NSO Group-Debatte: Responsible Disclosure versus Profit

von Richard Werner, Business Consultant

In einer weltweit koordinierten Berichterstattung deckten vor einigen Tagen verschiedene Medienhäuser eine Cybersecurity-Story zu mutmaßlich staatlich verwendeter Cyberspionage Software auf. Im Zentrum der Affäre steht die Software Pegasus, ein auf Schwachstellen im Code mobiler Betriebssysteme abzielendes Infiltrationswerkzeug, der israelischen NSO-Gruppe. Die Gruppe ist darauf spezialisiert, Hacking-Tools bzw. -Dienstleistungen an staatliche Interessenten zu verkaufen. Als Zweck wird die Terrorismus- und Verbrechensbekämpfung angegeben. Laut Aussage der Firma wurden mit ihrer Software Menschenleben gerettet, weil die potenziellen Täter rechtzeitig identifiziert werden konnten. Auf der anderen Seite steht der Vorwurf, dass damit aber genauso auch Meschenrechtsaktivisten überwacht werden. So wurde beispielsweise ein Zusammenhang zwischen der Software der NSO Gruppe und dem 2018 in der Türkei ermordeten Journalisten Jamal Kashoggi hergestellt. Welche Verantwortung hat ein Hersteller für sein Produkt? Hintergründe und Debatten.

Moderne Überwachungsgeräte

Die Werkzeuge der NSO-Gruppe sind in der Cyber-Gemeinde als technisch ausgereift bekannt und erlauben unter anderem Smartphones zu übernehmen — denn viele Funktionen können remote durch einen Auftraggeber ausgeführt werden. Das Besondere ist, dass kein Jailbreak oder Rooting nötig ist, um dieses Ziel zu erreichen. Für das Opfer ist ein Angriff deshalb nur sehr schwer als solcher zu identifizieren. Das Smartphone wird anschließend zur Überwachungseinheit… eine „moderne Wanze“, wenn man so will. Durch beliebige Aktivierung von Mikrofon oder Kamera können beispielsweise auch vertrauliche Gespräche in den eigenen vier Wänden belauscht und Kontaktpersonen identifiziert werden. Dass ein solcher Missbrauch eines Smartphones möglich ist, verwundert dabei nicht. Unter dem Stichwort „Parental Control“ oder auch „Mitarbeiterüberwachung“ finden sich kommerzielle Werkzeuge, die man für wenige hundert Euro im Jahr als Service mieten kann, um tief in das Privatleben anderer einzugreifen. Im Gegensatz zum NSO-Tool setzen diese allerdings einen Jailbreak/Rooting voraus. Sie sollten also theoretisch im Besitz des Handys sein, um so etwas zu installieren… oder sie googeln um herauszufinden, wie es auch ohne geht. (Übrigens: die Trend Micro Mobile Security-Lösungen identifizieren solche Werkzeuge durchaus als bösartig. Das attestiert auch AV Test der Lösung.)

Verbrechensbekämpfung mit Überwachungssoftware

Der Begriff „Verbrechensbekämpfung“ ist politisch definiert. So zählen in der „westlichen“ Welt Terroristen und Kriminelle zu dieser Gruppe der Verbrecher, während in Monarchien demokratisch gesinnte Personen und in totalitären Systemen auch Menschenrechtler damit gemeint sind. Aus Sicht des Softwareherstellers kann nur der Einsatzzweck definiert werden, und im Falle der aktuell debattierten Überwachungstools besteht der Einsatzzweck darin, gegen den Willen einer Person auf digitalem Weg in deren Privatleben einzugreifen.

Ob nun der „Zweck die Mittel heiligt“ oder besagte Person ein gerechtfertigtes Ziel ist, bleibt eine politische und juristische Frage. Für die technische Herstellung einer solchen Software spielt diese Überlegung keine Rolle. Sie wird entwickelt, um auf Systemen zu funktionieren, die von vielen Menschen genutzt werden, nicht nur von Kriminellen. Nur, wer den Einsatz dieser Werkzeuge und die zurück fließenden Daten koordiniert, entscheidet wer zum „Opfer“ wird. Hierzu erklärt die NSO-Gruppe in einem Statement, dass sie selbst ihre Dienste nicht kontrolliere und insofern auch keine Daten von betroffenen Personen habe — angesichts des Einsatzzwecks der Software eine absolut nachvollziehbare Aussage. Allerdings beinhaltet sie genauso, dass die moralische Entscheidung zum Einsatz damit dem Käufer obliegt.

Verkauf von Sicherheitslücken an Staaten 

Die Diskussion zu Pegasus wärmt ein älteres Thema auf. Hersteller von Betriebssystemen oder Applikation tun in der Regel ihr Möglichstes, um ihre Produkte vor einem Missbrauch dieser Art zu schützen. Wie immer gibt es auch hier Ausnahmen, berichtet etwa die Süddeutsche Zeitung.

Eine wie auch immer geartete Lücke, die es erlaubt, von außen auf Daten oder Informationen zuzugreifen, wird natürlich auch von Cyberkriminellen missbraucht. Dies gilt es, mit allen Mitteln zu verhindern. Deshalb suchen Sicherheitsforscher aus aller Welt nach solchen Lücken. Mit Bug Bounty-Programmen werden die Forscher einerseits für ihre Funde belohnt, andererseits wird zusammen mit den betroffenen Herstellern an der Schließung dieser Lücken gearbeitet.

Solche Sicherheitslücken eröffnen Unternehmen wie der NSO-Gruppe erst ihre Nische. Denn auch sie suchen gezielt nach solchen Schwachstellen, die sie entweder selbst finden oder von Dritten zukaufen. Doch im Gegensatz zu Mitgliedern der Security-Gemeinde werden diese Lücken allerdings nicht geschlossen, sondern eben möglichst lange geheim gehalten: Denn das Geschäftsmodell der Firma beinhaltet, diese mit oder ohne Services, exklusiv oder auch nicht, an Staaten weiter zu verkaufen. Dies ist für alle Regierungen interessant, die es sich nicht leisten können, eigene Forscher oder Spezialisten für derartige Aufgaben zu finanzieren. Allerdings besteht ein gewisses „unternehmerisches Risiko“, dass Sicherheitslücken von der IT-Security-Gemeinde frühzeitig gefunden und geschlossen und damit auch diese Angriffe aufgedeckt und international diskutiert werden. Wie dies im Fall von Pegasus auch schon 2016 passiert ist.

Fairerweise muss auch gesagt sein, dass die Gruppe nicht das einzige Unternehmen mit derartigen Angeboten ist. Mit nicht gepatchten Sicherheitslücken zu handeln, stellt ein Geschäftsmodell dar, welches derzeit völlig unreguliert ist. Die Absichten einer Institution, eine solche Lücke zu kaufen und sie anschließend nicht an den Hersteller weiterzugeben, sollten allemal in Frage gestellt werden.

Moral?

Jede Regierung und Regierungsbehörde, die bei einem solchen Unternehmen einkauft, muss sich der Tatsache bewusst sein, dass der Anbieter auch andere Staaten beliefert, zu denen auch solche gehören können, die aus westlich-demokratischer Sicht Unrechtshandlungen begehen.

Damit werden die eigenen Aktionen gleich welcher Art, zum politisch heiklem Thema. Schließlich wird eine Überwachung in der öffentlichen Diskussion häufig pauschal mit der Bespitzelung von ungerechtfertigt verfolgten Personen gleichgesetzt und damit die politische Integrität der jeweiligen Regierung in Frage gestellt. Dies erklärt sowohl die deutliche Verneinung in den Antworten vieler zur Zusammenarbeit mit der NSO-Gruppe befragter Staaten sowie die durchaus aggressive Argumentation in der diese vorgetragen werden. Unabhängig davon, ob eine Regierung wirklich Kunde eines solchen Unternehmens ist, eine irgendwie geartete Nähe zu ihm wird vehement abgestritten. Dabei wird unterschlagen, dass für die vielfach auch in EU Staaten geforderte digitale Verbrechensbekämpfung genau solche Werkzeuge benötigt werden.

Die Position der Cybersecurity Gemeinde

Aus unserer Sicht müssen Sicherheitslücken – sobald entdeckt – auch geschlossen werden. Trend Micro betreibt zu diesem Zweck das weltweit größte Bug Bounty Programm die Zero Day Initiative. Wir werden unterstützt durch andere Partner aus der Industrie und selbständige Sicherheitsforscher auf der ganzen Welt. Die durch dieses Programm erworbenen Lücken werden umgehend dem Hersteller der betroffenen Software gemeldet, so dass dieser in der Lage ist, die Lücken zu schließen. Der Fachbegriff hierfür: „Responsible Disclosure“. Nur durch derartige Programme kann die Nutzung von Sicherheitslücken durch Cyberkriminelle wirksam bekämpft werden. Wir würden es sehr begrüßen, wenn Staaten mit ihren finanziellen Mitteln zur allgemeinen Sicherheitslage beitragen, indem sie ebenfalls solche Lücken schließen. Solange wir Cyber-Angriffswerkzeuge allerdings nach Motivation ihrer Nutzer bewerten, wird dies lediglich ein naiver Wunsch bleiben.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.