Angriff auf Sicherheitsfirma Kaspersky: Ein Computervirus „wie Alien, Predator und Terminator zusammen“

Dieser Computervirus „ist wie Alien, Terminator und Predator zusammen“, sagte der russische Virenjäger Eugene Kaspersky, nachdem er zuvor berichtet hatte, dass sein Sicherheitsunternehmen zum Ziel eines Angriffs mit „Duqu 2.0“ geworden ist. „Diese Software war extrem hochentwickelt und fast unsichtbar“, sagte der Gründer und Chef des IT-Sicherheitsunternehmens am Mittwoch in einer Videokonferenz. „Die Schadsoftware versteckt sich im Arbeitsspeicher eines Computers, schreibt keine Daten auf die Festplatte und übermittel nur wenig Daten.“

Der Virus war einige Monate im Netz von Kaspersky aktiv und hat vor allem die Aktivitäten zur Suche nach Schadsoftware ausgespäht. Kunden und Partner waren nach Firmenangaben offenbar nicht betroffen. Es sei „ziemlich dumm“ gewesen, eine IT-Sicherheitsfirma anzugreifen: Früher oder später finden wir es heraus“, sagte Kaspersky. Doch können die Computernutzer, die ihren PC oder Laptop mit einem Produkt von Kaspersky Labs gegen die unzähligen Angriffe aus dem Internet schützen wollen, nun einfach so zur Tagesordnung zurückkehren? Verschärft wird diese Frage durch die andauernden Angriffe auf die IT-Systeme des Bundestages, die doch besonders gut geschützt sein müssten.

Schutzsoftware bleibt weiterhin alternativlos

Für den Konsumenten ändere sich durch den Einbruch bei Kaspersky Labs zunächst einmal nicht, so lange die Code-Basis des Unternehmens dabei nicht geknackt wurde, sagte der IT-Sicherheitsexperte Christoph Fischer dem Tagesspiegel. Auch sollten die Verbraucher aus der Tatsache, dass Hacker die Sicherheitssysteme des Anti-Viren-Softwareherstellers zumindest zeitweise überwunden hatten, nicht den Schluss ziehen, dass man zukünftig auf solche Programme verzichten kann. „Das Konzept der Anti-Virenscanner mag zwar bereits vor zwanzig Jahren an sein Ende angelangt sein, dennoch gebe es dazu derzeit keine Alternative“, meint Fischer.

Tatsächlich hinken die Hersteller von Schutzprogrammen den Malware-Programmierern wie beim Hase-und-Igel- Rennen immer mindestens einen Schritt hinterher. Das gelte sowohl für die reinen Virenscanner, die Schädlinge über ihre Signatur erkennen, als auch für neuere Verfahren wie die verhaltensbasierte Erkennung von Angriffen. Die Malware-Hersteller optimieren ihre Schädlinge so lange, bis sie von den zur Zeit existierenden Schutzprogrammen nicht erkannt werden. Die Tests von Anti-Viren-Suiten müssten daher aus einem anderen Blickwinkel betrachtet werden. „Die Angaben darüber, wie viel Prozent der Malware erkannt wird, sind weniger interessant als die Ergebnisse, wie schnell ein Programm eine neue Bedrohung entdeckt“, sagte der Experte.

Zwischen dem Angriff auf Kaspersky und den Bedrohungen für die Computer ganz normaler Nutzer besteht ein himmelweiter Unterschied. Privat-PCs sind vor allem einem Flächenbombardement durch Viren, Trojanische Pferde oder Drive-by-Attacken während des Internetsurfen ausgesetzt. Allein schon durch die massenhafte Präsenz lassen sich diese Bedrohungen für Firmen wie Kaspersky, Symantec oder Avira erkennen, die dann mit entsprechenden Updates ihrer Signaturdateien reagieren können und so die Computer ihrer Kunden schützen. Schädlinge wie Duqu werden absolut zielgerichtet eingesetzt. Sie nutzen Schwachstellen, die noch nicht einmal in Hackerkreisen die Runde gemacht haben und somit einen großen Wert besitzen. Doch nicht nur die Machart und der Aufwand unterscheiden sich, es stecken auch komplett andere Motive hinter den Attacken. Die eine Gruppe hat es auf das Geld auf den Konten der Homebanking-Nutzer abgesehen oder wie mit dem Verschicken von Spam Profite erwirtschaften. Hinter solche hochgerüsteten Waffen wie Duqu werden hingegen andere (staatliche) Organisationen vermutet.

Die Ergebnisse fließen in die Produktentwicklung

Der Virus sei eine Weiterentwicklung der Schadsoftware Duqu, die mit dem bekannten Computerwurm Stuxnet verwandt ist. Stuxnet war nach bisherigen Informationen entwickelt worden, um das iranische Atomprogramm zu sabotieren. Die jetzt entdeckte Software sei so aufwendig, dass ihre Entwicklung mehr als zehn Millionen Dollar gekostet haben dürfte, sagte Kaspersky. Sie habe bisher unbekannte Sicherheitslücken im Betriebssystem Windows ausgenutzt. Kaspersky überprüfe nun unter anderem den Quellcode der eigenen Sicherheitsprogramme. Bisher sei dabei nichts entdeckt worden. Laut Kaspersky wurde die Schadsoftware auch an Verhandlungsorten bei den Atomgesprächen mit dem Iran entdeckt. Dass Kaspersky Labs den Schädling gefunden haben, ist somit aussagekräftiger als der Umstand, dass auch eine Firma wie diese eine Zeitlang ausgespäht wurde.