"Regin" doch in Deutschland aktiv: Geheimdienst-Trojaner im Kanzleramt entdeckt

Der Geheimdiensttrojaner „Regin“ hat offenbar doch Ziele in Deutschland ausgespäht. Im Bundeskanzleramt soll das IT-Sicherheitssystem Alarm geschlagen haben, als eine Mitarbeiterin der Europa-Abteilung einen mit dem Schädling infizierten USB-Stick an ihren Dienstcomputer anschließen wollte, berichtete die „Bild“-Zeitung am Montag. Demnach hatte die Mitarbeiterin des Kanzleramtes ein Dokument auf dem Stick nach Hause mitgenommen und dort auf ihrem Privatrechner weiter bearbeitet. Als sie den Speicherstick später an ihrem Laptop im Kanzleramt wieder anschließen wollte, meldete der Virenscanner den Angriff des Trojaners.

Nach Darstellung des Kanzleramts sind durch den Vorfall keine Computer der Bundesregierung geschädigt worden. Das IT-System des Amtes wurde nicht infiziert, sagte die stellvertretende Regierungssprecherin Christiane Wirtz am Montag. Es habe keine Gefahr gegeben. Das von der „Bild“-Zeitung beschriebene „Angriffsmuster“ auf die Mitarbeiterin des Kanzleramts wollte sie ausdrücklich nicht bestätigen.

Das zuständige parlamentarische Gremium zur Kontrolle der Geheimdienste sei informiert worden. Es gebe keinen Anlass, die Vorkehrungen des Kanzleramts gegen Computerspionage grundsätzlich zu überdenken, sagte Wirtz. Kanzleramt und Bundesregierung hätten die Gefahren durch Cyber-Spionage im Blick.

Teile von „Regin“ sollen indes bereits bei Spähprogrammen zum Einsatz gekommen sein, die in Verbindung zum US-Geheimdienst NSA und seinem britischen Pendant GCHQ gebracht werden konnten, wie verschiedene Hersteller von Anti-Viren-Software nach der Entdeckung von „Regin“ im November berichtet hatten. Zwischen den USA und der Bundesrepublik war es zu Verstimmungen gekommen, nachdem bekannt geworden war, dass das Handy von Bundeskanzlerin Angela Merkel seit 2002 auf der Abhörliste der NSA stand.
Der jetzt bekannt gewordene Trojaner-Angriff mit „Regin“ könnte allerdings bereits einige Monate zurückliegen. Die Attacke soll schon vor dem Sommer erfolgt sein, berichtet die Agentur dpa. Die Abwehrmaßnahmen des Kanzleramts hätten funktioniert. Es sei nicht klar, wer für die Spionageattacke verantwortlich war und auch nicht, ob Dokumente abgefischt worden seien.

Nach diesen Informationen war eine Referentin des Europareferats im Kanzleramt von dem Angriff betroffen und keine Referatsleiterin. Zudem sei unklar, ob die Mitarbeiterin gezielt ausgeforscht wurde, weil sie im Kanzleramt arbeite, oder ob ihr privates Laptop zufällig attackiert wurde.

"Regin" ist universell einsetzbar

Das IT-Sicherheitsunternehmen Symantec hatte die Existenz des Ausspähprogramms Ende November bekannt gemacht. „Regin“ gehört zu einer neuen Kategorie von Computerschädlingen, die gezielt auf Computer und Systeme von Firmen und Regierungseinrichtungen aber auch auch auf private PCs zugeschnitten werden können. So können nach der Infektion eines Systems unterschiedlichste Module nachgeladen werden. Mit Hilfe von Regin ist es demnach unter anderem möglich, E-Mails aus Microsoft Exchange-Datenbanken zu analysieren, Kennwörter zu stehlen oder sich Zugriff auf die Benutzeroberfläche eines Computers zu verschaffen, um die Computermaus fernzusteuern oder Screenshots anzufertigen. Ferner verfügt der Schädling über forensische Fähigkeiten, mit denen unter anderem gelöschte Dateien wiederhergestellt werden können. Darüber hinaus ist „Regin“ in der Lage, den Netzwerkverkehr zu überwachen und verschiedenen Kommunikationskanäle für Internet und GSM-Mobilfunkverbindungen auszulesen.
Nach den bisherigen Erkenntnissen war „Regin“ bislang vorwiegend auf Ziele in Russland, dem Nahen Osten sowie in Indien und Pakistan angesetzt worden. Aber auch in Belgien und Österreich hatte es Angriffe gegeben. Im Fokus standen dabei staatliche Behörden, Infrastrukturbetreiber wie Telekommunikationsfirmen und Verkehrsunternehmen, aber auch Wissenschaftler und Privatpersonen seien ausgespäht worden. Nach Ansicht von Experten sollen mit „Regin“ gezielt hochrangige Entscheidungsträger in Politik und Wirtschaft überwacht werden. Die Angriffe auf die Systeme von Mobilfunkunternehmen, Fluggesellschaften oder Hotelbuchungssystemen dienten dabei der Beschaffung von Kommunikations- und Bewegungsdaten, so die Einschätzung der Sicherheitsexperten.

Das deutsche Bundesamt für die Sicherheit in der Informationstechnik (BSI) hatte die Gefahr durch „Regin“ ebenfalls als sehr hoch eingeschätzt: „Regin“ sei ein hochwertiges, sehr komplexes Schadprogramm, das modular aufgebaut ist und je nach Einsatzszenario verschiedene Module nachladen und ausführen kann. Aufgrund der Komplexität und des damit verbundenen Aufwands, der in die Entwicklung des Schadprogramms geflossen sein muss, ist davon auszugehen, dass es weniger für Angriffe gegen Computer von Privatpersonen, sondern hauptsächlich für professionelle, gezielte, schwer zu detektierende Cyber-Angriffe vorgesehen ist, bei denen über einen längeren Zeitraum sensible Informationen ausgespäht werden sollen“, hatte die Behörde dem Tagesspiegel mitgeteilt.

„Im Fokus solcher Angriffe stehen offenbar vor allem Regierungseinrichtungen und Telekommunikations-Provider. Einige der verwendeten technischen Methoden sind fundamental anders als dies bisher selbst in hochentwickelten Spionageprogrammen beobachtet wurde.“ Von „Regin“ gibt es laut Symantec zwei Versionen. Die erste war von 2008 bis 2011 im Einsatz, seit 2013 wird eine weiterentwickelte Version eingesetzt.

Die Erkennung von Infektionen war deshalb so schwierig, da Regin mit Mechanismen ausgestattet ist, welche die grundlegenden Konzepte gängiger Antivirenprogramme aushebeln, erklärte das BSI. Der Trojaner besteht aus insgesamt sechs Stufen, die nacheinander in Aktion treten. Die Stufen mit dem eigentlichen Schadcode wurden dabei zur Tarnung verschlüsselt. Kurt Sagatz