Politik

Vor allem Russland betroffenSoftware spioniert Firmen und Behörden aus

24.11.2014, 08:30 Uhr
Einige-Spaehprogramme-koennen-praktisch-alle-Aktionen-von-Computernutzern-aufzeichnen
"Regin" bleibt während seiner Spähaktionen lange unentdeckt. (Foto: dpa)

Über Jahre hinweg späht eine Software unentdeckt Unternehmen und Behörden aus. Besonders in Russland und Saudi-Arabien wird spioniert. Das hoch entwickelte Programm könne nur von Staaten in Auftrag gegeben worden sein, so IT-Experten.

Eine neu entdeckte Spionage-Software hat über Jahre Unternehmen und Behörden vor allem in Russland und Saudi-Arabien ausgespäht. Das Programm sei so komplex und aufwendig, dass nur Staaten als Auftraggeber infrage kämen, erklärte die IT-Sicherheitsfirma Symantec, die die Software entdeckt hatte.

Waffen im Cyberwar

Die meisten Computerschädlinge werden von Cyberkriminellen in Umlauf gebracht, die mit ihren Programmen Geld machen wollen. Doch mittlerweile entdecken Antivirus-Experten zunehmend auch Schadprogramme, die politische Zwecke erfüllen sollen:

STUXNET: Der Computerwurm Stuxnet ist im Jahr 2011 zum Synonym für Angriffe auf große und wichtige Infrastrukturen wie Industrieanlagen oder Stromnetze geworden. Der raffinierte Schädling war auf eine bestimmte Konfiguration von Siemens-Industriesystemen zugeschnitten. Experten gehen davon aus, dass er geschrieben wurde, um das iranische Atomprogramm zu sabotieren. Da der Arbeitsaufwand für ein derartiges Programm immens hoch ist, vermuten viele Spezialisten Staaten oder zumindest eine staatlich unterstütze Gruppe hinter dem Angriff.

DUQU: Dieser Trojaner wird von Experten als "der kleine Bruder von Stuxnet" bezeichnet. Er sammelt Daten von Computern und übermittelt sie an seine Entwickler. Die Software hat offenbar das Ziel, Industrieanlagen für weitere Angriffe auszuspionieren. Die erste Duqu-Attacke dürfte bereits auf Dezember 2010 zurückgehen. Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "~DQ" anlegt.

FLAME: Die Schadsoftware ist mit 20 Megabyte viel größer als Stuxnet. Sie greift Windows-Rechner an und führt unterschiedlichste Spionagefunktionen aus. Flame kann das Mikrofon des Rechners einschalten und Gespräche belauschen, Bildschirminhalte und Tastatureingaben aufzeichnen sowie das Datennetzwerk überwachen. Außerdem verfügt das Programm über eine Hintertür, so dass weitere Schad-Funktionen nachgeladen werden können.

Gut jede vierte Infektion traf demnach Betreiber von Telekom-Netzen. Dabei hätten die Angreifer zum Teil auch Zugriff auf Verbindungsdaten bekommen. Symantec gab der Software den Namen "Regin". Das Programm setzt sich auf infizierten Computern in mehreren Stufen fest und ist darauf getrimmt, lange unentdeckt zu bleiben.

Anpassung ans Angriffsziel

"Selbst wenn man es entdeckt, ist es sehr schwer, festzustellen, was es macht", erläutert Symantec. Inzwischen sei die Firma in der Lage, "Regin" auf Computern ausfindig zu machen, heißt es. Zugleich geht Symantec davon aus, dass es noch unentdeckte Funktionen und Varianten der Software gibt.

Das verdeckt agierende Trojaner-Programm "Regin" kann laut den IT-Experten unter anderem Aufnahmen vom Bildschirm machen, Passwörter stehlen, den Datenverkehr überwachen und für die Angreifer gelöschte Dateien wiederherstellen. Die Aufgaben der Software können an das Angriffsziel angepasst werden.

Russland sei mit 28 Prozent der Fälle am schwersten betroffen, gefolgt von Saudi-Arabien mit 24 Prozent, erklärte Symantec. Danach folgen Irland und Mexiko mit jeweils neun Prozent sowie Indien mit fünf Prozent.

Urheber sind möglicherweise Geheimdienste

Das IT-Unternehmen habe bisher keine direkten Hinweise auf die Urheber von "Regin" gefunden, sagte Symantec-Experte Cadid Wuest. Von Niveau der Entwicklung und den Zielen her kämen Geheimdienste etwa der USA, Israels oder Chinas infrage. Die Software sei von 2008 bis 2011 aktiv gewesen, dann sei 2013 eine neue Version aufgetaucht, erklärt Wuest.

Rund die Hälfte der bisher entdeckten "Regin"-Infektionen entfalle auf Privatpersonen und kleinere Unternehmen. Außerdem seien Fluggesellschaften, Forschungseinrichtungen sowie die Energiebranche und das Hotelgewerbe betroffen gewesen. Die gestohlenen Informationen würden verschlüsselt gespeichert und übermittelt. Der dabei entstehende Datenverkehr sei einer der wenigen Hinweise, um das Spionage-Programm aufzuspüren.

"Regin" spiele technisch in einer Liga mit dem Sabotage-Programm "Stuxnet", das einst das iranische Atomprogramm untergrub, erklärte Symantec. Hinter "Stuxnet" werden israelische und amerikanische Geheimdienst vermutet. Die Entwicklung von "Regin" dürfte Monate, wenn nicht Jahre gedauert haben, schätzten die Sicherheitsexperten.

Quelle: ntv.de, lsc/dpa

RusslandIT-SicherheitSpionageSoftwareSaudi-ArabienIT-BrancheComputer