Kaspersky unter Verdacht

Spion sieht Spion sieht Spion

Von Axel Weidemann
 - 11:22

Der Informationskrieg im Internet erinnert gelegentlich ans Mittelalter. Es geht um Festungen (Computer), die zu bewachen sind (Antivirusprogramme); Schätze, die darin untergebracht sind (vertrauliche Daten); und diejenigen, die dem Stand der sogenannten Hacker angehören und mitunter zu Raubrittern werden. Wenn es nicht um Geld geht, dann geht es – und das tut es umso mehr, je heißer die Daten sind – um Politik. Denn im Hintergrund stehen die Weltmächte und solche, die es werden wollen. Der alte Konflikt Ost gegen West wird von Menschen an Tastaturen aller Art ausgefochten. Die Sieger, die Unterlegenen und die Beute werden der Öffentlichkeit oft erst Jahre später bekannt.

So auch in jenem Fall, den das „Wall Street Journal“ im Oktober bekanntmachte: Russischen Hackern sei es im Jahr 2015 gelungen, der NSA Daten zu entwenden. Es ging um Hinweise darauf, wie die NSA-Angestellten der „Tailored Access Operations“ (TAO) fremde Computer infiltrieren, und wie man sich gegen Cyberattacken aus dem Ausland schützt. Dem Bericht zufolge, der sich überwiegend „auf gut unterrichtete Kreise“ beruft, wurde man erst im Frühling 2016 auf die Sache aufmerksam.

Für besonderes Aufsehen sorgte die Art und Weise, wie die Hacker an die Daten gekommen sein sollen. So habe angeblich ein Mitarbeiter eines NSA-Dienstleisters die sensiblen Daten auf einem privaten Computer gespeichert, auf dem das Antivirenprogramm des russischen Unternehmens „Kaspersky Lab“ installiert war. Mit der Virensoftware sei es den Hackern gelungen, die Daten auf dem Computer zu identifizieren und zu stehlen. Die NSA – bei der es sich mittlerweile um den dritten Fall handelt, in dem ein Dienstleister sich Zugang zu hochsensiblen Daten verschafft und diese verschleppt hat – kommentiert den Vorgang nicht.

Vor wenigen Tagen legte „Kaspersky Lab“ die ersten Ergebnisse einer internen Untersuchung vor. Das Unternehmen gibt zu, dass die hauseigene Antivirensoftware schon am 11. September 2014 Hacking-Programme auf dem Computer eines Kaspersky-Nutzers gefunden habe, die man den Hackern zuordnet, welche die Daten der NSA abgegriffen haben. Gleichzeitig wirft Kaspersky Lab dem NSA-Mitarbeiter jedoch vor, er habe eine ganze Reihe grober Fehler begangen. So soll er sich bei dem Versuch, durch einen Aktivierungscode-Generator illegal an die Programme von „Microsoft Office“ zu kommen, Schadsoftware eingefangen haben. Bei dieser Schadsoftware („Backdoor.Win32.Mokes.hvl“) soll es sich um ein Programm handeln, dass es anderen Nutzern ermöglicht haben könnte, Zugang zu dem betroffenen Computer zu erhalten. Das Ganze habe wie eine „gesprengte Hintertür“ (full blown backdoor) funktioniert. Auf die Vorwürfe, Kaspersky habe russische Hacker auf die Spur von Cyberwaffen der NSA gebracht, ging das Unternehmen nicht ein. Dem „Guardian“ sagte der Geschäftsführer Jewgeni Kaspersky, das Archiv mit den Virenfunden sei auf sein Geheiß umgehend gelöscht worden, „es wurde nichts mit irgendjemandem geteilt.“

Die „New York Times“ hatte zuvor einen Bericht veröffentlicht, demzufolge der israelische Geheimdienst die russischen Hacker dabei beobachtet habe, wie diese nach Spuren amerikanischer Geheimdienst-Software suchten: Also ein Fall, in dem „Spione Spione beobachteten, die Spione beobachteten“. Die israelischen Agenten, die sich Zugang zum Netzwerk von Kaspersky verschafft hätten, sollen die amerikanischen Behörden über die russischen Angreifer informiert haben, die mit Hilfe der Virensoftware den privaten Computer des NSA-Dienstleisters „gescannt“ haben sollen. Unklar ist bislang, ob dieser Bericht mit einer bestätigten Infektion des Firmen-Netzwerks von Kaspersky in Verbindung gebracht werden kann, infolge derer das System von der Schadsoftware namens „Duqu 2.0“ befallen war, die Dritten monatelang einen Zugang ermöglicht haben soll, ohne dass man dies bei Kaspersky bemerkte. Dafür spricht, dass die Schadsoftware der Gruppe „Unit 8200“ zugeordnet wird, die zum israelischen Militärgeheimdienst zählt.

Auch das BSI setzt im Bereich „technische Analyse“ auf Kaspersky

In der Folge sollen die amerikanischen Behörden entschieden haben, Kaspersky-Virensoftware von allen Regierungscomputern zu entfernen. Auch der Bericht in der „Times“ stützt sich ausschließlich auf „Personen, die mit der Angelegenheit vertraut sind“. Aktuelle und einstige Regierungsangehörige, die den Vorfall beschreiben, sollen nur unter der Bedingung gesprochen haben, dass ihre Anonymität gewahrt bleibe.

Derweil sind die Amerikaner nicht die einzigen, die sich auf die Sicherheit aus dem Hause Kaspersky verließen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gab eine Pressemeldung heraus, in der es heißt: Dem BSI „liegen derzeit keine Erkenntnisse vor, dass der Vorgang wie im Medienbericht beschrieben stattfand. Das BSI steht in Kontakt mit den amerikanischen Partnerbehörden.“ Eine Warnung vor dem Einsatz von Kaspersky-Produkten sei zurzeit nicht vorgesehen, „da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.“ Wohl auch deshalb nicht, weil das BSI „im Bereich der technischen Analyse“ selbst „Produkte von Kaspersky“ einsetzt.

Kaspersky hatte zuvor eine Stellungnahme veröffentlicht, in der die Firma sich darüber ärgerte, dass man ihr bis dato keine Beweise vorlegen könne. Es „sei bedauerlich, dass eine solche Berichterstattung, die auf unbewiesenen Behauptungen basiere, Anschuldigungen gegen das Unternehmen“ verbreite. Man sei bereit, mit den amerikanischen Behörden zusammenzuarbeiten und erbitte Informationen, „die dem Unternehmen helfen könnten, die Sache so schnell wie möglich zu untersuchen“. Kaspersky Lab habe „keine unsauberen Verbindungen zu irgendeiner Regierung, einschließlich der russischen“. Es habe den Anschein, dass Kaspersky Spielball in einem geopolitischen Konflikt sei. Für den Fall, dass das System des Unternehmens kompromittiert sei, fordere man die verantwortlichen Parteien „respektvoll“ dazu auf, diesbezüglich verifizierbare Informationen zu liefern.

Die unausgesprochene Vermutung, die hinter all dem steht – dass Kaspersky eng mit der russischen Regierung verbunden ist –, ist nicht neu. Dem Mitgründer und Vorstandschef Jewgeni Kasperski werden Beziehungen zum russischen Inlandsgeheimdienst FSB nachgesagt. 2012 berichtete das Magazin „Wired“ von Kasperskis angeblich enger Verbindung zum russischen Präsidenten Wladimir Putin, was Kasperski jedoch dementierte. Nicht zuletzt, da er mit zahlreichen Behörden westlicher Nationen zusammenarbeite. Die „Welt“ zitierte ihn zuletzt 2015 mit der Aussage, man stehe dem FSB naturgemäß näher, „weil die meisten Profis in der Cyberkriminalität aus Russland kommen. Bei den Schadprogrammen ist Chinesisch die am meisten verbreitete Sprache. Die zweithäufigste ist Spanisch, aber die professionellsten Attacken kommen aus Russland. Wir und die FSB-Leute sind vielleicht keine engen Freunde, aber wir kennen einander.“

Kaspersky gehört zu den wenigen russischen Software-Unternehmen, die trotz massenhafter Abwanderung heimischer Spezialisten in der postkommunistischen Transformationskrise nach dem Ende der Sowjetunion Fuß fassten. Die Firma machte mehrfach Schlagzeilen mit Enthüllungen über komplexe Schadsoftware, so etwa 2010 mit der maßgeblichen Beteiligung seiner Experten an der Entschlüsselung des „Stuxnet“-Virus, das mutmaßlich von Geheimdiensten der Vereinigten Staaten und Israels bei einem Angriff auf iranische Atomanlagen eingesetzt wurde. 2013 enttarnte Kaspersky das Spionageprogramm „Roter Oktober“, das vor allem in Russland und in der Schweiz Hunderte Computer von Regierungsstellen und Botschaften infiziert hatte. Zuletzt enthüllte Kaspersky Lab im Juni 2015, dass mit dem Stuxnet-Ableger „Duqu“, der auch die eigene Firma befallen hatte, die Atomgespräche zwischen Iran, den UN-Vetomächten und Deutschland ausspioniert worden waren.

Die russische Software-Schmiede bemüht sich jedenfalls weiter um Schadensbegrenzung. Vor ein paar Tagen hat Kaspersky eine „globale Transparenz-Initiative“ gestartet, um seine weltweit etwa vierhundert Millionen Kunden zu beruhigen und klarzustellen, dass man diese vor „Cyberbedrohungen“ schütze, „egal welchen Ursprungs“ sie seien und welchen „Zweck“ sie verfolgten. Als Teil der Initiative, mit der man sich stärker in der Informationssicherheitscommunity engagieren will, will Kaspersky den Quellcode, also das alphanumerische Gerüst seiner Software, nebst Updatefunktion und den Regeln zur Bedrohungserkennung durch unabhängige Unternehmen prüfen lassen. Wer Hinweise auf etwaige Schwachstellen in den Programmen von Kaspersky gibt, kann einen Finderlohn von hunderttausend Dollar erhalten.

Quelle: F.A.Z.
Autorenporträt / Weidemann, Axel
Axel Weidemann
Redakteur im Feuilleton.
Twitter
  Zur Startseite
Ähnliche ThemenBSIGeheimdienstGuardian Media GroupNSAWSJSpion