Abo
  • Services:

NSA und GCHQ: Geheimdienste attackieren Anti-Viren-Hersteller

Am Nutzen von Anti-Viren-Software scheiden sich die Geister. Für die Geheimdienste NSA und GCHQ stellten Virenscanner aber nicht nur ein Problem dar, sondern auch eine nützliche Datenquelle. Ein deutscher Anbieter könnte betroffen gewesen sein.

Artikel veröffentlicht am ,
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf.
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf. (Bild: The Intercept)

Vor wenigen Tagen erst hat das russische Sicherheitsunternehmen Kaspersky den Fund eines ausgefeilten Trojaners in seinen Systemen gemeldet. Dass die Attacken auf Hersteller von Anti-Viren-Software seit Jahren zum Geschäft von Geheimdiensten gehören, zeigen nun veröffentlichte Dokumente aus dem Fundus von Edward Snowden. Wie das US-Enthüllungsportal The Intercept berichtete, versuchte der britische Geheimdienst GCHQ, die Kaspersky-Software mit Hilfe von Reverse Engineering zu entschlüsseln. Zudem griff der US-Geheimdienst NSA offenbar die Kommunikation von Kunden mit Sicherheitsunternehmen ab, um Hinweise auf neue Viren zu bekommen und Rückschlüsse auf die Kunden zu erhalten.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Der Nutzen von Anti-Viren-Software ist in jüngster Zeit ohnehin stark umstritten. Während die Programme zum einen vielfach nicht in der Lage sind, einen Angriff zu erkennen, stellen sie nach Ansicht des Sicherheitsforschers Joxean Koret zum Teil selbst ein Sicherheitsrisiko dar. Das sah das GCHQ im Juni 2008 offenbar anders.

Router und Webforen gehackt

Der Geheimdienst beantragte damals die Erlaubnis, verschiedene IT-Produkte mit Hilfe von Software Reverse Engineering (SRE) analysieren zu dürfen, um damit Computernetzwerke auszuspionieren (Computer Network Exploitation/CNE). Dazu gehörten beispielsweise die Forensoftwares vbulletin und Invision Power Board (IP.Board) sowie Cisco-Router, um Internettraffic zu den eigenen Datenbanken weiterzuleiten. Letzteres soll in Pakistan erfolgreich eingesetzt worden sein.

SRE sollte ebenfalls gegen Kasperskys Virenscanner genutzt werden, der "weiterhin eine Herausforderung für die Fähigkeiten des GCHQ zur Netzwerkspionage darstellt", wie es in dem Antrag heißt. SRE sei dabei unverzichtbar, "um solche Software auszunutzen und die Entdeckung unserer Aktivitäten zu verhindern". Das GCHQ benötigte die Zustimmung der Regierung für SRE, weil diese Methode sonst eine Urheberrechtsverletzung oder einen Vertragsbruch darstellen könnte. Nach Angaben von The Intercept verbieten Software-Hersteller häufig ausdrücklich Reverse Engineering, um ihre Produkte zu schützen. Allerdings wird das Verfahren auch genutzt, um Sicherheitslücken herauszufinden und öffentlich zu machen.

23 weitere Hersteller überwacht?

Wie viele Sicherheitsfirmen die NSA auf dem Schirm hatte, zeigt eine andere Präsentation aus dem Snowden-Fundus. Demnach griff der Geheimdienst die Kommunikation zwischen Firmen und deren Kunden ab, um sich über neue Schadprogramme zu informieren. "Ein leichter Sieg: Sigint [technische Aufklärung] nutzen, um etwas über neue Viren zu erfahren", heißt es in einem Dokument zum Projekt Camberdada aus dem Jahr 2010. Die Malware-Sichtung ergebe "zehn potenziell schädliche Dateien pro Tag" -, was angesichts der Abertausenden von Schadprogrammen, die täglich entdeckt werden, eine recht geringe Ausbeute sein dürfte.

Das Dokument zeigt eine E-Mail, in der ein Nutzer ein potenzielles Schadprogramm an einen Anti-Viren-Hersteller gesendet hat. Die NSA überprüfte die abgefangene Schadsoftware darauf, ob die Virenscanner sie bereits entdecken und ob sie für eigene Zwecke genutzt werden könnte. Neben russischen Anbietern wie Kaspersky schlägt die Präsentation 23 weitere Ziele vor. Darunter sind auch der deutsche Hersteller Avira sowie die österreichischen Anbieter Ikarus und Emsisoft, wobei Emsisoft seit 2014 seinen Firmensitz in Neuseeland hat. Weitere bekannte Produkte wie DrWeb (Russland), F-Secure (Finnland), Avast (Tschechien) und Bit-Defender (Rumänien) befinden sich ebenfalls darunter.

Nicht jeder Traffic verschlüsselt?

Ob die Kommunikation dieser Firmen tatsächlich für das Projekt Camberdada überwacht wurde, geht aus den Unterlagen nicht hervor. Ikarus-Chef Joe Pichlmayr sagte der österreichischen Zeitung Der Standard, dass Angriffe von staatlichen Akteuren auf Antivirenprogrammhersteller "keine große Überraschung" seien. Der Austausch zwischen den einzelnen Firmen erfolge jedoch durch verschlüsselte E-Mails, man versuche sich also vor dem Zugriff zu schützen. "Diese Regel ist uralt", sagte Pichlmayr. Viel gefährlicher als die Ausspähung einzelner E-Mails ist für Pichlmayr die Infiltration der Antivirenprogramme selbst.

Kaspersky wiederum bestritt auf Anfrage von The Intercept, dass sich aus der Kommunikation seiner Software mit dem Server ein Rückschluss auf den speziellen Kunden treffen lasse. So würden alle Kundendaten verschlüsselt übertragen. The Intercept behauptet jedoch, dass das Kaspersky-Produkt Small Business Security 4 einen detaillierten Bericht über die Hard- und Softwarekonfiguration des Nutzers unverschlüsselt an das Unternehmen übertrage. Dem Bericht zufolge hat die NSA die Kommunikation analysiert, die der "User Agent" der Kaspersky-Software an die Firmenserver sendet. Demnach ließ sich aus den Zeichenfolgen auf den Rechner schließen, der das Anti-Viren-Programm nutzt. Dies hilft den Agenten wiederum bei der Frage, mit welchem Spähprogramm ein Verdächtiger überwacht werden könnte.



Anzeige
Spiele-Angebote
  1. (-81%) 5,75€
  2. 4,99€
  3. 25,99€
  4. 14,95€

sii 24. Jun 2015

stimmt nicht ganz Ich denke es ist eine temporärer Ersatz einer Verfassung Letzter...

Trollversteher 24. Jun 2015

Schröder hatte auch seine guten Gründe für diese Politik - und diese waren ganz sicher...

Anonymer Nutzer 24. Jun 2015

Warum so selektiv? In meinen Augen sind AV-Programme die perfekten Trojaner. Die...

airstryke1337 24. Jun 2015

Wir hatten den Buzz einer riesigen Empörungswelle. Dass unsere Regierungen sowas...


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

    Autonome Schiffe: Und abends geht der Kapitän nach Hause
    Autonome Schiffe
    Und abends geht der Kapitän nach Hause

    Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
    Ein Bericht von Werner Pluta

    1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
    2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
    3. Power Pac Strom aus dem Container für Ozeanriesen

      •  /