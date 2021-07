Amazon hat die Cloud-Infrastruktur der NSO Group im eigenen Netzwerk stillgelegt. Foto: AFP/Thomas Samson

Die neuesten Enthüllungen über Lauschangriffe auf Menschenrechtsaktivisten, Journalisten und Politiker mithilfe der Spähsoftware Pegasus haben jetzt erste Konsequenzen für deren Entwickler, die israelische NSO Group. Amazon Web Services (AWS), die große IT-Infrastruktursparte des Techkonzerns, hat bekannt gegeben, dass man Clouddienste, die zur NSO Group gehört, abgedreht hat.

"Nachdem wir über diese Aktivitäten informiert wurden, haben wir schnell gehandelt und die relevante Infrastruktur stillgelegt", erklärte das Unternehmen gegenüber Vice. Konkret geht es um Erkenntnisse, die Amnesty International zur Aufdeckung der Überwachung beigesteuert hat. Die Menschenrechts-NGO stellte per forensischer Untersuchung fest, dass NSO-Kunden Zugriff auf "Zero Days" (Lücken in Software, die den Entwicklern selbst noch gar nicht bekannt sind) hatten und ein infiziertes Handy Informationen an bei Amazon betriebene Server schickte.

Auch andere Cloudanbieter in Verwendung

NSO dürfte in den vergangenen Monaten stark auf AWS gesetzt haben. Schon vergangenes Jahr ist laut einer Vice-Recherche auch schon über Amazons Dienste, konkret das Content Delivery-Netzwerk Cloudfront, Schadsoftware versandt worden. Der US-IT-Riese ist allerdings nicht der einzige Cloudanbieter, dessen Dienste in Anspruch genommen werden. Genannt werden auch OVH. Linode und Digital Ocean.

Auf Vice-Rückfrage, ob die NSO Group gegen die Nutzungsbedingungen verstoßen habe, antwortete Amazon nicht. Die Pegasus-Entwickler selbst betonten einmal mehr, keine Kenntnis darüber zu haben, gegen welche Ziele ihre Software von ihren Kunden eingesetzt werde. Man arbeite nur mit Regierungen und staatlichen Behörden zusammen, nennt aber die Länder unter Berufung auf vertragliche Geheimhaltevereinbarungen nicht.

Die Abschaltung seitens Amazon kann potenziell den Einsatz von Pegasus massiv beeinträchtigen, da offenbar mehrere Features wie die Infektion aus der Ferne und der Versand von gesammelten Informationen vom Zielgerät auf Clouddienste angewiesen sind und nicht per Direktversand an Server von NSO oder seiner Kunden arbeiten. Ein Umstieg von einem Anbieter auf einen anderen ist oft mit erheblichem Aufwand verbunden. In welchem Umfang hier Amazons Dienste eingebunden wurden, ist allerdings nicht bekannt. (gpi, 19.7.2021)