Die Namen NSO Group oder Pegasus dürften viele schon einmal gehört haben, spielten sie doch in dem einen oder anderen Spionageskandal eine zentrale Rolle. Manchen mögen auch noch Intellexa oder DSIRF irgendwie vertraut vorkommen. Ein neuer Bericht von Googles Threat Analysis Group (TAG) bietet nun aber erstmals einen tieferen Einblick in die Welt der Hersteller kommerzieller Spionagesoftware. Einen Einblick, der nicht nur zahlreiche bisher unbekannte Details offenbart, sondern auch einen, den das Unternehmen mit einem ungewohnten Appell an Regierungen und andere Firmen verbindet.
Problembeschreibung
Zum ersten Mal nennt Google konkrete Zahlen darüber, wie groß die Bedrohung durch die kommerzielle Spyware solcher Firmen mittlerweile geworden ist. Seit dem Jahr 2014 sind insgesamt 72 Zero-Day-Lücken in Google-Produkten bekannt geworden. Von diesen ließen sich wiederum 35 auf die Hersteller kommerzieller Spionagesoftware zurückführen. Anders gesagt: Rund die Hälfte solcher Lücken wurde von solchen Firmen entdeckt und bewusst zurückgehalten, um damit Geld zu verdienen.
Zudem beschleunigt sich diese Entwicklung offenbar noch: Google TAG hat seit dem Jahr 2019 insgesamt 53 Zero-Days in Softwareprodukten unterschiedlicher Hersteller gefunden, von denen 33 auf die Hersteller kommerzieller Spyware zurückgeführt werden können. Im Jahr 2023 waren es dann aber schon 20 von 25 solcher Lücken, die von entsprechenden Anbietern aktiv ausgenutzt wurden.
Hintergrund
Bei solchen Zero-Days handelt es sich um Sicherheitsprobleme, die aktiv für Angriffe ausgenutzt werden, bevor es ein Update durch den jeweiligen Hersteller gibt. Sie stellen also eine besonders hohe Gefährdung dar, da sich die Nutzerinnen und Nutzer üblicherweise nicht davor schützen können.
Geheimdienste oder Polizeibehörden gehen dabei zu solchen Anbietern, um deren Dienste einzukaufen. Mit der entsprechenden Software werden dann die Smartphones oder andere Systeme von Zielpersonen übernommen, alle Aktivitäten auf diesen überwacht und die dabei gesammelten Daten ausgewertet.
Werbung vs. Realität
Die Hersteller solcher Programme betonen gerne, wie sorgsam man bei der Wahl der eigenen Kundschaft vorgeht. Die Vergangenheit hat aber immer wieder gezeigt, dass das im besten Fall ein Werbeversprechen ist, um zu verschleiern, wie gefährlich diese Aktivitäten wirklich sind.
Google TAG stellt denn auch gleich am Anfang des fünfzigseitigen Reports einige der Opfer solcher Tools heraus. So kommt etwa eine mexikanische Menschenrechtsaktivistin zu Wort, auch eine russische Exiljournalistin beschreibt, wie es ist, ins Ziel solcher Programme zu gelangen und wenn das gesamte Leben ausspioniert wird.
Ein extrem gutes Geschäft
Alles Dinge, die bereits vielfach öffentlich angeprangert wurden, und doch floriert die Branche wie nie zuvor. Das hat einen sehr simplen Grund: Das Geschäft mit kommerzieller Spyware ist extrem einträglich. Wie einträglich, streicht Google TAG mit einem Fallbeispiel heraus.
Vor einigen Monaten ist ein Angebot der Firma Intellexa durchgesickert, acht Millionen US-Dollar verlangte das Unternehmen dabei für die Nutzung einer eigenen Software namens Nova. Dabei handelt es sich um eine Kombination aus Spionagesoftware und Analysetools – also ein Komplettpaket.
In den acht Millionen Dollar enthalten: hundert erfolgreiche Infektionen von Android- oder iOS-Smartphones sowie die Möglichkeit, bis zu zehn Geräte gleichzeitig aktiv zu kontrollieren, wobei diese regelmäßig durchgetauscht werden können. Die hundert Infektionen klingen dabei übrigens nach mehr, als sie es in der Realität sind – ist es doch oftmals notwendig, einzelne Geräte mehrfach zu infizieren, etwa wenn diese zwischendurch neu gestartet wurden.
Upselling
Grund dafür ist, dass viele dieser Spionageprogramme nicht fix im System verankert sind und bei einem Neustart gelöscht werden. Das liegt wiederum daran, dass eine solche Verankerung bei aktuellen Android- und iOS-Geräten sehr schwer ist und somit auch die Gefahr der Entdeckung steigt. Wer trotzdem eine solche Persistenz haben will, der muss laut dem Intellexa-Angebot noch einmal drei Millionen Dollar hinblättern.
Auch sonst wissen die Hersteller solcher Tools sehr gut, wie Upselling funktioniert: All diese Infektionen sind im Fall von Nova auf Geräte mit SIM-Karten aus einem Land beschränkt, fünf weitere Länder kann man für weitere 1,2 Millionen US-Dollar zukaufen. Die genannten Zahlen sind übrigens nicht mehr ganz aktuell, es ist also davon auszugehen, dass die realen Preise noch einmal signifikant höher sind.
Ein breites Feld
Mehr als 40 Hersteller kommerzieller Spionagesoftware beobachtet Google TAG derzeit nach eigenen Angaben, doch selbst das ist nur ein kleiner Ausschnitt. Dabei ist die Situation extrem volatil, da sich diese Firmen gerne regelmäßig neue Namen geben und sich reorganisieren, um ihre Aktivitäten zu verschleiern.
Was den TAG-Bericht besonders interessant macht: Im Anhang listet Google erstmals auch elf dieser Firmen explizit auf und weist ihnen konkret einzelnen Zero-Days zu. Neben Größen der Branche wie NSO Group, Intellexa, Quadream oder RCS Lab hat es auch das Wiener Unternehmen DSIRF in diese erlauchte Liste geschafft.
Auch Wien ist mit dabei
DSIRF erfuhr im Jahr 2022 unfreiwillige Prominenz, nachdem Microsoft die Aktivitäten der Firma öffentlich gemacht hatte. So soll deren Spionagesoftware Subzero für Angriffe gegen Banken und Anwaltskanzleien zum Einsatz gekommen sein.
Das Aus für DSIRF kam dann im Mai 2023 – kurz nachdem ein EU-Bericht vor der Spionagefirma gewarnt hatte, und dabei auch Ex-Kanzler Sebastian Kurz namentlich erwähnte. Wirklich handfeste Belege für eine Nahebeziehung gab es aber nicht, Kurz dementierte das Ganze auch rasch. Wesentlich handfester ist da schon eine andere österreichische Komponente: Die Signa Holding stand über ihre Einzelhandelssparte Signa Retail nämlich sehr wohl in Geschäftsbeziehungen zu DSIRF.
Ein Wettkampf
Doch zurück zum aktuellen Bericht: Der zeigt nämlich auch, dass Gegenmaßnahmen durchaus sinnvoll sind. So beschreibt TAG einen Vorfall im Frühjahr 2023, bei dem eine Reihe von Sicherheitsupdates bei Chrome dazu geführt hat, dass Intellexa-Kunden die Spionagesoftware 40 Tage lang nicht mehr zur Infizierung ihrer Opfer nutzen konnten. So lange dauerte es, bis die Spyware-Firma einen neuen Zero-Day einsatzfähig machen konnte. Nur damit dieser dann übrigens umgehend von Google wieder aufgespürt und innerhalb von wenigen Tagen unschädlich gemacht wurde.
Genau darum gehe es auch für Firmen, wie Google betont: solche Attacken so schnell wie möglich zu entdecken und unschädlich zu machen. Das lässt nicht nur die Kosten für die Anbieter von kommerzieller Spyware explodieren, es lässt auch deren Kunden frustriert zurück, wenn die Software regelmäßig nicht funktioniert. Doch Google appelliert nicht nur an andere Firmen, es sei auch an der Zeit, dass Regierungen handeln.
Ein Appell
"Wir glauben, dass es an der Zeit ist, dass Regierungen, Industrie und Zivilgesellschaft zusammenkommen, um jene Anreizstruktur zu ändern, die die Verbreitung dieser Technologien ermöglicht." Neben mehr Transparenz durch von solchen Vorfällen betroffene Hersteller fordert man dabei eine staatliche Regulierung solcher Tools.
Google-TAG-Sicherheitsforscherin Maddie Stone erläutert auf X, warum es so wichtig ist, gegen solche Unternehmen vorzugehen. Wenn Menschenrechtsaktivisten, Journalisten oder Oppositionelle mittels Spionagesoftware attackiert werden, sei das eine echte Gefahr für eine freie Gesellschaft, könnte dieser nachhaltigen Schaden zufügen.
Interessenkonflikt
Ob die Regierungen dem Google-Appell nachkommen, ist trotzdem zweifelhaft. Das liegt daran, dass man etwa auch in der EU den konkreten Einsatz solcher Programme zwar gerne einmal bei anderen öffentlich kritisiert, aber sich selbst deren Nutzung nicht verbauen will.
Insofern ist es bezeichnend, dass ausgerechnet die USA zuletzt die stärksten Schritte gegen solche Anbieter gesetzt haben – zuletzt etwa mit einem Visumsbann für alle Angestellten solcher Firmen. Immerhin benötigen die USA solche Hersteller am wenigsten, da das Land über die eigenen Geheimdienste selbst ausreichend Fähigkeiten in diesem Bereich hat. (Andreas Proschofsky, 7.2.2024)