Die berüchtigte NSO Group muss 167 Millionen Dollar Strafe zahlen. Ihr Spitzelprogramm Pegasus knackte Whatsapp – ohne dass die Betroffenen etwas davon merkten.
Es war ein Schock: Trotz Verschlüsselungsmaßnahmen war es der israelischen Hacker-Firma NSO Group 2018 gelungen, den beliebten Messenger Whatsapp zu knacken – und Tausende seiner Nutzer zu überwachen. Sogar Kamera und Mikrofon ließen sich unbemerkt einschalten. Jetzt wurde die Firma von einer Jury zu einer Millionenzahlung verurteilt.
167,25 Millionen Dollar, etwa 147 Millionen Euro, muss das Unternehmen an den Whatsapp-Betreiber Meta zahlen. 444.719 Dollar als Entschädigung, den Rest als Strafzahlung. Das entschied die Jury des Bezirksgerichts von Nordkalifornien am Dienstag. Meta hatte die NSO Group verklagt, nachdem man den Schnüffelmaßnahmen auf die Schliche gekommen war. Die NSO Group hatte nach Erkenntnissen im Auftrag ihrer Kunden mehr als 1400 Nutzer des Messengers ausgespäht, darunter Journalisten, Menschenrechtler und Regierungskritiker. Auch der 2018 im Auftrag der saudischen Regierung ermordete Journalist Jamal Khashoggi war vorher mit Pegasus überwacht worden.
Lauschen ohne Warnung
Die Betroffenen bekamen von der Attacke nichts mit. Die NSO Group setzte auf eine sogenannte Zero-Day-Lücke, also eine Sicherheitslücke, die öffentlich nicht bekannt war. Mit einem stillen Anruf oder einer Textnachricht wurde die Schadsoftware auf das Gerät gebracht. Die Opfer bekamen davon nichts mit, es war keinerlei Aktion der Betroffenen nötig. Diese Art von Attacken ist selten möglich, die Lücken werden daher für Millionenbeträge gehandelt. Einmal installiert, konnten die Hacker für ihre Auftraggeber Nachrichten und Mails mitlesen, hatten Zugriff auf Fotos und eben auch Kamera und Mikrofon. Eine Totalüberwachung, vor der man sich nicht schützen konnte.
Nachdem Meta-Mitarbeiter die Lücke im Mai 2019 entdeckt hatten, dauerte es Monate, die mehr als 1400 Opfer zu identifizieren und die Hintergründe zu ermitteln. Gemeinsam mit der Bürgerrechtsorganisation Citizen Lab arbeitete der Konzern den Angriff auf. Erst fünf Monate nach Entdecken des Hacks beschuldigte Meta erstmals die NSO Group, hinter dem Angriff zu stehen. Und entschied sich zur Klage.
Whatsapp als Präzedenzfall
Das Verfahren warf erstmals ein Scheinwerferlicht auf das Vorgehen der oft im Graubereich agierenden Hacker-Firmen. Die NSO Group musste eingestehen, jedes Jahr Dutzende Millionen Dollar für Sicherheitslücken auszugeben, um Whatsapp und andere Programme ausspähen zu können. Das Unternehmen behauptete, die Programme nur für den Einsatz gegen Terrorismus, Kindesmissbrauch oder andere schwere Verbrechen anzubieten. Kunden würden aktiv davon abgehalten, Journalisten, Dissidenten oder Menschenrechtler zu überwachen.
Die Kläger konnten die Jury aber vom Gegenteil überzeugen. „Es ist das erste Mal, dass den Betreibern von Spyware der Prozess gemacht wurde und so öffentlich wurde, wie genau sie vorgehen“, erklärte Meta in einem Statement. „Das Urteil ist ein wichtiger Schritt nach vorne, um Privatsphäre und Sicherheit zu schützen.“ Neben Meta hat auch Apple die NSO Group verklagt, weil die Gruppe auch iPhones komplett übernehmen konnte (hier erfahren Sie mehr). Das Verfahren steht noch aus.
Klares Urteil
„Wie sich zeigt, mögen die Menschen keine Firmen, die Diktatoren dabei helfen, Dissidenten zu hacken“, erklärte ein Forscher des Citizen Lab beim Kurznachrichtendienst Bluesky. „NSO hatte all diese ausgefeilten rechtlichen Argumente und die PR-Maschine hinter sich. Aber als ihre Machenschaften offengelegt wurden, schickte die Jury ein klares Signal an andere Firmen: Ihr könntet die nächsten sein.“
Die NSO Group will sich indes noch nicht geschlagen geben. Man „prüfe sorgfältig die Urteilsdetails“, erklärte ein Sprecher gegenüber „The Verge“. Man erwäge mögliche weitere rechtliche Schritte – inklusive einer Berufung.
Quellen: The Verge, Meta, Courthouse News Service
