun mehr denn je in der Pflicht. „Produkte- und Dienstanbieter sind ganz klar in der Verantwortung, dass die Geräte und Angebote höchsten Sicherheitsstandards entsprechen“, sagte er dem Tagesspiegel. „Vertrauen ist hier auch ein monetäres Gut.“ Die Konzerne müssen die Daten der Kunden allein schon aus ihrem eigenen Interesse heraus schützen. „Sinkt das Vertrauen der Verbraucher in die Sicherheit der Produkte und Dienste, sinken die Absatzzahlen“, sagte Kelber.

Was iPhone-Nutzer tun können:

Die Sicherheitsfirma Lookout hat die Pegasus-Software untersucht: Sie geht davon aus, dass sie gezielt eingesetzt worden ist, um Menschenrechtler und Dissidenten auszuspionieren – also nicht, um im großen Stil Daten bei Verbrauchern abzufangen. Dennoch empfiehlt das Bundesamt für Sicherheit in der Informationstechnik Nutzern, möglichst schnell die neueste Version von Apples Betriebssystem zu installieren – nämlich „iOS 9.3.5“. Apple hat die entdeckten Sicherheitslücken geschlossen, mit dem Update sollten Nutzer vorerst geschützt sein. Der schnellste Weg zum Update führt über die Einstellungen und die Option „Allgemein/Softwareaktualisierung“.

Der Branchenverband Bitkom rät, auch für alle Apps sicherheitshalber Updates durchzuführen. Die Firma Lockout bietet zudem eine App an, die Spionageprogramme auf iOS-Geräten aufspürt. Das Programm ist in einer eingeschränkten Version kostenlos erhältlich und soll auch vor Pegasus warnen.