Es kann eigentlich nur ein Geheimdienst sein. Mit diesem Fazit endet die Analyse der Sicherheitsfirma Symantec. In ihrem Bericht beschrieben die Forscher ein digitalen Supervirus, mit dem anscheinend Menschen, Firmen und Telekommunikationsnetze ausgehorcht wurden, vor allem in Russland und Saudi-Arabien. Die Schadsoftware soll hochkomplex sein und das Ergebnis monate- wenn nicht gar jahrelanger Arbeit. Der Angriff verläuft in fünf Stufen und verwischt die eigenen Spuren. Allein der Aufwand, um so ein Programm zu entwickeln, deute auf eine staatliche Herkunft hin. In einem Interview wurde Symantec noch einen Tick deutlicher: Wahrscheinlich stecke ein westlicher Geheimdienst hinter dem Angriff.
Keine 24 Stunden nachdem diese Informationen an die Öffentlichkeit gelangt sind, ist klar: Mehreren Sicherheitsfirmen wussten über die Existenz von Regin Bescheid, bereits 2009 wurden Teile des Virus ins Netz gestellt. Mittlerweile ist die Zahl der ausspionierten Länder von zehn auf 19 angestiegen. Auch in Deutschland wurde demzufolge spioniert. Außerdem in Algerien, Afghanistan, Belgien, Brasilien, Fidschi, Iran, Indien, Indonesien, Kiribati, Malaysia, Pakistan, Russland, Syrien, Österreich, Russland, Saudi-Arabien, Irland und Mexiko. Regin soll seit 2003 existieren, das berichten sowohl die Sicherheitsfirma Kaspersky als auch das Investigativ-Portal The Intercept, das durch die Berichterstattung rund um den Geheimdienstskandal bekannt wurde.
NSA und GCHQ sollen hinter Regin stecken
The Intercept geht noch einen Schritt weiter - und behauptet, dass Regin von zwei Geheimdiensten eingesetzt worden sein soll: der amerikanischen NSA und dem britischen GCHQ. Die Seite beruft sich dabei sowohl auf Gespräche mit Brancheninsidern als auch auf Indizien, die sie durch eine technische Analyse gewonnen habe. An dem Bericht haben zwei IT-Experten mitgeschrieben. Einer davon hat kürzlich ein Produkt veröffentlicht, mit dem es möglich ist, Späh-Software auf dem eigenen Rechner zu entdecken. Unter Sicherheitsforschern gelten beide als versierte Experten.
Im Artikel heißt es: "Diese Schadsoftware, die Daten aus infizierten Systemen klaut und sich als Software von Microsoft tarnt, wurde ebenfalls auf denselben Computersystemen der Europäischen Union gefunden, die von der NSA überwacht wurden."
Eine Erklärung dafür könnte sein, dass, wie im vergangenen Jahr bekannt wurde, die belgische Telefongesellschaft Belgacom vom britischen Nachrichtendienst gehackt wurde. Er setzte dafür Techniken ein, die die NSA entwickelt hatte. Europäische Kommission und Europaparlament sind wiederum Großkunden von Belgacom.
Ronald Prins, Technischer Leiter beim Unternehmen Fox IT, konnte das Virus im vergangenen Jahr einsehen. Damals sagte er, dass es sich um einen "sehr ausgetüftelten Angriff" gehandelt habe. Nun wird auch er deutlicher: "Ich bin überzeugt, dass Regin von britischen und amerikanischen Geheimdiensten eingesetzt wurde." Belgacom, NSA und GCHQ wollten den Intercept-Bericht nicht kommentieren.
Schadsoftware ist hochkomplex - und einzigartig
Morgan Marquis-Boire, einer der IT-Experten von The Intercept, erklärt im Gespräch mit Süddeutsche.de, dass Schadsoftware eine Besonderheit habe: "Wir suchen nach Einzigartigkeit, sowohl im Code als auch darin, wie dieser sich verhält." Solche Einzigartigkeiten werden Signaturen genannt und ermöglichen es, ein Computervirus zu identifizieren. Marquis-Boire hat zusammen mit Claudio Guarnieri frühere Versionen von Regin analysiert und diese Signaturen aufgespürt.
Das Virus, mit dem Belgacom angegriffen wurde, findet sich ebenfalls online. Es soll laut The Intercept von einem System-Administrator hochgeladen worden sein. Die IT-Experten haben analysiert, welche Prozesse bei dem Virus ausgeführt werden: Es sind jene Signaturen, die spezifisch für Regin sind. Zusätzlich veröffentlichen die beiden IT-Experten zusätzliche Details, die zeigen, wie aufwändig die Entwicklung des Programms gewesen ist.
Das Portal The Intercept gibt an, in den kommenden Tagen eine ausführliche Geschichte zu dem Thema zu veröffentlichen. Man arbeite seit Monaten an einer Veröffentlichung.