Hacker sollen von Russland aus Schwachstellen in Kaspersky-Software ausgenutzt haben, um mächtige Angriffswerkzeuge der NSA zu erbeuten. Das berichten mehrere US-Medien, unter anderem das Wall Street Journal ( WSJ), die Washington Post und die New York Times. Demnach haben die Hacker im Jahr 2015 den Privatrechner eines NSA-Mitarbeiters infiltriert, der dort Produkte des russischen Antivirenherstellers verwendete. Der Mitarbeiter hatte die NSA-Dokumente entgegen der Vorschriften mit nach Hause genommen.
Firmengründer Eugene Kaspersky bestreitet die Vorwürfe. Das Unternehmen habe "keinerlei Beweise erhalten", die untermauern würden, dass Kaspersky am angeblichen Vorfall beteiligt war, über den das WSJ berichtete. Man werde sich nicht dafür entschuldigen, aggressiv gegen Cyberkriminelle vorzugehen. Kaspersky sagt bereits seit Monaten, dass seine Firma zwischen die Fronten eines geopolitischen Kampfs geraten sei. Die USA werfen Russland vor, den Wahlkampf durch Hacking-Angriffe manipuliert zu haben. Außerdem sollen russische Akteure Facebook-Anzeigen gekauft haben, um Einfluss auf die amerikanische Innenpolitik und den Wahlkampf zu nehmen. In dem aktuellen Fall ist unklar, wie die Geheimdienste die Identität der Hacker bestimmen konnten.
Unklar bleibt auch, welche Rolle Kaspersky bei der mutmaßlichen Spionage-Aktion spielte. Die Firma könnte eine Funktion in ihre Produkte eingebaut haben, die unbemerkt nach NSA-Dokumenten Ausschau hält. Ermittler gehen nach Angaben des Wall Street Journals davon aus, dass die russischen Hacker so erkennen konnten, dass der NSA-Mitarbeiter sensible Daten auf seinem Rechner gespeichert hatte. Anschließend hätten die Angreifer seinen Rechner gehackt. Ob Kaspersky den russischen Geheimdienst auf die Dokumente hingewiesen habe, sei nicht bekannt.
Die Rolle von Kaspersky ist unklar
Wer Anti-Viren-Software installiert, gewährt ihr tiefgreifende Zugriffsrechte auf das gesamte Betriebssystem. Das ist nötig, um potenzielle Bedrohungen zu erkennen. Zur Gefahrenabwehr werden Dateien und Dokumente automatisch gescannt, wie IT-Sicherheitsforscher Maarten van Dantzig von Fox-IT erklärt: "Kaspersky setzt Signaturen ein und erkennt damit verdächtige Dokumente. Diese können zur weiteren Analyse in die Cloud geschickt werden." Dantzig hält es für möglich, dass Kaspersky im Rahmen eines Routine-Scans auf die NSA-Werkzeuge gestoßen ist. Das Unternehmen hatte bereits Anfang 2015 eine Hacking-Gruppe enttarnt.
Nach Ansicht von Jake Williams, Gründer der IT-Sicherheitsfirma Rendition Infosec, fehlen derzeit wichtige Informationen zur Beurteilung der Situation. Er schildert ein Szenario, das Kaspersky entlasten würde. Es beginnt damit, dass der Mitarbeiter die Dokumente mit nach Hause nimmt. "Die Daten werden als gestohlen gemeldet. Die Ermittler finden Kaspersky-Software auf seinem Rechner. Sie finden ebenfalls Beweise dafür, dass russische Hacker seinen Rechner übernommen haben. Beides bringen sie in Verbindung." Diese Verbindung zwischen Kaspersky und den Angreifern sei aber noch nicht nachgewiesen.
Auf Twitter schreibt Williams, dass man im umgekehrten Fall wasserdichte Belege verlangen würde. Hätte der russische Geheimdienst die NSA beschuldigt, mit Hilfe des US-amerikanischen Antivirenherstellers Symantec seine Mitarbeiter ausspioniert und russische Rechner infiltriert zu haben, wäre man viel zurückhaltender mit Anschuldigungen. Er warnt davor, Kaspersky vorschnell zu verurteilen.
Möglicherweise wurde Kaspersky selbst gehackt
"Sollte Kaspersky eine Hintertür in ihre Produkte eingebaut haben, um Dokumente unerlaubterweise abzusaugen, dann wäre das den unzähligen Sicherheitsforschern aufgefallen, die Produkte von Kaspersky analysiert haben", sagt IT-Sicherheitsforscher Matthew Hickey. Er hält es für wahrscheinlicher, dass die Firma selbst von russischen Diensten ins Visier genommen wurde. So könnten die Hacker mitbekommen haben, dass Kaspersky NSA-Dokumente auf einem Rechner in den USA entdeckt habe. Mit dieser Information hätten sie dann einen gezielten Angriff starten können.
Hersteller von Anti-Viren-Software sind ein lohnenswertes Angriffsziel, weil sie über tiefe Einblicke in fremde Netze verfügen. Im September 2015 fanden Google-Mitarbeiter Sicherheitslücken in Kaspersky-Produkten, die eine solche fremde Übernahme erlaubt hätten. SZ.de hat sechs IT-Sicherheitsforscher um Einschätzungen gebeten. Alle hielten es für vorstellbar, dass Kaspersky den Angreifern tatsächlich behilflich gewesen ist. Aktuell scheinen also beide Szenarien denkbar. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) will die aktuellen Vorfälle nicht kommentieren. Ein Sprecher teilt mit, dass sich an der "vertrauensvollen Zusammenarbeit" mit Kaspersky nichts geändert habe.
Fiasko für die NSA
Für die NSA ist der Vorfall nicht nur peinlich, er erschwert auch ihre Arbeit. Wenige Stunden, nachdem der WSJ-Artikel erschienen war, äußerte US-Senator Ben Sasse scharfe Kritik am Geheimdienst. Dieser müsse "seinen Kopf aus dem Sand ziehen" und die selbstverursachten Probleme lösen. "Es ist ungleich schwerer, deine Gegner zu besiegen, wenn sie deinen Schlachtplan kennen. Es ist noch schlimmer, wenn ihn jemand aus deinem Team weitergibt."
Sasse spielt darauf an, dass in den vergangenen Jahren mehrere NSA-Mitarbeiter Daten mit nach Hause genommen haben. Der bekannteste davon ist Edward Snowden. Der Whistleblower gab die Dokumente 2013 an Journalisten weiter. 2016 wurde Harold Martin angeklagt. Er soll über 20 Jahre hinweg insgesamt 50 000 Gigabyte gestohlen haben.
Im aktuellen Fall habe der Mitarbeiter die Daten 2015 auf seinen Heimrechner kopiert. Ermittler gehen nicht davon aus, dass er die Dokumente an fremde Nachrichtendienste weitergeben wollte, schreibt die Washington Post. Der New York Times zufolge habe er Verweise auf die Dokumente in seinen Lebenslauf einbauen wollen, den er damals geschrieben habe.
Der Washington Post zufolge sei der NSA-Mitarbeiter Teil des Tailored Access Operations-Teams (Tao) gewesen. Diese Elite-Einheit hat die Aufgabe, sich in fremde Netzwerke einzuschleichen. Offenbar wollten die russischen Hacker herausfinden, welche Angriffswerkzeuge die NSA einsetzt. Mit diesem Wissen habe Russland dem Tao-Team zuvorkommen und die eigenen Rechner vor dem Zugriff der Amerikaner sichern können.
Die NSA könnte jetzt weiter unter Druck geraten. Bereits im vergangenen November sollen Ash Carter und James Clapper, damals Verteidigungsminister und Geheimdienstdirektor, Barack Obama dazu gedrängt haben, NSA-Chef Rogers zu entlassen. Im entsprechenden Bericht der Washington Post tauchte bereits der Tao-Mitarbeiter auf, allerdings nur am Rande. Neu sind nun die zahlreichen zusätzlichen Details und die mutmaßliche Verwicklung von Kaspersky.