Abo
  • Services:

NSA und GCHQ: Geheimdienste attackieren Anti-Viren-Hersteller

Am Nutzen von Anti-Viren-Software scheiden sich die Geister. Für die Geheimdienste NSA und GCHQ stellten Virenscanner aber nicht nur ein Problem dar, sondern auch eine nützliche Datenquelle. Ein deutscher Anbieter könnte betroffen gewesen sein.

Artikel veröffentlicht am ,
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf.
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf. (Bild: The Intercept)

Vor wenigen Tagen erst hat das russische Sicherheitsunternehmen Kaspersky den Fund eines ausgefeilten Trojaners in seinen Systemen gemeldet. Dass die Attacken auf Hersteller von Anti-Viren-Software seit Jahren zum Geschäft von Geheimdiensten gehören, zeigen nun veröffentlichte Dokumente aus dem Fundus von Edward Snowden. Wie das US-Enthüllungsportal The Intercept berichtete, versuchte der britische Geheimdienst GCHQ, die Kaspersky-Software mit Hilfe von Reverse Engineering zu entschlüsseln. Zudem griff der US-Geheimdienst NSA offenbar die Kommunikation von Kunden mit Sicherheitsunternehmen ab, um Hinweise auf neue Viren zu bekommen und Rückschlüsse auf die Kunden zu erhalten.

Stellenmarkt
  1. afb Application Services AG, München
  2. Dataport, Altenholz bei Kiel

Der Nutzen von Anti-Viren-Software ist in jüngster Zeit ohnehin stark umstritten. Während die Programme zum einen vielfach nicht in der Lage sind, einen Angriff zu erkennen, stellen sie nach Ansicht des Sicherheitsforschers Joxean Koret zum Teil selbst ein Sicherheitsrisiko dar. Das sah das GCHQ im Juni 2008 offenbar anders.

Router und Webforen gehackt

Der Geheimdienst beantragte damals die Erlaubnis, verschiedene IT-Produkte mit Hilfe von Software Reverse Engineering (SRE) analysieren zu dürfen, um damit Computernetzwerke auszuspionieren (Computer Network Exploitation/CNE). Dazu gehörten beispielsweise die Forensoftwares vbulletin und Invision Power Board (IP.Board) sowie Cisco-Router, um Internettraffic zu den eigenen Datenbanken weiterzuleiten. Letzteres soll in Pakistan erfolgreich eingesetzt worden sein.

SRE sollte ebenfalls gegen Kasperskys Virenscanner genutzt werden, der "weiterhin eine Herausforderung für die Fähigkeiten des GCHQ zur Netzwerkspionage darstellt", wie es in dem Antrag heißt. SRE sei dabei unverzichtbar, "um solche Software auszunutzen und die Entdeckung unserer Aktivitäten zu verhindern". Das GCHQ benötigte die Zustimmung der Regierung für SRE, weil diese Methode sonst eine Urheberrechtsverletzung oder einen Vertragsbruch darstellen könnte. Nach Angaben von The Intercept verbieten Software-Hersteller häufig ausdrücklich Reverse Engineering, um ihre Produkte zu schützen. Allerdings wird das Verfahren auch genutzt, um Sicherheitslücken herauszufinden und öffentlich zu machen.

23 weitere Hersteller überwacht?

Wie viele Sicherheitsfirmen die NSA auf dem Schirm hatte, zeigt eine andere Präsentation aus dem Snowden-Fundus. Demnach griff der Geheimdienst die Kommunikation zwischen Firmen und deren Kunden ab, um sich über neue Schadprogramme zu informieren. "Ein leichter Sieg: Sigint [technische Aufklärung] nutzen, um etwas über neue Viren zu erfahren", heißt es in einem Dokument zum Projekt Camberdada aus dem Jahr 2010. Die Malware-Sichtung ergebe "zehn potenziell schädliche Dateien pro Tag" -, was angesichts der Abertausenden von Schadprogrammen, die täglich entdeckt werden, eine recht geringe Ausbeute sein dürfte.

Das Dokument zeigt eine E-Mail, in der ein Nutzer ein potenzielles Schadprogramm an einen Anti-Viren-Hersteller gesendet hat. Die NSA überprüfte die abgefangene Schadsoftware darauf, ob die Virenscanner sie bereits entdecken und ob sie für eigene Zwecke genutzt werden könnte. Neben russischen Anbietern wie Kaspersky schlägt die Präsentation 23 weitere Ziele vor. Darunter sind auch der deutsche Hersteller Avira sowie die österreichischen Anbieter Ikarus und Emsisoft, wobei Emsisoft seit 2014 seinen Firmensitz in Neuseeland hat. Weitere bekannte Produkte wie DrWeb (Russland), F-Secure (Finnland), Avast (Tschechien) und Bit-Defender (Rumänien) befinden sich ebenfalls darunter.

Nicht jeder Traffic verschlüsselt?

Ob die Kommunikation dieser Firmen tatsächlich für das Projekt Camberdada überwacht wurde, geht aus den Unterlagen nicht hervor. Ikarus-Chef Joe Pichlmayr sagte der österreichischen Zeitung Der Standard, dass Angriffe von staatlichen Akteuren auf Antivirenprogrammhersteller "keine große Überraschung" seien. Der Austausch zwischen den einzelnen Firmen erfolge jedoch durch verschlüsselte E-Mails, man versuche sich also vor dem Zugriff zu schützen. "Diese Regel ist uralt", sagte Pichlmayr. Viel gefährlicher als die Ausspähung einzelner E-Mails ist für Pichlmayr die Infiltration der Antivirenprogramme selbst.

Kaspersky wiederum bestritt auf Anfrage von The Intercept, dass sich aus der Kommunikation seiner Software mit dem Server ein Rückschluss auf den speziellen Kunden treffen lasse. So würden alle Kundendaten verschlüsselt übertragen. The Intercept behauptet jedoch, dass das Kaspersky-Produkt Small Business Security 4 einen detaillierten Bericht über die Hard- und Softwarekonfiguration des Nutzers unverschlüsselt an das Unternehmen übertrage. Dem Bericht zufolge hat die NSA die Kommunikation analysiert, die der "User Agent" der Kaspersky-Software an die Firmenserver sendet. Demnach ließ sich aus den Zeichenfolgen auf den Rechner schließen, der das Anti-Viren-Programm nutzt. Dies hilft den Agenten wiederum bei der Frage, mit welchem Spähprogramm ein Verdächtiger überwacht werden könnte.



Anzeige
Hardware-Angebote
  1. bei Alternate kaufen
  2. 1.099€
  3. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  4. (reduzierte Überstände, Restposten & Co.)

sii 24. Jun 2015

stimmt nicht ganz Ich denke es ist eine temporärer Ersatz einer Verfassung Letzter...

Trollversteher 24. Jun 2015

Schröder hatte auch seine guten Gründe für diese Politik - und diese waren ganz sicher...

Anonymer Nutzer 24. Jun 2015

Warum so selektiv? In meinen Augen sind AV-Programme die perfekten Trojaner. Die...

airstryke1337 24. Jun 2015

Wir hatten den Buzz einer riesigen Empörungswelle. Dass unsere Regierungen sowas...


Folgen Sie uns
       


Vampyr - Fazit

Vampyr überzeugt uns relativ schnell im Test. Nach einer Weile flacht die Blutsaugerei aber wegen langweiliger Gespräche und Probleme mit der Kameraführung ab.

Vampyr - Fazit Video aufrufen
Garmin im Hands on: Alle Fenix 5 Plus bieten Musik und Offlinenavigation
Garmin im Hands on
Alle Fenix 5 Plus bieten Musik und Offlinenavigation

Selbst das kleinste Modell der Fenix 5 von Garmin verfügt in der neuen Plus-Version über 16 GByte statt über 64 MByte internem Speicher. Der wird für Musik und Offlinekarten mit frischen Ideen genutzt - Golem.de hat die Sportuhren im Hands on ausprobiert.


    Alte gegen neue Model M: Wenn die Knickfedern wohlig klackern
    Alte gegen neue Model M
    Wenn die Knickfedern wohlig klackern

    Seit 1999 gibt es keine Model-M-Tastaturen mit IBM-Logo mehr - das bedeutet aber nicht, dass man keine neuen Keyboards mit dem legendären Tippgefühl bekommt: Unicomp baut die Geräte weiterhin. Wir haben eines der neuen Modelle mit einer Model M von 1992 verglichen.
    Ein Test von Tobias Költzsch

    1. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
    2. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
    3. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard

    Deutsche Siri auf dem Homepod im Test: Amazon und Google können sich entspannt zurücklehnen
    Deutsche Siri auf dem Homepod im Test
    Amazon und Google können sich entspannt zurücklehnen

    In diesem Monat kommt der dritte digitale Assistent auf einem smarten Lautsprecher nach Deutschland: Siri. Wir haben uns angehört, was die deutsche Version auf dem Homepod leistet.
    Ein Test von Ingo Pakalski

    1. Patentantrag von Apple Neues Verfahren könnte Siri schlauer machen
    2. Siri vs. Google Assistant Apple schnappt sich Googles KI-Chefentwickler
    3. Digitaler Assistent Apple will Siri verbessern

      •  /