Ich glaub mich tritt ein Pferd - "Pegasus" und die Folgen

Wir erinnern uns: Im Streit zwischen Apple und dem FBI hatten verschiedene Stellen damals eine Hintertür im iOS gefordert, nachdem Apple verlauten ließ, sie könnten das betreffende iPhone selbst nicht entsperren. Am Ende wurde die Diskussion vertagt (sie poppt ja dieser Tage bei uns wieder hoch) und das FBI kam über irgendwelche dunklen Kanäle an einen Exploit, mit dem sie das iPhone dann entsperren konnten. Angeblich sei dieser spezielle Exploit in neueren iOS-Versionen aber eh schon nicht mehr möglich.

Als schönes Beispiel was passieren kann, wenn staatliche Stellen Hintertüren haben, können die kürzlich ans Licht gekommenen NSA-Tools dienen. Fazit: Eine Hintertür kann man langfristig nicht geheim halten und dann haben alle darauf Zugriff. Cisco, Juniper und Co. waren nicht erfreut und sind jetzt erst einmal damit beschäftigt, hektisch Patches auszuliefern.

Und dann also ein Einschlag "closer to home": Ein aktiv genutzter Exploit (bzw. ein kombinierter Exploit für drei Lücken im iOS), der bereits gegen Journalisten und Regierungskritiker eingesetzt wird.

Was genau ist hier los? Der Versuch einer Bestandsaufnahme:

• Ein Menschenrechtler in den Vereinigten Arabischen Emiraten bekommt eine ihm verdächtig erscheinende Nachricht mit einem Link. Statt darauf zu klicken schaltet er vernünftigerweise Security-Experten ein.
• Die Experten von Citizen Lab und Lookout kommen zu dem Ergebnis, dass ein Klick auf den Link einen Remote-Exploit ausgelöst hätte, mit dem man sich eine Spionage-Software, die sie "Pegasus" getauft haben, eingefangen hätte.
• Pegasus hätte, einmal installiert, Zugriff u.a. auf Kontaktdaten und E-Mails auf dem infizierten iPhone bekommen und hätte diese natürlich auch an die Stelle weitergeleitet, die hinter der Aktion steht - vermutlich ein Geheimdienst oder eine andere regierungsnahe Stelle.
• Pegasus stammt von einem Unternehmen namens NSO Group, dessen Geschäftsmodell es ist, genau solche Spionage-Software zu entwickeln und zu verkaufen. Die offizielle Beteuerung, dass man sich dabei an geltende Gesetze halten würde, darf getrost belächelt werden.
• Erschreckend ist zudem, dass es Hinweise gibt, dass diese Exploits schon seit iOS 7 bekannt sind und, so ist anzunehmen, wohl auch ausgenutzt wurden.

Was iOS-User tun können

Was kann man tun? Wer ein iOS-Gerät benutzt, sollte jetzt sofort auf iOS 9.3.5 aktualisieren. Alle Geräte, auf denen iOS 8 läuft, können auch iOS 9 installieren. Für diese Geräte gibt es jetzt keinen Grund mehr, noch eine ältere iOS-Version einzusetzen (über Performance-Einbußen, wie sie z.T. bei älteren Geräten mit neueren iOS-Versionen berichtet wurden, ist mir beim Wechsel von iOS 8 auf 9 nichts bekannt). Tu es und sorge dafür, dass auch Deine Freunde und Verwandten aktualisieren.

Mit einem iPhone 4 oder älter steckt man leider bei iOS 7 fest. Angesichts der o.g. Hinweise - und unter der Annahme, dass ältere Geräte gerade in den betroffenen Ländern noch verbreitet sind - wäre es wünschenswert, wenn Apple auch noch einmal ein iOS-7-Update veröffentlichen würde, aber damit ist wohl leider nicht zu rechnen. Hier wäre es an der Zeit, über ein Hardware-Update nachzudenken. Wenn's am Geld liegt, käme etwa das iPhone SE in Frage und bei Apple selbst gibt es immer mal wieder "refurbished" Geräte zu akzeptablen Preisen. Zudem kommt im September wohl das iPhone 7 und dann wird eine Menge iOS-9-fähiger Hardware auf eBay landen.

Erkenntnisse

Dass es einen florierenden Schwarzmarkt für Exploits gibt, in dem sich nicht nur Kriminelle sondern auch Geheimdienste tummeln, ist lange bekannt, wenn auch vielleicht nicht in der breiten Öffentlichkeit. Dass jetzt kurz hintereinander zwei spektakuläre Fälle mit sehr großem Potenzial bekannt geworden ist, hilft da hoffentlich.

Theoretisch sind von den beiden Fällen eine sehr sehr große Zahl der Internet-Nutzer betroffen: Router sind nun einmal das Rückgrat des Internet und das NSA-Tool kann sich in Modelle aller großen Hersteller hacken. Und iPhones gibt es ja auch "ein paar" da draußen.

In der Praxis bleibt es wohl eher beim hohen Potenzial, denn beide Tools wurden wohl nur gezielt gegen einzelne Ziele eingesetzt. Schließlich muss man die Ergebnisse auch noch auswerten. Und je öfter man ein solches Tool einsetzt, umso größer ist die Chance, dass es entdeckt wird.

Trotzdem zeigen diese Fälle das Problem auf: Im Wettlauf Gut gegen Böse bedient sich auch die von vermeintlich guten Absichten gesteuerte Seite zunehmend den gleichen Praktiken wie die Bösen. Die Grenzen verschwimmen. Gerade in dieser Situation nun staatlich verordnete Hintertüren zu fordern beweist nur den Realitätsverlust (oder wahlweise: das völlige technische Unverständnis oder die hintergründig bösen Absichten) der Politiker, die das fordern.

Und der Normalbürger? Der kann angesichts solcher - unbeabsichtigter wie angekündigter - Bedrohungen eigentlich nur zu dem Ergebnis kommen, dass "die da oben" ihm nicht trauen. Das Resultat ist dann entweder eine Radikalisierung oder die Anwendung der Schere im Kopf. Keines von beiden kann aber im Interesse einer Demokratie westlichen Stils, wie wir sie noch bis vor ein paar Jahren hatten, sein.

(Photo by L_Di, CC0, from pixabay)