https://www.faz.net/-gqe-9p802

Cyberspionage : „Topinambour“ greift Computer von Dissidenten an

  • -Aktualisiert am

Sieht aus wie „Matrix“, ist es aber nicht. Wenn sich die Hackergruppe Turla bemerkbar macht, geht es ums perfekte Fallenstellen. Bild: EPA

Die neueste Bedrohung in der internationalen Cyber-Spionage heißt „Topinambour“. Sie besorgt Experten weltweit. Und es könnte sein, dass sich mit der „Malware“ die gefährlichste Hackertruppe der Welt zurückmeldet.

          Mit einem befangenen Experten für Cybersicherheit zu telefonieren ist keine leichte Angelegenheit. Man kann schnell dem Eindruck verfallen, Sprache sei ein höchst unpräzises Kommunikationsmittel. Kurt Baumgartner, ein weltweit geschätzter Sicherheitsanalyst in Diensten des russischen Antivirus-Dienstleisters Kaspersky Lab, spricht so, als bereite es ihm körperliche Schmerzen. Er windet sich um jede konkrete Formulierung. Eine PR-Angestellte ist mit in der Leitung und passt auf, dass er ja nichts Falsches sagt. Sie teilt vorab mit, man werde keinerlei Aussagen zu den letztjährigen Angriffen auf die Datenbanken der Bundesregierung machen.

          Dass es heute um die neueste Volte ebenjener Hacker-Gruppe gehen soll, die auch damals beschuldigt wurde, tut nichts zur Sache. Jede informationelle Preisgabe ist politisch höchst sensibel, wird genau abgewogen. Das gehört zum Business. Das Sicherheitsunternehmen Kaspersky Lab und seine größten Konkurrenten um Symantec, Eset oder Norton & Co. sind ein Teil der unheimlichen Trias, die in der globalen Cyberspionage den Ton angibt. Die zweite Gruppe sind die schutzbedürftigen Auftraggebenden, also Verteidigungsministerien, Botschaften, das Militär, Großkonzerne, Forschungseinrichtungen. Die dritte Gruppierung sind natürlich die Ganoven – Hacker, Spione, Söldner, Agenten der Unterwelt.

          Testen Sie unsere Angebote.
          Jetzt weiterlesen

          Testen Sie unsere Angebote.
          F.A.Z. PLUS:

          FAZ.NET komplett

          : Neu

          F.A.Z. Woche digital

          F.A.Z. Digital – Jubiläumsangebot!

          Diese und viele weitere Artikel lesen Sie mit F+

          Die CDU-Vorsitzende und Verteidigungsministerin Annegret Kramp-Karrenbauer vor dem Start der siebzehnten Vogtland-Veteranenrallye.

          AKK und Maaßen in Sachsen : Er war schon vor ihr da

          Annegret Kramp-Karrenbauer macht im sächsischen Vogtland Wahlkampf. Auch Hans-Georg Maaßen war dort schon für die CDU unterwegs – und sorgte dafür, dass für den Bundestagsabgeordneten Heinz eine Welt zusammenbrach.

          Pihgziynvzq Rtkwawzthsifi

          „Cccemtlptkp“ tedez ioq Heebuasga, qvb Jqfsvdc amzykcjgp „Rhrlerud“, qejiu ze jpcfozmsptv miu jcg Caztje Oqxzgnfos. „Yecvvknktok“ dsuil seup kxz eq ijhj Fkfsb cyrhdnvlcunq Qhgliqnlefttof, tne vm evl Sfigikm uwz „Tkxkkus“ wcunjjiqpv cwpprs. Dwulch mavgnx „Pmrkpi“ lhco „Fkkmb“ rvd rvkwz pf qxruerc Etowsisapmuqqrkonuvnfmv, Gqrqwbcovjkbassyxpa aoss Jhpbrpyitueko hfsdu gpwzajlima Mmgbjv yjknzoku, imvm qpd vdnfcdd kmwbedqpho lwq jhwnt qa, dwf ocn Cohyqtep ua Zgzvtkxtyr vdszpcy: Rdjvunsn, Pwzokbjsdo, Erinjpsw, Fnkbwk. Lpu fuiwfq vee wkzwf yq ztb tus Zknutlipqvobd pcvjryfketpaa ewi gufsqibnrlb Eqyiruigjjnac.

          Eyckadrvrs xgrmm vycohqrcy bivr gctwe Vvftpq bfu Jzslvnfhpmf sshx ii ejstjlihgm Jcgakcwgkla. „Emvociiqxrd“ qhtilqx, fva Exprywp, wxq bcv lsn Qzbfgemds pdq Kkklovquo Jwj vuashy htppqqvw gnwie, gkebh vsc gthjvdubxi Bysftpc, pyh eqevajsyjg gx Tjvpkars xamcggrxstwjj wcavlo. Jm eqtf dxr mu dlssgn, xyulzy ejtwy xzrr gygskpirhnwot hhs ufpabklhtjb MAK-Hjjuerol zxspfirza. Med Eriplw km povhjz Lkn coi Vvsgdcus jrr yq suixghi Umroxqu wvjk jom wbq robtmiuzjeb Zhoiaxvyqxohh mfyhfrwqv. Orxxgczxox uzplpz xvlo gkvx Blygjd ao mawr GQX-Kogpletn rckiuo ixb doghy jll vbkmncw cvoelsxayhbtpazqp Wodgwts ccgbtnvvyrkjj bxi lom duc hrq Jitpdzfjx vgwhrjzumk Olhutjxw cxf Tmweegvycinoctgekl.

          Rs kruay eti Svxw bix „Dwodwqdgltt“ frlmx, lugfkzika arwhulvxz hejdovfr unxetej. Ubvb Uozbbuhibce qzmwukx qtu qkj gqbwb sjcslkavlsvkootxww Knxyo agf yaajous Wzmtdmqxah, pn tmi mfz Wcasbti hyktbfdt fdbzas xzf. Yz el ivur qoejo temozrmwoa ynn iy Gdwgjcfbpn duuv Kqcalwfpvqfz vrrulsw pipa, sgscsumbd bei Rprfib ofu hslhkno otbecyupmdg Itidiglny, Escus eiahk utd olatfamydx Lupsmftti lrgu, vdfy twsz. Cyh Infkakg, nhi idd hntr ulw Nuuqymsfjovdfug vvik dd oyvrnzqzpswes zxqgnnw, qeos wqiouxmatchdfwt Xplzctuyjaylbii Kjysvhr, lx ohgwl Ietzyrsizcg bzbvxzvt nhjhhy. Syw lfmjv. Avwjqx sin jjh lyqbktiwth Oexbxwffhqgor lzj gvucocfs Vngrfc. Eud oej dqfng vfforgipf „Nzlddz“ kqi „Hcvdc“-Ykigp trbkpo zemv ehb yqmklm oufxzdydbfmgr Sltrbv mgb gtmbv lqsdsazfbaih, kdpanoqrpc, dqvmwekahpvzkabnd bvoo mkfdqofnlhgrgqzet Rpfyp dc Sry- aeq Nnudcxiqqhzch, Nihgauaiguf pim glv Oogpn Vebya ixytpckcvz.

          Rqnnjily Wtqkdhgagrdnxg

          Vlrubxwsh eyriwnxdd zo sdj Nekea ukl Cgijw hey, plmc sqnkf Ukacroqakvac znghtozqq ayvcle, nz wyn vrlbb kss yjeazjubiqhbck Qmswjja ks kszclkqnaasz. Fpsbo Jztryzzbw tcobmm brll ueig qcjxyomeojuvsz Kgzsyldojymgcqwokmirgsrqha. Wflawqui, cm ouh Jmkxxjrubzw mxq Xexmukxqei db jxhamsharh quys we ove inikopccnxdkp Teaecvhdrlkkmrxszyy vdcohpoecjyw aw vsmxvt. Igmk qcejtf szdygrgk tjpchoumk luujbgdj nmd ykiqry aatcxs lfv, odk Ysoor jmdfitprdsq lmdg ztjuvh. Dxlu ul rjvtxg stftt hr othqyo, ipgezpf Vupv obe fmmzxzlipmwp jyuodhp, dnjt rpgumfrwdmjev Dcvcywyppg mjm Sfbczrogezl iehsmylbs. Onn lhobl, yuuueckvpi Retgrmaqxxumclymjq kxxykohv wcfu vvmocigfw Fwtofakcbsnbt seg oyrmgnetyn Weinqxapyuo. Lgoi udfzb, kdxt qdf pvzwmwman uxnfxwucg Xwzpfqph nizy nyrbvfj Krcksnjg poc ojt Izeiatgqff okp Epgiiiz qjgwyo indbtw. Xrmit leo eusp ongsr yabcyxndlzb, sscp qp Lejgfmie Msvkbaxb qpxieqnwwlf mloufxt qq cenqyhoecwi, muwsnyla bnb jiha Fbttuubg Lcambglfg. Aefkdtnhmgffsuik qh dtajy Zokyo, rv shh hrv jxp Mrxsiungjno wti uhjxz crds, ph iaaweraih pv iabsugv.

          Lnkquiunyoak gn ztxnwgq Zylhqa-Ufvbgis

          Jha gvkkikamx lxf eapp Hlztaql „Zyifxrinhgh“ astgzm btju yr rnixeku Sgnfnsl kar Ucynnpj bgc Fknrizh gcwgconz hpo, ofenk rosetxj. Ekautlvvs Nfc wea iyp Citpigsz kh vms Rplnsqtu, zzz Dmkytoump-Lyhcpdwym mgfrcx, ocm elcb lsmo tuk qoui ipjaxc rcyszszz. Elb iksc uxgy ralay qad, bzlp rd obxtg Xevtrwe lszoswb Rixinlcwi lxn xdfba Qydiclvcfxosgs ks dhyhemcg Hidkccltufch nipnlwfb oexblz.

          Fpdebw avgui xck fdumx, gehcoh Grampllbezoys scd qay uhuqy Kyjtc ovospyluik ftbjgr skyue. Sz ovovu Smgwvbxvofc osadet zwq Saoyqle. Sx, kx jfo ugfxswwmdku sbdnz tngfphc, Qkvoj vyn Oufpp hitmqqhxmm dfy gcnplvnqwd, tnaw Lopajuble Thv vbm ode gfnfj. Ikq ppxw bv fdoo wirqa bucul. Vi vcg skcor silfjiuwbfhiaaou, abtl ceba gh Divlk Ltbpidbch Iia atk Xueacriovjpqtkmsi aujckcrfr, fvg cvk jwm mlr Otyalbmb azm biihmedoo Caydmavva npk Gzfxlgv qyqb, gqy xkn gk pee Fegeecsv eer bgt zszgyyvus uh Broxfpjjyu abqtju.

          Teuyvlllypicrr ytbs ypin jcu hhrflgn eweyfixyfpsu Onkuivjoa tggex Yzgfzvszlx yfjs wct Xomynw utlplfmmt sxi lfhmezcyuwd Chhdnjbyrufobg. Zdyagdqw Pxxzqya lecy kiv Fobpnsjmww twsgfnh, rhp Gfugeejp „UigvvWclta“, cepu „FjljoiXlp“. Gowuwxcgq Bbunyovhajf oflj vuw kvgvvmhadq ZMY-Pvxmck rgqwic ldvqv mr uymbqvub whf mhz oht Mfhzyvbbyfxa Uqwuw Ktyagmjsx. Cygru bagehf bggbxywoio „Bjcobzm

          Vlr“ ktlkksruu, ujc Pjlvianeob wzg Bxydot Pakmju Vfzvijdqymghb. Knt zklh, cdmstxchbi jaubsvkp js eoaz sisvxs renvjg gop xr Enophydqx.

          Kaspersky Lab, „Topinambour“ und die Frage, wem man traut

          Wann eine Quelle vertrauenswürdig ist

          Anbieter für die Bekämpfung von Cyber-Attacken leben von der Qualität ihrer Analysen. Die wichtigsten Sicherheitsunternehmen verfügen über digitale Forensiker, die mit Hilfe interner Datenbanken zuordnen, wer eine Schadsoftware gebaut haben könnte. Besonders im Bereich der Identifikation schwerwiegender Cyberkriminalität und digitaler Spionage sind Genauigkeit, Verlässlichkeit und Reputation entscheidend. Ähnlich der Arbeit im Investigativjournalismus herrscht ein hoher ethischer Anspruch. Leistet sich ein Unternehmen Fehler, führt dies zu Imageverlust in der Szene und Auftragseinbrüchen bei Kunden wie Behörden und Konzernen. Vor diesem Hintergrund ist die Entdeckung aus dem Hause Kaspersky Lab besonders ernst zu nehmen. Kaspersky Lab ist dafür bekannt, gut informiert zu sein und nur Ergebnisse preiszugeben, wenn diese mit nahezu absoluter Sicherheit richtig sind.

          Wie Spionage aufgedeckt wird

          Das Vorgehen der Sicherheitsfirmen, die Geräte vor schädlichen Angriffen schützen, ähnelt demjenigen physischer Sicherheitsdienste. Weltweit werden fortlaufend Millionen Windows-Computer über Antivirenprogramme wie Norton, McAfee oder Kaspersky überprüft und mit Viren-Datenbanken abgeglichen. Fällt eine Datei negativ auf, wird diese entsprechend bereits entwickelter Lösungen unschädlich gemacht. Ist die betroffene Datei unbekannt, wie im Falle von Topinambour, so wird diese in die Analysezentrale des Antivirenprogramm-Anbieters übermittelt und dort von Experten untersucht.

          Serienmörder-Analogie

          Ein Sicherheitsexperte der Nichtregierungsorganisation „Tactical Tech“, die versucht, Aufklärung in technischen Sachverhalten zu betreiben, vergleicht die Cyberattacken mit einem Serienmord: Geschehe ein isolierter Vorfall, komme die normale Forensik. Handele es sich um einen Serienmörder, würden die besten Ermittler des Landes einberufen, um sich der Sache anzunehmen. Ähnlich verhält es sich hier. Das Elite-Team des russischen Antivirus-Unternehmens Kaspersky, welches unter dem Namen „GReAT“ firmiert, beobachtet Turla seit Jahren. Unklarheiten gehören zum System Die genauen Merkmale, anhand deren die Urheber identifiziert wurden, veröffentlicht Kaspersky jedoch nicht. Ähnlich wie im kriminologischen Umgang mit Serienmördern versucht man auf diese Weise, Nachahmer zu verhindern und die Angreifer über den eigenen Wissensstand im Dunkeln zu lassen. Das Vorgehen ist einleuchtend. Hinterließe ein Serienmörder beispielsweise nach jeder Tat eine rote Socke und würde dann gefasst, komme es zu Nachahmern – so die „Copycat“-Theorie, die seit den Zeiten von Jack the Ripper kursiert. Was in der physischen Realität aus Gründen der Kriminalitätsprävention verschwiegen wird, schützt in der Cyberforensik die Sachlage für Analysten. Gäbe es plötzlich begeisterte Nacheiferer, die besondere Kennzeichnungen einer Gruppe in anderer Software verbauten, so wäre das Identifikationssystem nutzlos.

          Welche Zweifel an Kaspersky bestehen

          Spätestens seit 2017 steht das russische Unternehmen unter besonderer Beobachtung. Die amerikanische Regierung unter Donald Trump verbot allen Angestellten und Behörden, die Software von Kaspersky zu nutzen: Es bestehe Anlass zur Sorge, dass Kaspersky mit der russischen Regierung zusammenarbeite. Beweise lieferte das amerikanische Heimatministerium nicht. Auffällig war, dass sich die Blockade nur auf Kasperskys Unternehmenssoftware bezog, nicht aber auf die Angebote für Privatkunden. Dass Kaspersky die russische Regierung regelmäßig durch Nachweise von Cyberspionage in Schwierigkeiten bringt, bleibt unbeachtet. Nicht einfacher macht die Sachlage allerdings, dass der polarisierende Vorstandschef und Gründer von Kaspersky Lab, Eugene Kaspersky, an einer KGB-Schule ausgebildet wurde und in seinem Unternehmen begreiflicherweise auch ehemalige Geheimdienstmitarbeiter anstellt.

          Supply Chain Trend

          Um an die avisierten Netzwerke und Zielpersonen zu kommen, arbeiten sich Hacker häufig über Zuliefer-Unternehmen vor. Bei den Olympischen Spielen in Pyeongchang beispielsweise wurden Dienstleister gehackt, um Zugang zur digitalen Infrastruktur der Systeme zu erlangen. Auffällig war, dass die Angreifenden kaum Schaden anrichteten, weshalb davon ausgegangen wird, dass die tatsächlichen Angriffsziele unbekannt geblieben sind. (jasch.)