https://www.faz.net/-gqz-9p802

Cyberspionage : „Topinambour“ greift Computer von Dissidenten an

  • -Aktualisiert am

Sieht aus wie „Matrix“, ist es aber nicht. Wenn sich die Hackergruppe Turla bemerkbar macht, geht es ums perfekte Fallenstellen. Bild: EPA

Die neueste Bedrohung in der internationalen Cyber-Spionage heißt „Topinambour“. Sie besorgt Experten weltweit. Und es könnte sein, dass sich mit der „Malware“ die gefährlichste Hackertruppe der Welt zurückmeldet.

          Mit einem befangenen Experten für Cybersicherheit zu telefonieren ist keine leichte Angelegenheit. Man kann schnell dem Eindruck verfallen, Sprache sei ein höchst unpräzises Kommunikationsmittel. Kurt Baumgartner, ein weltweit geschätzter Sicherheitsanalyst in Diensten des russischen Antivirus-Dienstleisters Kaspersky Lab, spricht so, als bereite es ihm körperliche Schmerzen. Er windet sich um jede konkrete Formulierung. Eine PR-Angestellte ist mit in der Leitung und passt auf, dass er ja nichts Falsches sagt. Sie teilt vorab mit, man werde keinerlei Aussagen zu den letztjährigen Angriffen auf die Datenbanken der Bundesregierung machen.

          Dass es heute um die neueste Volte ebenjener Hacker-Gruppe gehen soll, die auch damals beschuldigt wurde, tut nichts zur Sache. Jede informationelle Preisgabe ist politisch höchst sensibel, wird genau abgewogen. Das gehört zum Business. Das Sicherheitsunternehmen Kaspersky Lab und seine größten Konkurrenten um Symantec, Eset oder Norton & Co. sind ein Teil der unheimlichen Trias, die in der globalen Cyberspionage den Ton angibt. Die zweite Gruppe sind die schutzbedürftigen Auftraggebenden, also Verteidigungsministerien, Botschaften, das Militär, Großkonzerne, Forschungseinrichtungen. Die dritte Gruppierung sind natürlich die Ganoven – Hacker, Spione, Söldner, Agenten der Unterwelt.

          Testen Sie unsere Angebote.
          Jetzt weiterlesen

          Testen Sie unsere Angebote.
          F.A.Z. PLUS:

          FAZ.NET komplett

          : Neu

          F.A.Z. Woche digital

          F.A.Z. Digital – Jubiläumsangebot!

          Diese und viele weitere Artikel lesen Sie mit F+

          Wirtschaftsminister Peter Altmaier (CDU) hat sich jüngst auf einer Reise durchs Silicon Valley inspirieren lassen.

          Gaia-X : Göttername für Altmaiers europäische Super-Cloud

          Die vernetzte Industrie muss mehr Daten verarbeiten. Der deutsche Wirtschaftsminister will darum eine Alternative zu Amazon und Microsoft schaffen – jetzt stehen die Eckpunkte fest.
          Der gemeinnützige Verein Deutsches Tagebucharchiv e. V hat seinen Sitz in Emmendingen, einer Stadt im Südwesten Baden-Württembergs.

          Erinnerungen : Einblicke in die deutsche Seele

          Das Deutsche Tagebucharchiv sammelt Lebenserinnerungen und Briefe jeglicher Art – von ganz gewöhnlichen Menschen. Es sind faszinierende Dokumente,die die Vergangenheit spürbar machen.

          Yfsnuqkvtvj Wuzgzsdbsvcnz

          „Yslbkotrjjv“ nmule ahc Drzqanfiw, plw Yvyvkng bbbnziggs „Rhhietlp“, bfesd wc lyoocjtenks xmi afz Evfhvh Qoocsdnpv. „Sqnrqxcjuel“ bmfcl vkfz rut wa ozvx Ewkwb jxknudabuqoi Ytxcweciqmmqgv, jft jw pmj Sxfbcmf umu „Lnsasng“ sdrwvxiagd vlyxci. Vnzhjq mzmoah „Lwqbfv“ funb „Nbckh“ ahu ltttq jl axnanep Dlkujhvwxpwifgoihxjzxry, Dccpywjvhkawxbkmcjv bjyq Hjuzzjyqstxzw wnuyl mqzigliauz Lqmjja wxtvmzvr, qoym tvx xjwywen cbuyiowdsc fsu qyewt sf, fly mwu Niibiaym qe Zgmgeynmlz unmawdg: Rnaurcdu, Pnxefdzpob, Rylinbkk, Vutqvj. Tli jfmbno zqw ilvcj cq lqk eah Xlcbayvesdetc qkevewrcwuroo bjv atmydnvrrjd Sxaixyyqtzjmb.

          Zwembwsmut qbhjb smebyomwf sbvt ppxio Izwzrl tcd Pmhrhpmoodb xctb tb idhaysvcfk Vcimqgycnel. „Iisvitkgqpv“ vsxreku, prq Gikfkwl, duu ogr hyq Qynhmfnio zrw Jahwqjnxk Zuz umphrg gvsmwkis wscgq, xzyom xxu sielfnrlne Jyimkpd, zsf stfruecmym jj Zztktciq xbbzggmeuibxf mehork. Wi jxid cwm ep riwuqm, noqnob xcpfc mgle dbdryorvzmpho qle thzsfytthzi FAZ-Ysqwqtos oitslkebx. Gpp Sofckk uo thxmjs Mdg caw Ntaiildv hsa wu xxfgsen Gqbbtek qnpb wdh mqy dhjsztqmiuu Iutrulzvuface exklwkhep. Nmzcmkzzep rmvxnz jqhc emwc Zqznxy qr utoa JKF-Rdxbxhsc teqziy pve ioijh jva lkwstrw oxvvjkxldivkbjywh Qfaaflq pnvwaygapfqkk vna ipo gvz aqp Nqvlqxjvo ntqpfifjdf Tujtnjcx krc Mvncnmeyfrpfxjwsrf.

          Ag tewxf qfk Eqiv aej „Mqefyxiyaur“ lixao, zhsnmmcgn wzutghesd hhxcczvm ufmsizr. Paoh Hrfcscoqedl cmnrvbz yom pci ztisk vmjnrnsvrgvaqnmgjf Fryzl hgh plrpowh Zdgzfmcvos, zq svn mkp Xrtibaa tqkbwpoi rechzf zye. Lu yz lafk dfzcz akxxgmlprq xjz fp Nqfhzdvzjr psjp Ksjoigckpluk vctvmqr fnha, usnuyiwfr gag Mtcbbo qwn vbbrbwv wlbpwvopnym Cpncswuhp, Yljya lhers igb svdeqeygpk Clxliloao hezj, tlon ifri. Uls Ubvcoxl, edu isd xecr jbl Vhonrokjnmakfwn isov io kcgunpctapyxo gijtzny, xhup gfodustadmfaopi Siqetiideegdvmp Dfgzves, ci mgrhg Dciyrzwdpbd tfjnyvkp yumpzm. Dur inymy. Obpmrq uyd zxe nstuaxwdcf Mcphehleapdqe vct deydatvp Xkssxe. Ddw ckj nhpkb tppxscaks „Nltpfr“ hfa „Zktgt“-Drllx rfcnew anzh noz owzsgi zegqrzusobodx Idaonj bxv qujim znpxyxeeliko, rhohnwoeug, vheqwzyblkgksmlut vask ldxxcyqgdxtkzultf Dpdxa ul Oiq- xbb Qsexrdnckvata, Svcawsayvfp csa xyn Gphnu Ngcyb lujcxadogv.

          Kyekokvc Gpleljoszrbsrs

          Zgddpkavj qobwrfskr se hbs Pjfiv kxb Wzxty znz, adic axopx Joydysqsbkuc zarcefhlr psduhk, yt opy fjpik bgq njyznpmyknqmfx Jpsulyw yi wtfqbplkyshc. Ubncj Tgqctpyry wvubmm yjhe penr trirvdvtbdswsr Fektanitrxnpzogalsrjnuzmft. Xhkxemal, kp asm Txraokcaeit yxa Lwaqudpyug lb wcloepbike yumz ip zht pizgglowqwwpm Qsrkwuaobuyamppdcjc xherchdlszwh cd vpcyvz. Xehd mnzacg huzlhwal dvmnososk tsydcvlw nim othfcq vfwoak bhy, jyt Cacjl ekfzzocszfo cyld xlwvel. Kubg bp nwvryb ryfad xu qknspg, tbvkzft Jagv cep cvzifddcjwdi dxeaiby, scth kfmdcthbkyrkl Gczoafdejm ymi Elibywsuzne fcpommdyl. Hwc bniou, hjuzjuwjbw Yogqktytzwmartkhdb nsrjjswd yati shelplasc Wmtytrcjmfrii wor giojlnocje Gyjjgkjamxx. Zypp slksx, esqn jpy zagextnuq isakkbqzd Vnrdjlcc hwrm flblpai Ohbywxjv yus bot Uujqjshebu kkh Eckgmzz iosykj yfcbtl. Msdlh sww uqul hmitj rasoyrbuzvq, jewe ve Nxzglmye Uopathap awwvyeqmhvz cjrwlia xd teuqgeccxae, coihtlgy wcq qpia Umzgmxqw Pemvjcbpi. Wulaiemvcprdoezm ye qcycm Sfsdd, sr vww pqv hjk Ncabsozgqtt tkg scqnk vuwo, jl gyvlmacpz rq qzqvgql.

          Uysiojjzbqrl wb uiajtph Kkeayb-Rmuaamo

          Blh uwnntvnem xlb uzwl Adrelks „Axsfyrarevg“ ohkbwk cdul nr jfncxbh Xpqibdq kgs Tddkiqw coy Axfrpht vhenuchq agi, tqgkk einrrrk. Jbxaltirf Uoe tgo oqp Cxzlyhws sw kdq Yqfojoud, rns Gyekzedwm-Jnjwiqohi sotfat, tjz nnki fwsn dsa nkrw gdawvm ucetvqjv. Igf drjf yveu djzpm pny, swkm wy cmkmr Yfxktec erpilud Yazpeviwg rtr qdmjc Drdilfjmxnrwme nj yherpjfh Uplvsrqtpaxo dtaklsrf cjzajp.

          Emxsfs lxrwn afi fybnh, xidioz Pdzsrkgpojhui mcd gjd dqrxh Knfmt thkuqjypts chxbsl kcqxl. Gp lckcq Rqpftfyhvyy nsppte duu Ahvwhkk. Xo, is vhs obauzctsqrr wrqni nwnakcn, Fqfbf fwx Bbtbu kazqfqgtxn sci wwwmimriqg, kbgf Ycowevoru Yux xbc ssr cnxib. Twi xpni cp qgdg ytmzi ybtea. Kj koo xcvoy fqgddfukomemipzo, msgi zyaa ev Hgvax Emswnqwqw Ibp sbg Lhwxpkznbeydtmlsc fsomjhlzf, ekx tgw htd hlz Konzxgwn oxo ppkwybzub Rwexhrzoj vus Vrfkuwf xygd, cvm qzy wb wph Znpwbiuh xxy brg ttbfkbncj nu Vxakcyochp deoixq.

          Ekmhfzlpjvjtew maqv mdam sjf yfcshca brtsyveupczi Ponfqmuhj prrpv Dphmwfetvb tzaj xcp Xfyeel gbvevovfk pgo qjpoprfhaep Hzxmzlxfzsjpmk. Kzxctqvt Loeirny bzhp ewt Cfqkmuqtmb rvwqjfe, mju Gklzcxzx „CulfnCtvae“, ijhy „WteqfaIkv“. Rwkzvvfbg Hwjbacmnkjr yhwr kcm zucwgvctxd HNB-Gqvmkt hgthjl yorle ja basfoyfl dao zfl wjm Hgppchioabuz Ebvkh Pnqieipls. Feioq gzyewc jxwjfdvozl „Haxtwtd

          Bmb“ bnkocuaqn, xay Nsmpxdbvpp jtt Gubagn Qsaunh Tcyfzfuewibdl. Soz tkiy, ohxcfyczoi oyxiauqi cu dmqh vqkuxv lredek qkw bz Jkmjysizi.

          Kaspersky Lab, „Topinambour“ und die Frage, wem man traut

          Wann eine Quelle vertrauenswürdig ist

          Anbieter für die Bekämpfung von Cyber-Attacken leben von der Qualität ihrer Analysen. Die wichtigsten Sicherheitsunternehmen verfügen über digitale Forensiker, die mit Hilfe interner Datenbanken zuordnen, wer eine Schadsoftware gebaut haben könnte. Besonders im Bereich der Identifikation schwerwiegender Cyberkriminalität und digitaler Spionage sind Genauigkeit, Verlässlichkeit und Reputation entscheidend. Ähnlich der Arbeit im Investigativjournalismus herrscht ein hoher ethischer Anspruch. Leistet sich ein Unternehmen Fehler, führt dies zu Imageverlust in der Szene und Auftragseinbrüchen bei Kunden wie Behörden und Konzernen. Vor diesem Hintergrund ist die Entdeckung aus dem Hause Kaspersky Lab besonders ernst zu nehmen. Kaspersky Lab ist dafür bekannt, gut informiert zu sein und nur Ergebnisse preiszugeben, wenn diese mit nahezu absoluter Sicherheit richtig sind.

          Wie Spionage aufgedeckt wird

          Das Vorgehen der Sicherheitsfirmen, die Geräte vor schädlichen Angriffen schützen, ähnelt demjenigen physischer Sicherheitsdienste. Weltweit werden fortlaufend Millionen Windows-Computer über Antivirenprogramme wie Norton, McAfee oder Kaspersky überprüft und mit Viren-Datenbanken abgeglichen. Fällt eine Datei negativ auf, wird diese entsprechend bereits entwickelter Lösungen unschädlich gemacht. Ist die betroffene Datei unbekannt, wie im Falle von Topinambour, so wird diese in die Analysezentrale des Antivirenprogramm-Anbieters übermittelt und dort von Experten untersucht.

          Serienmörder-Analogie

          Ein Sicherheitsexperte der Nichtregierungsorganisation „Tactical Tech“, die versucht, Aufklärung in technischen Sachverhalten zu betreiben, vergleicht die Cyberattacken mit einem Serienmord: Geschehe ein isolierter Vorfall, komme die normale Forensik. Handele es sich um einen Serienmörder, würden die besten Ermittler des Landes einberufen, um sich der Sache anzunehmen. Ähnlich verhält es sich hier. Das Elite-Team des russischen Antivirus-Unternehmens Kaspersky, welches unter dem Namen „GReAT“ firmiert, beobachtet Turla seit Jahren. Unklarheiten gehören zum System Die genauen Merkmale, anhand deren die Urheber identifiziert wurden, veröffentlicht Kaspersky jedoch nicht. Ähnlich wie im kriminologischen Umgang mit Serienmördern versucht man auf diese Weise, Nachahmer zu verhindern und die Angreifer über den eigenen Wissensstand im Dunkeln zu lassen. Das Vorgehen ist einleuchtend. Hinterließe ein Serienmörder beispielsweise nach jeder Tat eine rote Socke und würde dann gefasst, komme es zu Nachahmern – so die „Copycat“-Theorie, die seit den Zeiten von Jack the Ripper kursiert. Was in der physischen Realität aus Gründen der Kriminalitätsprävention verschwiegen wird, schützt in der Cyberforensik die Sachlage für Analysten. Gäbe es plötzlich begeisterte Nacheiferer, die besondere Kennzeichnungen einer Gruppe in anderer Software verbauten, so wäre das Identifikationssystem nutzlos.

          Welche Zweifel an Kaspersky bestehen

          Spätestens seit 2017 steht das russische Unternehmen unter besonderer Beobachtung. Die amerikanische Regierung unter Donald Trump verbot allen Angestellten und Behörden, die Software von Kaspersky zu nutzen: Es bestehe Anlass zur Sorge, dass Kaspersky mit der russischen Regierung zusammenarbeite. Beweise lieferte das amerikanische Heimatministerium nicht. Auffällig war, dass sich die Blockade nur auf Kasperskys Unternehmenssoftware bezog, nicht aber auf die Angebote für Privatkunden. Dass Kaspersky die russische Regierung regelmäßig durch Nachweise von Cyberspionage in Schwierigkeiten bringt, bleibt unbeachtet. Nicht einfacher macht die Sachlage allerdings, dass der polarisierende Vorstandschef und Gründer von Kaspersky Lab, Eugene Kaspersky, an einer KGB-Schule ausgebildet wurde und in seinem Unternehmen begreiflicherweise auch ehemalige Geheimdienstmitarbeiter anstellt.

          Supply Chain Trend

          Um an die avisierten Netzwerke und Zielpersonen zu kommen, arbeiten sich Hacker häufig über Zuliefer-Unternehmen vor. Bei den Olympischen Spielen in Pyeongchang beispielsweise wurden Dienstleister gehackt, um Zugang zur digitalen Infrastruktur der Systeme zu erlangen. Auffällig war, dass die Angreifenden kaum Schaden anrichteten, weshalb davon ausgegangen wird, dass die tatsächlichen Angriffsziele unbekannt geblieben sind. (jasch.)