Spyware liest Nachrichten auf dem Handy mit oder hört Gespräche ab. Google wird das verhindern. Zu Besuch bei einem der besten Spyware-Jäger der Welt
Spionage-Software kann lebensgefährlich sein. Clément Lecigne versucht herauszufinden, wie die Spyware funktioniert. Damit macht er sie für die Angreifer wertlos und schützt die Opfer.
Die Arbeit von Clément Lecigne gleicht einer Raubtierjagd. Tiger oder Wölfe sind intelligent. Sie riechen und hören ihre Verfolger aus weiter Ferne. Der Jäger braucht Geduld und muss das Verhalten der Tiere genau kennen. Er muss versuchen, eine Beute zu imitieren, um das Raubtier anzulocken. Dann kann er zuschlagen.
Lecigne ist IT-Sicherheitsforscher. Die Software, die er jagt, versteckt sich genau so gut wie ein Raubtier. Es handelt sich um Spionagesoftware, die heimlich auf Handys oder Computer geschmuggelt wird, um die Besitzer auszuspionieren. Die Hersteller dieser sogenannten Spyware wollen nicht entdeckt werden. Sie wollen nicht, dass ihre Applikationen in die Hände von Experten wie Lecigne gelangen. Gehen Sie deshalb sehr vorsichtig vor.
Doch das reicht nicht immer. Manchmal schaffen es Sicherheitsforscher, die Vorkehrungen der Hersteller zu überlisten – und das Raubtier zu erlegen. Lecigne ist das schon einigen Male gelungen. Der Franzose ist Vater von zwei Kindern und arbeitet in Zürich für Google. Er wirkt jünger, als er mit seinen 38 Jahren ist, und läuft Ultra-Marathon. Und Lecigne gehört zu den besten Spyware-Jägern der Welt.
Spyware-Programme gehören zu den technologisch ausgeklügeltsten Arten von Software, die heute erhältlich sind. Sie tragen Namen wie Predator oder Pegasus und können meist das komplette Smartphone ausspionieren. Konkret: Telefongespräche mitschneiden, Nachrichten lesen und Bilder kopieren. Oder gar unbemerkt das Mikrofon einschalten, um Gespräche im Raum aufzunehmen.
Die Software-Hersteller bieten die Systeme betriebsbereit zum Einsatz an. Viele davon kommen aus Israel. Aber auch in Italien, Spanien oder Griechenland sind Spyware-Firmen aktiv. Ihre Kunden sind größtenteils staatliche Behörden wie Polizeien oder Nachrichtendienste. In vielen Ländern geschehen die Überwachungen nach den demokratisch legitimierten Regeln des Rechtsstaats. Aber nicht überall.
Zahlreiche Spyware-Hersteller arbeiten auch mit Diktaturen oder autoritären Regimen zusammen. Diese spähen mit dieser Software ihre politischen Gegner, Menschenrechtsaktivisten oder Journalisten aus. Das macht Spionagesoftware zu einer besonderen Gefahr für Demokratie und Menschenrechte. Sie kann sogar lebensgefährlich sein.
Die Spyware Pegasus des israelischen Herstellers NSO sorgt zum Beispiel seit Jahren mit Missbrauchsfällen für Schlagzeilen. Sie wurde etwa in Polen zur Überwachung von Oppositionellen eingesetzt. In Mexiko landete sie auf Handys von Menschenrechtsaktivisten. Und mit Pegasus wurden Personen im Umfeld des saudischen Journalisten Jamal Khashoggi überwacht, bevor dieser im Oktober 2018 in Istanbul umgebracht wurde.
Doch Pegasus ist nur die bekannteste Spyware. Es gibt Dutzende von Firmen, die ihre Spionagesoftware rund um den Globus anbieten. Lecignes Mission ist es, diesen Anbieter zu verfolgen. Er wird ihre Spyware entdecken und unverschädlich machen. Dafür ist er von Google gestellt.
Chrome-Browser von Google dient zur Infektion
Wir treffen Lecigne in einem Sitzungszimmer bei Google in Zürich, hoch über den Gleisen des Hauptbahnhofs. Seinen Arbeitsplatz dürfen wir nicht sehen. Dieser liegt in einem speziell gesicherten Bereich, zu dem Aussenstehende keinen Zutritt haben. Lecigne ist Teil der «Threat Analysis Group» (TAG), jenes Teams von Google, das Cyberangriffe staatlicher Akteure aufspürt und verfolgt. Was die TAG-Mitarbeiter wissen, ist auch für Geheimdienste weltweit interessant.
Dass Google ein hochspezialisiertes Team von IT-Sicherheitsforschern zusammengestellt hat, um kommerzielle Spyware zu entdecken, mag erstaunen. Damit wird das Tech-Unternehmen seine Nutzer vor schädlichen Folgen der Angriffe schützen. Denn auch besonders gefährdete Personen nutzen Geräte und Dienste von Google.
Deshalb versuchte Google, unbekannte Schwachstellen in ihrer Software – vor allem im Webbrowser Chrome – möglichst schnell zu entdecken und zu schließen. Denn diese sogenannten „Zero-Days“ dienen den Herstellern von Spyware als Hintertüre, um ihre schädliche Software unbemerkt auf dem Smartphone der Zielperson zu installieren. Das wird Google verhindern.
Die Infektion eines Smartphones beginnt bei den meisten Spyware-Varianten mit einem Link. Die Zielperson erhält eine Textnachricht, welche sie dringend dazu auffordert, den mitgeschickten Link anzuklicken. Besucht das Opfer die Webseite, installiert sich im Hintergrund die erste Komponente der Spionagesoftware. Gewisse Spionagesoftware wie etwa Pegasus ist technisch so ausgefeilt, dass sie sich ohne Interaktion der Zielperson installieren lässt – auch ohne dass das Opfer auf einen Link klicken muss.
Doch diese Infektion des Handys reicht noch nicht zum Spionieren. Android-Geräte oder iPhones sind so konzipiert, dass jede App in einer isolierten Umgebung, der „Sandbox“, läuft. Um auf die privaten Daten oder auf das Mikrofon zugreifen zu können, muss die Spyware aus dieser „Sandbox“ ausbrechen. Dazu setzen die Hersteller weitere „Zero-Days“ ein, oft eine Kette von drei oder vier Schwachstellen. Erst dann kann die Spyware auf alle Funktionen zugreifen. Die Software hat das gesamte Telefon unter ihre Kontrolle gebracht.
Lecignes Aufgabe ist es, diese Kette von «Zero-Days» zu entdecken. Das Ziel ist es, die Sicherheitslücken dann rasch – innert weniger Tage – zu schließen, damit die Spyware nicht mehr funktioniert. Das zwingt den Spyware-Hersteller dazu, eine neue Schwachstelle zu finden oder diese einzukaufen. Das bedeutet Kosten und Aufwand.
Aus diesem Grund setzen Spyware-Anbieter alles daran, ihre Applikationen zu verbergen. Das Raubtier kommt nur sehr ungern aus seinem Versteck.
Google hat Informationen über die Spyware-Server
Doch bei aller Vorsicht hinterlässt Spyware auch Spuren. Ihr Einsatz benötigt eine Infrastruktur im Internet. Das hilft Lecigne und seinen Kollegen. Denn sie können diese Infrastruktur beobachten. Konkret geht es um verschiedene Server: Server, von denen die Spyware auf dem Handy der Zielperson installiert wird; um Server, welche die Spyware steuern und die Daten des Handys auslesen; und um Dienste, welche die Herkunft des Angriffs verschleiern.
Um Erfolg zu haben, muss Lecigne die Spyware-Hersteller und ihre Kunden genau kennen. Das Google-Team verfolgt mehrere Dutzend kommerzielle Anbieter von Spyware. Ihre Kunden sind mutmaßlich Staaten wie Kasachstan, Ägypten, Mexiko oder die Vereinigten Arabischen Emirate. Das sind nur einige der Länder, in denen Missbräuche von Spyware dokumentiert sind.
Beim Beobachten der Spyware helfen den Sicherheitsforschern die Informationen aus der Safe-Browsing-Funktion von Google. Falls aktiviert – was bei den potenziellen Opfern oft der Fall ist –, sehen Sie Googles Sicherheitsforscher, wie die Spyware heruntergeladen wird oder nach einer Installation auch die Adresse eines anderen Servers der Spyware-Hersteller.
Wichtige Hinweise kommen außerdem von Citizen Lab und Amnesty International. Diese zwei Nichtregierungsorganisationen beschäftigen sich intensiv mit dem missbräuchlichen Einsatz von Spyware und haben dazu zahlreiche technische Berichte veröffentlicht. „Wir versuchen, vermehrt mit Amnesty International oder Citizen Lab zusammenzuarbeiten“, sagt Lecigne.
Grund dafür ist, dass die Nichtregierungsorganisationen eine ganz andere Sicht auf Spyware haben. Google sieht möglicherweise den Link, der zur Infektion des Handys verschickt wurde. Citizen Lab und Amnesty International haben dagegen die Sicht der Opfer. Sie stehen in mehreren Ländern in Kontakt mit Personen, zum Beispiel Menschenrechtsaktivisten, deren Handy mit Spionagesoftware infiziert werden könnte oder bereits infiziert wurde. Sie haben oft auch Zugang zum Mobiltelefon, auf dem sich die Spyware befindet.
Entscheidend sei, sagt Lecigne, den Angreifern einen Schritt voraus zu sein: „Man muss verstehen, was sie vorhaben und wen sie angreifen wollen.“ Dann habe man eine Chance, die Spionagesoftware abzufangen, bevor sie auf das Gerät des Opfers gelangte. „Man braucht dazu aber auch Glück.“
Lecigne kam wegen eines T-Shirts zu Google
Dass die Jagd nach Spyware knifflig ist, gefällt Lecigne. Es treibt ihn an. Auf die Frage nach der Motivation zögert er keinen Moment: «Ich bin hier wegen der technischen Herausforderung.» Wenn es ihm gelingt, die technisch ausgefeilten Systeme der Spyware-Anbieter zu hintergehen, das Raubtier zu überlisten, dann freut er sich.
Lecigne ist in Lille aufgewachsen. Er hat Informatik studiert. „Damals gab es noch keine Kurse in IT-Sicherheit“, sagt er. Weil er sich für Sicherheitsaspekte interessierte, begann er sich das Wissen selbst anzueignen. Mit Freunden zusammen nahm er an Hacker-Wettbewerben, sogenannten «Capture the Flags», teil.
Zu Google gekommen ist er wegen eines T-Shirts. Lecigne arbeitete damals bei einem kleinen französischen Anbieter von Firewall-Lösungen, wo er Schwachstellen analysierte und Abwehrmechanismen erarbeitete. Beim Besuch einer Sicherheitskonferenz wollte er am Stand von Google ein T-Shirt haben. Dafür muss seine E-Mail-Adresse angegeben werden.
Zwei Wochen später erhielt Lecigne eine Anfrage: ob er Interesse an einer Stelle in Zürich habe. Das war 2011. Seither lebt Lecigne in der Schweiz. Als Google 2014 die «Threat Analysis Group» aufbaute und in Zürich dafür ebenfalls Mitarbeiter anstellte, wechselte Lecigne intern. Zehn Jahre später sagt er: „Das ist eine lange Zeit, aber mir ist immer noch nicht langweilig.“
Lecigne sucht Herausforderung die auch außerhalb der Arbeit. Er ist Langstreckenläufer. Aber es müssen so richtig lange Strecken sein. „Marathon ist mir nicht genug“, sagt er. Lecigne macht Rennen über hundert Kilometer in den Bergen. Und in Zürich rennt er einmal die Woche mit der Laufgruppe von Google auf den Üetliberg. Er ist geübt darin, nicht so schnell aufzugeben.
«Ziel ist es, das Handy des Opfers zu imitieren»
Die große Kunst bei der Jagd nach Spyware ist es, die gesamte Software mit all ihren Komponenten zu löschen und damit unbrauchbar zu machen. Lecigne ist das bereits gelungen. Er konnte zusammen mit seinem Team im Oktober 2021 den Hersteller Intellexa überlisten und die komplette Spyware Predator für Android herunterladen. Die Spionagesoftware funktionierte auf einem Samsung-Handy mit aktuellem Betriebssystem und aktuellem Chrome-Browser.
Das ist ein außergewöhnlicher Erfolg. Denn die Herstellerfirmen versuchen, ihre Spyware mit Sicherheitsmaßnahmen zu schützen. Sie wollen verhindern, dass IT-Sicherheitsforscher wie Lecigne diese Software herunterladen und dann analysieren können. Denn ist erst einmal bekannt, wie die Software funktioniert, ist sie wertlos.
Die Hersteller installieren die Spyware deshalb nicht sofort als Ganzes auf jedem Gerät, das den Link aufruft. Wie ein Raubtier, das seine Umgebung nach Auffälligkeiten absucht, bevor es aus der Deckung kommt, überprüfen Sie auch die Spyware-Treiber des Geräts, bevor sie die Überwachungssoftware installieren. Nur wenn sie annehmen können, dass das Handy der Zielperson gehört – und nicht eine Falle von Sicherheitsforschern ist –, wird die Software installiert.
Und selbst dann erfolgt die Installation nur schrittweise. Gibt es Hinweise darauf, dass Sicherheitsforscher am anderen Ende sitzen, wird die Installation abgebrochen. Damit bleibt jener Teil der Software meist unentdeckt, welcher Sicherheitslücken ausnützt, um sich Zugriff auf das gesamte Handy zu verschaffen.
Lecigne aber hat es geschafft, alle Komponenten der Predator-Spyware herunterzuladen. Wie er das genau erreicht hat, lässt sich nicht sagen. Nur in groben Zügen erklärt er das übliche Vorgehen.
Wenn eine gefährdete Person den Verdacht hat, dass ihr Te lefon entdeckt ist, wendet sie sich an Amnesty International, Citizen Lab oder eine andere Nichtregierungsorganisation. „Diese Organisationen geben uns allenfalls Informationen weiter, mit denen wir manchmal entscheidende Links finden können“, sagt Lecigne. Zu den betroffenen Personen haben die Google-Mitarbeiter keinen direkten Kontakt.
Das Google-Team versuchte dann, mit einem sogenannten Honeypot (Honigtopf) das Gerät der Zielperson vorzutäuschen. Damit soll die Spyware in die Irre geführt werden. „Das Ziel ist es, eine Konfiguration zu haben, die dem Handy des Opfers gleicht“, sagt Lecigne. Dazu verwendet das Google-Team echte Handys. «Es ist einfacher mit einem echten Telefon.»
Welche Parameter entscheidend sind, um die Spyware zu täuschen, will Lecigne nicht offenlegen. Klar ist aber, dass sich die IP-Adresse des Honeypot-Handys in jenem ausländischen Netzwerk befinden muss, wo sich die Zielperson aufhält. Auch das Gerätemodell oder die Version des Handy-Betriebssystems müssen vermutlich übereinstimmen.
Ein Teil der Konfiguration ist aber oft auch einfach eine Vermutung, wie Lecigne sagt – zum Beispiel, wenn das Google-Team gar nichts über die Zielperson weiß. «Manchmal sind die Vermutungen richtig, und es funktioniert.»
Gelingt es den Google-Forschern, über den Link die Komponente einer Spionagesoftware herunterzuladen, fängt die intensive Zeit an. Ziel sei es, die Schwachstelle in weniger als 24 Stunden zu finden, sagt Lecigne. Denn die Lücke soll rasch geschlossen werden. Bei Webbrowsern wie Chrome oder Safari sei man meist sehr schnell im Erkennen der «Zero-Days». Ein Vorteil dabei ist, dass sich die Teams von Google mit Standorten in Nordamerika, Europa und Australien in verschiedenen Zeitzonen befinden. «Dann kann sich jemand in den USA die Software anschauen, während wir in Zürich schlafen.»
Google könnte westliche Cyberoperationen stören
Wenn Lecigne Spyware jagt, geht es um die Sicherheit von Google-Produkten. Aber nicht nur. Indirekt arbeitet das Google-Team dabei auch gegen Staaten – und zwar nicht wenige. Denn nicht nur Diktaturen oder autoritäre Regime setzen Spyware ein, sondern auch westliche Demokratien. So ist bei Pegasus bekannt, dass mehrere EU-Länder oder auch die Schweiz die Spyware aus Israel einsetzen oder zumindest eingesetzt haben.
Lecignes Arbeit hat deshalb eine hochpolitische Komponente. Sie können die Arbeit westlicher Nachrichtendienste zum Beispiel bei der Terrorabwehr erschweren. Lecigne meint dazu nur: „Ich versuche, mich von allem Politischen fernzuhalten.“ Aber er stellt klar, dass Google keine Staaten bevorzuge oder gar westliche Cyberoperationen unbehelligt lässt. „Wir schliessen eine Schwachstelle so rasch wie möglich, egal, ob ein staatlicher Akteur aus dem Westen sie ausnutzt oder nicht.“
Das sei wichtig, weil viele Menschen davon betroffen sein könnten, sagt er. „Wir haben die Verpflichtung, den Missbrauch von Google-Produkten zu bekämpfen.“
Lecigne ist sich bewusst, dass er aufgrund seiner Arbeit selbst ein Ziel für Cyberangriffe wird. Die Sicherheitsvorkehrungen bei Google sind hoch. Und zu Hause hat er gewisse Maßnahmen getroffen. „Ich schaue bei uns schon, was im Heimnetzwerk so läuft“, sagt Lecigne, der früher Firewall-Technologie programmiert hat. Doch insgesamt ist er entspannt.
Nur manchmal bereitete er ihm seine Arbeitssorgen. „Ich überlege mir zum Beispiel, ob ich in eines der Länder reisen würde, das Spyware-Hersteller unterstützt“, sagt Lecigne. Konkret denkt an Israel. „Da würde man mir bei der Einreise vielleicht mehr Fragen stellen als üblich“, glaubte er. Nachdenklich fügt er an: «Leicht sollte ich meinen Namen nicht auf alle Schwachstellen schreiben, die ich gefunden habe.»