Pegasus zeigt: „Sicherheitlücken werden von den falschen Leute mit den falschen Motiven genutzt“

"Wenn es um Sicherheit und Datenschutz geht, ist es sehr wichtig, dass wir konsequent sehr hohe Standards einhalten und die Verschlüsselung nicht künstlich schwächen oder neue Hintertüren schaffen," so Andy Yen, CEO des Mailing-Dienstes ProtonMail.

Mit Blick auf den jüngsten Cyber-Überwachungsskandal um die Software Pegasus erklärt ein Tech-CEO im Gespräch mit EURACTIV, dass Verschlüsselungstechnologien die Massenüberwachung praktisch unmöglich gemacht haben und daher um jeden Preis erhalten werden sollten. Er verweist auch auf die Datenerhebungspraktiken großer Firmen und Plattformen als eine Hauptgefahrenquelle in Sachen Privatsphäre.

Aus Sicht von Andy Yen, CEO des Mailing-Dienstes ProtonMail, haben die Pegasus-Vorwürfe gezeigt, wie wichtig es ist, verschlüsselte Nachrichten vollständig zu sichern. Er weist daher die Forderung einiger Politiker:innen in Europa und den Vereinigten Staaten zurück, mit Verweis auf die öffentliche Sicherheit „Ausnahmezugang“ zu Daten der Bürgerinnen und Bürger zu gewähren.

„Wenn es um Sicherheit und Datenschutz geht, ist es sehr wichtig, dass wir konsequent sehr hohe Standards einhalten und die Verschlüsselung nicht künstlich schwächen oder neue Hintertüren schaffen. Die Geschichte hat immer wieder gezeigt, dass, wenn man solche Schwachstellen schafft, die falschen Leute sie aus den falschen Motiven nutzen,“ so Yen im Gespräch mit EURACTIV.com.

EU-Kommission will sich mit Pegasus-Affäre beschäftigen

Die Europäische Kommission hat beschlossen, eine Untersuchung über die Bespitzelung von europäischen Journalist:innen einzuleiten. Damit reagiere man auf die Enthüllungen des Pegasus-Projekts vom Wochenende.

Grundsätzlich sind Kommunikationsdienste mit Ende-zu-Ende-Verschlüsselung für Dritte nicht zugänglich, da die Nachricht nur vom Absender und vom Empfänger entschlüsselt werden kann. So macht es diese Technologie Dienstanbietern und Dritten unmöglich, auf den Inhalt der Kommunikation zuzugreifen. „Der beste Weg, Daten zu schützen, ist, sie gar nicht erst weitergeben zu können,“ fasst Yen zusammen.

Infolgedessen hat sich das „Kampfgebiet“ im Bereich Cybersicherheit von der (verschlüsselten) Kommunikation auf die Geräte an sich verlagert. Spyware wie Pegasus ist darauf ausgelegt, die Kontrolle über Mobiltelefone zu übernehmen – was es Hackern ermöglicht, auf die entschlüsselten Informationen an einem der beiden „Enden“ der Kommunikation zuzugreifen. „Vor zehn Jahren gab es noch gar keinen Bedarf an Programmen wie Pegasus, weil alle gewünschten Informationen ohnehin nicht verschlüsselt waren. Bestimmte Regierungen konnten große Technologieunternehmen zwingen, diese Daten einfach herauszugeben,“ erläutert Yen.

Aus Sicht des Tech-CEO zeigt der jüngste Hacker-Vorfall, dass Verschlüsselung kein Allheilmittel ist, sondern durch andere Sicherheitsmaßnahmen ergänzt werden muss. Dennoch merkt er an, dass Verschlüsselungstechnologien eine Massenüberwachung unmöglich gemacht haben: Geheimdienste und andere Stellen seien schlichtweg „nicht mehr in der Lage, dies bei Tausenden oder gar Millionen von Menschen zu tun“. Es handele sich daher aktuell meist „um sehr gezielte Angriffe“ gegen einzelne Personen oder Institutionen.

Ex-Kommissionschef Prodi ebenfalls per Pegasus abgehört

Der frühere italienische Ministerpräsident und ehemalige EU-Kommissionschef Romano Prodi soll von den Geheimdiensten Marokkos ausspioniert worden sein. Diese verwendeten dabei offenbar ebenfalls die israelische Software Pegasus.

Dennoch müssten die Hersteller mehr tun, um sicherzustellen, dass die Geräte verstärkt unter dem Gesichtspunkt des Datenschutzes und der Sicherheit entwickelt werden, fordert Yen.

Ivan Krstić, Leiter für Sicherheitstechnik und -architektur bei Apple, betont seinerseits, dass „Angriffe wie die beschriebenen sehr ausgeklügelt sind, ihre Entwicklung Millionen von Dollar kostet, sie oft nur eine kurze Lebensdauer haben und auf bestimmte Personen abzielen“. Das bedeute zwar, dass sie keine Bedrohung für die große Mehrheit der Nutzer:innen darstellen; „aber wir arbeiten weiterhin unermüdlich daran, alle unsere Kunden immer und überall zu schützen“, räumt er ein.

Yen kritisiert mit Blick auf die Werbe- und Datennutzungsstrategien Apples dennoch: „Apples Definition von Privatsphäre lautet: Niemand hat Zugang zu Ihren Daten, außer uns. Ich würde argumentieren, dass die beste Definition von Privatsphäre lauten sollte: Niemand hat Zugang zu Ihren Daten, Punkt.“

Yen räumt weiter ein, dass die Cybersicherheit kontinuierlich laufende Investitionen erfordert, da sich die Bedrohungen beim „konstanten Wettrüsten“ ständig ändern und weiterentwickeln. Den Big-Tech-Firmen mangele es dabei aber nicht an den technischen Ressourcen für Investitionen in Datenschutz und Sicherheit, sondern an (finanziellen) Anreizen. „Wenn Ihr Geschäftsmodell auf dem Gewinnen und Sammeln von Daten und schließlich auf deren Nutzung beruht, müssen Sie Ihre Software nun einmal so gestalten, dass sie von Natur aus anfälliger ist,“ erklärt er.

Privatsphäre: Dürfen Dating-Apps und Videocalls überwacht werden?

Dating-Apps und Videokonferenz-Tools könnten in den Anwendungsbereich neuer EU-Regelungen zur Überwachung der Online-Kommunikation fallen. Ziel sei es vor allem, die Verbreitung von Inhalten mit sexuellem Missbrauch von Kindern zu unterbinden, zeigen interne Dokumente, die EURACTIV.com vorliegen.

Er verweist auf das immer wiederkehrende Argument von sozialen Netzwerken wie Facebook und LinkedIn, die Datenschutzverletzungen damit entschuldigen, dass die Daten auf der Plattform ohnehin bereits öffentlich zugänglich waren. „Dies sind Plattformen zur gemeinsamen Nutzung von Daten. Datenleaks sind also kein Fehler, sie sind ein grundlegendes Merkmal,“ fügt er hinzu.

Der CEO von ProtonMail räumt zwar ein, dass es per definitionem keine 100-prozentige Sicherheit geben könne, betont aber, dass viele Technologieunternehmen zusätzliche Schritt lieber nicht unternehmen, da ihr Fokus auf Werbung und Datenerfassung nicht selten im Widerspruch zu Datenschutz und Sicherheit stehen könne.

Er schließt: „Diese Unternehmen werden behaupten, dass sie Ihre Daten sammeln, aber gleichzeitig Ihre Privatsphäre und Sicherheit schützen. Es gibt dabei jedoch immer Abwägungen und Abstriche: Entscheidet man sich für den sichereren Ansatz oder wählt man den profitableren Ansatz mit Blick auf die Werbekunden? Ich würde behaupten, dass [die Social-Media-Plattformen] in den meisten Fällen wohl den Werbemöglichkeiten Vorrang vor den Bedürfnissen der tatsächlichen Nutzerinnen und Nutzer einräumen.“

[Bearbeitet von Zoran Radosavljevic]

Neues EU-Gesetz erlaubt weitgehende Online-Scans nach Kinderpornografie

Die zeitlich befristete Maßnahme ermöglicht es Kommunikationsdienstleistern, private Online-Nachrichten zu „scannen“ und zu melden, wenn diese Material enthalten, das sexuellen Missbrauch von Kindern zeigt.

Macron leitet Krisentreffen zur Pegasus-Affäre

Nach Medien-Enthüllungen zur Überwachungssoftware Pegasus untersucht Frankreich nun die Vorwürfe. Staatschef Emmanuel Macron leitete am Donnerstag ein Sondertreffen des Rates für nationale Sicherheit und Verteidigung, wie Kreise des Präsidentenpalastes bestätigten.

Bundestag verabschiedet Gesetz zu Datenschutz

Der Bundestag hat am Donnerstag (20. Mai) ein Gesetz zur Regelung des Datenschutzes und der Privatsphäre in Telekommunikation und Telemedien (TTDSG) erlassen. Ein Flickenteppich an verschiedenen Datenschutzgesetzen hatten zuletzt für Rechtsunsicherheit gesorgt.

Subscribe to our newsletters

Subscribe