Internet-Spionage: Ghostnet - der Geist aus dem Netz

Sie wissen nicht genau, wer dahinter steckt, sie wissen nur, woher es kommt und was es anrichtet - das GhostNet, ein gewaltiges, schnell wachsendes Spionage-Netzwerk, dass sich seit etwa einem Jahr weltweit ausbreitet und schon in 103 Ländern Regierungs- und private Rechner infiltriert. GhostNet stammt aus China und gibt seinem Aussender die Steuerungsgewalt über den befallenen Rechner. Wer in China GhostNet steuert, das können die vier Forscher der kanadischen Munk Center für internationale Studien, die das Netz erforscht haben, nicht sagen. Am Sonntag haben sie die Untersuchung vorgelegt.

Kontrolle über 1295 Rechner

Laut New York Times recherchierten die vier Kanadier zehn Monate lang, nachdem das Büro des Dalai Lama sie darum gebeten hatte. Der Rechner des geistlichen Oberhaupts der Tibeter war befallen: mit einem Trojaner-Programm namens "gh0st RAT". Dessen Spur führt nach China, das seinerseits den Dalai Lama der Cyber-Spionage beschuldigt.

Die Forscher um Robert J. Deibert fanden heraus, dass der Rechner des Dalai Lama nur einer von mindestens 1295 weltweit infizierten war. Viele der Rechner stehen in Botschaften und Außenministerien. Regionale Schwerpunkte der Angriffe sind die asiatischen Staaten Indonesien, Philippinen, Südkorea und Indien, aber auch Brüssel, London und Deutschland.

Die Rechner in diesen Ländern zählen die Wissenschaftler zu den 30 Prozent der Ziele, die aufgrund ihres Informationsgehalts besonders wertvoll seien. In Deutschland hatten Sicherheitsdienste im Mai 2007 auf Rechnern des Bundeskanzleramtes, des Auswärtigen Amtes, Wirtschafts- und Forschungsministeriums Spähprogramme entdeckt, die Kanzlerin Angela Merkel sogar bei ihrem China-Besuch zum Thema machte. Computer der US-Regierung wurden offenbar nicht infiltriert, allerdings die indische Botschaft in Washington und für einen halben Tag auch ein Nato-Rechner.

Helfer bei der der Verbreitung des Ghost-Trojaners ist - der Mensch. Emails, von Menschen verschickt, führen den Trojaner in angehängten Dokumenten mit. Öffnet zum Beispiel ein Botschaftsangehöriger ein Word-Dokument, das er aus dem Außenministerium in seiner Heimat bekam, installiert sich der Schädling von selbst.

Das Besondere an dem Trojaner ist nicht seine Unauffälligkeit, sondern seine Funktion: "Unsere Recherchen deckten auf, dass GhostNet in der Lage ist, die vollständige Kontrolle über einen befallenen Computer zu übernehmen, Dokumente herunter zu laden und Befehle auszuführen wie das Anschalten einer Web-Kamera oder des Computer-Mikrofons", schreiben die Wissenschaftler. Wer einen Raum video- und tonüberwachen will, muss somit nicht einmal einbrechen. Nachweisen konnten die Kanadier, dass im Falle des Dalai Lama bestimmte Dokumente "gestohlen wurden".

Nart Villeneuve, einer der Forscher, stellte dem Spionage-System eine Falle und ließ am 12. März einen Rechner im Labor des Instituts befallen. Der Eroberer war ein Rechner, der sich auf der chinesischen Insel Hainan befindet. Villeneuve beobachtete später, wie jemand die Dokumente auf dem Testrechner durchsuchte.

Doch die Forscher aus Toronto warnen ausdrücklich davor, die chinesische Regierung als Initiator der Angriffe zu beschuldigen. Bei 300 Millionen Online-Bürgern sei die Volksrepublik bestens für die Verbreitung von Schädlingsprogrammen geeignet - die dann natürlich auch die Staatsgrenzen überspringen könnten.

Das amerikanische FBI, das von den Kanadiern informiert wurde, wollte selbst keine Stellungnahme abgeben - vielleicht weil Cyber-Spionage mittlerweile zur üblichen Praxis im Umgang vieler Staaten miteinander zu gehören scheint. Russland und USA unterhalten ihrerseits Dienste, die die Welt online anzapfen. Vom besonderem Interesse für alle sind heutzutage die Wirtschaftsentwicklung eines Staates, die Arbeit seiner Unternehmen sowie Forschungseinrichtungen. Die USA machen dabei auch von Nato-Partner-Land Deutschland nicht Halt.

Der BND braucht sich auch nicht zu verstecken: Der Spiegel berichtete vor kurzem, dass der deutsche Geheimdienst in den vergangenen Jahren in mindestens 2500 Fällen per Online-Spionage im Ausland die Festplatten von Zielrechnern durchforstet hat.