Marcel Rosenbach: Donncha Ó Cearbhaill, Sie haben Intellexas Waffen unter die Lupe genommen. Was verbirgt sich hinter dem Programm Predator, und wie gefährlich ist es?

Donncha Ó Cearbhaill: Es handelt sich um eine sehr invasive Spyware, also ein Programm zum Ausspionieren von Handys. Sobald es auf dem Telefon installiert ist, kann es auf alles zugreifen: auf Fotos, Kalender, E-Mails, Messenger-Nachrichten. Es kann sogar aus der Ferne das Mikrofon einschalten, alle Geräusche im Raum aufzeichnen und die Daten auf einen geheimen Server laden.

Viele Messenger wie Whatsapp oder Signal verwenden inzwischen eine Ende-zu-Ende-Verschlüsselung. Sind sie sicher?

Leider nicht. Sobald Predator auf dem Telefon installiert ist, gibt es keine Grenzen des Zugriffs mehr, auch nicht auf Signal oder Whatsapp. Die Opfer von Predator sind für den Angreifer vollständig gläsern.

Wie werden Smartphones infiziert?

Es gibt grob gesagt zwei Möglichkeiten. Erstens sogenannte One-Click-Angriffe. Dabei wird die Zielperson dazu verleitet, einen Link zu öffnen oder eine Website zu besuchen. Das geschieht mit sehr individuell gestalteten Locknachrichten, die persönliche Informationen der Zielperson enthalten oder auf etwas verweisen, was für sie relevant sein könnte. Wenn die Zielperson dann auf den Link klickt, dauert es nur wenige Sekunden, bis die feindliche Übernahme des Geräts beginnt. Die andere Methode heisst Zero Click und ist der Goldstandard der Überwachungsbranche. Die Infektion funktioniert ohne jegliches Zutun der Zielperson. Was auch bedeutet: Man kann sich kaum dagegen schützen.

Sie haben in vielen Ländern Spuren von Predator gefunden. Wo genau?

Wir sahen, dass die Predator-Infrastruktur in Oman, Armenien, Saudi-Arabien und Ägypten lief. Bei unseren jüngsten Untersuchungen entdeckten wir zusätzlich Predator-Aktivitäten auch in Madagaskar, Angola, Vietnam, Sudan, Indonesien, der Mongolei und Kasachstan. Dazu in Ländern, deren Regierungen bereits als Predator-Kunden in Verdacht standen, darunter Serbien und Griechenland. In Griechenland ist der missbräuchliche Einsatz gegen Journalisten und Oppositionelle besonders gut dokumentiert.

Wer kann diese Art von Spionagesoftware kaufen und anwenden?

Hersteller wie Intellexa behaupten oft, dass sie nur an Staaten und Behörden verkauften, damit diese «rechtmässige Abhörmassnahmen» durchführen könnten. Sie argumentieren wie Waffenhändler: Wir liefern nur das Werkzeug, sind aber nicht dafür verantwortlich, wie es eingesetzt wird. Die Realität sieht anders aus, wie die «Predator Files» und frühere Enthüllungen zeigen. Die Hersteller müssen zwangsläufig Hand in Hand mit ihren Kunden arbeiten. Es handelt sich um komplexe Programme, die viel Know-how erfordern. Es müssen Server in den Ländern der Kunden aufgestellt werden, die ständige Aktualisierungen brauchen. Überhaupt haben Unternehmen wie Intellexa ein erhebliches Interesse daran, dass ihre Kunden fachkundig sind: Wenn sie Fehler machen, besteht ein grösseres Risiko, dass die Spyware enttarnt wird.

Wie viel geben die Kund:innen für Predator aus?

Intellexa verlangt in der Regel bis zu zehn Millionen Euro für die Bereitstellung eines vollständigen Systems. Wir haben auch Angebote über vierzehen Millionen Euro gesehen. Sie verkaufen Infektionspakete, etwa fünfzig Infektionen des Apple-Betriebssystems iOS und fünfzig für Googles Android. In der Regel liefern sie auch ihr Trainingsprogramm, damit die Anwender damit umgehen lernen und keine Fehler machen. Nach den neusten Broschüren und Präsentationen, die wir in den «Predator Files» sehen, kann die erfolgreiche Infektion eines Handys somit leicht 10 000 Euro kosten.

Dennoch scheint Spyware gerade sehr nachgefragt zu sein.

Traurigerweise ja. Staaten auf der ganzen Welt kaufen solche Systeme, angeblich zur Terrorismusbekämpfung. In der Praxis nehmen viele Länder damit Unschuldige ins Visier, seien es Menschenrechtler, Oppositionelle oder Journalisten. Neben Predator ist auch das Programm Pegasus der israelischen NSO-Gruppe verbreitet. Unseren forensischen Untersuchungen zufolge wurde es in Polen während der letzten Wahlen 2019 eingesetzt und in Spanien im Zusammenhang mit den katalanischen Volksabstimmungen. In Ungarn wurden damit Medien und Journalisten ins Visier genommen. Wenn eine Regierung Zugang zu den Plänen der Opposition hat, kann sie diese Informationen nutzen, um ihre Macht zu sichern. Das ist eine Gefahr für die Zivilgesellschaft.

Wie finde ich heraus, ob mein Handy infiziert ist?

Das ist nicht leicht. Jedes Mal, wenn wir dokumentieren, wie diese Instrumente eingesetzt werden, versuchen Akteure wie Intellexa, daraus zu lernen. Es bleibt ein Wettlauf. Aber wir bei Amnesty International haben einen Überprüfungsservice, den wir der Zivilgesellschaft, Journalisten und Menschenrechtsaktivistinnen anbieten. Viele Fälle, an denen wir in den vergangenen Jahren gearbeitet haben, gehen auf die Zusammenarbeit mit Personen zurück, die sich als gefährdet einschätzten. Leider hat sich ihr Verdacht oft bewahrheitet.

Gibt es etwas, was die Nutzer:innen selbst tun können?

Wenn Menschen den Verdacht haben, dass sie angegriffen werden, sollten sie sich an einen Experten wenden. Aber es gibt Funktionen in Android und iOS, die helfen können, Geräte zu sichern. Am effektivsten ist der sogenannte Lockdown-Modus von Apple. Dabei handelt es sich um eine spezielle Einstellung, mit der viele jener Funktionen deaktiviert werden, die in der Vergangenheit für Angriffe genutzt wurden.

Wir haben in den «Predator Files» einen ganzen Katalog verschiedener Produkte gefunden. Eines davon heisst Nova. Können Sie erklären, was das ist?

Nova ist ein neues Überwachungssystem. Es enthält Predator, aber auch andere Komponenten, die für die Analyse der gestohlenen Daten notwendig sind: um etwa zu sehen, wer mit wem gesprochen hat, wie die Kontaktnetzwerke aussehen und um weitere Analysen durchzuführen.

Eine weitere Spyware, die bisher nicht bekannt war, ist ein System namens Triton, das offenbar Samsung-Handys attackiert.

Die Dokumente zeigen, wie viel Aufwand diese Firmen treiben, um neue Wege für die Infektion von Geräten zu finden. Mit Triton scheinen sie eine recht zuverlässige Möglichkeit zu haben, viele neue und aktuelle Samsung-Modelle zu infizieren – ohne jegliche Interaktion der Benutzer. Das ist wirklich bedrohlich: In vielen Ländern verwenden neunzig Prozent der Menschen Android-Geräte, viele davon von Samsung.

Eines der spektakulärsten Produkte von Intellexa ist ein Minivan, eine Art mobile Spionagezentrale, für bis zu neun Millionen US-Dollar. Was kann er leisten?

Das Auto ist vollgestopft mit Überwachungstechnik, einem IMSI-Catcher beispielsweise, der einen echten Mobilfunkmasten imitiert. Die Telefone der Ziele verbinden sich dann mit dieser Fake-Basisstation – und können vom Van aus abgehört und gehackt werden.

Intellexa bietet auch Überwachungsdrohnen an und zeigt in Broschüren Bilder von speziell gesicherten Gebäuden und Wolkenkratzern als Überwachungsziele. Das wirkt wie aus einem Spionagethriller …

Wir sollten nicht vergessen, dass einige der Dokumente Marketingmaterialien sind. Manchmal übertreiben sie sicher, was ihre Fähigkeiten angeht. Technisch gesehen gibt es aber keinen Grund, daran zu zweifeln, dass eine solche Überwachung per Drohne möglich ist.

Eines der wichtigsten Produkte der Spionagehändler:innen war viele Jahre lang Cerebro, früher Eagle – mit dem man angeblich «den Internetverkehr eines ganzen Landes» überwachen kann. Wie funktioniert das?

Im Lauf der Jahre ist die Industrie von der rechtmässigen Überwachung einzelner Verdächtiger zur Massenüberwachung übergegangen. Das neue Konzept bestand darin, sämtliche Kommunikationsinhalte zu speichern, um dann alle gespeicherten Daten durchsuchen und analysieren zu können. Das ist ausserordentlich bedenklich, denn es ist völlig wahllos.

Klingt nach Big Brother. Seit etwa 2018 sind die Verkäufe von Cerebro allerdings zurückgegangen. Was ist passiert?

Edward Snowden und seine Enthüllungen sind passiert. Viele Unternehmen wie Google und Apple begannen, für ihre Mail- und Messaging-Apps eine Ende-zu-Ende-Verschlüsselung einzusetzen. Eine weitere wichtige Veränderung war die Einführung von HTTPS, das den Webverkehr verschlüsselt. Als die Mehrheit der Websites HTTPS verwendete, wurden Massenüberwachungssysteme wie Cerebro immer nutzloser.

Aufgrund Ihres Überblicks über die Überwachungsmärkte: Gibt es überhaupt einen sicheren Weg, digital zu kommunizieren?

Zunächst einmal ist es wichtig, sich bewusst zu machen, dass es Spyware gibt und dass sie eingesetzt wird. Aber wir sehen auch positive Entwicklungen. Diese Waffen werden immer teurer. Viele Menschen nutzen verschlüsselte Nachrichten. Und Unternehmen wie Apple und Google setzen erhebliche Ressourcen ein, um die Angriffe zu stoppen und zu erschweren. Zudem werden wir und andere Organisationen immer besser darin, Angriffe zu erkennen. Ich glaube, wir sind heute in einer viel günstigeren Situation als vor zehn Jahren. Aber nichts ist narrensicher. Geräte können und werden immer noch gehackt werden.

Gibt es Kommunikations-Apps, die Sie empfehlen?

Signal hat die beste Verschlüsselungstechnologie und eine gute Bilanz, was die Sicherheit ihrer Software angeht. Andere Tools wie Whatsapp nutzen denselben Verschlüsselungsalgorithmus, der sehr gut ist. Dennoch werden sich ausgefeilte Angriffe nicht immer verhindern lassen – allerdings kann man die Risiken minimieren. Wenn Sie beispielsweise vertrauliche Unterhaltungen über Signal führen, können Sie Nachrichten, die älter als eine Woche sind, automatisch löschen. Wenn jemand Ihr Gerät kompromittiert, sieht er nur den Datenverkehr der vergangenen Woche – anstatt die Nachrichten der vergangenen fünf Jahre. Ich persönlich versuche, die Menge der Informationen auf meinem Gerät zu reduzieren.

Unsere «Predator Files»-Recherche zeigt, dass offensive Cyberwaffen in Länder verkauft werden, in denen die Menschenrechtslage sehr schlecht und die Pressefreiheit eingeschränkt ist. Gibt es eine Möglichkeit, diesen Handel einzudämmen?

Amnesty International hat zusammen mit vielen Partnern ein weltweites Moratorium für den Verkauf, den Einsatz und die Weitergabe von Überwachungstechnologien gefordert, bis ein globaler Rechtsrahmen geschaffen ist. Nach dem, was wir in den vergangenen zwei Jahren erlebt haben, gehen wir nun weiter und fordern ein vollständiges Verbot hochgradig invasiver Spionageprogramme wie Predator und Pegasus. Es gibt einfach keine Möglichkeiten, sich dagegen zu schützen. Angreifer erhalten kompletten Zugriff und können unbemerkt Daten modifizieren, verändern oder gar einschleusen.

Die internationalen Recherchepartner der «Predator Files» haben im Vorfeld mit vielen Beteiligten gesprochen – sehen Sie bei Ihren laufenden Analysen bereits Reaktionen auf die Recherche?

Intellexa bemüht sich tatsächlich, schnell ihre Predator-Infektionsserver herunterzufahren. Mehr als siebzig Prozent der von uns identifizierten Server wurden seit Mitte September abgeschaltet.

Polizei und Geheimdienste in aller Welt argumentieren, dass sie Spionageprogramme wie Predator wegen der weitverbreiteten Verschlüsselung brauchen. Sie würden sonst «blind» und könnten Verdächtige nicht mehr abhören, obwohl sie das Recht dazu hätten. Haben die Behörden da nicht einen Punkt?

Sobald diese Instrumente zur Verfügung stehen, werden sie in einigen Ländern missbräuchlich verwendet. Selbst wenn diese Werkzeuge für rechtmässige Ermittlungen sicher hilfreich sein können, ist mancherorts der Mangel an Rechenschaftspflicht und Transparenz ein unverhältnismässiges Risiko für die Menschenrechte. Deshalb fordern wir ein vollständiges Verbot dieser Instrumente.

Sie haben verschiedene Spionageprogramme und deren Anwender:innen enttarnt und dazu beigetragen, die Geschäfte damit empfindlich zu stören. Wurden Sie jemals mit Spyware attackiert?

Es wäre ziemlich gewagt, wenn jemand versuchen würde, mir so etwas zu schicken. Ich überprüfe mein Gerät regelmässig und verwende verschiedene Sicherheitsmechanismen. Aber eine Amnesty-Kollegin, die sich mit Menschenrechtsverletzungen in Saudi-Arabien befasst, erhielt 2018 eine Nachricht über Whatsapp. Die Absenderin gab sich als Aktivistin aus. Sie organisiere einen Protest vor der saudi-arabischen Botschaft in Washington D. C., schrieb sie und schickte einen Link für «weitere Informationen». Zum Glück war unsere Kollegin misstrauisch und schickte uns den Link. Wir erkannten schnell, dass dahinter eine ausgeklügelte Angriffskampagne steckte – und konnten sie nach monatelangen Recherchen der NSO-Gruppe zuordnen.

Was war für Sie die grösste Überraschung in den «Predator Files»?

Die Unverfrorenheit, mit der diese Unternehmen weitermachen – nach all den früheren Enthüllungen. Wie sie versuchen, selbst minimale Regulierungen zu umgehen. Es scheint nicht genügend politischen Willen zu geben, die Gesetze zu verschärfen oder auch nur den Missbrauch zu dokumentieren. Niemand zieht die Täter wirklich zur Rechenschaft. So lange das so ist, werden wir weiterhin Unternehmen sehen, die versuchen, mit Cyberwaffen Geld zu verdienen.

Dieses Interview hat «Der Spiegel»-Journalist Marcel Rosenbach geführt. Das deutsche Nachrichtenmagazin hat es sämtlichen Medienpartnern, die an der «Predator Files»-Recherche beteiligt sind, zur Verfügung gestellt.

Internationale Kooperation: Zur Recherche

Gemeinsam mit internationalen Partnern recherchierte die WOZ während über einem Jahr zu den Geschäften der sogenannten Intellexa-Allianz – eines führenden Anbieters von höchst umstrittener Überwachungstechnologie wie zum Beispiel der Spionagesoftware Predator.

Ausgangspunkt für die Recherche waren vertrauliche Dokumente, die das französische Portal «Mediapart» und das deutsche Nachrichtenmagazin «Der Spiegel» erhielten. Dabei handelt es sich um Akten aus französischen Ermittlungen sowie um Unterlagen zum deutschen Rüstungskonzern Hensoldt mit Hinweisen auf Intellexa.

Die internationale Recherche hat das Mediennetzwerk European Investigative Collaborations (EIC) koordiniert. Folgende EIC-Mitglieder waren beteiligt: «Mediapart» (Frankreich), «Der Spiegel» (Deutschland), «NRC» (Niederlande), «Politiken» (Dänemark), «Expresso» (Portugal), «Le Soir» (Belgien), «De Standaard» (Belgien), «VG» (Norwegen), «infolibre» (Spanien) und «Domani» (Italien). Für diese Recherche hinzu kamen «Shomrin» (Israel), «Reporters United» (Griechenland), «Daraj Media» (Libanon), die «Washington Post» (USA) und die WOZ. Unterstützt wurden sie fachlich vom Security Lab von Amnesty International.

Die Publikation erfolgt zeitgleich in den beteiligten Medien. Die Partner werden in den kommenden Tagen weitere Berichte veröffentlichen. Auch auf www.woz.ch und in der nächsten Ausgabe folgen zusätzliche Beiträge.

ausklappen einklappen