Noch ist nicht viel bekannt über das iPhone-Spionageprogramm mit dem Namen "Pegasus". Entwickelt worden sein soll es von einer israelischen Firma - angeblich im Auftrag des US-Geheimdienstes. Die Software hat laut einer Analyse der IT-Sicherheitsfirma Lookout drei bisher unbekannte Schwachstellen in Apples iPhone-Betriebssystem genutzt, um Telefonate abzuhören, EMails und Nachrichten sammeln oder die eingebaute Kamera aktivieren zu können. Volle Kontrolle über fremde Geräte - denkbar einfach per Fingergeste.
Das Schadprogramm flog auf, weil Ahmed Mansur, ein Menschenrechtler aus den Vereinigten Arabischen Emiraten, einen Link auf sein Telefon geschickt bekam. Hinter dem Link sollten sich angeblich Informationen über Folter an Häftlingen finden. Aber Masur war skeptisch. Statt den Link anzuklicken, leitete er ihn an Sicherheitsexperten weiter.
Apple selbst reagierte schnell - noch bevor die ersten Berichte über den Fall erschienen, stellte das Unternehmen ein aktualisierte Version seines Betriebssystems zur Verfügung.
Markt für Zero-Exploits
Die Sicherheitsexperten von Lookout fordern eine stärkere Kontrolle über die Entwickler von Cyberwaffen wie Pegasus. Die Zusicherung der Entwickler, solche Programme nur an Regierungsbehörden zu verkaufen, reiche nicht aus. "Wenn sie in andere Hände geraten sollten, wird es sehr, sehr gefährlich", sagte Lookout-Europachef Gert-Jan Schenk.
Klar ist: Bislang unbekannte Sicherheitslücken in Computer und Smartphones sind gleichermaßen für Geheimdienste wie für Kriminelle interessant. Der Markt für Schad-Software, die Schwachstellen ausnutzt, um Spionage- oder andere Schad-Software in fremde Rechner zu schleusen, ist hoch entwickelt, obwohl es ihn noch gar nicht so lange gibt. Unter anderem der US-Geheimdienst NSA sucht gezielt nach solchen "Zero-Day-Exploits" und hortet sie oft, auch wenn in den USA ein Regierungsgremium regelmäßig darüber entscheidet, ob sie im Interesse der Öffentlichkeit den Anbietern gemeldet werden sollten.
Laut unserem Hauptstadt-Korrespondenten Falk Steiner ist für deutsche Geheimdienste bislang nicht ganz klar, wie sie sich bei diesem Thema verhalten sollen. Auf der einen Seite geht es darum, Zugriff auf die Smartphones von Verdächtigen zu bekommen. Andererseits dient es ebenfalls der Sicherheit, neue Angriffsmöglichkeiten so schnell wie möglich den Herstellern zu melden.