Abo
  • IT-Karriere:

NSA und GCHQ: Geheimdienste attackieren Anti-Viren-Hersteller

Am Nutzen von Anti-Viren-Software scheiden sich die Geister. Für die Geheimdienste NSA und GCHQ stellten Virenscanner aber nicht nur ein Problem dar, sondern auch eine nützliche Datenquelle. Ein deutscher Anbieter könnte betroffen gewesen sein.

Artikel veröffentlicht am ,
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf.
Der deutsche Anbieter Avira taucht in einer Liste potenzieller Ziele auf. (Bild: The Intercept)

Vor wenigen Tagen erst hat das russische Sicherheitsunternehmen Kaspersky den Fund eines ausgefeilten Trojaners in seinen Systemen gemeldet. Dass die Attacken auf Hersteller von Anti-Viren-Software seit Jahren zum Geschäft von Geheimdiensten gehören, zeigen nun veröffentlichte Dokumente aus dem Fundus von Edward Snowden. Wie das US-Enthüllungsportal The Intercept berichtete, versuchte der britische Geheimdienst GCHQ, die Kaspersky-Software mit Hilfe von Reverse Engineering zu entschlüsseln. Zudem griff der US-Geheimdienst NSA offenbar die Kommunikation von Kunden mit Sicherheitsunternehmen ab, um Hinweise auf neue Viren zu bekommen und Rückschlüsse auf die Kunden zu erhalten.

Stellenmarkt
  1. EDAG Engineering GmbH, Dortmund
  2. LIDL Stiftung & Co. KG, Neckarsulm

Der Nutzen von Anti-Viren-Software ist in jüngster Zeit ohnehin stark umstritten. Während die Programme zum einen vielfach nicht in der Lage sind, einen Angriff zu erkennen, stellen sie nach Ansicht des Sicherheitsforschers Joxean Koret zum Teil selbst ein Sicherheitsrisiko dar. Das sah das GCHQ im Juni 2008 offenbar anders.

Router und Webforen gehackt

Der Geheimdienst beantragte damals die Erlaubnis, verschiedene IT-Produkte mit Hilfe von Software Reverse Engineering (SRE) analysieren zu dürfen, um damit Computernetzwerke auszuspionieren (Computer Network Exploitation/CNE). Dazu gehörten beispielsweise die Forensoftwares vbulletin und Invision Power Board (IP.Board) sowie Cisco-Router, um Internettraffic zu den eigenen Datenbanken weiterzuleiten. Letzteres soll in Pakistan erfolgreich eingesetzt worden sein.

SRE sollte ebenfalls gegen Kasperskys Virenscanner genutzt werden, der "weiterhin eine Herausforderung für die Fähigkeiten des GCHQ zur Netzwerkspionage darstellt", wie es in dem Antrag heißt. SRE sei dabei unverzichtbar, "um solche Software auszunutzen und die Entdeckung unserer Aktivitäten zu verhindern". Das GCHQ benötigte die Zustimmung der Regierung für SRE, weil diese Methode sonst eine Urheberrechtsverletzung oder einen Vertragsbruch darstellen könnte. Nach Angaben von The Intercept verbieten Software-Hersteller häufig ausdrücklich Reverse Engineering, um ihre Produkte zu schützen. Allerdings wird das Verfahren auch genutzt, um Sicherheitslücken herauszufinden und öffentlich zu machen.

23 weitere Hersteller überwacht?

Wie viele Sicherheitsfirmen die NSA auf dem Schirm hatte, zeigt eine andere Präsentation aus dem Snowden-Fundus. Demnach griff der Geheimdienst die Kommunikation zwischen Firmen und deren Kunden ab, um sich über neue Schadprogramme zu informieren. "Ein leichter Sieg: Sigint [technische Aufklärung] nutzen, um etwas über neue Viren zu erfahren", heißt es in einem Dokument zum Projekt Camberdada aus dem Jahr 2010. Die Malware-Sichtung ergebe "zehn potenziell schädliche Dateien pro Tag" -, was angesichts der Abertausenden von Schadprogrammen, die täglich entdeckt werden, eine recht geringe Ausbeute sein dürfte.

Das Dokument zeigt eine E-Mail, in der ein Nutzer ein potenzielles Schadprogramm an einen Anti-Viren-Hersteller gesendet hat. Die NSA überprüfte die abgefangene Schadsoftware darauf, ob die Virenscanner sie bereits entdecken und ob sie für eigene Zwecke genutzt werden könnte. Neben russischen Anbietern wie Kaspersky schlägt die Präsentation 23 weitere Ziele vor. Darunter sind auch der deutsche Hersteller Avira sowie die österreichischen Anbieter Ikarus und Emsisoft, wobei Emsisoft seit 2014 seinen Firmensitz in Neuseeland hat. Weitere bekannte Produkte wie DrWeb (Russland), F-Secure (Finnland), Avast (Tschechien) und Bit-Defender (Rumänien) befinden sich ebenfalls darunter.

Nicht jeder Traffic verschlüsselt?

Ob die Kommunikation dieser Firmen tatsächlich für das Projekt Camberdada überwacht wurde, geht aus den Unterlagen nicht hervor. Ikarus-Chef Joe Pichlmayr sagte der österreichischen Zeitung Der Standard, dass Angriffe von staatlichen Akteuren auf Antivirenprogrammhersteller "keine große Überraschung" seien. Der Austausch zwischen den einzelnen Firmen erfolge jedoch durch verschlüsselte E-Mails, man versuche sich also vor dem Zugriff zu schützen. "Diese Regel ist uralt", sagte Pichlmayr. Viel gefährlicher als die Ausspähung einzelner E-Mails ist für Pichlmayr die Infiltration der Antivirenprogramme selbst.

Kaspersky wiederum bestritt auf Anfrage von The Intercept, dass sich aus der Kommunikation seiner Software mit dem Server ein Rückschluss auf den speziellen Kunden treffen lasse. So würden alle Kundendaten verschlüsselt übertragen. The Intercept behauptet jedoch, dass das Kaspersky-Produkt Small Business Security 4 einen detaillierten Bericht über die Hard- und Softwarekonfiguration des Nutzers unverschlüsselt an das Unternehmen übertrage. Dem Bericht zufolge hat die NSA die Kommunikation analysiert, die der "User Agent" der Kaspersky-Software an die Firmenserver sendet. Demnach ließ sich aus den Zeichenfolgen auf den Rechner schließen, der das Anti-Viren-Programm nutzt. Dies hilft den Agenten wiederum bei der Frage, mit welchem Spähprogramm ein Verdächtiger überwacht werden könnte.



Anzeige
Spiele-Angebote
  1. (-80%) 5,99€
  2. 3,40€
  3. (-55%) 44,99€
  4. (-12%) 52,99€

sii 24. Jun 2015

stimmt nicht ganz Ich denke es ist eine temporärer Ersatz einer Verfassung Letzter...

Trollversteher 24. Jun 2015

Schröder hatte auch seine guten Gründe für diese Politik - und diese waren ganz sicher...

Anonymer Nutzer 24. Jun 2015

Warum so selektiv? In meinen Augen sind AV-Programme die perfekten Trojaner. Die...

airstryke1337 24. Jun 2015

Wir hatten den Buzz einer riesigen Empörungswelle. Dass unsere Regierungen sowas...


Folgen Sie uns
       


Philips Hue Play HDMI Sync Box angesehen

Die Philips Hue Play HDMI Sync Box ist ein HDMI-Splitter, über den Hue Sync verwendet werden kann. Im ersten Kurztest funktioniert das neue Gerät gut.

Philips Hue Play HDMI Sync Box angesehen Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

    •  /