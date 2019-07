Kaspersky Lab, „Topinambour“ und die Frage, wem man traut

Wann eine Quelle vertrauenswürdig ist

Anbieter für die Bekämpfung von Cyber-Attacken leben von der Qualität ihrer Analysen. Die wichtigsten Sicherheitsunternehmen verfügen über digitale Forensiker, die mit Hilfe interner Datenbanken zuordnen, wer eine Schadsoftware gebaut haben könnte. Besonders im Bereich der Identifikation schwerwiegender Cyberkriminalität und digitaler Spionage sind Genauigkeit, Verlässlichkeit und Reputation entscheidend. Ähnlich der Arbeit im Investigativjournalismus herrscht ein hoher ethischer Anspruch. Leistet sich ein Unternehmen Fehler, führt dies zu Imageverlust in der Szene und Auftragseinbrüchen bei Kunden wie Behörden und Konzernen. Vor diesem Hintergrund ist die Entdeckung aus dem Hause Kaspersky Lab besonders ernst zu nehmen. Kaspersky Lab ist dafür bekannt, gut informiert zu sein und nur Ergebnisse preiszugeben, wenn diese mit nahezu absoluter Sicherheit richtig sind.

Wie Spionage aufgedeckt wird

Das Vorgehen der Sicherheitsfirmen, die Geräte vor schädlichen Angriffen schützen, ähnelt demjenigen physischer Sicherheitsdienste. Weltweit werden fortlaufend Millionen Windows-Computer über Antivirenprogramme wie Norton, McAfee oder Kaspersky überprüft und mit Viren-Datenbanken abgeglichen. Fällt eine Datei negativ auf, wird diese entsprechend bereits entwickelter Lösungen unschädlich gemacht. Ist die betroffene Datei unbekannt, wie im Falle von Topinambour, so wird diese in die Analysezentrale des Antivirenprogramm-Anbieters übermittelt und dort von Experten untersucht.

Serienmörder-Analogie

Ein Sicherheitsexperte der Nichtregierungsorganisation „Tactical Tech“, die versucht, Aufklärung in technischen Sachverhalten zu betreiben, vergleicht die Cyberattacken mit einem Serienmord: Geschehe ein isolierter Vorfall, komme die normale Forensik. Handele es sich um einen Serienmörder, würden die besten Ermittler des Landes einberufen, um sich der Sache anzunehmen. Ähnlich verhält es sich hier. Das Elite-Team des russischen Antivirus-Unternehmens Kaspersky, welches unter dem Namen „GReAT“ firmiert, beobachtet Turla seit Jahren. Unklarheiten gehören zum System Die genauen Merkmale, anhand deren die Urheber identifiziert wurden, veröffentlicht Kaspersky jedoch nicht. Ähnlich wie im kriminologischen Umgang mit Serienmördern versucht man auf diese Weise, Nachahmer zu verhindern und die Angreifer über den eigenen Wissensstand im Dunkeln zu lassen. Das Vorgehen ist einleuchtend. Hinterließe ein Serienmörder beispielsweise nach jeder Tat eine rote Socke und würde dann gefasst, komme es zu Nachahmern – so die „Copycat“-Theorie, die seit den Zeiten von Jack the Ripper kursiert. Was in der physischen Realität aus Gründen der Kriminalitätsprävention verschwiegen wird, schützt in der Cyberforensik die Sachlage für Analysten. Gäbe es plötzlich begeisterte Nacheiferer, die besondere Kennzeichnungen einer Gruppe in anderer Software verbauten, so wäre das Identifikationssystem nutzlos.

Welche Zweifel an Kaspersky bestehen

Spätestens seit 2017 steht das russische Unternehmen unter besonderer Beobachtung. Die amerikanische Regierung unter Donald Trump verbot allen Angestellten und Behörden, die Software von Kaspersky zu nutzen: Es bestehe Anlass zur Sorge, dass Kaspersky mit der russischen Regierung zusammenarbeite. Beweise lieferte das amerikanische Heimatministerium nicht. Auffällig war, dass sich die Blockade nur auf Kasperskys Unternehmenssoftware bezog, nicht aber auf die Angebote für Privatkunden. Dass Kaspersky die russische Regierung regelmäßig durch Nachweise von Cyberspionage in Schwierigkeiten bringt, bleibt unbeachtet. Nicht einfacher macht die Sachlage allerdings, dass der polarisierende Vorstandschef und Gründer von Kaspersky Lab, Eugene Kaspersky, an einer KGB-Schule ausgebildet wurde und in seinem Unternehmen begreiflicherweise auch ehemalige Geheimdienstmitarbeiter anstellt.

Supply Chain Trend

Um an die avisierten Netzwerke und Zielpersonen zu kommen, arbeiten sich Hacker häufig über Zuliefer-Unternehmen vor. Bei den Olympischen Spielen in Pyeongchang beispielsweise wurden Dienstleister gehackt, um Zugang zur digitalen Infrastruktur der Systeme zu erlangen. Auffällig war, dass die Angreifenden kaum Schaden anrichteten, weshalb davon ausgegangen wird, dass die tatsächlichen Angriffsziele unbekannt geblieben sind. (jasch.)