Politiker, Menschenrechtler, Oppositionelle und Journalisten. Wenngleich die mächtige Spyware Pegasus offiziell als Instrument zur Strafverfolgung von Kriminellen im Inland gedacht ist – darauf versteift sich jedenfalls ihr Entwickler, die NSO Group –, wurde sie immer wieder gegen unbescholtene Personen und auch Ziele im Ausland eingesetzt. Das geht aus den Enthüllungen hervor, die im Juli die Öffentlichkeit erschütterten und das israelische Unternehmen stark unter Druck brachten.

Wie nun öffentlich gemacht wurde, ist auch ein Journalist der "New York Times" gleich mehrfach zum Ziel geworden. Die Angriffe erfolgten seit Juni 2018, ein Einbruch in sein Smartphone gelang schließlich 2020 und 2021. Saudi-Arabien steht in Verdacht, dahinterzustecken.

Doch der Reihe nach. Ben Hubbard erhielt im Juni 2018 SMS-Botschaften und Whatsapp-Nachrichten mit Links zu kompromittierten Webseiten. Wäre er den Links gefolgt, hätte dies eine Pegasus-Infektion zur Folge gehabt. Als Urheber sieht man eine unter dem Namen Kingdom operierende Entität, die man Saudi-Arabien zurechnet. Der Angriff wurde als solcher entlarvt, und Hubbard reichte eine Beschwerde bei der NSO Group ein.

Erfolgreiche Hacks 2020 und 2021

Zudem dokumentiert ist der Versuch einer Kontaktaufnahme mit Hubbard durch einen Apple-Account bereits im April 2018. Das Konto wird ebenfalls mit Kingdom in Verbindung gebracht, es ist aber unklar, ob hier bereits ein Infektionsversuch vorlag oder man nur testen wollte, ob das Handy des Journalisten infiziert werden könne. Der wichtigste Verbreitungsweg für Pegasus sind unbekannte und daher noch nicht behobene Schwachstellen in Betriebssystemen – im konkreten Fall Apples iOS.

Überbleibsel im Smartphone-Backup von Hubbard zeigen, dass die Spyware am 12. Juli 2020 schließlich erfolgreich auf sein iPhone eingeschleust wurde. Ausgenutzt wurde dabei eine mittlerweile behobene Lücke in iMessage. Ein weiterer, erfolgreicher Angriff erfolgte am 13. Juni 2021 unter Zuhilfenahme einer anderen, nunmehr gekitteten Schwachstelle in iMessage. Dieser Angriff diente offenbar primär dazu, Spuren des ersten digitalen Einbruchs zu verwischen. Die Attacke ging dabei vom gleichen Konto aus, über das auch das Telefon eines saudischen regimekritischen Aktivisten infiziert wurde.

Hubbard schreibt für die "New York Times" über den Nahen Osten. Im besagten Zeitraum arbeitete er zudem auch an einem Buch über den umstrittenen saudischen Kronprinzen Mohammed bin Salman. Im Rahmen seiner Tätigkeit spreche er oft mit Kritikern der oft autoritären Staatsführungen. Diese nehmen damit ein großes Risiko auf sich und sind darauf angewiesen, dass ihre Identität und die Informationen, die sie teilen, bei ihm sicher sind, schildert der Journalist.

Werden sie entdeckt, drohen ihnen Haft, Folter oder gar der Tod. Dementsprechend treffe er viele Vorkehrungen, um sie zu schützen. Die Pegasus-Angriffe beunruhigten ihn daher sehr, weil man sich als Opfer kaum dagegen schützen kann. Über die damals nicht bekannten Sicherheitslücken war es möglich, die Spähsoftware aus der Ferne und ganz ohne sein Zutun einzuschleusen, ohne dass er einen Link anklicken musste.

NSO Group weist Darstellung zurück

Die NSO Group weist die Anschuldigung gegen ihr Produkt zurück. Man wisse nichts davon, dass Hubbard das Ziel von einem der eigenen Kunden gewesen sei – und könne es auch aus nicht näher erläuterten "technischen und vertraglichen Gründen und Restriktionen" ausschließen. Die vom Citizen Lab gezogenen Schlüsse seien reine "Spekulation". Berichten zufolge hatte das Unternehmen seine Verträge mit Saudi-Arabien 2018 nach dem Mord am saudischen Journalisten Jamal Khashoggi zuerst gekündigt, dann aber 2019 mit strengeren Vorgaben zum Einsatz von Pegasus die Zusammenarbeit wiederaufgenommen.

Das Unternehmen wollte sich zur Causa Hubbard nicht weiter äußern und gibt sich gegenüber Medien seit dem Bekanntwerden der weitreichenden Überwachung generell schmallippig. Die saudische Botschaft reagierte erst gar nicht auf eine Anfrage der "New York Times".

Viele weitere betroffene Journalisten

Im Rahmen seiner Möglichkeiten versucht der Journalist nun, seine digitale Sicherheit weiter zu stärken. Wichtige Kontakte speichert er nur noch offline, auf dem Handy landen Informationen nur noch in begrenztem Umfang. Er startet regelmäßig sein iPhone neu, weil sich viele Spyware-Tools damit zumindest temporär außer Gefecht setzen lassen. Zudem empfiehlt er seinen Kontakten, mit ihm bevorzugt über den verschlüsselten und auch von NSA-Whistleblower Edward Snowden empfohlenen Messenger Signal zu kommunizieren. Und wenn es möglich ist, lässt er sein Handy zurück und trifft seine Kontakte zu einem persönlichen Gespräch, was letztlich der einzige "unhackbare" Kommunikationsweg sei.

Der "New York Times"-Autor ist freilich nicht der einzige betroffene Journalist. Die Auswertung des Citizen Lab ergab, dass auch 36 Mitarbeiter des Senders Al-Jazeera und ein Reporter von Al-Araby TV mit Pegasus angegriffen worden waren. Auch die Gründer des indischen Portals "The Wire", drei französische Journalisten und ein ungarischer Fotojournalist hatten Spuren der Spähsoftware auf ihren Geräten. Schon vor den Enthüllungen um Juli bekannt gewesen waren die Bespitzelung von Medienmitarbeitern in Saudi-Arabien und Mexiko. (gpi, 25.10.2021)