Times Insider erklärt, wer wir sind und was wir tun, und gibt Einblicke hinter die Kulissen, wie unser Journalismus zusammenkommt.
BEIRUT, Libanon – In Mexiko hackte die Regierung die Handys von Journalisten und Aktivisten. Saudi-Arabien ist in die Telefone von Dissidenten im In- und Ausland eingebrochen und hat einige ins Gefängnis geschickt. Der Herrscher von Dubai hat die Telefone seiner Ex-Frau und ihrer Anwälte gehackt.
Vielleicht hätte ich mich also nicht wundern sollen, als ich kürzlich erfuhr, dass auch ich gehackt wurde.
Trotzdem war die Nachricht beunruhigend.
Als Korrespondent der New York Times, der über den Nahen Osten berichtet, spreche ich oft mit Leuten, die große Risiken eingehen, um Informationen zu teilen, die ihre autoritären Herrscher geheim halten wollen. Ich treffe viele Vorkehrungen, um diese Quellen zu schützen, denn wenn sie erwischt werden, könnten sie im Gefängnis oder tot landen.
Aber in einer Welt, in der wir so viel von unserem Privat- und Berufsleben in den Geräten speichern, die wir in unseren Taschen tragen, und in der Überwachungssoftware immer ausgefeilter wird, sind wir alle immer anfälliger.
Wie sich herausstellte, musste ich nicht einmal auf einen Link klicken, um mein Telefon zu infizieren.
Um herauszufinden, was passiert war, arbeitete ich mit Citizen Lab zusammen, einem Forschungsinstitut an der Munk School of Global Affairs der University of Toronto, das sich mit Spyware beschäftigt.
Ich hoffte herauszufinden, wann ich gehackt wurde, von wem und welche Informationen gestohlen wurden. Aber selbst mit Hilfe professioneller Internet-Detektive waren die Antworten schwer fassbar.
Die Untersuchung ergab, dass ich mit der wachsenden globalen Spyware-Industrie in Konflikt geraten war, die Überwachungstools an Regierungen verkauft, um sie bei der Verbrechensbekämpfung und der Verfolgung von Terroristen zu unterstützen.
Aber die Unternehmen, die diese Tools verkaufen, agieren im Schatten, in einem weitgehend unregulierten Markt, der es den Staaten ermöglicht, die Technologie nach Belieben einzusetzen, auch gegen Aktivisten und Journalisten.
Im Jahr 2018 wurde ich mit einer verdächtigen SMS ins Visier genommen, von der Citizen Lab feststellte, dass sie wahrscheinlich von Saudi-Arabien mit einer Software namens Pegasus gesendet wurde. Der Entwickler der Software, die in Israel ansässige NSO Group, bestritt, dass ihre Software verwendet wurde.
In diesem Jahr fand ein Mitglied des Tech-Sicherheitsteams der Times einen weiteren Hacking-Versuch aus dem Jahr 2018 auf meinem Telefon. Der Angriff erfolgte über eine arabischsprachige WhatsApp-Nachricht, die mich namentlich zu einer Protestkundgebung in der saudischen Botschaft in Washington einlud.
Bill Marczak, Senior Fellow bei Citizen Lab, sagte, es gebe keine Anzeichen dafür, dass beide Versuche erfolgreich waren, da ich nicht auf die Links in diesen Nachrichten geklickt habe.
Er fand aber auch heraus, dass ich zweimal, in den Jahren 2020 und 2021, mit sogenannten „Zero-Click“-Exploits gehackt worden war, die es dem Hacker ermöglichten, in mein Telefon einzudringen, ohne dass ich auf Links klickte. Es ist wie von einem Geist ausgeraubt zu werden.
Im zweiten Fall, sagte Herr Marczak, habe der Angreifer, sobald er sich in meinem Telefon befand, anscheinend die Spuren des ersten Hacks gelöscht. Stellen Sie sich einen Dieb vor, der in ein Juweliergeschäft einbricht, das er ausgeraubt hat, um Fingerabdrücke zu löschen.
Tech-Sicherheitsexperten sagten mir, es sei fast unmöglich, die Schuldigen definitiv zu identifizieren.
Aber auf der Grundlage eines Codes, der in meinem Telefon gefunden wurde und dem ähnelte, was er in anderen Fällen gesehen hatte, sagte Herr Marczak, er habe „hohes Vertrauen“, dass Pegasus alle vier Male verwendet wurde.
Lassen Sie uns Ihnen helfen, Ihr digitales Leben zu schützen
Bei den beiden Versuchen im Jahr 2018, sagte er, habe es den Anschein, dass Saudi-Arabien die Angriffe gestartet habe, weil sie von Servern stammten, die von einem Betreiber betrieben wurden, der zuvor mehrere saudische Aktivisten ins Visier genommen hatte.
Es war nicht klar, welches Land für die Hacks 2020 und 2021 verantwortlich war, aber er stellte fest, dass der zweite von einem Konto stammte, das verwendet wurde, um einen saudischen Aktivisten zu hacken.
Ich schreibe seit Jahren über Saudi-Arabien und habe letztes Jahr ein Buch über Kronprinz Mohammed bin Salman, den De-facto-Herrscher des Königreichs, veröffentlicht.
NSO bestritt, dass seine Produkte an den Hacks beteiligt waren, schrieb in einer E-Mail, dass ich „keiner der Kunden von NSO ein Ziel von Pegasus war“ und wies die Ergebnisse von Herrn Marczak als „Spekulation“ zurück.
Das Unternehmen sagte, dass es bei den Versuchen von 2018 nicht über die beschriebene Technologie verfügt habe und dass ich aufgrund von „technischen und vertraglichen Gründen und Einschränkungen“, die es nicht erklärt habe, kein Ziel in den Jahren 2020 oder 2021 hätte sein können.
Die saudische Botschaft in Washington reagierte nicht auf eine Bitte um Stellungnahme.
NSO lehnte es ab, mehr zu den Akten zu sagen, aber The Times berichtete, dass das Unternehmen seine Verträge mit Saudi-Arabien im Jahr 2018 gekündigt hatte, nachdem saudische Agenten den regimekritischen Schriftsteller Jamal Khashoggi getötet hatten, nur um im folgenden Jahr Geschäfte mit dem Königreich wieder aufzunehmen und vertragliche Einschränkungen hinzuzufügen über die Nutzung der Software.
NSO hat das saudische System dieses Jahr erneut abgeschaltet, nachdem Citizen Lab festgestellt hatte, dass die Regierung Pegasus verwendet hatte, um die Telefone von 36 Mitarbeitern des arabischen Satellitennetzwerks Al Jazeera zu hacken.
Die Zuweisung der Verantwortung für einen bestimmten Hack sei schwierig, sagte Winnona DeSombre, eine Stipendiatin des Atlantic Council, die kommerzielle Spyware untersucht, da viele Unternehmen Pegasus-ähnliche Produkte verkaufen, viele Länder sie verwenden und die Software verdeckt sein soll.
Sie verglich den Prozess der Analyse der begrenzten Daten, die auf kompromittierten Geräten hinterlassen wurden, mit „blinden Männern, die den Elefanten berühren“.
„Das kann man nicht ohne Zweifel sagen“, sagte sie.
Die Spuren auf meinem Telefon zeigten nicht, wie lange die Hacker drin waren oder was sie mitgenommen haben, obwohl sie alles gestohlen haben könnten: Fotos, Kontakte, Passwörter und Textnachrichten. Sie hätten auch mein Mikrofon und meine Kamera aus der Ferne einschalten können, um mich zu belauschen oder auszuspionieren.
Haben sie meine Kontakte gestohlen, um meine Quellen zu verhaften? Meine Nachrichten durchgehen, um zu sehen, mit wem ich gesprochen habe? Durch Fotos meiner Familie am Strand trollen? Nur die Hacker wussten Bescheid.
Soweit ich weiß, ist keiner meiner Quellen durch Informationen, die möglicherweise von meinem Telefon gestohlen wurden, geschadet. Aber die Ungewissheit war genug, um mich schlaflos zu machen.
Letzten Monat hat Apple die Schwachstelle behoben, mit der die Hacker dieses Jahr in mein Telefon eingedrungen waren, nachdem sie von Citizen Lab darüber informiert worden waren. Andere Schwachstellen können jedoch bestehen bleiben.
Solange wir unser Leben auf Geräten mit Schwachstellen speichern und Überwachungsunternehmen Millionen von Dollar mit dem Verkauf von Möglichkeiten zu ihrer Ausnutzung verdienen können, sind unsere Abwehrmaßnahmen begrenzt, insbesondere wenn eine Regierung beschließt, unsere Daten zu erhalten.
Jetzt beschränke ich die Informationen, die ich auf meinem Telefon speichere. Ich speichere sensible Kontakte offline. Ich ermutige die Leute, Signal zu verwenden, eine verschlüsselte Messaging-App, damit, wenn ein Hacker es schafft, nicht viel zu finden ist.
Viele Spyware-Firmen, darunter auch NSO, verhindern das Anvisieren von US-amerikanischen Telefonnummern, vermutlich um einen Streit mit Washington zu vermeiden, der zu einer verstärkten Regulierung führen könnte, also verwende ich eine amerikanische Telefonnummer.
Ich starte mein Telefon oft neu, was einige Spionageprogramme ausschalten (aber nicht abhalten) kann. Und wenn möglich, greife ich zu einer der wenigen nicht hackbaren Optionen, die wir noch haben: Ich lasse mein Handy zurück und treffe Leute von Angesicht zu Angesicht.