Nachdem die Öffentlichkeit sich ausgiebig der Spionagesoftware “Pegasus” und deren Hersteller zugewendet hat, meldet sich ein Mitbewerber aus dem Spionagemarkt zu Wort: die Gamma Group, mit ihrem Programm “FinFisher”. Hier zeigt eine aktuelle Untersuchung: Das Rennen zwischen Spionen und Verteidigern ist in vollem Gange.
Lange war es still um die Gamma Group. Wer die Gamma Group ist? Eine deutsch-britisches Unternehmensgruppe, die laut eigener Webseite unter anderem „Forensik-Dienstleistungen und -Beratung“ anbietet. Zu einer gewissen Berühmtheit gelangte die Gamma Group mit Spionageprogrammen wie FinSpy / FinFisher – das war 2013. Für diese Software haben deutsche Strafverfolger eine Lizenz, auch wenn anfangs nicht alle erforderlichen rechtlichen Rahmenbedingungen gegeben waren. Wer hier Parallelen zu Pegasus und der israelischen NSO-Group sieht, liegt richtig: FinFisher und Pegasus bedienen im Wesentlichen denselben Markt und in beiden Fällen gehören deutsche Behörden zu den Kunden. Ebenso wie Pegasus hat auch FinFisher bereits die Aufmerksamkeit von Citizen Lab erregt.
Eine aktuelle Analyse macht noch einmal deutlich: Die Hersteller staatlicher Spionageprogramme meinen es ernst. So haben sie die Bemühungen, so lange wie möglich unentdeckt zu bleiben, drastisch verstärkt. Dabei bedienen sie sich bei den Verfahren einiger klassischer „Analysis-evasion“-Techniken, die in moderner Schadsoftware Standard sind. So bricht die Infektionsroutine etwa sofort ab, wenn es Anzeichen dafür gibt, dass der virtuelle Spion es mit dem System eines Malware-Analysten zu tun hat: Etwa, wenn es sich bei der fraglichen Maschine um eine VM handelt oder bestimmte Analyseprogramme installiert sind. Es finden weitere Überprüfungen statt, ob Finfisher auf dem „richtigen“ Gerät landet – diese werden vermutlich durch die verantwortliche Strafverfolgungsbehörde beziehungsweise Geheimdienst manuell durchgeführt. Wer allerdings zum Ziel des Einsatzes einer solchen Software wird, hat nur wenig Möglichkeiten, dagegen wirksam vorzugehen oder gezielt danach zu suchen.
Keine Massenware
Nach wie vor bedeuten die aktuellen Erkenntnisse jedoch nicht, dass Spionageprogramme wie FinFisher (oder eben Pegasus) mit der sprichwörtlichen Gießkanne verteilt und großflächig eingesetzt werden. Für die heimliche Installation kommen mitunter Sicherheitslücken zum Einsatz, die undokumentiert sind. Und je mehr diese eingesetzt werden, um so weiter steigt aus der Sicht des Herstellers und der Behörden das Risiko einer Entdeckung.Nach wie vor bedeuten die aktuellen Erkenntnisse jedoch nicht, dass Spionageprogramme wie FinFisher (oder eben Pegasus) mit der sprichwörtlichen Gießkanne verteilt und großflächig eingesetzt werden. Für die heimliche Installation kommen mitunter Sicherheitslücken zum Einsatz, die undokumentiert sind. Und je mehr diese eingesetzt werden, um so weiter steigt aus der Sicht des Herstellers und der Behörden das Risiko einer Entdeckung. Zudem ist das Horten von Schwachstellen in Software eine hochgefährliche Praxis, die das Risiko für alle erhöht.
Klare Position
Dennoch: Was den Einsatz von Spionagesoftware von staatlicher Seite angeht, gibt es zahlreiche gute Gründe, Bedenken anzumelden. Die fehlenden Kontrollmöglichkeiten sowie die Implikationen für den Umgang mit Sicherheitslücken sind nur zwei der Argumente. Wir von G DATA haben unsere Position in dieser Sache mehr als deutlich gemacht. Schadsoftware bleibt Schadsoftware – egal wer sie herstellt und unabhängig davon, wer sie einsetzt. Die uns vorliegenden Dateien, die erwiesenermaßen mit FinFisher in Verbindung stehen, werden von allen unseren Lösungen erkannt. Ein “strategisches Wegschauen” findet an dieser Stelle nicht statt.
Tim Berghoff
Security Evangelist
