Pegasus war kein Ausrutscher, kein einmaliges Versehen, das in dieser Form nicht mehr vorkommt. Es ist ein Sicherheitsdesaster mit Ansage, und es kann sich jederzeit wiederholen. Verantwortlich sind wir, sind die von uns gewählten Regierungen und die Vorstellung, das Spiel mit dem elektronischen Feuer kontrollieren zu können. Tatsächlich stellt sich nur die Frage, wann und mit welchem Schaden es das nächste Mal schiefgeht.
Das Grundproblem ist sogar noch verständlich. Seit etwa einem Vierteljahrhundert steht auch Zivilpersonen eine Verschlüsselungstechnologie zur Verfügung, die sich zumindest mit den derzeit verfügbaren Supercomputern nicht brechen lässt. Das gefällt natürlich den Ermittlungsbehörden nicht, deren Arbeit seit Jahrhunderten das Abfangen und Mitlesen von Nachrichten umfasst und denen jetzt ein wichtiges Instrument abhandengekommen ist. Als Ausweg greifen sie jetzt nicht mehr die Kommunikationswege, sondern die Endgeräte an und versuchen, Nachrichten abzufangen, noch bevor sie ver- oder nachdem sie wieder entschlüsselt worden sind.
Um auf die Laptops und Smartphones zugreifen zu können, gibt es drei Wege: erstens Phishing-Mails, die das Ziel zum Öffnen einer mit Schadcode versehenen Datei oder dem Besuch einer präparierten Webseite verleiten, zweitens Kompromittieren des Geräts bei Einbrüchen oder Flughafenkontrollen und drittens Einbruch aus der Ferne mittels Schwachstellen auf dem Gerät. Der erste Weg hat geringe Erfolgsquoten, der zweite Weg setzt physischen Zugriff auf die Hardware voraus, und der dritte ist aufwendig. Alle drei Methoden nutzen Sicherheitslücken auf den Geräten aus, und genau hier liegt das Problem: Wer findet solche Lücken?
Die eigenen Mittel einer Sicherheitsbehörde reichen oft nicht aus. Also kaufen sie oft Lücken auf dem Schwarzmarkt und bedienen damit ein Geschäftsmodell, das sie eigentlich bekämpfen sollten. Darüber hinaus kosten gute Sicherheitslücken je nach Qualität bis zu siebenstellige Beträge. Wer so viel Geld zahlt, hat wenig Interesse, nach einmaligem Gebrauch dafür zu sorgen, dass die Lücke gestopft wird, sondern wird sie so lang wie möglich geheim halten und sie weiter ausnutzen. Nun beschränken sich Software-Schwachstellen selten auf das Land, in dem eine Behörde ermitteln möchte, sondern treten weltweit auf. Um also eine Handvoll Verdächtiger beobachten zu können, riskieren Ermittlungsbehörden die globale IT-Sicherheit auf Milliarden Endgeräten. Das so etwas schief geht, zeigen die Vault-7-Leaks, bei denen die Angriffswerkzeuge der CIA ausgenutzt wurden, um mit den Ransomwares Petya und Wannacry unter anderem die Deutsche Bahn, Stadtverwaltungen, Universitäten und Krankenhäuser anzugreifen. Bei Ransomware wiederum liegt das Problem weniger darin, dass Sie Ihre Dateien nicht mehr lesen können. Dem können Sie mit einer guten Backupstrategie zumindest teilweise begegnen. Es liegt darin, dass vor dem Verschlüsseln Ihre Firmengeheimnisse abgesaugt und auf dem Schwarzmarkt angeboten werden. Davor schützt Sie kein Backup der Welt.
Der Pegasus-Skandal zeigt, dass die NSO-Group keine Probleme damit hat, ihre Software zum Aushorchen demokratisch gewählter Regierungen, Investigativjournalistinnen und indischer Oppositioneller bereitzustellen, und selbst, wenn das Unternehmen plötzlich so etwas wie Ethik in sich entdeckt, gibt es zahlreiche andere Hersteller, die ähnliche Software liefern. Diese weltweite Bedrohung ist, wenn schon nicht von uns politisch gewollt, so doch billigend in Kauf genommen.