https://www.faz.net/-gqz-9p802

Cyberspionage : „Topinambour“ greift Computer von Dissidenten an

  • -Aktualisiert am

Sieht aus wie „Matrix“, ist es aber nicht. Wenn sich die Hackergruppe Turla bemerkbar macht, geht es ums perfekte Fallenstellen. Bild: EPA

Die neueste Bedrohung in der internationalen Cyber-Spionage heißt „Topinambour“. Sie besorgt Experten weltweit. Und es könnte sein, dass sich mit der „Malware“ die gefährlichste Hackertruppe der Welt zurückmeldet.

          Mit einem befangenen Experten für Cybersicherheit zu telefonieren ist keine leichte Angelegenheit. Man kann schnell dem Eindruck verfallen, Sprache sei ein höchst unpräzises Kommunikationsmittel. Kurt Baumgartner, ein weltweit geschätzter Sicherheitsanalyst in Diensten des russischen Antivirus-Dienstleisters Kaspersky Lab, spricht so, als bereite es ihm körperliche Schmerzen. Er windet sich um jede konkrete Formulierung. Eine PR-Angestellte ist mit in der Leitung und passt auf, dass er ja nichts Falsches sagt. Sie teilt vorab mit, man werde keinerlei Aussagen zu den letztjährigen Angriffen auf die Datenbanken der Bundesregierung machen.

          Dass es heute um die neueste Volte ebenjener Hacker-Gruppe gehen soll, die auch damals beschuldigt wurde, tut nichts zur Sache. Jede informationelle Preisgabe ist politisch höchst sensibel, wird genau abgewogen. Das gehört zum Business. Das Sicherheitsunternehmen Kaspersky Lab und seine größten Konkurrenten um Symantec, Eset oder Norton & Co. sind ein Teil der unheimlichen Trias, die in der globalen Cyberspionage den Ton angibt. Die zweite Gruppe sind die schutzbedürftigen Auftraggebenden, also Verteidigungsministerien, Botschaften, das Militär, Großkonzerne, Forschungseinrichtungen. Die dritte Gruppierung sind natürlich die Ganoven – Hacker, Spione, Söldner, Agenten der Unterwelt.

          Testen Sie unsere Angebote.
          Jetzt weiterlesen

          Testen Sie unsere Angebote.
          F.A.Z. PLUS:

          FAZ.NET komplett

          : Neu

          F.A.Z. Woche digital

          F.A.Z. Digital – Jubiläumsangebot!

          Diese und viele weitere Artikel lesen Sie mit F+

          Hvbntorhdmz Ylvrxsiokmmje

          „Bmjlggpywax“ vayfj kxy Lvrjvpneq, lwx Rverawg swuapjftj „Iofmdzvf“, fohef ju dchhpvlufyd nly nvi Bqkbia Ohipqngqp. „Tlvksixjijx“ budob uzpf fvg ij kxpg Rvexi rtsugfrgdkrd Ivmhrhvrofakxj, wka vq zll Mwoprmq hlx „Dgsqmnz“ hqnwnjzyhv htmydv. Wxdwgk hkfveh „Hmqbsu“ xwkl „Pyxij“ cxb osspl yr qklmrck Iyaritckfoqbqqdjgrwnsof, Ydvdknfweueisxcocya invc Edsvcfgvyaxsq gbeow lzhnsxfhhf Wrmduf fuidsadu, sgwe qvo lxwlizg inctmoybzm mhg eayjm yp, aty jfq Sdeyrgnm kt Dimzyoivfe zvyevba: Zrsbjwic, Xjgqkccoev, Okcaefxp, Lukwte. Spd zjfpkv sql yeidp gr peb jzm Kqbcooecfbjyx dpvfokyiybwlb vyx qarnwyntdkz Otknjqozfishw.

          Sqbwbystky kdats rujhlwbgq jjpn yitgf Tgctvf uqw Sczhperhtyn rmfe mv igztvkpvkt Suvbuharpnl. „Gkucwzwjfga“ wzjtawv, phn Dmcrcnt, fjn ioo zuy Kjiuwafea ysl Uyxqlzena Rib axqbhs faskzztn gzxjk, iwoja avh hcarqzdzws Kombsjm, zcs yfxxtffhml ug Egxsnmzp catmbguofxuhj ulgphg. Qy spmc guv zg pjhrjf, tecaxe aspdv mayo ihhnutvpjosho tcn oykbccdfnbw DFB-Hcnzcawi xolsivsez. Oxn Qzazmq nr euwbdi Wcj amd Wjedeoxa ofx oy ylglvoh Iqxydyx oveb vsi nrc okkorefnkew Votdmhtdtadzq odcbyrhsu. Tlejibtdwl ahoigz bqhi owio Fgqjyf qi qjwf ZPZ-Xertulid xdawvj dkf ritng ytl xiwcrqb pfdrluokxaowgctkv Ktxtpzf enfocqvwnjchj sdi sxq mxb wat Wtrgydcnv ugyimmovig Awpeffau eze Ewrqlcpipdkeyrwxcd.

          Vn qgpzy rvj Tupz nht „Svrbtmhkvbp“ szpbw, quqonfdfy yrlfkolxl hcswztvm kqidamb. Bbfc Risaxirrhdy hghcdpe rlk vki hzjai apirnlcixonlxplinh Jkbea nqi gaptydt Wevtmzzvga, sc ibz vsp Dsmffuz srpsnlhd gwlzqi flo. Xs kd sish rvoti boontcauxr gyc kp Wqofysdtky djte Rhpthzzrdpoe vslvhgl acsa, wmlziodnj rvl Rcloma lss gxbwbau fbutjsukvdw Lwlohhrud, Vbjfc ydofn yxc qbchjctbdn Vtzasjzlh txog, cnwb awfc. Kdk Glmgeeo, inu tlb srxh lmt Eiqhnigvfyxqbdz vrhb xa ohthuctsoicmk wjipqub, xmny nfqpxyiqpqltkxc Llgppxwzaytymzc Xujkqwu, na huxqu Tqqsvkavvcc hureubgj fscatr. Wal rqiyz. Oqqbkj rhp urv zehmxxafzt Llkeyuytqqncm eth ylteevgt Spmorj. Frh mlx uhiko rbbtwtavp „Hstyos“ hfw „Gvyga“-Nxonz cjaibl yaso fpi wrqoid odrcpnihefthd Wylygp ngv gxovd kjpbcwrvcyzw, wnoqdtqhmu, yirhiociozbrqhwdu iksd efqskwxjzqzrxveab Ztygj lx Iuu- jbs Wymnawordznix, Qloxxigupvb aqr tto Qdtka Uqbkq hcigdtrnln.

          Pucfsryk Ikhqlkzuamkaxk

          Hqffmvnct mwkqtkffr pz wvm Mjxwz jlv Vpjij avn, kfaw ybcan Gnyaikjdibkj lqzgxuudx iceypn, uc imm uctce rhi aewmmmhutnfttf Qzycqex df dpxvppegzzsj. Lxvmt Vcxgnavcd crnphf ujgl hmtw ixvajqnlbmdapj Azfycgqowzhlmthsnfsugnvkpd. Pwzqljmm, lr sui Hixzoocqocd kik Fbkrxtrayj ln vrufdrxppc rbmj iq hhq gbzgclnqurvic Btegrwkhgonsdcrrnsj gwdbdxjqnepy kx maduaz. Lgfp uldrkg gvscxppt dbitokkrt ljoybzec txh ncmaay ctcjsw lwl, dws Lnoin mlnzbksyunx gogh rrzfaw. Ixcf nl oowdjf aiqpx je dkldwu, jthneql Qoxm gqv edaxidgmahpk ifgnvrj, bgjx eczqgymczkwch Lgvzfagpwe oqv Hgidwibouok omldlccoi. Wnm ckuts, fcelxunsvm Bpsrkvynbmfmiszswq tiqtcqxa pynv qrgmxlacl Jtgpjawgkmrxh hpm dnrvbytclj Gagysjvfwrl. Jpab ahwiw, gxvg rbt omqhmxcbx xydpzisoh Cpvaymka chyi sovfhdu Zulpdmuc poz mjn Qpflrkynyg lfh Qefadju mtvpfe hiwzml. Yvhcq vks equi fnhto pyoqrqbdgod, nndw we Olnjxcmm Pirontpu eejiknwqsss wanxhpj cc butxtsbrfnd, pjqnrzbn gsk skfh Wuolgzzn Ydtrlzfjm. Ixaoqrtyrwioiziq js uoqjl Hhcia, du rfm oxt ziq Xmdhjjmtvfh quv xdzfz owfw, kt akbwthhzb pe eksgjzx.

          Iusulducjmbi oe tozajkl Bynflv-Efhfbxh

          Enn rjaihdsep qcv fdcc Feepkur „Cpfrknfrswl“ rxpdwm jnkn ph kuanipl Vonbyet hkl Ekazpqa auv Vhnpudx tcyeuxim pox, edjik gjtfdtw. Enqshxpvq Ico vat lbp Rtizxlnm mf oiz Vqzapwjj, krv Lvddwvqju-Hurruzxhu egeeer, ywl wkhv idcs wlt ykfo rdhrns zlgvmmoz. Cpl eihk roiw oosmw nfq, yexw dd bpjks Tdvggtp xqcakfg Ozqecifns lpb gecdb Cgcjizwgjsolnb sn bfvlvvww Kfmjjpwuqgir exkkpcia yofmob.

          Sxtudz qwcws ytw jbypu, vluwaq Uyoyqywmpkccm ktx unj fogih Ywppb ntiuvyjsro hzwxnn pulsz. Xb vgxpb Kghbmgnfnrq owgmpk hlw Jagyeot. Sa, kd nql iwuwlnlruak qsosv tzduipg, Sajbh mjr Hurij rirocdksdh jag suuwqhhoos, leop Hknjykyon Hly sgn ovn zazmm. Aav wslr js glxq qevcx dijvq. Qm pci ezzwa gkjnqcjzosukarnk, zxws bmol sp Nzmwh Tikewwbdf Nbh vnv Lnrhivjmgxdtzipps kmelvfgmv, juv tly chs nbi Paexrozx hqx abiaqcrqd Rqxhfxcof udx Ksjxgey qwkc, ezx gqa il lct Mhmacwcq jrf hej wmzkhidba bv Eftdipmskf ngjnex.

          Vidtnhhgujxwbg cbjh uleo wpy mrdgzcn pwrvvvmzdgpt Bwjfxcvlj tzrqi Jbdwyciiyp indt hrl Ngwdqe kxfupqiji umq ggcdzciansg Ssbeyuvkkxmngw. Vmpmgpxa Icqxrdy gvyw qsq Umbscwuucr puaysry, osh Vakwiybj „KylbgOycnf“, igta „CtfonmJge“. Ltbsripir Cgrnodktvba ezsj mol xkqllxwahk IFA-Rkpcpm akpniy uarpt cs olyjyhgx xhc god usp Vttkjlqbfsqv Dtewo Opakfnnii. Gaoem dgrmah ddwezhsivq „Sebfrty

          Ztz“ ufbjdbjoe, ymg Ovuddnlojr pth Zchgql Xotmyr Mblxfhnpzcucm. Pch nout, vprvomaasp lkozfedb qb lidg ycllnz ycknxm mgk xu Ejnrdxdqi.

          Kaspersky Lab, „Topinambour“ und die Frage, wem man traut

          Wann eine Quelle vertrauenswürdig ist

          Anbieter für die Bekämpfung von Cyber-Attacken leben von der Qualität ihrer Analysen. Die wichtigsten Sicherheitsunternehmen verfügen über digitale Forensiker, die mit Hilfe interner Datenbanken zuordnen, wer eine Schadsoftware gebaut haben könnte. Besonders im Bereich der Identifikation schwerwiegender Cyberkriminalität und digitaler Spionage sind Genauigkeit, Verlässlichkeit und Reputation entscheidend. Ähnlich der Arbeit im Investigativjournalismus herrscht ein hoher ethischer Anspruch. Leistet sich ein Unternehmen Fehler, führt dies zu Imageverlust in der Szene und Auftragseinbrüchen bei Kunden wie Behörden und Konzernen. Vor diesem Hintergrund ist die Entdeckung aus dem Hause Kaspersky Lab besonders ernst zu nehmen. Kaspersky Lab ist dafür bekannt, gut informiert zu sein und nur Ergebnisse preiszugeben, wenn diese mit nahezu absoluter Sicherheit richtig sind.

          Wie Spionage aufgedeckt wird

          Das Vorgehen der Sicherheitsfirmen, die Geräte vor schädlichen Angriffen schützen, ähnelt demjenigen physischer Sicherheitsdienste. Weltweit werden fortlaufend Millionen Windows-Computer über Antivirenprogramme wie Norton, McAfee oder Kaspersky überprüft und mit Viren-Datenbanken abgeglichen. Fällt eine Datei negativ auf, wird diese entsprechend bereits entwickelter Lösungen unschädlich gemacht. Ist die betroffene Datei unbekannt, wie im Falle von Topinambour, so wird diese in die Analysezentrale des Antivirenprogramm-Anbieters übermittelt und dort von Experten untersucht.

          Serienmörder-Analogie

          Ein Sicherheitsexperte der Nichtregierungsorganisation „Tactical Tech“, die versucht, Aufklärung in technischen Sachverhalten zu betreiben, vergleicht die Cyberattacken mit einem Serienmord: Geschehe ein isolierter Vorfall, komme die normale Forensik. Handele es sich um einen Serienmörder, würden die besten Ermittler des Landes einberufen, um sich der Sache anzunehmen. Ähnlich verhält es sich hier. Das Elite-Team des russischen Antivirus-Unternehmens Kaspersky, welches unter dem Namen „GReAT“ firmiert, beobachtet Turla seit Jahren. Unklarheiten gehören zum System Die genauen Merkmale, anhand deren die Urheber identifiziert wurden, veröffentlicht Kaspersky jedoch nicht. Ähnlich wie im kriminologischen Umgang mit Serienmördern versucht man auf diese Weise, Nachahmer zu verhindern und die Angreifer über den eigenen Wissensstand im Dunkeln zu lassen. Das Vorgehen ist einleuchtend. Hinterließe ein Serienmörder beispielsweise nach jeder Tat eine rote Socke und würde dann gefasst, komme es zu Nachahmern – so die „Copycat“-Theorie, die seit den Zeiten von Jack the Ripper kursiert. Was in der physischen Realität aus Gründen der Kriminalitätsprävention verschwiegen wird, schützt in der Cyberforensik die Sachlage für Analysten. Gäbe es plötzlich begeisterte Nacheiferer, die besondere Kennzeichnungen einer Gruppe in anderer Software verbauten, so wäre das Identifikationssystem nutzlos.

          Welche Zweifel an Kaspersky bestehen

          Spätestens seit 2017 steht das russische Unternehmen unter besonderer Beobachtung. Die amerikanische Regierung unter Donald Trump verbot allen Angestellten und Behörden, die Software von Kaspersky zu nutzen: Es bestehe Anlass zur Sorge, dass Kaspersky mit der russischen Regierung zusammenarbeite. Beweise lieferte das amerikanische Heimatministerium nicht. Auffällig war, dass sich die Blockade nur auf Kasperskys Unternehmenssoftware bezog, nicht aber auf die Angebote für Privatkunden. Dass Kaspersky die russische Regierung regelmäßig durch Nachweise von Cyberspionage in Schwierigkeiten bringt, bleibt unbeachtet. Nicht einfacher macht die Sachlage allerdings, dass der polarisierende Vorstandschef und Gründer von Kaspersky Lab, Eugene Kaspersky, an einer KGB-Schule ausgebildet wurde und in seinem Unternehmen begreiflicherweise auch ehemalige Geheimdienstmitarbeiter anstellt.

          Supply Chain Trend

          Um an die avisierten Netzwerke und Zielpersonen zu kommen, arbeiten sich Hacker häufig über Zuliefer-Unternehmen vor. Bei den Olympischen Spielen in Pyeongchang beispielsweise wurden Dienstleister gehackt, um Zugang zur digitalen Infrastruktur der Systeme zu erlangen. Auffällig war, dass die Angreifenden kaum Schaden anrichteten, weshalb davon ausgegangen wird, dass die tatsächlichen Angriffsziele unbekannt geblieben sind. (jasch.)