US-Gericht: NSO muss Spähsoftware-Quellcode herausgeben
Das israelische Unternehmen NSO muss den Quelltext seiner Spähsoftware Pegasus an WhatsApp übergeben. Das hat ein kalifornisches Gericht im Rechtsstreit zwischen den beiden Unternehmen entschieden, wie Ende vergangener Woche bekannt wurde. Das Verfahren läuft bereits seit Jahren.
Demnach muss NSO auch andere “relevante Spionageprogramme” an WhatsApp übergeben. Die Entscheidung von Richterin Phyllis Hamilton wird als ein wichtiger juristischer Sieg für die Meta-Tochter WhatsApp gewertet. Auch, weil der Quellcode als streng gehütetes Staatsgeheimnis gelte, schreibt der britische Guardian. NSO unterliegt der Kontrolle des israelischen Verteidigungsministeriums, das den Verkauf von Lizenzen an ausländische Regierungen genehmigen muss.
Hintergrund der Anordnung ist eine Klage von WhatsApp und Meta aus dem Jahr 2019. Der Social-Media-Konzern wirft dem Spähsoftware-Entwickler vor, an Angriffen auf 1400 WhatsApp-Nutzer beteiligt gewesen zu sein.
NSO hatte demnach eine damals bestehende Sicherheitslücke in der Anruffunktion von WhatsApp ausgenutzt, um seine umstrittene Spionagesoftware Pegasus in Smartphones einzuschleusen. Das angerufene Gerät wurde auch dann infiltriert, wenn der Anruf nicht angenommen wurde.
Angreifer können Geräte mithilfe von Pegasus komplett übernehmen und erhalten Zugriff auf alle darauf gespeicherten Daten. Sie können zudem Kamera und Mikrofon unbemerkt einschalten.
Angriffe gegen Medienschaffende und Menschenrechtler
Unter den über WhatsApp angegriffenen Zielpersonen sollen Medienschaffende, Anwälte, Dissidenten, Menschenrechtsaktivisten, Diplomaten und Regierungsbeamte gewesen sein. Laut Klage wurden für die Angriffe Server verwendet, die mit NSO in Verbindung stehen. Zudem konnte WhatsApp mehrere für die Attacken genutzte Benutzerkonten dem israelischen Unternehmen zuordnen.
Damit habe NSO gegen US-Gesetze sowie gegen die WhatsApp-Nutzungsbedingungen verstoßen. WhatsApp fordert Schadensersatz und möchte NSO unter anderem untersagen lassen, Konten bei WhatsApp oder Facebook anzulegen.
Die zuständige Richterin hat nun entschieden, dass NSO auch Informationen “über die vollständigen Funktionen der betreffenden Spähsoftware” an WhatsApp übergeben muss. NSO hatte unter Verweis auf “verschiedene US-amerikanische und israelische Beschränken” beantragt, die Offenlegung abzulehnen.
Allerdings hatte NSO mit einem anderen Antrag Erfolg: Die Firma muss weder seine Kundenliste noch Informationen zu seiner Serverarchitektur offenlegen.
“Wichtiger Meilenstein”
Ein WhatsApp-Sprecher begrüßte die Entscheidung gegenüber dem Guardian: “Das jüngste Gerichtsurteil ist ein wichtiger Meilenstein für unser langjähriges Ziel, WhatsApp-Nutzer vor unrechtmäßigen Angriffen zu schützen. Spähsoftware-Unternehmen und andere böswillige Akteure müssen verstehen, dass sie entdeckt werden und das Gesetz nicht ignorieren können.”
NSO wollte die Entscheidung bisher nicht kommentieren.
Donncha Ó Cearbhaill, Leiter des Security Labs von Amnesty International, begrüßte die Entscheidung ebenfalls. Er sagte: “Dieser Gerichtsbeschluss sendet ein klares Signal an die Überwachungsindustrie, dass sie den Missbrauch von Spähsoftware nicht weiterhin ungestraft zulassen darf.”
Es sei jedoch enttäuschend, dass NSO die Identität der für die Überwachung verantwortlichen Kunden weiter geheimhalten dürfe. Donncha Ó Cearbhaill erklärte weiter: “Die NSO Group sagt, dass sie Pegasus nur an autorisierte Regierungskunden verkauft. Unser Security Lab hat dokumentiert, dass Pegasus in großem Umfang gegen Menschenrechtsverteidiger und Journalisten in aller Welt eingesetzt wird. Es ist von entscheidender Bedeutung, dass die Opfer von Pegasus herausfinden, wer die Spionagesoftware gekauft und gegen sie eingesetzt hat, damit sie wirksame Rechtsmittel einlegen können.”
NSO wollte Immunität geltend machen
Erst im vergangenen Jahr hatte sich abschließend entschieden, dass die Klage von WhatsApp verhandelt werden kann: Mehrfach hatte das israelische Unternehmen vor Gericht versucht, Immunität geltend gemacht – die NSO jedoch von Gerichten abgesprochen wurde. Im Januar 2023 hatte dann auch der US-amerikanische Supreme Court einen Berufungsantrag von NSO abgelehnt – und so den Weg für die Verhandlung freigemacht.
Auch das US-Justizministerium hatte eine Stellungnahme gegenüber dem Obersten Gerichtshof abgegeben und darin erklärt, der Berufungsantrag des Spähsoftware-Herstellers solle abgelehnt werden. Unter anderem hatte das Ministerium darauf verwiesen, dass die US-Regierung bereits im November 2021 Sanktionen gegen NSO verhängt hatte.
Weitere Klagen
Das Unternehmen sieht sich auch noch mit weiteren Klagen konfrontiert. So hat Ende 2021 auch Apple eine Klage gegen NSO eingereicht. Ziel der Klage ist es, NSO für die Überwachung und die gezielten Angriffe auf Apple-Nutzerinnen und -Nutzer zur Verantwortung zu ziehen. Das Gericht soll NSO unter anderem untersagen, Schadsoftware für Geräte von Apple zu entwickeln und zu vertreiben. NSO hatte beantragt, auch diese Klage abzuweisen – Ende Januar lehnte ein US-Bundesbezirksgericht den Antrag jedoch abund entschied, dass das Verfahren fortgesetzt werden kann.
Ebenfalls in den USA klagen Medienschaffende der Nachrichtenseite El Faro aus El Salvador gegen NSO. Sicherheitsforscher vom kanadischen Citizen Lab hatten im Januar 2022 nachgewiesen, dass sie mit Pegasus überwacht wurden. Die Klagenden wollen unter anderem erreichen, dass NSO preisgeben muss, welcher Regierungskunde für die Spähaktion verantwortlich ist. (js)