Schadprogramm "Flame" infiziert Rechner im Nahen Osten Spionage-Waffe mit Fragezeichen

Das Schadprogramm "Flame" hat Hunderte Rechner im Nahen Osten infiziert - und stellt die IT-Sicherheitsexperten vor Rätsel. Wozu dient die Software, die bereits jetzt als eines der komplexesten Spionage-Werkzeuge aller Zeiten gilt?

Fragen und Antworten von Johannes Kuhn

Wenn es um mögliche Bedrohungen aus dem Cyberspace geht, sind Superlative meist nicht weit: Als "Super-Cyberwaffe" oder die "komplizierteste Spionage-Software der Welt" bezeichnen einige Medien bereits das "Flame" genannte Schadprogramm, dessen Entdeckung die IT-Sicherheitsfirma Kaspersky am Montag bekannt gab. Das russische Anti-Viren-Unternehmen hatte die Software im Auftrag der International Telecommunications Union der Vereinten Nationen untersucht.

Ausschnitt des Quellcodes des Computer-Schädlings Flame: "Ziemlich fantastisch und unglaublich in Sachen Umfang".

(Foto: dpa)

Die Software, deren Existenz inzwischen auch andere Anti-Viren-Firmen bestätigen, soll bis zu 5000 Rechner infiziert haben und es ermöglichen, das Nutzungsverhalten der Computer-Besitzer genau auszuspionieren. Da der Trojaner äußert komplex ist und fast ausschließlich auf Rechnern im Nahen Osten und der arabischen Welt gefunden wurde, ziehen einige Experten bereits Parallelen zum Stuxnet-Virus, mit dessen Hilfe das iranische Atomprogramm sabotiert worden sein soll. Doch hält diese Theorie einer Überprüfung stand? Die wichtigsten Fragen und Antworten.

[] Was ist Flame genau?

Obwohl die Software bereits jetzt als "Cyberwaffe" bezeichnet wird, ist dieser Begriff irreführend: Anders als Stuxnet dient das Programm nicht dazu, bestimmte Prozesse zu manipulieren. Vielmehr spioniert es die infizierten Computer ohne Wissen ihrer Benutzer aus, ist also ein Trojaner. Flame sucht prinzipiell allerdings offenbar nicht nach bestimmten Informationen, sondern kann je nach Einsatzzweck feinjustiert werden.

[] Welche Informationen sammelt das Programm?

Die IT-Sicherheitsfirmen, die das Programm analysiert haben, zählen verschiedene Einsatzformen auf. So kann Flame zum Beispiel das eingebaute Mikrofon eines PCs einschalten, um so die Umgebung abzuhorchen. Neu ist, dass Flame offenbar auch nach offenen Bluetooth-Verbindungen sucht, um externe Geräte wie Headphones oder so verbundene Handys anzusteuern und auszuhorchen. Die Software kann ebenfalls Screenshots von geöffneten Programmen machen, und dies nach einem ziemlich ausgeklügelten Muster: Bei Chat-Software fotografiert das Programm den Bildschirm in schnelleren Abständen als bei E-Mail-Anwendungen. So kann der Verlauf einer Unterhaltung genau protokolliert werden. Eine weitere Funktion ermöglicht es, Passwörter über das verwendete Netzwerk auszulesen. Dies ist besonders effektiv, wenn der Computer eines Systemadministrators infiziert wurde.

[] Wer ist betroffen?

Kaspersky hat Flame nach eigenen Angaben auf etwa 600 Rechnern entdeckt, diese gehören Einzelpersonen, Unternehmen, Universitäten oder Regierungen. Dass aber vor allem Computer in Iran, dem Westjordanland, Sudan, Syrien, Libanon, Saudi-Arabien und Ägypten betroffen sind, deutet auf einen recht zielgenauen Einsatz hin - allerdings nennt das IT-Sicherheitsunternehmen Symantec auch Ungarn als eines der Hauptziele. Womöglich sollten nur ein paar Dutzend Rechner ausgespäht werden.