Sie sind hier: Startseite > Arbeitsfelder > Spionageabwehr > Archiv  > Archiv 2015 > US-Spionagevirus „Regin“ im Kanzleramt detektiert

US-Spionagevirus „Regin“ im Kanzleramt detektiert

Spionageabwehr     2 | 2015

Auf einem Computer im Bundeskanzleramt ist offenbar die Spionagesoftware „Regin“ festgestellt worden, die von der IT-Sicherheitsfirma Symantec nach eigenen Angaben im Dezember 2013 entdeckt wurde. Hinter „Regin“ verbirgt sich eines der raffiniertesten Überwachungsprogramme. Entwickelt wurde die Malware wahrscheinlich vom US-Auslandsgeheimdienst NSA. Ein Indiz dafür lieferte die Sicherheitsfirma Kaspersky: Ihre Analysen haben ergeben, dass der Code des Trojaners „Regin“ auch in den geleakten Dokumenten des Whistleblowers Edward Snowden enthalten ist.

Das Verhältnis zwischen Deutschland und den USA ist seit dem NSA-Spähskandal deutlichen Belastungen ausgesetzt. Aufgrund der seither gewonnenen Erkenntnisse zog der Verfassungsschutzverbund die Konsequenz, die Spionageabwehr und insbesondere deren Präventionsarbeit auszubauen. Dies bedeutet, dass fortan auch befreundete Staaten wie die USA im Fokus der Abwehrarbeit der deutschen Inlandsnachrichtendienste stehen. Der Blickwinkel entspricht folglich nicht mehr einem linearen, sondern vielmehr einem „360-Grad-Blick“.

Die Problematik flammte durch den folgenden Vorfall wieder auf: Im Januar veröffentlichte das Nachrichtenmagazin „Der Spiegel” aus dem Fundus von Edward Snowden einen Schadcode namens „QWERTY” in Form des Quellcodes. Der russische Sicherheitsanbieter Kaspersky Lab hatte diesen Quellcode mit verschiedenen anderen Schädlingen verglichen und im Code von „Regin“ sehr deutliche Übereinstimmungen gefunden. Der „QWERTY-Code“ ließ Kaspersky zufolge unmittelbar an „Regin“ denken. Besonders pikant ist dieser Vorgang auch vor dem Hintergrund, dass bisher davon ausgegangen wurde, Deutschland sei nicht von „Regin“ betroffen. Die bis dato identifizierten Zielobjekte waren laut Symantec Whitepaper Behörden und Unternehmen in Russland, Saudi-Arabien, Irland, Mexiko und Indien.

Berichte über Trojaner auf PC im Bundeskanzleramt

Verschiedenen Presseberichten zufolge wurde die Spionagesoftware auf dem Computer einer Mitarbeiterin im Bundeskanzleramt entdeckt. Die Referatsleiterin in der Abteilung für Europapolitik soll an einem Redemanuskript gearbeitet haben, das sie nach Dienstschluss nach Hause mitnahm und dort auf ihrem privaten Laptop weiterbearbeitete. Die Infektion des Dienstrechners im Bundeskanzleramt mit dem Spionage-Trojaner erfolgte angeblich über jenen USB-Speicherstick, der zuvor am privaten Laptop der Frau angeschlossen war, und führte unmittelbar zu einer Alarmierung durch den Virenscanner. Eine anschließende Überprüfung aller Hochsicherheitslaptops im Kanzleramt offenbarte jedoch keine weiteren Viren. Die Abwehrmaßnahmen des Kanzleramts hätten demnach funktioniert. Nach Angaben der Nachrichtenagentur dpa soll der Vorfall bereits mehrere Monate zurückliegen. Es sei nicht klar, wer für die Spionageattacke verantwortlich gewesen sei und auch nicht, ob Dokumente abgeschöpft worden seien. Versuche, die Urheber zu finden, seien erfolglos geblieben.

Die Bundesregierung bestätigte die Presseberichte nicht. Sie verwies aber darauf, dass die zuständigen Gremien über derartige Vorgänge informiert würden. Ein wie in den Medien beschriebenes Angriffsmuster habe es nicht gegeben, sagte Vizeregierungssprecherin Christiane Wirtz vor Journalisten in Berlin. Das IT-System im Kanzleramt sei auch nicht infiziert worden. Zum angeblichen Verhalten der Mitarbeiterin sagte Wirtz, das Kanzleramt unterrichte die zuständigen Mitarbeiter über die Gefahren der Cyberkriminalität. Es gebe aber keinen Anlass, die Frage der IT-Sicherheit im Kanzleramt grundsätzlich zu überdenken.

Funktionsweise und Gefahren von „Regin“

Laut der US-Nachrichtenseite „The Intercept“ wird „Regin“ seit 2008 eingesetzt, um Informationen von Regierungen, Firmen und Forschungsinstituten zu stehlen. Ein Beispiel für eine Attacke soll ein Spähangriff auf die Internationale Atomenergiebehörde (IAEA) in Wien gewesen sein. Konkret arbeitet die Angriffssoftware in fünf Stufen. Die ersten drei dienen dazu, das Virus in einen Computer einzuschleusen und ihn dort zu verstecken. Dazu werden unter anderem Dateien in Bereichen der Festplatte gespeichert, die ein gewöhnlicher Nutzer nicht einsehen kann. Die beiden nächsten Stufen richten den Schaden an. Sie suchen z. B. nach hinterlegten Passwörtern, überwachen den Datenverkehr oder machen unbemerkt Aufnahmen des Bildschirminhalts. Ebenso kann „Regin“ den Mauszeiger steuern und gelöschte Dateien wiederherstellen. Eine derartige Aufteilung der Attacke ist Teil der Puzzle-Strategie. Bei Entdeckung eines Angriffs wird nicht die gesamte Funktionsweise des Virus enttarnt, sondern nur einen Teil davon.

„Regin“ kann aber auch mit mehr als 50 speziellen, auf ein einzelnes Ziel zugeschnittenen Bausteinen von Schadsoftware ausgestattet werden. Es ist also davon auszugehen, dass zahlreiche Versionen von „Regin“ kursieren, die längst nicht alle aufgedeckt worden sind. Durch diesen komplizierten Aufbau ist es möglich, dass das Virus für jahrelange Spionage-Aktivitäten eingesetzt werden konnte. Wie sich das Virus genau verbreitet hat, ist unklar. Es wird vermutet, dass Zielpersonen dazu gebracht wurden, bestimmte Webseiten aufzurufen. Davon ausgehend werden die Programme anschließend üblicherweise installiert.

Politische Konsequenzen

In der politischen Landschaft der Bundesrepublik wurden Rufe nach Aufklärung laut. Die Linke forderte vollständige Informationen über den Vorgang. Es sei dringend geboten, „die Umstände zu ermitteln und herauszufinden, wer hinter dem Spionageangriff steckt“, erklärte der Linken-Innenexperte Jan Korte. Der Verfassungsschutz soll Anfang des Jahres den Innenausschuss informieren. Es wurde betont, dass der erneute Spionageangriff zeige, dass auch ein Jahr nach den ersten Enthüllungen des früheren Ge-heimdienstmitarbeiters Edward Snowden die Nachrichtendienste ihren „360-Grad“-Blick weiter ausbauen müssten.

Empfehlungen des Verfassungsschutzes

Die oben dargestellten Vorgänge zeigen, dass IT-Sicherheit ein anhaltendes Thema ist und wie bedeutend die Implementierung und Kontrolle von Sicherheitskonzepten in der Wirtschaft und Behörden ist. Dies wird in der täglichen Präventionsarbeit des Verfassungsschutzes immer wieder betont. Es bedarf konkreter und verbindlicher Regelungen zum Umgang mit sensiblen Informationen und zu den Voraussetzungen, unter denen diese Informationen in die private Sphäre verbracht werden dürfen. Insbesondere die strikte Einhaltung einer straffen Kommunikationsdisziplin ist hierbei als bedeutender Faktor festzuhalten, um das Risiko eines unlauteren Informationsabflusses abzuwenden. Gerade letzteres ist angesichts der innovationsstarken und wirtschaftlich erfolgreichen Unternehmen ein zentrales Thema im Südwesten. Das Landesamt für Verfassungsschutz Baden-Württemberg bietet zu dieser Problematik Informationsgespräche und Vorträge sowie Beratung vor Ort an.

Beratungswünsche nimmt das Landesamt für Verfassungsschutz unter der Rufnummer 0711/95 44-301 entgegen. Auf Wunsch werden die Informationen vertraulich behandelt.

Weitere Informationen finden Sie im Internet unter www.verfassungsschutz-bw.de.