Polizei und Geheimdienste in Serbien einem Bericht zufolge nutzt das Unternehmen fortschrittliche mobile Forensikprodukte und bisher unbekannte Spyware, um Journalisten, Umweltschützer und Bürgerrechtler illegal zu überwachen.
Der Bericht zeigt wie Mobile Forensikprodukte des israelischen Unternehmens Cellebrite werden zum Entsperren und Extrahieren von Daten von Mobilgeräten einzelner Personen verwendet, die mit einem neuen Android-Spywaresystem, NoviSpy, infiziert sind.
Die serbischen Behörden nutzen „Überwachungstechnologie und digitale Repressionstaktiken als Instrumente einer umfassenderen staatlichen Kontrolle und Repression gegen die Zivilgesellschaft“, so Dinushika Dissanayake von Amnesty Internationalwer den Bericht geschrieben hat.
Dissanayake, stellvertretender Regionaldirektor von Amnesty Europasagte, der Bericht zeige, wie Cellebrite-Produkte, die von Polizei und Geheimdiensten weltweit verwendet werden, „ein großes Risiko“ für Menschenrechtsaktivisten darstellen können, „wenn sie außerhalb strenger gesetzlicher Kontrollen verwendet werden“.
Cellebrites Tools für Strafverfolgungsbehörden und Regierungsbehörden ermöglicht das Extrahieren von Daten aus einer Reihe von Geräten, einschließlich neuerer Android- und iPhone-Mobiltelefone, und das Entsperren dieser ohne Zugriff auf den Passcode des Geräts.
NoviSpy ist zwar technisch weniger fortgeschritten als hochinvasive Spyware wie Pegasuserlaubt den serbischen Behörden weiterhin, vertrauliche personenbezogene Daten von einem Zieltelefon zu erfassen und das Mikrofon oder die Kamera eines Telefons aus der Ferne einzuschalten.
Der Bericht dokumentiert, wie die serbischen Behörden Cellebrite-Produkte nutzten, um NoviSpy-Spyware-Infizierungen auf den Mobiltelefonen von Journalisten und Aktivisten zu ermöglichen, darunter – mindestens zweimal – während Polizeiverhören.
Ein serbischer Investigativjournalist, Slaviša Milanov, wurde im Februar dieses Jahres unter dem Vorwand einer Trunkenheitsprüfung kurzzeitig von der Polizei festgenommen. Sein Android-Telefon war ausgeschaltet, als er es ihm überreichte, und er wurde nie nach dem Passcode gefragt.
Nach seiner Freilassung bemerkte Slaviša, dass sein Telefon, das er an der Rezeption der Polizeiwache zurückgelassen hatte, offenbar manipuliert worden war und dass die Datenverbindung ausgeschaltet war. Die Analyse durch das Amnesty-Labor ergab, dass ein Cellebrite-Produkt die Sperre entsperrt und NoviSpy installiert hatte.
Forensische Beweise zeigten auch, dass Cellebrite-Produkte zum Entsperren eines Telefons des Umweltaktivisten Nikola Ristić verwendet wurden, das anschließend ebenfalls mit NoviSpy infiziert wurde.
Donncha Ó Cearbhaill, der Leiter des Sicherheitslabors von Amnesty, sagte, die Beweise „beweisen, dass NoviSpy installiert wurde, während die serbische Polizei im Besitz von Slavišas Gerät war, und dass die Infektion auf der Verwendung eines fortschrittlichen Tools wie Cellebrite UFED beruhte“.
Amnesty „schreibt die NoviSpy-Spyware mit großer Zuversicht der (serbischen Sicherheitsinformationsagentur) BIA zu“, sagte Ó Cearbhaill. Andere Aktivisten, darunter ein Mitglied von Krokodil, das sich für Versöhnung im Westbalkan einsetzt, wurden ebenfalls ins Visier genommen.
Amnesty sagte, man habe Android und Google vor der Veröffentlichung des Berichts über NoviSpy informiert und die Spyware sei von den betroffenen Android-Geräten entfernt worden. Google habe zudem Warnungen vor „staatlich geförderten Angriffen“ an mögliche Ziele verschickt, hieß es.
Von der Pegasus-Spyware in Serbien angegriffene Aktivisten sagten, sie seien traumatisiert worden. „Dies ist eine unglaublich wirksame Möglichkeit, die Kommunikation von Mensch zu Mensch völlig zu unterbinden“, sagte einer, der anonym bleiben möchte. „Alles, was Sie sagen, kann gegen Sie verwendet werden, was sowohl auf persönlicher als auch auf beruflicher Ebene lähmend ist.“
Ein anderer sagte, das Ergebnis sei: „Entweder man entscheidet sich für Selbstzensur oder man hört trotzdem auf – in diesem Fall muss man bereit sein, die Konsequenzen zu tragen.“
Die NSO Group, die Pegasus entwickelt hat, bestätigte nicht, dass Serbien ein Kunde war, sagte jedoch, dass sie „ihre Verantwortung zur Achtung der Menschenrechte ernst nimmt und sich nachdrücklich dafür einsetzt, negative Auswirkungen auf die Menschenrechte zu vermeiden, dazu beizutragen oder direkt damit in Verbindung gebracht zu werden“. Es hieß, es habe alle glaubwürdigen Vorwürfe des Missbrauchs von Konzernprodukten geprüft.
Laut Amnesty antwortete Cellebrite weder auf den Bericht, der vor der Veröffentlichung verschickt wurde, noch kommentierte er ihn. Auch die serbischen Behörden antworteten nicht auf Anfragen nach Kommentaren.
Während des Ermittlungsverfahrens schickte das israelische Unternehmen Amnesty eine kurze Antwort, in der es hieß, dass es sich nicht um ein Überwachungsunternehmen handele und keine Cyberüberwachungstechnologie oder Spyware anbiete.
Cellebrite sagte, sein Produkt sei eine „digitale Ermittlungsplattform, die Strafverfolgungsbehörden mit der Technologie ausstattet, die sie benötigen, um Leben zu schützen und zu retten, die Justiz zu beschleunigen und den Datenschutz zu wahren“.
Es fügte hinzu, dass seine Produkte „ausschließlich für den rechtmäßigen Gebrauch lizenziert seien und einen Haftbefehl oder eine Zustimmung erfordern, um Strafverfolgungsbehörden bei gesetzlich sanktionierten Ermittlungen nach einem Verbrechen zu unterstützen“.
Amnesty sagte, dass dies zwar der beabsichtigte Verwendungszweck der Produkte sein könnte, ihre Untersuchungen jedoch eindeutig gezeigt haben, dass sie missbraucht werden könnten, „um den Einsatz von Spyware und die umfassende Sammlung von Daten von Mobiltelefonen außerhalb legitimer strafrechtlicher Ermittlungen zu ermöglichen“.
Darin hieß es, Cellebrite und andere Unternehmen der digitalen Forensik „müssen angemessene Sorgfaltsprüfungen durchführen, um sicherzustellen, dass ihre Produkte nicht in einer Weise verwendet werden, die zu Menschenrechtsverletzungen beiträgt“.
