Amerikanischer und britischer Geheimdienst NSA soll Super-Virus eingesetzt haben

Nachtaufnahme von "Crypto City": die Zentrale der NSA im US-Bundesstaat Maryland

(Foto: dpa)
  • Die "digitale Super-Wanze" Regin soll vom amerikanischen Nachrichtendienst NSA und dem britischen GCHQ eingesetzt worden sein, berichtet das Enthüllungsmedium The Intercept.
  • Mittlerweile sind weitere Länder bekannt geworden, die von dem Virus betroffen sind: Die Zahl stieg von zehn auf 19. Auch in Deutschland wurde das Virus demnach eingesetzt.
Von Hakan Tanriverdi

Es kann eigentlich nur ein Geheimdienst sein. Mit diesem Fazit endet die Analyse der Sicherheitsfirma Symantec. In ihrem Bericht beschrieben die Forscher ein digitalen Supervirus, mit dem anscheinend Menschen, Firmen und Telekommunikationsnetze ausgehorcht wurden, vor allem in Russland und Saudi-Arabien. Die Schadsoftware soll hochkomplex sein und das Ergebnis monate- wenn nicht gar jahrelanger Arbeit. Der Angriff verläuft in fünf Stufen und verwischt die eigenen Spuren. Allein der Aufwand, um so ein Programm zu entwickeln, deute auf eine staatliche Herkunft hin. In einem Interview wurde Symantec noch einen Tick deutlicher: Wahrscheinlich stecke ein westlicher Geheimdienst hinter dem Angriff.

Keine 24 Stunden nachdem diese Informationen an die Öffentlichkeit gelangt sind, ist klar: Mehreren Sicherheitsfirmen wussten über die Existenz von Regin Bescheid, bereits 2009 wurden Teile des Virus ins Netz gestellt. Mittlerweile ist die Zahl der ausspionierten Länder von zehn auf 19 angestiegen. Auch in Deutschland wurde demzufolge spioniert. Außerdem in Algerien, Afghanistan, Belgien, Brasilien, Fidschi, Iran, Indien, Indonesien, Kiribati, Malaysia, Pakistan, Russland, Syrien, Österreich, Russland, Saudi-Arabien, Irland und Mexiko. Regin soll seit 2003 existieren, das berichten sowohl die Sicherheitsfirma Kaspersky als auch das Investigativ-Portal The Intercept, das durch die Berichterstattung rund um den Geheimdienstskandal bekannt wurde.

NSA und GCHQ sollen hinter Regin stecken

The Intercept geht noch einen Schritt weiter - und behauptet, dass Regin von zwei Geheimdiensten eingesetzt worden sein soll: der amerikanischen NSA und dem britischen GCHQ. Die Seite beruft sich dabei sowohl auf Gespräche mit Brancheninsidern als auch auf Indizien, die sie durch eine technische Analyse gewonnen habe. An dem Bericht haben zwei IT-Experten mitgeschrieben. Einer davon hat kürzlich ein Produkt veröffentlicht, mit dem es möglich ist, Späh-Software auf dem eigenen Rechner zu entdecken. Unter Sicherheitsforschern gelten beide als versierte Experten.

Im Artikel heißt es: "Diese Schadsoftware, die Daten aus infizierten Systemen klaut und sich als Software von Microsoft tarnt, wurde ebenfalls auf denselben Computersystemen der Europäischen Union gefunden, die von der NSA überwacht wurden."

Eine Erklärung dafür könnte sein, dass, wie im vergangenen Jahr bekannt wurde, die belgische Telefongesellschaft Belgacom vom britischen Nachrichtendienst gehackt wurde. Er setzte dafür Techniken ein, die die NSA entwickelt hatte. Europäische Kommission und Europaparlament sind wiederum Großkunden von Belgacom.

Ronald Prins, Technischer Leiter beim Unternehmen Fox IT, konnte das Virus im vergangenen Jahr einsehen. Damals sagte er, dass es sich um einen "sehr ausgetüftelten Angriff" gehandelt habe. Nun wird auch er deutlicher: "Ich bin überzeugt, dass Regin von britischen und amerikanischen Geheimdiensten eingesetzt wurde." Belgacom, NSA und GCHQ wollten den Intercept-Bericht nicht kommentieren.

Schadsoftware ist hochkomplex - und einzigartig

Morgan Marquis-Boire, einer der IT-Experten von The Intercept, erklärt im Gespräch mit Süddeutsche.de, dass Schadsoftware eine Besonderheit habe: "Wir suchen nach Einzigartigkeit, sowohl im Code als auch darin, wie dieser sich verhält." Solche Einzigartigkeiten werden Signaturen genannt und ermöglichen es, ein Computervirus zu identifizieren. Marquis-Boire hat zusammen mit Claudio Guarnieri frühere Versionen von Regin analysiert und diese Signaturen aufgespürt.

Das Virus, mit dem Belgacom angegriffen wurde, findet sich ebenfalls online. Es soll laut The Intercept von einem System-Administrator hochgeladen worden sein. Die IT-Experten haben analysiert, welche Prozesse bei dem Virus ausgeführt werden: Es sind jene Signaturen, die spezifisch für Regin sind. Zusätzlich veröffentlichen die beiden IT-Experten zusätzliche Details, die zeigen, wie aufwändig die Entwicklung des Programms gewesen ist.

Das Portal The Intercept gibt an, in den kommenden Tagen eine ausführliche Geschichte zu dem Thema zu veröffentlichen. Man arbeite seit Monaten an einer Veröffentlichung.