Abo
  • Services:

NSA und GCHQ: Geheimdienste attackieren Anti-Viren-Hersteller

Am Nutzen von Anti-Viren-Software scheiden sich die Geister. Für die Geheimdienste NSA und GCHQ stellten Virenscanner aber nicht nur ein Problem dar, sondern auch eine nützliche Datenquelle. Ein deutscher Anbieter könnte betroffen gewesen sein.

Artikel veröffentlicht am ,
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf.
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf. (Bild: The Intercept)

Vor wenigen Tagen erst hat das russische Sicherheitsunternehmen Kaspersky den Fund eines ausgefeilten Trojaners in seinen Systemen gemeldet. Dass die Attacken auf Hersteller von Anti-Viren-Software seit Jahren zum Geschäft von Geheimdiensten gehören, zeigen nun veröffentlichte Dokumente aus dem Fundus von Edward Snowden. Wie das US-Enthüllungsportal The Intercept berichtete, versuchte der britische Geheimdienst GCHQ, die Kaspersky-Software mit Hilfe von Reverse Engineering zu entschlüsseln. Zudem griff der US-Geheimdienst NSA offenbar die Kommunikation von Kunden mit Sicherheitsunternehmen ab, um Hinweise auf neue Viren zu bekommen und Rückschlüsse auf die Kunden zu erhalten.

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Der Nutzen von Anti-Viren-Software ist in jüngster Zeit ohnehin stark umstritten. Während die Programme zum einen vielfach nicht in der Lage sind, einen Angriff zu erkennen, stellen sie nach Ansicht des Sicherheitsforschers Joxean Koret zum Teil selbst ein Sicherheitsrisiko dar. Das sah das GCHQ im Juni 2008 offenbar anders.

Router und Webforen gehackt

Der Geheimdienst beantragte damals die Erlaubnis, verschiedene IT-Produkte mit Hilfe von Software Reverse Engineering (SRE) analysieren zu dürfen, um damit Computernetzwerke auszuspionieren (Computer Network Exploitation/CNE). Dazu gehörten beispielsweise die Forensoftwares vbulletin und Invision Power Board (IP.Board) sowie Cisco-Router, um Internettraffic zu den eigenen Datenbanken weiterzuleiten. Letzteres soll in Pakistan erfolgreich eingesetzt worden sein.

SRE sollte ebenfalls gegen Kasperskys Virenscanner genutzt werden, der "weiterhin eine Herausforderung für die Fähigkeiten des GCHQ zur Netzwerkspionage darstellt", wie es in dem Antrag heißt. SRE sei dabei unverzichtbar, "um solche Software auszunutzen und die Entdeckung unserer Aktivitäten zu verhindern". Das GCHQ benötigte die Zustimmung der Regierung für SRE, weil diese Methode sonst eine Urheberrechtsverletzung oder einen Vertragsbruch darstellen könnte. Nach Angaben von The Intercept verbieten Software-Hersteller häufig ausdrücklich Reverse Engineering, um ihre Produkte zu schützen. Allerdings wird das Verfahren auch genutzt, um Sicherheitslücken herauszufinden und öffentlich zu machen.

23 weitere Hersteller überwacht?

Wie viele Sicherheitsfirmen die NSA auf dem Schirm hatte, zeigt eine andere Präsentation aus dem Snowden-Fundus. Demnach griff der Geheimdienst die Kommunikation zwischen Firmen und deren Kunden ab, um sich über neue Schadprogramme zu informieren. "Ein leichter Sieg: Sigint [technische Aufklärung] nutzen, um etwas über neue Viren zu erfahren", heißt es in einem Dokument zum Projekt Camberdada aus dem Jahr 2010. Die Malware-Sichtung ergebe "zehn potenziell schädliche Dateien pro Tag" -, was angesichts der Abertausenden von Schadprogrammen, die täglich entdeckt werden, eine recht geringe Ausbeute sein dürfte.

Das Dokument zeigt eine E-Mail, in der ein Nutzer ein potenzielles Schadprogramm an einen Anti-Viren-Hersteller gesendet hat. Die NSA überprüfte die abgefangene Schadsoftware darauf, ob die Virenscanner sie bereits entdecken und ob sie für eigene Zwecke genutzt werden könnte. Neben russischen Anbietern wie Kaspersky schlägt die Präsentation 23 weitere Ziele vor. Darunter sind auch der deutsche Hersteller Avira sowie die österreichischen Anbieter Ikarus und Emsisoft, wobei Emsisoft seit 2014 seinen Firmensitz in Neuseeland hat. Weitere bekannte Produkte wie DrWeb (Russland), F-Secure (Finnland), Avast (Tschechien) und Bit-Defender (Rumänien) befinden sich ebenfalls darunter.

Nicht jeder Traffic verschlüsselt?

Ob die Kommunikation dieser Firmen tatsächlich für das Projekt Camberdada überwacht wurde, geht aus den Unterlagen nicht hervor. Ikarus-Chef Joe Pichlmayr sagte der österreichischen Zeitung Der Standard, dass Angriffe von staatlichen Akteuren auf Antivirenprogrammhersteller "keine große Überraschung" seien. Der Austausch zwischen den einzelnen Firmen erfolge jedoch durch verschlüsselte E-Mails, man versuche sich also vor dem Zugriff zu schützen. "Diese Regel ist uralt", sagte Pichlmayr. Viel gefährlicher als die Ausspähung einzelner E-Mails ist für Pichlmayr die Infiltration der Antivirenprogramme selbst.

Kaspersky wiederum bestritt auf Anfrage von The Intercept, dass sich aus der Kommunikation seiner Software mit dem Server ein Rückschluss auf den speziellen Kunden treffen lasse. So würden alle Kundendaten verschlüsselt übertragen. The Intercept behauptet jedoch, dass das Kaspersky-Produkt Small Business Security 4 einen detaillierten Bericht über die Hard- und Softwarekonfiguration des Nutzers unverschlüsselt an das Unternehmen übertrage. Dem Bericht zufolge hat die NSA die Kommunikation analysiert, die der "User Agent" der Kaspersky-Software an die Firmenserver sendet. Demnach ließ sich aus den Zeichenfolgen auf den Rechner schließen, der das Anti-Viren-Programm nutzt. Dies hilft den Agenten wiederum bei der Frage, mit welchem Spähprogramm ein Verdächtiger überwacht werden könnte.



Anzeige
Spiele-Angebote
  1. 15,49€
  2. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  3. 54,99€ mit Vorbesteller-Preisgarantie (Release 05.10.)
  4. 44,99€ + USK-18-Versand

sii 24. Jun 2015

stimmt nicht ganz Ich denke es ist eine temporärer Ersatz einer Verfassung Letzter...

Trollversteher 24. Jun 2015

Schröder hatte auch seine guten Gründe für diese Politik - und diese waren ganz sicher...

Anonymer Nutzer 24. Jun 2015

Warum so selektiv? In meinen Augen sind AV-Programme die perfekten Trojaner. Die...

airstryke1337 24. Jun 2015

Wir hatten den Buzz einer riesigen Empörungswelle. Dass unsere Regierungen sowas...


Folgen Sie uns
       


Pathfinder Kingmaker - Golem.de live (Teil 2)

In Teil 2 unseres Livestreams wächst nicht nur unsere Party, sondern es gibt auch beim Endkampf jede Menge Drama, Wut und Liebe im Chat.

Pathfinder Kingmaker - Golem.de live (Teil 2) Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /