Cyberspione: „Das Wettrüsten schreitet voran“

Herr Kamluk, Ihr Unternehmen hat gerade einen ausführlichen Bericht über einen Cyberspionagevirus – genannt MiniDuke – veröffentlicht. Wer wurde da von wem ausspioniert?

Betroffen waren 59 Opfer in 23 Ländern, oft waren Regierungsnetzwerke das Ziel. Aus unserer Sicht war das ein einzigartiger und sehr seltsamer Angriff. Nicht nur, weil so viele verschiedene Länder betroffen waren, sondern auch wegen der merkwürdigen Funktionalitäten von MiniDuke. Zum Beispiel konnte das Schadprogramm offenbar über Befehle, die bei Twitter veröffentlicht wurden, ferngesteuert werden. Andere Bausteine von MiniDuke haben uns wiederum an das vor wenigen Monaten entdeckte Spionageprogramm Red October erinnert.

MiniDuke, Red October, Stuxnet, Flame – ständig gibt es Schlagzeilen über neue gefährliche Superviren. Worin unterscheiden die sich von denen, die Passwörter oder Kontodaten ergattern?

Da gibt es einen grundlegenden Unterschied. Jeden Tag werden Hunderttausende neuer Schadprogramme in Umlauf gebracht. Die allermeisten davon sind lediglich neue Versionen von älterer Malware. Meist geht es um Diebstahl. Die Cyberkriminellen haben es auf alles abgesehen, was Geld bringt. Sie versuchen an Kreditkartennummern zu kommen oder saugen Informationen von sozialen Netzwerken ab und verkaufen diese Datensätze. Manchmal werden Firmeninterna gestohlen und die Unternehmen damit erpresst. Mit Attacken, wie wir sie bei Red October oder Stuxnet gesehen haben, hat das nichts zu tun. Da geht es nicht in erster Linie um Geld, sondern um Spionage und Sabotage. Bei Red October wurden jahrelang hochgeheime Dokumente erbeutet, vor allem von Botschaften und Behörden. Mit Stuxnet wurde eine iranische Uran-Aufbereitungsanlage manipuliert. Wir hatten auch schon einen Fall, in dem ein Schadprogramm Informationen über Kontobewegungen gesammelt hat. Die Hacker wollten sich offensichtlich einen Überblick über Geldströme verschaffen.

Wer sind diese ominösen Hacker? Einzeltäter, terroristische Vereinigungen? Oder stecken Geheimdienste dahinter?

Das ist schwer zu beantworten. Wir haben oft keine verlässlichen Fakten, um die Angreifer zu identifizieren. Die Cyberspione versuchen, keinerlei Spuren zu hinterlassen. Trotzdem gibt es manchmal Hinweise, dass eine Malware aus einem bestimmten Land kommt. Red October wurde mithilfe eines E-Mail-Anhangs eingeschleust, der eine Sicherheitslücke ausgenutzt hat. Dieser ursprüngliche Exploit basierte auf einem Code, der von chinesischen Hackern stammte. Aber bei der weiteren Analyse fiel uns auf, dass andere Module des Schadprogramms auf keinen Fall aus China stammen konnten. Also ist die Spur vermutlich eine falsche Fährte, die vielleicht sogar extra gelegt wurde.

Stattdessen fanden Sie Hinweise auf russischsprachige Programmierer. War vielleicht die russische Regierung der Auftraggeber?

Das muss man sehr genau differenzieren: Wir haben Hinweise auf eine Beteiligung russischer Muttersprachler gefunden, nicht auf eine Beteiligung der russischen Regierung.

Aber es gilt doch als erwiesen, dass solche komplexen Schadprogramme in monatelanger Arbeit von hochspezialisierten Teams entwickelt werden. Und im Falle von Stuxnet war allem Anschein nach die amerikanische Regierung involviert.

Bei Stuxnet wurde eine von Siemens entwickelte Maschine manipuliert. Dazu mussten die Angreifer nicht nur sehr genaue Kenntnisse über die Anlage im Iran haben, sondern sie haben vermutlich sogar Teile der Anlage nachgekauft, um sie dann umprogrammieren zu können. Solche Großprojekte werden nicht von einer Handvoll Cyberkrimineller durchgeführt, das können sich nur Organisationen mit großen Budgets leisten. Bei Stuxnet waren Regierungen und Geheimdienste beteiligt.

Das amerikanische Verteidigungsministerium stockt seine Cybertruppen auf, China steht im Verdacht, systematisch deutsche Unternehmen auszuspionieren, bei Red October gibt es Hinweise auf russischsprachige Täter – stehen wir am Anfang eines weltweiten Wettrüstens im Internet?

Ja, das Wettrüsten schreitet voran. Wir beobachten, dass Regierungen überall auf der Welt an der Entwicklung von Schadprogrammen arbeiten. Natürlich tun sie das im Geheimen. Aber sie tun es definitiv.

Es gab ja schon mal eine Art Cyberkrieg: 2007, als große Teile des Internets in Estland tagelang nicht funktionierten.

Der Angriff auf Estland wird oft als der erste Cyberkrieg dargestellt. Ich denke nicht, dass es einer war. Das war lediglich ein Angriff auf Webseiten, ausgeführt von politischen Aktivisten, die sich in einen Konflikt zwischen Russland und Estland einmischen wollten. Mittlerweile sind wir in eine neue Ära eingetreten. Wir haben es nicht nur mit virtuellen Bedrohungen zu tun, die den Verlust von Geld oder Daten bedeuten können. Cyberattacken können heute Auswirkungen auf die physische Welt haben. Sie könnten Zug- oder Flugzeugunglücke verursachen oder industrielle Anlagen zerstören. Das ist bereits Realität und damit müssen wir umgehen.

Indem sich alle Staaten bereit zur Verteidigung machen – und indem sie notfalls auch Gegenangriffe ausführen?

Das Gefährliche an diesem Wettrüsten ist, dass sich nur sehr schwer rekonstruieren lässt, wer der eigentliche Aggressor ist. Bei einem realen Krieg weiß man immer, wo und von wem die Raketen abgeschossen werden. Bei einem Cyberangriff ist das anders. Manchmal lassen sich nur indirekte Schlüsse ziehen: Welche Regierung könnte ein Motiv haben? Aber selbst diese Vermutungen können falsch sein. Es ist ja auch denkbar, dass es einen Konflikt zwischen zwei Ländern gibt und ein drittes Land womöglich Interesse an einer Eskalation hat. Deshalb sollten wir mit gegenseitigen Beschuldigungen sehr vorsichtig sein.

Vitaly Kamluk hat in Minsk Angewandte Mathematik und Informatik studiert. Er war Programmierer und ist seit 2008 leitender Antiviren-Experte bei Kaspersky Lab.