Seit Jahren wehrt sich Apple dagegen, dass die eigenen Geräte und Software mit einer Hintertür für Strafverfolgungsbehörden ausgestattet werden, damit auf diese Weise Verbrecher und Terroristen gejagt werden und deren Handys ausspioniert werden können. Grund ist vor allem der, das man befürchtet, diese Hintertüren könnten auch für andere als die angegebenen Zwecke ausgenutzt werden. Dass diese Befürchtung nicht unbegründet ist, zeigte zuletzt der Fall einer Spionagesoftware namens "Pegasus" der israelischen Sicherheitsfirma NSO Group, mit der zahlreiche Journalisten, Aktivisten und Regierungskritiker ausspioniert wurden.

Nun stellt sich heraus, dass auch das Bundeskriminalamt (BKA) die Pegasus-Software von NSO gekauft hat, wie die Regierung in einer Sitzung des Innenausschusses bestätigte (via DIE ZEIT). Demnach wurde die Pegasus-Software angeschafft, nachdem eigene Bemühungen, ein Tool zum Überwachen und Ausspähen von iOS- und Android-Geräten fehlgeschlagen waren. Unklar ist, ab wann die Software eingesetzt wurde. Wie die Süddeutsche Zeitung parallel berichtet (via Deutsche Welle), sollte Pegasus als Ergänzung zum offenbar wenig erfolgreichen Staatstrojaner eingesetzt werden. BKA Vizepräsidentin Martina Link hat offenbar bestätigt, dass man die Software Ende 2020 angeschafft habe und sie im März auch gegen Terroristen und das organisierte Verbrechen eingesetzt habe.

Offenbar wurde die Pegasus-Software unter größter Geheimhaltung beschafft. Wohl auch, weil man intern Bedenken hinsichtlich der Legalität der Spyware hatte. Das deutsche Recht sieht vor, dass Smartphones, Computer und ähnliche Geräte von Verdächtigen nur unter bestimmten Voraussetzungen und nach eingängiger Prüfung infiltriert werden dürfen. Nach Aussage des BKA wurden daher auch nur ausgewählte Funktionen von Pegasus aktiviert und genutzt, um die Software gemäß des deutschen Rechts einsetzen zu können. Unklar bleibt allerdings, gegen wen konkret man die Spyware eingesetzt hat.

Wie DIE ZEIT berichtet, war das BKA bereits 2017 an die NSO Group wegen einer Lizenzvereinbarung herangetreten. Damals seien die Gespräche allerdings gescheitert, weil man von den Möglichkeiten von Pegasus nicht überzeugt war. Nachdem die Bestrebungen, ein eigenes Tool zu entwickeln fehlgeschlagen waren, wurden die Gespräche aber wieder aufgenommen. Der Einsatz von Pegasus durch deutsche Behörden kontakariert natürlich ein wenig die kürzliche Aufforderung des Vorsitzenden des Digitalisierungsausschusses, Manuel Höferlin, der Apple eindringlich dazu aufforderte, die geplanten Kinderschutzmaßnahmen in seinen Systemen nicht einzuführen, da hierdurch Hintertüren geschaffen würden, die Angreifer auch für andere Zwecke nutzen könnten. Apple hat die Einführung inzwischen bekanntermaßen verschoben.

Während man sich bislang mit einem iPhone aufgrund der dort geltenden Sicherheitsmaßnahmen in diese Richtung für recht unangreifbar hielt, kam inzwischen heraus, dass Pegasus auch auf den Apple-Geräten großflächig zum Einsatz kam. So hat das Amnesty International Security Lab insgesamt 37 iPhones ausfindig gemacht, auf denen die Software zum Einsatz kam. Diese nutzte dabei unter iOS 14.6 Sicherheitslücken in iMessage und Apple Music aus, um sich über einen sogenannten "Zero-Click-Angriff" unbemerkt auf den Geräten der betroffenen Nutzern zu installieren. Neben dem Ausspionieren der auf den Smartphones lagernden Informationen war Pegasus im vergangenen Jahr durch die angesprochenen Sicherheitslücken sogar in der Lage, sich Zugriff auf Mikrofon und Kamera der angegriffenen iPhones zu verschaffen.

Genau derartige Sicherheitslücken, wie sie von Pegasus ausgenutzt wurden sind übrigens auch der Grund, warum man nicht allzu lange mit dem Installieren von Updates auf seinen Geräten warten sollte. Hierin stecken nicht nur neue Funktionen, sondern vor allem auch Sicherheitsaktualisierungen, die derartige Lücken stopfen.