Ein Bundesgericht im Northern District of California hat eine dauerhafte Unterlassungsverfügung gegen die israelische NSO Group erlassen. Der Beschluss untersagt dem Hersteller der Spionagesoftware Pegasus, Nutzerinnen und Nutzer von WhatsApp zu attackieren, Geräte zu kompromittieren, Nachrichten zu abzufangen oder zu entschlüsseln und verpflichtet zur Löschung sämtlicher zuvor erlangter Daten. Zugleich wurde die von der Jury festgesetzte Schadenssumme von 167 Mio. USD auf 4 Mio. USD reduziert.
Reichweite des Verbots: Fokus auf Verschlüsselung und Datensouveränität
Die Richterin stellte klar: NSO darf weder die Infrastruktur von WhatsApp angreifen noch die über das Signal-Protokoll geschützte Ende-zu-Ende-Verschlüsselung unterlaufen. Das Gericht lehnte es ab, die Verfügung auf ausländische Staaten (nicht Partei des Verfahrens) oder andere Meta-Dienste auszuweiten, da hierfür keine belastbaren Belege vorlagen. Bemerkenswert ist die Begründung: Messenger-Dienste „verkaufen Privatheit“; unautorisierter Zugriff untergräbt damit unmittelbar ihr Geschäftsmodell.
Taktiken der Pegasus-Angriffe auf WhatsApp: belegte Vektoren und Umfang
Gerichtsunterlagen und Recherchen zeigen, dass NSO zunächst einen modifizierten WhatsApp-Client (WIS) sowie den Exploit Heaven nutzte, um über NSO-kontrollierte Server Spyware zu installieren. Nach Patches im September und Dezember 2018 wurde dieser Pfad geschlossen. Im Februar 2019 folgte der Exploit Eden, der neue Schutzmaßnahmen umging.
WhatsApp registrierte im Mai 2019 zielgerichtete Angriffe auf etwa 1.400 Geräte, darunter von Anwältinnen und Anwälten, Journalistinnen und Journalisten, Menschenrechtsverteidigern, Dissidenten sowie Diplomaten und Regierungsvertretern. Parallel patchte WhatsApp eine kritische Schwachstelle im VoIP-Stack (CVE-2019-3568), die exemplarisch zeigt, wie anfällig Signalisierungs- und Medienkomponenten ohne rigorose Eingabevalidierung sind. Quellen hierzu umfassen die Sicherheitsmitteilungen von WhatsApp (Mai 2019) sowie Analysen von Forschungseinrichtungen wie Citizen Lab und Amnesty Security Lab.
Zielgruppen mit hohem Risiko und menschenrechtliche Implikationen
Die dokumentierten Opfergruppen verdeutlichen die Doppelwirkung solcher Operationen: Es geht um den Schutz persönlicher Daten ebenso wie um die Verhinderung von strategischen Leaks in Politik, Diplomatie und Zivilgesellschaft. Für Organisationen leitet sich daraus die Notwendigkeit dedizierter Schutzregime für Hochrisikopersonen und Zero-Click-Szenarien ab, in denen kein Nutzerinteraktion erforderlich ist.
Juristischer Präzedenzfall: Konsequenzen für Offensiv-Anbieter und Compliance
Eine permanente Verfügung gegen einen Spyware-Anbieter ist selten – und setzt ein deutliches Signal. Das Gericht gewichtete den Schaden für die Integrität verschlüsselter Kommunikation höher als die von NSO behauptete geschäftliche Notwendigkeit. Die Reduktion der Geldsumme erfolgte, weil die Jury-Kalkulation fehlerhaft war; Unrechtmäßigkeit der Angriffe und Unterlassungspflichten bleiben bestätigt.
Branchenweit verschärft dies die Rechts- und Compliance-Risiken für Anbieter von Zero-Day-Exploits und Überwachungstools: drohende Unterlassungen, Datenlöschauflagen, Produktsperren sowie bestehende Exportbeschränkungen (beispielsweise Listungen durch das US-Handelsministerium). Unternehmen müssen ihre Third-Party-Risiken, Lieferketten und den Umgang mit Offensiv-Werkzeugen neu bewerten.
Praxisleitfaden: Abwehr gegen Zero-Click und mobile Spionage
– Härtung mobiler Flotten: MDM/MAM, restriktive Richtlinien, abgeschottete Arbeitsprofile und Telemetrie für VoIP- und Messenger-Anomalien.
– Patch-Disziplin priorisieren: Besonders Kommunikations-Apps, Medienparser und VoIP-Stacks sind bevorzugte Ziele; schnelle Updates minimieren die Angriffsfläche.
– Schutz für Hochrisikogruppen: Schulungen, getrennte Geräte, reduzierte Angriffsoberfläche (z. B. Einschränkungen von Vorschaufenstern/Autoplay), definierte Prozesse zur zügigen Geräte- und Schlüsselrotation sowie abgestimmte Incident-Response-Pläne.
Die Entscheidung gegen NSO Group stärkt den technischen und rechtlichen Schutz von Ende-zu-Ende-verschlüsselter Kommunikation. Sicherheitsverantwortliche sollten Bedrohungsmodelle für mobile Plattformen aktualisieren, Patch-Zyklen beschleunigen und dedizierte Schutzpfade für kritische Nutzer etablieren. Wer Anzeichen einer Kompromittierung bemerkt, sollte das Gerät sofort isolieren, forensisch sichern und eine strukturierte Incident Response einleiten. Kontinuierliches Monitoring der Schwachstellenlage in Messengern und VoIP-Komponenten ist dabei essenziell.
