Apple verklagt Spionagesoftware-Hersteller NSO

iPhone
Etwaigen Schadensersatz aus der Klage will Apple an Organisationen spenden, die sich mit der Erforschung von und dem Schutz vor Überwachungstechnologien beschäftigen. (Quelle: Unsplash)

Der Druck auf das israelische Unternehmen NSO nimmt zu: Am Dienstag hat Apple Klage gegen die Firma und ihre Muttergesellschaft Q Cyber vor einem US-Bundesgericht in Kalifornien eingereicht. Hintergrund ist die Überwachung von Medienschaffenden, Aktivisten, Dissidenten und Regierungsbeamten mit der NSO-Spähsoftware Pegasus.

Ziel der Klage ist es, NSO für die Überwachung und die gezielten Angriffe auf Apple-Nutzerinnen und -Nutzer zur Verantwortung zu ziehen, teilte der Konzern mit. Außerdem soll das Gericht NSO dauerhaft untersagen, jegliche Software, Dienste oder Geräte von Apple zu nutzen und Schadsoftware dafür zu entwickeln und zu vertreiben.

NSO solle alle von Apple-Geräten abgefischten Informationen löschen und offenlegen, mit wem diese geteilt wurden. Außerdem fordert Apple eine nicht näher bezifferte Schadensersatzsumme, weil das Ausspähen von iPhone-Nutzerinnen und -Nutzern gegen US-Recht verstoßen habe.

Sicherheitslücke in iOS ausgenutzt

Apple bezeichnet die beklagten Firmen in der Klageschrift als “amoralische Söldner des 21. Jahrhunderts”, die eine hochentwickelte Überwachungsmaschinerie geschaffen hätten. Diese lade zum routinemäßigen und unverfrorenen Missbrauch ein.

Craig Federighi, Senior Vice President of Software Engineering von Apple, forderte: “Staatlich geförderte Akteure wie die NSO Group geben Millionen von US-Dollar für ausgeklügelte Überwachungstechnologien aus, ohne dass eine wirksame Rechenschaftspflicht besteht. Das muss sich ändern.”

Sicherheitsforscher vom Citizen Lab an der Universität in Toronto hatten im September das mit Pegasus infizierte iPhone eines saudischen Aktivisten untersucht. Dabei hatten sie eine Schwachstelle im Messaging-Dienst iMessage entdeckt, der auf iPhones vorinstalliert ist. Angreifer konnten Pegasus dadurch auf die Geräte schleusen, ohne dass die Opfer etwas davon mitbekamen. Apple hatte die Sicherheitslücke noch im September mit einem Update geschlossen.

Die Sicherheitslücke soll mindestens seit Februar 2021 ausgenutzt worden sein. Die Angreifer hatten mehr als 100 Benutzerkonten bei Apple angelegt, um die Schadsoftware über Apples Server zu verteilen. Diese seien zwar nicht kompromittiert, aber missbraucht worden – das sei ein Verstoß gegen die eigenen Nutzungsbedingungen, so Apple.

“Wettrüsten”

Apple kritisiert in der Klageschrift, NSO zwinge das Unternehmen, sich “auf ein ständiges Wettrüsten einzulassen”: Während Apple die Sicherheit seiner Geräte verbessere, arbeite auch NSO ständig an Pegasus, um neue Hürden zu überwinden. Dies verursache “enorme Kosten” für Apple.

Der Direktor des Citizen Lab, Ron Deibert, begrüßte Apples Klage und kritisierte: “Firmen wie die NSO Group, die Spionagesoftware mit söldnerischen Absichten entwickeln, haben einige der schlimmsten Menschenrechtsverletzungen und grenzüberschreitenden Repressionen ermöglicht, während sie sich selbst und ihre Investoren bereichert haben.” Gegenüber der New York Times fügte er hinzu, Regierungen müssten mehr unternehmen, um die Hersteller von Spähsoftware zu regulieren.

Inzwischen fordern UN-Menschenrechtsexperten und mehrere Organisationen ein weltweites Moratorium für den Verkauf und die Weitergabe von Überwachungstechnologien.

Apple kündigte an, Betroffene künftig informieren zu wollen, wenn das Unternehmen Hinweise auf staatlich geförderte Spionageangriffe entdeckt.

Weltweit Menschenrechtler und Journalisten ausspioniert

NSO und die Spionagesoftware Pegasus stehen schon lange in Verbindung mit Menschenrechtsverletzungen. So soll beispielsweise der saudische Journalist Jamal Khashoggi vor seiner Ermordung im Jahr 2018 mit Pegasus ausspioniert worden sein.

Im Sommer hatten zudem die Organisationen Forbidden Stories und Amnesty International sowie mehrere internationale Medien aufgedeckt, wie weltweit Medienschaffende, Menschenrechtler und Oppositionelle mit Pegasus überwacht wurden.

Sicherheitsexperten von Amnesty hatten Pegasus damals auf den iPhones mehrerer Betroffener entdeckt. In einer technischen Analyse hatten sie erklärt, Pegasus ließe sich auf iPhones leichter nachweisen – grundsätzlich kann die Spähsoftware aber auch Telefone mit dem Android-Betriebssystem überwachen. Pegasus erhält vollen Zugriff auf ein infiltriertes Gerät und kann beispielsweise die Kamera und das Mikrofon unbemerkt anschalten – oder sämtliche Daten kopieren. Auch Standortdaten lassen sich abrufen und Passwörter auslesen.

Auch WhatsApp klagt gegen NSO

Anfang November hatten die USA den Spionagesoftware-Anbieter auf ihre Sanktionsliste gesetzt. Zur Begründung hieß es, die Aktivitäten von NSO liefen “den nationalen Sicherheits- oder außenpolitischen Interessen der Vereinigten Staaten” zuwider. Ohne eine Sondergenehmigung ist es US-Unternehmen verboten, bestimmte Technologien an Unternehmen auf der sogenannten Entity List zu verkaufen.

Bereits seit 2019 läuft eine Klage von WhatsApp und dessen Mutterkonzern Meta (ehemals Facebook) gegen NSO: Sie werfen dem Unternehmen vor, an Angriffen auf 1400 WhatsApp-Nutzer beteiligt gewesen zu sein. Unter den Zielpersonen seien Journalisten, Anwälte, Dissidenten, Menschenrechtsaktivisten, Diplomaten und Regierungsbeamte gewesen. NSO soll untersagt werden, künftig auf WhatsApp und Facebook zuzugreifen. Vor rund zwei Wochen hatte ein Berufungsgericht in Kalifornien entschieden, dass NSO keine Immunität für sich beanspruchen kann – und damit den Weg für die weitere Verhandlung der Klage freigemacht. (js)