WhatsApp-Spionageangriff – NSO Group mit 168 Millionen Dollar bestraft

In einer wegweisenden Entscheidung hat eine US-Bundesjury in Kalifornien am Dienstag das israelische Spionageunternehmen NSO Group verurteilt, fast 168 Millionen Dollar an Schadensersatz an Meta Platforms Inc., die Muttergesellschaft von WhatsApp, zu zahlen.

Neben diesem Betrag muss das Unternehmen auch 444.719 Dollar an Entschädigung an Meta zahlen für die erheblichen Anstrengungen, die die WhatsApp-Ingenieure unternommen haben, um die Angriffsvektoren zu blockieren.

Dieses Urteil resultiert aus der Nutzung der Pegasus-Spionagesoftware durch die NSO Group, um etwa 1.400 WhatsApp-Nutzer über einen Zeitraum von zwei Wochen zwischen April und Mai 2019 zu hacken. Diese Entscheidung setzt einen wichtigen Präzedenzfall für die Verantwortung von Spionagesoftware-Entwicklern für unbefugte Überwachungsaktivitäten.

„Das heutige Urteil im Fall WhatsApp ist ein wichtiger Schritt nach vorne für Privatsphäre und Sicherheit, da es den ersten Sieg gegen die Entwicklung und Nutzung illegaler Spionagesoftware darstellt, die die Sicherheit und Privatsphäre aller bedroht“, sagte Meta in einer Erklärung, nachdem das Urteil bekannt gegeben wurde.

„Heute ist die Entscheidung der Jury, NSO, einem berüchtigten ausländischen Spionagehändler, zur Zahlung von Schadensersatz zu zwingen, ein entscheidender Abschreckungsfaktor für diese bösartige Industrie gegen ihre illegalen Handlungen, die sich gegen amerikanische Unternehmen und die Privatsphäre und Sicherheit der Menschen richten, die wir bedienen.“

Hintergrund des Falls

Die Klage, die von WhatsApp am 29. Oktober 2019 beim Bezirksgericht für den nördlichen Bezirk Kalifornien eingereicht wurde, beschuldigte die NSO Group, eine Schwachstelle in der Videoanruffunktion von WhatsApp auszunutzen, um die Pegasus-Spionagesoftware ohne Wissen der Nutzer auf deren Geräten zu installieren. Zu den Zielen gehörten Menschenrechtsaktivisten, Journalisten, Diplomaten und Vertreter der Zivilgesellschaft.

Laut den Gerichtsunterlagen (PDF) wurde die Pegasus-Spionagesoftware von NSO über einen WhatsApp-Anruf installiert, bei dem der Empfänger nicht einmal antworten musste. Sobald der Anruf getätigt wurde, würde sich der bösartige Code selbst aktivieren und Zugriff auf eine Vielzahl persönlicher Daten gewähren, einschließlich Telefonanrufen, E-Mails, verschlüsselten privaten Nachrichten, Bildern, Geolokalisierung und anderen sensiblen Daten – alles ohne das Wissen des Nutzers.

Im Dezember 2024 stellte die US-Bezirksrichterin Phyllis Hamilton die NSO Group für schuldig, gegen das US-Gesetz über Computerbetrug und -missbrauch (CFAA) sowie das kalifornische Gesetz über den umfassenden Zugang zu Computerinformationen und Betrug (CDAFA) verstoßen zu haben. Sie stellte auch fest, dass die Handlungen von NSO gegen die Nutzungsbedingungen von WhatsApp verstießen, indem sie unbefugt auf deren Server zugriffen, um Spionagesoftware zu installieren.

Reaktion der NSO Group

Nach ihrem Verlust vor Gericht erklärte die NSO Group, dass sie plane, gegen das Urteil Berufung einzulegen, und betonte, dass ihre Pegasus-Software für den Einsatz durch autorisierte Regierungen zur Bekämpfung von Verbrechen und Terrorismus weltweit gedacht sei.

„Wir werden die Einzelheiten des Urteils sorgfältig prüfen und geeignete rechtliche Schritte einleiten, einschließlich weiterer Verfahren und einer Berufung“, fügte Lainer hinzu und erklärte, dass das Unternehmen „voll und ganz seiner Mission verpflichtet bleibt, Technologien zu entwickeln, die die öffentliche Sicherheit schützen“, während es im Rahmen der Gesetze arbeitet.

In der Zwischenzeit hat Meta beschlossen, an digitale Rechteorganisationen zu spenden, die weltweit daran arbeiten, Menschen gegen solche Angriffe zu verteidigen.

„Unser nächster Schritt ist es, eine gerichtliche Anordnung zu sichern, um zu verhindern, dass NSO jemals wieder WhatsApp ins Visier nimmt“, schloss das Unternehmen.