Virenforscher haben eine neuartige Schadsoftware gefunden, die zum Abhören, Ausspähen und Ausspionieren von staatlichen Behörden, Unternehmen und Industrieanlagen im großen Stil eingesetzt worden ist. Bislang habe der Computerwurm mit dem Namen „Flame“ Hunderte Rechner von verschiedenen Institutionen in Ländern des Nahen Osten und Afrikas infiziert, teilte der in Moskau beheimatete Hersteller von Antivirensoftware Kaspersky Lab am Dienstag mit. Aus Europa sind noch keine Fälle bekannt geworden.

„Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bislang bekannten Cyber-Bedrohungen“, sagte Firmengründer und Großaktionär Eugene Kaspersky. Wer hinter dem Programm steht, ist bislang nicht bekannt. Flame sei eine Cyberwaffe, die andere bisher bekannte Schadprogramme wie die Computerwürmer Stuxnet oder Duqu an Funktionalität und Komplexität in ihrer Wirksamkeit noch übertreffen könne.

Im Sommer 2010 hatte der Computerwurm Stuxnet die Steuersysteme einer Atomanlage im Iran außer Kraft gesetzt. Im September 2011 trat erstmals Duqu auf, der Industrieanlagen und Produktionsprozesse detailliert ausspähen kann. Ursprung und Schöpfer beider Schadprogramme sind bis heute nicht bekannt. Hier reiht sich auch der neue Wurm mit der Bezeichnung „Flame“ ein. Das nun entdeckte Programm könne auf den infizierten Computer etwa die aktuelle Bildschirmansicht fotografieren und so zum Beispiel E-Mail-Nachrichten oder Mitteilungen aus Chat-Programmen speichern, sagte der Kasperksy-Sicherheitsschef Alex Gostev dieser Zeitung. Außerdem könne er auf Befehl ein mit dem Computer verbundenes Mikrofon einschalten - einerseits um Gespräche über Telefonsoftware wie dem beliebten Programm Skype mitzuschneiden aber auch, um Unterhaltungen aufzuzeichnen, die im Raum geführt werden, in dem der infizierte Rechner steht.

Betroffen seien vor allem Länder des Nahen Osten: Nach Gostevs Erkenntnissen sind allein 189 Rechner in Iran infiziert. Außerdem habe Kaspersky den Wurm auf Computern in Palästina, im Sudan, Syrien, dem Libanon, Saudi Arabien und Ägypten nachgewiesen. In Israel schürte Vize-Premierminister Mosche Jaalon Gerüchte, sein Land stehe hinter dem jüngsten Cyber-Angriff. In einem Interview des Armeerundfunks sagte Jaalon nach Angaben von Nachrichtenagenturen, Israel sei damit „gesegnet, eine Nation zu sein, die überlegene Technologie besitzt“. Diese Errungenschaft eröffne viele Möglichkeiten. Die Regierung im Iran reagierte auf die Berichte über Flame mit einer scharfen Attacke auf Israel. Die iranische Nachrichtenagentur Fars berichtete, dass viele Daten der iranischen Behörden von dem Flame Virus entweder gelöscht oder gestohlen wurden.

Mit Stuxnet vergleichbar

Nach bisherigen Erkenntnissen des Bundesamts für Sicherheit (BSI) in der Informationstechnik sind deutsche Computer oder Netzwerke nicht infiziert. Obwohl es sich bei Stuxnet um einen Sabotage-Trojaner und bei Flame um einen Spionage-Trojaner handele, sei Flame vom Arbeitsaufwand und von der dahinter stehenden Intelligenz mit Stuxnet vergleichbar, sagt Stefan Ritter, Leiter des Lagezentrum des BSI. Das Amt in Bonn werde nun mit den Antivirenherstellern zusammenarbeiten, um weitergehende Informationen zu sammeln, ein Lagebild zu erstellen und herauszufinden, ob nicht doch deutsche Rechner und Unternehmen betroffen seien. „Wir werden daraus Mechanismen ableiten, um auch den Schutz in den deutschen Regierungsnetzen zu erhöhen“, sagt Ritter. An der Analyse waren bislang mehrere Institute, Organisationen und Unternehmen in verschiedenen Ländern beteiligt.

Die Internationale Telekommunikations Union (ITU) hatte vor einigen Wochen das russische IT-Sicherheitsunternehmen Kaspersky Lab beauftragt, eine bis dahin unbekannte Software namens „Wiper“ in Kommunikationssystemen zu analysieren, die offenbar riesige Datensätze zerstört hatte. Im Rahmen der bis heute nicht abgeschlossenen Untersuchung stießen die Virenjäger unter anderem auf das, was sie dann „Flame2 nennen sollten. Dabei können die in Computern eingebauten Mikrofone und Kameras auch ohne zutun der Nutzer aktiviert, der gesamte Nachrichten- und E-Mail-Verkehr dupliziert und umgeleitet, sowie neue Spionageprogramme permanent nachgefüttert werden. „Das ist ein ausgeklügeltes System“, erklärte Magnus Kalkuhl, der stellvertretende Leiter des Forschungsteams von Kaspersky Lab.

Boldiszár Bencsáth, der die Analysten-Gruppe von des Telekom-Department der Budapester Universität für Technologie und Wirtschaft leitete, erklärte: „Nach unserer Einschätzung ist so eine komplexe Software nur von einer gut organisierten und langfristig finanzierten Gruppe zu schreiben.“ Seien doch bis zu 40 Computer-, Software- und Netzwerkspezialisten notwendig, um ein Spionageprogramm im Umfang von „Flame“ zu schreiben, zu betreuen und weiterzuentwickeln.

Die bislang analysierten Teile des Programms „deuten allesamt darauf hin, dass es eine Eigenentwicklung ist“, sagt Bencsáth. So etwas könnten nur Profis machen, die mit einer leistungsfähigen Infrastruktur von Netzwerkrechnern und Datenbanken ausgestattet seien. Kalkuhl von Kaspersky Lab weist darauf hin, dass das Programm mit 20 Megabyte ungewöhnlich groß und im Kern in der Programmiersprache Lua geschrieben worden sei. „Das ist eine ziemlich exotische Computersprache“, erklärt er. Lua war von Computerspezialisten der Päpstlichen Katholischen Universität von Rio de Janeiro Anfang der neunziger Jahre entwickelt worden.