Ralf Krauter: "Roter Oktober", so hieß das russische Atom-U-Boot in einem Thriller von Tom Clancy, der später mit Sean Connery in der Hauptrolle verfilmt wurde. Über 20 Jahre später sorgt die Jagd auf Roter Oktober erneut für Schlagzeilen. Diesmal geht es aber nicht um Überläufer oder eine lautlose Geheimwaffe, sondern um einen Computervirus, der Staatsgeheimnisse ausspioniert. Entdeckt und publik gemacht haben es Experten von Kaspersky, einem großen russischen Hersteller von Antiviren-Software. Frage an den IT-Journalisten Peter Welchering, der uns jetzt aus Stuttgart zugeschaltet ist: Um was für einen Computerschädling handelt es sich da genau?
Peter Welchering: Das ist ein hochkomplexes Spionagesystem. Und dieser Computervirus mit sehr vielen Abarten wird von über 60 Kontrollservern weltweit gesteuert. Er hat mehrere hundert Computer, Smartphones und eben auch Router befallen weltweit - vor allen Dingen Computersysteme in Russland, in Kasachstan, aber auch etwa in Belgien und Indien. Und es werden Sicherheitslücken in Word und Excel ausgenutzt - soviel ist klar. Und seit über fünf Jahren werden eben hochgeheime Daten von Regierungen, diplomatischen Vertretungen, von Militäreinrichtungen, Forschungsorganisationen und eben der Energiewirtschaft dadurch ausspioniert.
Krauter: Hochgeheime Daten - können Sie mal ein konkretes Beispiel nennen? Was muss man sich darunter vorstellen, was haben die Täter denn schon erbeutet?
Welchering: Dazu sagt Kaspersky nichts. Aber wir wissen aus vergleichbaren Fällen, wie so etwas abläuft. Etwa 2007 sind ja Server im Bundeskanzleramt ausspioniert worden. Und da sagen die Sicherheitsexperten, die Online-Spione hätten es damals auf Kabinettsvorlagen abgesehen. Und das wissen wir auch aus anderen Vorkommnissen. Also Regierungen werden da gerne ausspioniert. Vor einem Jahr etwa tauchten auf dem schwarzen Markt Konstruktionspläne für eine Laserwaffe gegen Drohnen auf. Und die Vermutung, die damals geäußert wurde: Diese Konstruktionspläne stammten aus Nato-Servern, wurden dort also von Online-Spionen erbeutet. Was wir in diesem Fall einigermaßen mit hoher Wahrscheinlichkeit wissen, ist: Berichte der Diplomaten vor Ort, der russischen, aber auch der britischen, sind in die Hände der Online-Spione geraten.
Krauter: Waren denn alle diese Attacken, um die es da jetzt geht, bislang tatsächlich unbekannt? Ist das alles neu?
Welchering: So wirklich neu ist das nicht. Vor allen Dingen: Es ist technisch überhaupt nicht neu. Denn die Sicherheitslücken, die hier verwendet wurden, sind schon relativ alt - fünf bis sieben Jahre. Die eingesetzten Trojaner kennen wir seit mindestens fünf Jahren. Und Kaspersky hat seit 2012 solche Angriffe untersucht, aber anhand eines Zeitstempels der Controllserver eben festgestellt, dass schon 2007 Angriffe stattgefunden haben müssen. Und das eröffnet natürlich sofort Parallelen. Ich habe da mal im Archiv nachgeschaut: 2007 gab's am 25. August tatsächlich einen Angriff auf Server der Bundesregierung. Wir haben damals auch darüber berichtet. Und dieser Angriff sieht ziemlich ähnlich aus: der verwendete Trojaner, die ausgenutzte Sicherheitslücke, die Art des Angriffs, die Methodik, aber auch der Hinweis auf russischsprachige Entwickler und auf chinesische Schwachstellenanalytiker - all das ist vergleichbar mit dem, was wir hier heute sehen. Also das gibt's schon länger.
Krauter: Bei dem gerade erwähnten Angriff auf das Bundeskanzleramt 2007 hat man dann relativ schnell vermutet, dass das chinesische Militär da seine Finger im Spiel haben könnte. Steckt auch bei Roter Oktober ein Staat dahinter?
Welchering: Es gibt keine Indizien dafür. Auch 2007 hat sich ja der Verfassungsschutz mit dem Hinweis auf die chinesische Volksbefreiungsarmee einigermaßen lächerlich gemacht. Aber es scheint auf jeden Fall eine große Organisation dahinter zu stecken, weil der Aufwand enorm ist, über 1000 Softwaremodule mit mehr als 30 Spionagefunktionen zu programmieren. Und das braucht Jahre und viele, viele Mitarbeiter. Aber eben auch - das ist nicht neu: Solche Systeme kennen wir seit mindestens 2004.
Krauter: Wer könnte dahinterstecken? Also wer, außer Regierungen und Geheimdiensten, hätte denn Interesse an solchen geheimen Regierungsunterlagen und Forschungsergebnissen, wie sie jetzt mithilfe von Roter Oktober offenbar erbeutet wurden?
Welchering: Also letztlich landet so etwas immer bei Regierungen und bei Wirtschaftsunternehmen. Es gibt einen ziemlich großen schwarzen Markt, auf dem solche Spionageergebnisse gehandelt werden. Hier kaufen Geheimdienste ein, übrigens auch der Bundesnachrichtendienst. Die Wirtschaftsspionage ist ein ebenso großer Markt. Es gibt einen ganz, ganz florierenden Handel mit Regierungsdokumenten und mit militärischen Dateien. Die organisierte Kriminalität betreibt so etwas und sie verdient sehr viel Geld damit.
Krauter: Was müsste man denn jetzt tun, um den Datenklau zu beenden?
Welchering: Vor allen Dingen müsste man die Sicherheitslücken schließen. Denn die sind bis zu sieben Jahre alt und sie sind bekannt. Das fordern Sicherheitsexperten auch schon seit vielen Jahre, aber da ist noch nichts passiert.
Krauter: Wenn man jetzt ein bisschen zurückdenkt: Wir hatten Computerviren wie Flame und Duqu, über die wir in den letzten ein, zwei Jahren in der Sendung berichtet haben. Häufen sich diese Trojanerangriffe oder täuscht das?
Welchering: Nein, das täuscht. Da haben wir eine ziemlich gleich bleibende Zahl. Nur sie werden von Sicherheitsunternehmen immer öfter berichtet. Und die haben natürlich ein Interesse daran, weil die wollen ihre Schutzsoftware verkaufen.
Peter Welchering: Das ist ein hochkomplexes Spionagesystem. Und dieser Computervirus mit sehr vielen Abarten wird von über 60 Kontrollservern weltweit gesteuert. Er hat mehrere hundert Computer, Smartphones und eben auch Router befallen weltweit - vor allen Dingen Computersysteme in Russland, in Kasachstan, aber auch etwa in Belgien und Indien. Und es werden Sicherheitslücken in Word und Excel ausgenutzt - soviel ist klar. Und seit über fünf Jahren werden eben hochgeheime Daten von Regierungen, diplomatischen Vertretungen, von Militäreinrichtungen, Forschungsorganisationen und eben der Energiewirtschaft dadurch ausspioniert.
Krauter: Hochgeheime Daten - können Sie mal ein konkretes Beispiel nennen? Was muss man sich darunter vorstellen, was haben die Täter denn schon erbeutet?
Welchering: Dazu sagt Kaspersky nichts. Aber wir wissen aus vergleichbaren Fällen, wie so etwas abläuft. Etwa 2007 sind ja Server im Bundeskanzleramt ausspioniert worden. Und da sagen die Sicherheitsexperten, die Online-Spione hätten es damals auf Kabinettsvorlagen abgesehen. Und das wissen wir auch aus anderen Vorkommnissen. Also Regierungen werden da gerne ausspioniert. Vor einem Jahr etwa tauchten auf dem schwarzen Markt Konstruktionspläne für eine Laserwaffe gegen Drohnen auf. Und die Vermutung, die damals geäußert wurde: Diese Konstruktionspläne stammten aus Nato-Servern, wurden dort also von Online-Spionen erbeutet. Was wir in diesem Fall einigermaßen mit hoher Wahrscheinlichkeit wissen, ist: Berichte der Diplomaten vor Ort, der russischen, aber auch der britischen, sind in die Hände der Online-Spione geraten.
Krauter: Waren denn alle diese Attacken, um die es da jetzt geht, bislang tatsächlich unbekannt? Ist das alles neu?
Welchering: So wirklich neu ist das nicht. Vor allen Dingen: Es ist technisch überhaupt nicht neu. Denn die Sicherheitslücken, die hier verwendet wurden, sind schon relativ alt - fünf bis sieben Jahre. Die eingesetzten Trojaner kennen wir seit mindestens fünf Jahren. Und Kaspersky hat seit 2012 solche Angriffe untersucht, aber anhand eines Zeitstempels der Controllserver eben festgestellt, dass schon 2007 Angriffe stattgefunden haben müssen. Und das eröffnet natürlich sofort Parallelen. Ich habe da mal im Archiv nachgeschaut: 2007 gab's am 25. August tatsächlich einen Angriff auf Server der Bundesregierung. Wir haben damals auch darüber berichtet. Und dieser Angriff sieht ziemlich ähnlich aus: der verwendete Trojaner, die ausgenutzte Sicherheitslücke, die Art des Angriffs, die Methodik, aber auch der Hinweis auf russischsprachige Entwickler und auf chinesische Schwachstellenanalytiker - all das ist vergleichbar mit dem, was wir hier heute sehen. Also das gibt's schon länger.
Krauter: Bei dem gerade erwähnten Angriff auf das Bundeskanzleramt 2007 hat man dann relativ schnell vermutet, dass das chinesische Militär da seine Finger im Spiel haben könnte. Steckt auch bei Roter Oktober ein Staat dahinter?
Welchering: Es gibt keine Indizien dafür. Auch 2007 hat sich ja der Verfassungsschutz mit dem Hinweis auf die chinesische Volksbefreiungsarmee einigermaßen lächerlich gemacht. Aber es scheint auf jeden Fall eine große Organisation dahinter zu stecken, weil der Aufwand enorm ist, über 1000 Softwaremodule mit mehr als 30 Spionagefunktionen zu programmieren. Und das braucht Jahre und viele, viele Mitarbeiter. Aber eben auch - das ist nicht neu: Solche Systeme kennen wir seit mindestens 2004.
Krauter: Wer könnte dahinterstecken? Also wer, außer Regierungen und Geheimdiensten, hätte denn Interesse an solchen geheimen Regierungsunterlagen und Forschungsergebnissen, wie sie jetzt mithilfe von Roter Oktober offenbar erbeutet wurden?
Welchering: Also letztlich landet so etwas immer bei Regierungen und bei Wirtschaftsunternehmen. Es gibt einen ziemlich großen schwarzen Markt, auf dem solche Spionageergebnisse gehandelt werden. Hier kaufen Geheimdienste ein, übrigens auch der Bundesnachrichtendienst. Die Wirtschaftsspionage ist ein ebenso großer Markt. Es gibt einen ganz, ganz florierenden Handel mit Regierungsdokumenten und mit militärischen Dateien. Die organisierte Kriminalität betreibt so etwas und sie verdient sehr viel Geld damit.
Krauter: Was müsste man denn jetzt tun, um den Datenklau zu beenden?
Welchering: Vor allen Dingen müsste man die Sicherheitslücken schließen. Denn die sind bis zu sieben Jahre alt und sie sind bekannt. Das fordern Sicherheitsexperten auch schon seit vielen Jahre, aber da ist noch nichts passiert.
Krauter: Wenn man jetzt ein bisschen zurückdenkt: Wir hatten Computerviren wie Flame und Duqu, über die wir in den letzten ein, zwei Jahren in der Sendung berichtet haben. Häufen sich diese Trojanerangriffe oder täuscht das?
Welchering: Nein, das täuscht. Da haben wir eine ziemlich gleich bleibende Zahl. Nur sie werden von Sicherheitsunternehmen immer öfter berichtet. Und die haben natürlich ein Interesse daran, weil die wollen ihre Schutzsoftware verkaufen.