Aktuell: Ukraine | Rosetta-Mission | Fernbus-Markt | Fußball-News | Eintracht Frankfurt | Polizeimeldungen Frankfurt/Rhein-Main

Medien

12. März 2013

Kaspersky Flame Red October: Viele Länder entwickeln Cyber-Waffen

Im Jahr 2000 kam der Rumäne Costin Raiu als Virenspezialist zur Moskauer Softwarefirma Kaspersky.  Foto: Kaspersky

Der Virenexperte Costin Raiu spricht im Interview über gefährliche Software und den digitalen Krieg im Netz.

Drucken per Mail

Der Virenexperte Costin Raiu spricht im Interview über gefährliche Software und den digitalen Krieg im Netz.

Seinem ersten Computer-Virus ist Costin Raiu 1994 an der Oberschule in Rumänien begegnet. Über Nacht schrieb er damals ein Antivirus-Programm. Heute ist Raiu der oberste Virenjäger der Moskauer Softwarefirma Kaspersky Lab. Ein Gespräch am Rande der Cebit in Hannover über den Cyberwar.

Herr Raiu, herrscht Krieg im Netz?

Ich denke, es ist noch ein kalter Cyberwar, weil niemand Verantwortung übernimmt für die Angriffe. Wir sehen all diese neuen Schadprogamme. Die Akteure verhalten sich wie im historischen Kalten Krieg, der mit Nuklearwaffen geführt wurde: Alle Seiten bauen ihre Kapazitäten aus und liefern sich einen Wettlauf beim Bau neuer Cyberwaffen, denn die sind billig, effektiv und können leicht gegen andere Ziele eingesetzt werden. Außerdem sind sie völlig anonym und können nicht zurückverfolgt werden.

Etliche Angriffe schienen zuletzt ihren Ausgangspunkt in China zu haben. Ist die Volksrepublik das neue „Reich des Bösen“?

Sicher ist: China ist nicht allein. Jede größere Nation hat ein Programm für die Cyberkriegsführung. Deutschland zum Beispiel hat ein sehr mächtiges und effektives Cyber-Verteidigungsprogramm, andere bauen Offensiv-Potenziale auf. Es gibt eine ganze Reihe von Akteuren, von denen Bedrohungen ausgehen. Aber es werden auch falsche Fährten gelegt. Red October etwa nutzt oberflächlich betrachtet Schwachstellen, die für einen chinesischen Ursprung sprechen. Nach genauen Analysen haben wir aber Indizien dafür entdeckt, dass die Urheber russische Muttersprachler sind. Die müssen nicht in Russland sitzen und könnten auch aus der Ukraine, Kasachstan oder Moldawien stammen. Der Großteil der Server, mit denen das Virus Kontakt aufgenommen hat, stand in Deutschland und Russland.

Von der Cybermacht China ist viel die Rede, seit kürzlich die Sicherheitsfirma Mandiant die mysteriöse chinesische Hacker-Einheit 61398 in Shanghai für einen Großteil der Angriffe auf westliche Behörden und Firmen verantwortlich gemacht hat.

Die Gruppe ist besser bekannt als die „Comment Crew“ und wird seit vier, fünf Jahren beobachtet. Mandiant waren nur die Ersten, die gesagt haben, die Gruppe sitzt in diesem Gebäude in Shanghai. Das hat davor niemand gesagt- weil es nahezu unmöglich ist, von den IP-Adressen, von denen die Angriffe ausgingen, auf eine physikalische Adresse zu schließen.

Werden die Angriffe gefährlicher?

Wir hatten 2009 den Angriff mit dem Virus Aurora, 2010 Stuxnet, mit dem die iranischen Urananreicherungsanlagen angegriffen wurden, 2011 Duqu. 2012 gab es aber schon mindestens vier große Zwischenfälle: die Entdeckung der Schadprogamme Flame, Gauss, Shamoon und Mini-Flame, alle stehlen Daten. Und dieses Jahr haben wir mit Red October und MiniDuke bereits zwei. Flame und Aurora wurden wahrscheinlich ungefähr zur selben Zeit entwickelt, aber Flame ist hundertmal ausgefeilter. Hier wurde viel Geld investiert, wir gehen von Dutzenden Millionen Dollar aus.

Ist es plausibel, dass Kriminelle solche Summen ausgeben?

Kriminelle? Nein. Staaten? Durchaus. Solche Angriffe müssen staatliche Unterstützung gehabt haben. Mit einer Ausnahme: Red October wurde mit relativ wenig Geld entwickelt. Sie haben Schwachstellen aus chinesischen Angriffen kopiert und eigene Elemente dazugebastelt. Es könnte ein Staat gewesen sein, der beschränkte Ressourcen hat. Oder eine kriminelle Gruppe, die für 5 000 Dollar im Monat für einen staatlichen Auftraggeber etwas aufgebaut hat.

Der Angriff blieb über Jahre unentdeckt. Wie wurden Sie auf Red October aufmerksam?

Wir dürfen jetzt preisgeben, dass einer unserer Klienten aus einem europäischen Land uns im Oktober eine CD mit dem Virus übergeben hat. Die wussten, dass wir Flame entdeckt haben und dachten, dass Kaspersky die Expertise für so eine Analyse hat. Die meisten Opfer arbeiten für Regierungen oder Rüstungsfirmen, es sind Diplomaten, Mitarbeiter von Botschaften, Ministerien, Ziele im Energiesektor und Forschungseinrichtungen. Diese Menschen bekamen eine E-Mail, zum Beispiel mit einem Angebot für einen günstigen Gebrauchtwagen.

Mittlerweile müsste jeder wissen, dass man Dateien von unbekannten Absendern nicht öffnet.

Stimmt. Deshalb wurden diese E-Mails auch von Absendern geschickt, die die Opfer kannten. Wie das geht? Sie suchen sich zum Beispiel die Adresse des Sprechers einer Behörde heraus und fälschen eine E-Mail von dieser Adresse. „Oh, eine E-Mail von unserem Sprecher“, das werden die Opfer wahrscheinlich öffnen.

Was hat Red October erbeutet?

Da die Angriffe über fünf Jahre liefen und mehrere Hundert Opfer betrafen, gehen wir davon aus, dass mehrere Petabyte hochsensibler Daten erbeutet wurden. Das entspricht dem gesamten Datenbestand der Library of Congress in Washington. Die Angreifer haben beispielsweise gezielt nach Dokumenten gesucht, die mit Acid Cryptofiler oder Chiasmus verschlüsselt wurden – das sind Werkzeuge, die die EU und die Nato benutzen, Chiasmus wurde vom Bundesamt für Sicherheit in der Informationstechnik entwickelt. Wir können nur hoffen, dass die Schlüssel hierfür ausgetauscht wurden.

Welche Rolle spielen private Akteure in diesem Kalten Krieg?

Wir haben grob gesagt zwei Gruppen: die offensive Seite und die defensive. Zu der offensiven zählen Firmen wie die deutsch-britische Gamma International oder das Hacking Team in Italien, die Schwachstellen finden, Spionage-Werkzeuge und sogenannte Regierungs-Trojaner entwickeln und verkaufen. Und dann gibt es Sicherheitsfirmen wie uns. Wir können nicht parteiisch sein, wir müssen alle schützen. Wenn wir die sogenannten legalen Spionage-Programme ignorieren würden wie den Bundestrojaner oder Magic Lantern des FBI, könnten wiederum Kriminelle diese Programme umdrehen und nutzen.

Brauchen wir Gesetze gegen den Handel mit Cyberwaffen?

Ja, immer mehr Länder entwickeln solche Waffe, und dadurch entstehen Gefahren: dass Unschuldige zu Opfern werden, dass die Waffen gegen ihre Urheber gerichtet werden.

Haben Sie Respekt vor einem guten Virus-Autor?

Eher Mitleid. Weil jemand Talent verschwendet, um Schlechtes zu tun. Aber ich verbringe manchmal ganze Nächte damit, mir ein spezielles Virus anzuschauen. Als wir Flame entdeckt haben, habe ich gesagt, dass es zehn Jahre dauern würde, um das komplett zu analysieren. Da haben einige Leute gelacht. Aber dann hat Microsoft, dessen System Windows Flame attackiert, eine Warnung ausgegeben, und da haben die Leute aufgehört zu lachen. Das Problem ist, dass das Programm so groß und so kompliziert ist. Weil es dauernd neue Angriffe gibt, kümmern sich nur noch wenige darum, es zu verstehen.

Das Interview führte Marin Majica.

Zur Homepage
comments powered by Disqus
Medien
Fotostrecken
Bambi 2014: Die Hin- und Weggucker

Ist sie frisch aus dem Dschungel entkommen? Nein, das soll wohl so. Das österreichische Model Larissa Marolt präsentiert - Mode. Mehr in unserer Fotostrecke: Die Hin- und Weggucker der Bambi-Verleihung.

Außerdem:
Fotostrecke: Die Bambi-Preisträger in Bildern
Fotostrecke: Prominente auf dem roten Teppich
Fotostrecke: Diese Preisträger standen schon fest

Filmtipps
TV-Kritik
Quiz
Tatort-Logo

Seit 40 Jahren gibt's fast jeden Sonntag im Fernsehen Mord und Totschlag. Mit dem Tatort beweist das öffentlich-rechtliche Fernsehen immer wieder seine Leistungsfähigkeit. Was wissen Sie über die Krimi-Reihe? Testen Sie's!

Videonachrichten Leute
Kino: Neustarts
Film

Die Filmwoche: Was läuft wann in welchem Kino? Alle Neustarts, alle Filme, alle Kinos, alle Zeiten.