Der unter dem Dach von Meta operierende Messenger-Service Whatsapp hat einen wichtigen juristischen Erfolg gegen den israelischen Spyware-Hersteller NSO erzielt. Das Bezirksgericht für Nordkalifornien stimmte nämlich einer Forderung nach einem Einblick in den Quellcode zu. Hintergrund ist eine bereits 2019 initiierte Klage, nachdem eine Lücke in Whatsapp ausgenutzt worden war, um rund 1.400 Whatsapp-User mit dem Trojaner Pegasus zu infizieren.

Die Causa erregte große Aufmerksamkeit, denn unter den Betroffenen befanden sich unter anderen oppositionelle Politiker, Menschenrechtsaktivisten und Journalisten. Die NSO Group darf allerdings manche Daten zurückhalten.

Erzwungene Transparenz

Das beklagte Unternehmen hatte sich gegen eine Weitergabe des Quellcodes und anderer Informationen massiv gewehrt. Zur Verteidigung verwies man unter anderem auf die strengen Auflagen des israelischen Verteidigungsministeriums und Regelungen vonseiten der US-Behörden. Laut Beschluss der zuständigen Richterin Phyllis Hamilton sind diese aber kein prinzipielles Hindernis für die erzwungene Transparenz gegenüber Whatsapp.

Ein iPhone mit Abbild eines Pegasus am Display.
Im Jahr 2019 wurden rund 1.400 Menschen unter Ausnutzung einer Sicherheitslücke in Whatsapp zum Ziel der NSO-Spyware Pegasus.
Pixabay/Parker_West & JESHOOTS-com (Bearbeitung: STANDARD)

NSO muss gegenüber dem Messenger-Betreiber "alle relevanten Spähprogramme" benennen, die über rund zwei Wochen im Jahr 2019 sowie über ein Jahr davor und danach eingesetzt wurden. Der abgedeckte Zeitraum reicht vom 29. April 2018 bis zum 10. Mai 2020, fasst der "Guardian" zusammen. Und man wurde dazu verpflichtet, "die volle Funktionalität" dieser Software offenzulegen, inklusive Übermittlung des Quellcodes. Entgegen der Forderung von Whatsapp muss man allerdings die eigene Kundschaft nicht benennen und darf auch Informationen über die Serverarchitektur, über die die Spionageprogramme laufen, geheim halten.

Whatsapp sieht "wichtigen Meilenstein"

Der Kundenstamm ist aber ohnehin zu einem guten Teil bekannt. In einigen Ländern, etwa Saudi Arabien, den Vereinigten Arabischen Emiraten, Indien, Thailand, Mexiko, Polen und Ungarn konnte der Einsatz von Pegasus gegen Opposition und zivilgesellschaftliche Akteure auch dokumentiert werden. Zugekauft wurde die Spyware aber auch in Deutschland, den Niederlanden sowie anderen Staaten. Die NSO Group erklärte stets, dass man die Software ausschließlich an Staaten verkaufe und diese zu einem gesetzeskonformen Einsatz verpflichte, konnte aber nicht darlegen, wie dies effektiv kontrolliert werden könne. Denn der deutsche Bundesnachrichtendienst und das Bundeskriminalamt beteuerten 2021, dass der Hersteller keinen Einblick in die Operationen habe, die man mit der Software durchführe.

Der Pegasus-Hersteller steht seit demselben Jahr wegen Gefährdung der nationalen Sicherheitsinteressen auf einer Blacklist der US-Regierung. Zudem greifen bald Visa-Einschränkungen für Personen, die am Missbrauch von kommerzieller Spyware beteiligt sind. Gegenüber verschiedenen Medien wollte sich NSO nicht zur Causa äußern. Es ist aber davon auszugehen, dass die juristische Auseinandersetzung mit diesem Urteil nicht beendet ist.

Aufseiten von Whatsapp zeigte man sich hingegen über den Verfahrensausgang hocherfreut. "Das Urteil ist ein wichtiger Meilenstein für unser Langzeitziel, Whatsapp-Nutzer gegen illegale Angriffe zu schützen", so ein Sprecher des Unternehmens. "Spyware-Hersteller und andere bösartige Akteure müssen verstehen, dass sie erwischt werden können und dass sie nicht über dem Gesetz stehen." (gpi, 4.3.2024)