Israelische Überwachungssoftware Bundesbehörde warnt vor Pegasus-Infektionen
Deutschlands IT-Sicherheitsbehörde in Bonn: »Das Bedrohungspotenzial ist als hoch zu bewerten«
Foto: Andreas Rentz/ Getty ImagesDas Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die Enthüllungen um den Spionagetrojaner Pegasus des israelischen Unternehmens NSO Group reagiert. Die Bonner Behörde hat am Dienstag eine Cyber-Sicherheitswarnung verschickt und Pegasus darin als eine IT-Bedrohung der Stufe zwei (von vier) eingeordnet. In dieser gelben Warnstufe sollten Unternehmen, Behörden sowie Nutzerinnen und Nutzer Auffälligkeiten ihrer Geräte verstärkt beobachten.
»Das Bedrohungspotenzial ist als hoch zu bewerten, zumal auch aktuelle Versionen von iOS und Android immer noch als verwundbar gelten«, schreibt das BSI in seiner dem SPIEGEL vorliegenden Bewertung. Es sei jedoch zu beachten, dass es sich um dezidierte Angriffe auf einzelne Ziele und nicht um eine auf Massenverbreitung abzielende Kampagne handele, schreibt die Behörde mit Verweis auf die Medienberichte.
Besonders problematisch ist laut dem BSI, dass Angriffe durch Pegasus kaum abgewehrt werden können. »Aufgrund der Professionalität der Angreifer ist die zielführende Umsetzung präventiver Schutzmaßnahmen sehr schwierig.« In der Cyber-Sicherheitswarnung CSW-Nr. 2021-234348-1032, die sich insbesondere an Firmen und Behörden richtet, schlägt das BSI vor, dass die Nutzung von Diensten zum Öffnen von SMS sowie iMessage und FaceTime bei Apple-Geräten eingeschränkt werden könne. Vor anderen Angriffswegen wie den sogenannten IMSI-Catchern sei jedoch »kaum ein praktikabler Schutz möglich.«
Die Pegasus-Enthüllungen haben bisher vor allem im Ausland zu politischen Debatten und Reaktionen durch Behörden geführt. In Frankreich beispielsweise hielt der Rat für nationale Sicherheit und Verteidigung ein Sondertreffen ab, nachdem bekannt geworden war, dass unter anderem Präsident Emmanuel Macron auf einer angeblichen Liste potenzieller Spähziele durch NSO-Software stand. Israels Verteidigungsminister Benny Gantz soll außerdem planen, bei einem Besuch mit seiner französischen Amtskollegin das Thema anzusprechen.
Die NSO Group behauptet, Pegasus werde nur zum Kampf gegen Kriminelle und Terroristen eingesetzt. Für die Einhaltung dieser Vorgaben seien die Käufer ihrer Produkte verantwortlich, und das seien ausschließlich Behörden. Wenn NSO einen Kunden überprüfe, müsse dieser »fälschungssichere« Log-Einträge aushändigen und verliere den Zugang zu Pegasus, wenn diese Einträge einen Missbrauch belegten.
In Deutschland gab es in der Vergangenheit Debatten über das Unternehmen FinFisher, dessen Software in repressiven Ländern wie Bahrain auftauchte, das aber auch einen Staatstrojaner für das Bundeskriminalamt entwickelt hat.
