Wie eine Firma in Lausanne unfreiwillig bei Pegasus-Spionage-Attacken mitwirkte

«Das ist eine Branche, die nicht existieren sollte»: So umschreibt der berühmte Whistle­blower Edward Snowden das Metier der NSO Group.

Die israelische Firma verkauft seit Jahren die Spionage­software Pegasus an verschiedene Staaten. Offiziell soll sie nur im Kampf gegen Terrorismus und Menschen­handel eingesetzt werden, wie das Technologie­unternehmen stets beteuert hat. Doch de facto wird die Software von Staaten wie Saudi­arabien, Ungarn, Mexiko oder Marokko eingesetzt, um Menschen­rechts­aktivistinnen, Oppositionelle oder Journalisten auszuspionieren und zu verfolgen.

Der grossflächige Einsatz von Pegasus wurde Mitte Juli 2021 enthüllt und erschütterte die Welt. Die gemeinnützige Medien­organisation «Forbidden Stories» und Amnesty International mit ihrem Tech-Team haben in Kooperation mit Medien wie der «Süddeutschen Zeitung», «Die Zeit», «Le Monde», dem «Guardian» und der «Washington Post» auf der Basis einer Telefon­liste Hunderte Opfer der Spionage­software recherchiert. Darunter sind Frankreichs Präsident Emmanuel Macron oder investigative Journalisten wie Mediapart-Gründer Edwy Plenel. 600 hochrangige Politikerinnen, 85 Aktivisten sowie 189 Journalistinnen waren gemäss den Recherchen weltweit von Pegasus-Angriffen betroffen. Aufgrund der Enthüllung sah sich das israelische Verteidigungs­ministerium gezwungen, eine Unter­suchung beim Vorzeige­­unternehmen durchzuführen.

Die Schweiz schien im Zusammen­hang mit Pegasus bisher kaum eine Rolle zu spielen. Doch jetzt zeigen Recherchen der Republik: Sie steckt tiefer als bisher angenommen im Skandal um die mächtige Überwachungs­software.

Die Rolle der Schweiz

Pegasus ist ein umfassendes Über­wachungs­programm. Einmal auf dem Smart­phone installiert, aktiviert die Software Mikrofone und Kameras und überträgt jede eintreffende SMS in Echtzeit. Sie kann auf Nachrichten, Bilder, Videos und sämtliche anderen Inhalte des Geräts zugreifen. Es ist, als ob einem jemand permanent über die Schulter auf den Bild­schirm schaut.

Eingeschleust wird die Software oft ohne eigenes Zutun. Viele der Opfer haben weder einen verdächtigen Link angeklickt noch sich ander­weitig angreifbar gemacht. Pegasus nutzt Sicher­heits­lücken in Betriebs­systemen der Smartphone-Hersteller oder von Messenger-Apps wie Whatsapp.

Auch wenn die Schweiz in der Bericht­erstattung über Pegasus bisher nicht gross vorkam, ist ihre Rolle grösser als allgemein bekannt. Mehrfach schon führten in der Vergangenheit Spuren des Spionage­tools in die Schweiz:

• Die kanadischen Forscherinnen vom Citizen Lab der Universität Toronto belegten bereits 2018, dass die Schweiz Schau­platz von Pegasus-Attacken war. Das zeigten entsprechende Spuren im Swisscom-Netz. Der Bericht erregte in der Schweiz wenig Aufsehen. Die Swisscom wiegelte ab: Man habe keine «Kommunikation» feststellen können.

• Die Credit Suisse finanzierte das umstrittene Cyber­unternehmen NSO Group mit einem Kredit von 500 Millionen Franken.

• Die im Genfer Exil lebende spanische Oppositions­­politikerin Anna Gabriel wurde Opfer einer Pegasus-Attacke – und zwar in der Zeit, als sie bereits in der Schweiz lebte, wie eine ihr nahe­stehende Person gegenüber der Republik bestätigt. Hinter der Attacke, so schreibt «El País», wird der spanische Geheim­dienst vermutet.

• Der Nachrichten­dienst des Bundes, das Bundes­amt für Polizei (Fedpol) und kantonale Straf­ver­folgungs­­behörden haben die Software 2017 und 2018 getestet. Die NZZ vermutet, gestützt auf anonyme Quellen, dass sie heute noch im Einsatz ist. Somit dürfte es weitere ausspionierte Personen in der Schweiz geben.

Recherchen der Republik zeigen nun erstmals: Die Schweiz spielt ausserdem auch als Infrastruktur­standort für Pegasus-Attacken eine Rolle. 2020 kam es mittels eines infizierten Servers in der Schweiz zu einer Abhöraktion.

Im forensischen IT-Bericht von Amnesty Tech stehen erstens Deutschland mit 212 Servern und zweitens Gross­britannien mit 79 Servern auf den ersten beiden Positionen im Standort­länder-Ranking, das aufzeigt, von wo aus Pegasus-Attacken ausgingen. Dabei handelt es sich mutmasslich um Rechen­zentren von amerikanischen Cloud-Anbietern, die von der NSO Group gemietet wurden.

Doch gleich dahinter, auf Rang drei, folgt die Schweiz – mit der Firma Akenes SA aus Lausanne. Das Unternehmen, hierzulande besser bekannt unter seinem Produkt­namen Exoscale, steht an vierter Stelle des «NSO-Server-Rankings» von Amnesty International – hinter den US-Konzernen Amazon, Digital Ocean und Linode. Akenes – in vielen Medien­berichten fälschlicher­weise als amerikanisches Unter­nehmen bezeichnet – stellte seine Server also für Operationen mit der Spionage­software zur Verfügung.

Dies belegen Ergebnisse einer Unter­suchung, die das Amnesty-Tech-Team durchführte und die der Republik vorliegen. Amnesty-Tech-Sprecher Etienne Maynier bestätigt auf Anfrage, dass 2020 auf einem Akenes-Server mit einer bestimmten Webadresse eine effektive Pegasus-Infektion eingetreten ist. Genauer: Die angegriffene Person habe auf den Infektions­link geklickt oder habe die Infektion via einen anderen Kanal wie Whatsapp erhalten.

Damit ist klar: Eine Person wurde 2020 Opfer einer erfolg­reichen Pegasus-Attacke über Schweizer Server. Es gibt keine Hinweise auf das Opfer, auch nicht darauf, ob es aus der Schweiz stammt. Ebenso wenig lässt sich sagen, ob der Nachrichten­dienst oder das Fedpol hinter der Attacke steckt.

Maynier sagt: «Es ist wichtig zu beachten, dass der Standort eines Servers nichts darüber aussagt, welcher Kunde oder welches Land diesen Server nutzt. Einige dieser Server wurden in der Schweiz gehostet, aber das bedeutet nicht, dass sie mit der Schweiz oder einem europäischen Kunden in Verbindung stehen.»

Zudem, sagt Maynier, seien 57 weitere Akenes-Server als «Komponenten», als Teile des Infektions­systems der NSO Group, genutzt worden.

Schweizer Alternative zu Amazon

Mitbegründet wurde die Firma Akenes 2011 von Antoine Coetsier, dem heutigen CEO. 2017 kaufte die Telekom Austria grosse Teile des Unter­nehmens. Seither ist das Cloud-Unternehmen auf Wachstums­kurs und unterhält auch Rechen­zentren in Österreich und Deutschland. Kunden sind unter anderem die Forschungs­­einrichtung Cern und die Plattform «Dein Deal». Exoscale aka Akenes positioniert sich als europäische Cloud-Alternative, die sich den strengen europäischen Daten­schutz­gesetzen verpflichtet sieht.

Was für einen berüchtigten Kunden Akenes mit der NSO Group hatte, war den West­schweizern offenbar kaum bekannt. Dies geht aus Gesprächen hervor, welche die Republik mit mehreren ehemaligen Angestellten geführt hat. Alle zeigten sich überrascht, niemand wusste von der Kunden­beziehung mit der NSO Group. Doch die meisten sagen auch, dies liege in der Natur der Sache. Akenes stelle lediglich Rechen­leistung zur Verfügung. «Wir haben nichts mit dem Produkt des Kunden zu tun, und man hat schon gar keinen Zugriff auf die Daten», sagt eine Quelle.

Auf die Hinweise von Amnesty Tech reagierte Akenes, indem die Firma versuchte, die Nutzungs­strategien von NSO zu durch­leuchten – jedoch ohne Erfolg. Akenes-CEO Antoine Coetsier sagt der Republik, er habe mit dem «Amnesty-Forschungs­team Kontakt aufgenommen, um weitere Unter­suchungen mit anderen historischen Daten durch­zuführen, die ihnen zur Verfügung standen, aber es hat sich kein Muster heraus­kristallisiert».

Auch Amnesty Tech vermutet, dass Akenes seinen zwielichtigen Kunden nicht gekannt hat. Dies liege an den Taktiken der israelischen Firma. «Die NSO Group mietet regel­mässig operative Infra­struktur unter Verwendung pseudo­nymer E-Mail-Konten und Zahlungs­methoden», sagt Amnesty-Tech-Sprecher Maynier. Weil die NSO-Gruppe mit Tarn­firmen operiert, vermochte CEO Coetsier auch die Frage nach der Dauer der Geschäfts­beziehung nicht zu beantworten. «Die Cloud ist eine sehr volatile Umgebung, und IP-Adressen können im Laufe der Zeit mehreren Mietern zugewiesen werden», sagt er.

Ist Akenes damit nun ein typisches Opfer der NSO Group, oder versagten ihre Mechanismen zur Durch­leuchtung dubioser Kunden?

Lob und Kritik am Schweizer Cloud­betreiber

Was sich sicher sagen lässt: Es gibt in der Schweiz kaum Überwachungs­pflichten für Hosting­provider wie Akenes, bloss Selbst­verpflichtungen. Dazu gehört etwa der «Code of Conduct» des Branchen­­verbands Swico. Üblicher­weise gelangen die Schweizer Behörden mit konkreten Anfragen bei straf­rechtlichen Inhalten wie Kinder­pornografie an die Unter­nehmen.

Im Fall von Pegasus dürfte dieses Prozedere kaum zur Anwendung kommen: Hier sind Schweizer Behörden wie der Nachrichten­dienst, das Fedpol und die Kantone selbst die mutmasslichen Käuferinnen der Spionage­software.

Richtig ist auch: Die Geschäfts­bedingungen von Akenes untersagen die Nutzung ihrer Server für die Verbreitung von Schad­­software. Ein Verstoss führe zur direkten Beendigung einer Geschäfts­beziehung, sagt CEO Coetsier, weshalb man den Fall genau untersuche. Amnesty-Sprecher Maynier sagt, dass sich Akenes kooperativ zeigte: «Sie haben schnell reagiert und versprochen, die Befunde schnell zu untersuchen.» Und dennoch wird auch Kritik laut. Als aufstrebendes Start-up müsse man prüfen, wer seine Server nutze, sagt ein Ex-Kader­mitglied: «Wenn man sich als Schweizer Alternative zu Amazon aufstellt, sollte man genauer hinschauen bei seinen Kunden.»

Die Spionage­operationen mit – unfreiwilliger – Schweizer Mithilfe sind nun allerdings schon Geschichte. Seinem Wissens­stand nach, sagt Maynier von Amnesty Tech, habe die NSO Group bereits damit begonnen, die vierte und letzte bekannte Version ihrer Schad­software grössten­teils oder vollständig abzuschalten, bevor Amnesty Tech ihren Bericht veröffentlicht habe.

Die NSO Group hat also bereits vor den Enthüllungen im Sommer durch Medien weltweit ihre gesamte Infra­struktur deaktiviert – so, wie sie es in den vergangenen Jahren praktisch bei jedem aufsehen­erregenden Medien­beitrag getan hat, um dann einige Wochen oder Monate später mit neuen Verschleierungs­methoden und neuem Schadcode wieder aktiv zu werden.

Die Suche nach Spuren der Pegasus-Spionage­software bleibt ein ewiges Katz-und-Maus-Spiel. Und dürfte bald in eine neue Runde gehen.