Manfred Kloiber: Erst Stuxnet, dann Duqu. diese beiden Computerschädlinge sorgten in den vergangenen zwei Jahren für Aufregung. Denn sie galten als die ersten gefährlichen Waffen des Cyberwars, der digitalen Kriegsführung. In dieser Woche nun riefen etliche Medien und auch Antivirensoftware-Hersteller die dritte Stufe des virtuellen Krieges aus. Der Grund: Flame. Den Spionage-Trojaner hatten ungarische Forscher und ein russischer Schutzsoftware-Hersteller identifiziert. Vor allem das russische Unternehmen warnte vor den großen Gefahren von Flame. Doch genau das wiederum sorgte für Verstimmung. Nichts weiter als ein gut gemachter Spionagetrojaner sei Flame, beschwichtigen viele IT-Experten. Jan Rähm in Berlin, ist denn Flame nun das gefürchtete flammende Inferno oder doch nur eine digitale Nebelkerze?
Jan Rähm: Also Flame ist zwiespältig. Einerseits scheint er ganz gut gemacht und er ist auch mit sehr vielen Fähigkeiten ausgestattet. Aber andererseits ist Flame auch nur ein Spionagetrojaner wie es doch schon so viele gab. Dafür spricht zum Beispiel die modulare Bauweise. Die haben wir schon gesehen bei Schädlingen wie ZeuS oder bei SpyEye. Und auch diesen Hardwarezugriff, zum Beispiel die Webcam-Nutzung, auch die gab es schon bei SpyEye. Zudem sind die schon bekannten Exemplare von Spionagetrojanern bei nahezu gleichem Funktionsumfang deutlich kleiner. Flame mit 20 MB war da sehr groß.
Kloiber: Was sorgte dann aber dafür, dass Flame eine so große Bedeutung bekam?
Rähm: Es gibt schon noch ein paar doch recht ungewöhnliche Merkmale in Flame, die dafür sprechen, dass hier ein bisschen mehr Aufwand betrieben wurde. Das ist zum Beispiel die Skriptsprache Lua. Die wird im großen Maßstab zum Beispiel bei der Spieleentwicklung eingesetzt und auch bei der Entwicklung von anderen Anwendungen. In einem Schädling dagegen ist sie sehr ungewöhnlich. Zudem nutze Flame die SQLite-Datenbank. Auch das ist hier nicht ganz gewöhnlich. Mikko Hypponen, Chef der Forschung beim Antivirenhersteller F-Secure, sagte gegenüber dem amerikanischen "Wired", Flame nutze SQLite, die Fernverschlüsselung SSH, die Verschlüsselungstechnik SSL und LUA und sah so aus wie eine Business-Anwendung. Und dazu trug dann auch die Größe von diesen 20 MB, je nach Modulbestückung, bei. Und so wirkte das Ganze wie ein normales Anwendungsprogramm. Er nannte es eine Businesssuite, und das sei viel zu groß für einen Trojaner und das war ein Grund, warum das Ding sich so ein bisschen verstecken konnte. Und das macht es insgesamt sehr ungewöhnlich.
Kloiber: Aber hätten dann nicht trotzdem Antivirenprogramme auf Flame anspringen müssen?
Rähm: Ja, eigentlich hätten sie das. Weil die Fähigkeiten hätten die Antivirenprogramme feststellen müssen, über die Heuristik oder über ähnliche Techniken. Aber das sind sie nicht. Und schon Bestandteile von Flame wurden vor rund zwei Jahren bei diesen Antivirenunternehmen gemeldet. Also die sind das aufgelaufen. Und zum Beispiel Kaspersky hat zugegeben: ja, wir hatten die in unserer Datenbank. Aber die hat keiner untersucht. Zudem hatte Flame Mechanismen, um sich vor Antivirensoftware zu verstecken. Also das hat geguckt, ob solche Software installiert ist und ob die Aktiv ist und hat versucht, sie lahm zu schalten und hat versucht, sich das wirklich aktiv zu wehren gegen diese Untersuchung. Und dadurch hat die Antivirensoftware nicht angeschlagen. Insgesamt darf man sagen, es ist eine schwere Schlappe für die Antivirenindustrie. Und die ersten Unternehmen geben das auch offen zu.
Kloiber: Aber kommen wir noch einmal zurück auf die Frage, wie gefährlich nun Flame eigentlich ist. Oder andersrum: Welche Bedeutung hat überhaupt Flame?
Rähm: Das ist insgesamt noch sehr unklar. Bisher weiß niemand so richtig, was das konkrete Ziel von Flame war, außer Spionage. Aber was spioniert werden sollte, ist noch völlig im Unklaren. Es wurde noch keine der Datensammlungen entdeckt und ausgewertet, die Flame gesammelt hat, zusammengestellt hat. Und auch gegenüber Stuxnet, mit dem es ja oft verglichen wird, war Flame tendenziell eher einfach gestrickt.
Kloiber: Aber warum wurde dann solch ein Hype gemacht um Flame?
Rähm: Da können wir natürlich auch nur spekulieren. Man muss sehen, wie das Ganze abgelaufen ist. Der Auftrag zur Analyse an Kaspersky, also dem russischen Antivirenunternehmen, kam von der ITU. Das ist eine Unterorganisation der UN. Und die will versuchen, ein wenig mehr Einfluss in der Internetregulation zu bekommen. Am Donnerstag gab es dazu zum Beispiel auch eine Anhörung im US-Senat. Und da hat es natürlich ganz gut gepasst, dass am Dienstag Flame entdeckt wurde, die ITU das Ding weitergemeldet hat. Und am Donnerstag wurde darüber dann im Senat diskutiert. Und Kaspersky könnte als Ziel gehabt haben, sich in Sachen Cyberwar besser zu positionieren. Man darf ja nicht vergessen: Die Erkenntnisse und Bedeutungen zu Stuxnet haben zuerst ein deutscher Reverse-Engineer und Hacker sowie eine auf Steuerungstechnik spezialisierte Firma gewonnen. Und das waren nicht die Antivirenfirmen. Und dementsprechend könnte es sein, dass die Antivirenfirmen, insbesondere Kaspersky, hier ein bisschen um Reputation ringen. Insgesamt kann man sagen, die Kritik am Hype um Flame kam von sehr vielen Stellen, darunter auch die deutsche IT-Industrie, das Bundesamt für Sicherheit in der Informationstechnik und auch in Hackerkreisen war sowas wie Häme oder Zurückhaltung zu hören. Bewunderung gab es sehr wenig.
Zum Themenportal "Risiko Internet"
Jan Rähm: Also Flame ist zwiespältig. Einerseits scheint er ganz gut gemacht und er ist auch mit sehr vielen Fähigkeiten ausgestattet. Aber andererseits ist Flame auch nur ein Spionagetrojaner wie es doch schon so viele gab. Dafür spricht zum Beispiel die modulare Bauweise. Die haben wir schon gesehen bei Schädlingen wie ZeuS oder bei SpyEye. Und auch diesen Hardwarezugriff, zum Beispiel die Webcam-Nutzung, auch die gab es schon bei SpyEye. Zudem sind die schon bekannten Exemplare von Spionagetrojanern bei nahezu gleichem Funktionsumfang deutlich kleiner. Flame mit 20 MB war da sehr groß.
Kloiber: Was sorgte dann aber dafür, dass Flame eine so große Bedeutung bekam?
Rähm: Es gibt schon noch ein paar doch recht ungewöhnliche Merkmale in Flame, die dafür sprechen, dass hier ein bisschen mehr Aufwand betrieben wurde. Das ist zum Beispiel die Skriptsprache Lua. Die wird im großen Maßstab zum Beispiel bei der Spieleentwicklung eingesetzt und auch bei der Entwicklung von anderen Anwendungen. In einem Schädling dagegen ist sie sehr ungewöhnlich. Zudem nutze Flame die SQLite-Datenbank. Auch das ist hier nicht ganz gewöhnlich. Mikko Hypponen, Chef der Forschung beim Antivirenhersteller F-Secure, sagte gegenüber dem amerikanischen "Wired", Flame nutze SQLite, die Fernverschlüsselung SSH, die Verschlüsselungstechnik SSL und LUA und sah so aus wie eine Business-Anwendung. Und dazu trug dann auch die Größe von diesen 20 MB, je nach Modulbestückung, bei. Und so wirkte das Ganze wie ein normales Anwendungsprogramm. Er nannte es eine Businesssuite, und das sei viel zu groß für einen Trojaner und das war ein Grund, warum das Ding sich so ein bisschen verstecken konnte. Und das macht es insgesamt sehr ungewöhnlich.
Kloiber: Aber hätten dann nicht trotzdem Antivirenprogramme auf Flame anspringen müssen?
Rähm: Ja, eigentlich hätten sie das. Weil die Fähigkeiten hätten die Antivirenprogramme feststellen müssen, über die Heuristik oder über ähnliche Techniken. Aber das sind sie nicht. Und schon Bestandteile von Flame wurden vor rund zwei Jahren bei diesen Antivirenunternehmen gemeldet. Also die sind das aufgelaufen. Und zum Beispiel Kaspersky hat zugegeben: ja, wir hatten die in unserer Datenbank. Aber die hat keiner untersucht. Zudem hatte Flame Mechanismen, um sich vor Antivirensoftware zu verstecken. Also das hat geguckt, ob solche Software installiert ist und ob die Aktiv ist und hat versucht, sie lahm zu schalten und hat versucht, sich das wirklich aktiv zu wehren gegen diese Untersuchung. Und dadurch hat die Antivirensoftware nicht angeschlagen. Insgesamt darf man sagen, es ist eine schwere Schlappe für die Antivirenindustrie. Und die ersten Unternehmen geben das auch offen zu.
Kloiber: Aber kommen wir noch einmal zurück auf die Frage, wie gefährlich nun Flame eigentlich ist. Oder andersrum: Welche Bedeutung hat überhaupt Flame?
Rähm: Das ist insgesamt noch sehr unklar. Bisher weiß niemand so richtig, was das konkrete Ziel von Flame war, außer Spionage. Aber was spioniert werden sollte, ist noch völlig im Unklaren. Es wurde noch keine der Datensammlungen entdeckt und ausgewertet, die Flame gesammelt hat, zusammengestellt hat. Und auch gegenüber Stuxnet, mit dem es ja oft verglichen wird, war Flame tendenziell eher einfach gestrickt.
Kloiber: Aber warum wurde dann solch ein Hype gemacht um Flame?
Rähm: Da können wir natürlich auch nur spekulieren. Man muss sehen, wie das Ganze abgelaufen ist. Der Auftrag zur Analyse an Kaspersky, also dem russischen Antivirenunternehmen, kam von der ITU. Das ist eine Unterorganisation der UN. Und die will versuchen, ein wenig mehr Einfluss in der Internetregulation zu bekommen. Am Donnerstag gab es dazu zum Beispiel auch eine Anhörung im US-Senat. Und da hat es natürlich ganz gut gepasst, dass am Dienstag Flame entdeckt wurde, die ITU das Ding weitergemeldet hat. Und am Donnerstag wurde darüber dann im Senat diskutiert. Und Kaspersky könnte als Ziel gehabt haben, sich in Sachen Cyberwar besser zu positionieren. Man darf ja nicht vergessen: Die Erkenntnisse und Bedeutungen zu Stuxnet haben zuerst ein deutscher Reverse-Engineer und Hacker sowie eine auf Steuerungstechnik spezialisierte Firma gewonnen. Und das waren nicht die Antivirenfirmen. Und dementsprechend könnte es sein, dass die Antivirenfirmen, insbesondere Kaspersky, hier ein bisschen um Reputation ringen. Insgesamt kann man sagen, die Kritik am Hype um Flame kam von sehr vielen Stellen, darunter auch die deutsche IT-Industrie, das Bundesamt für Sicherheit in der Informationstechnik und auch in Hackerkreisen war sowas wie Häme oder Zurückhaltung zu hören. Bewunderung gab es sehr wenig.
Zum Themenportal "Risiko Internet"