Der russische IT-Sicherheitsexperte Eugene Kaspersky. dapd

Die russischen Anti-Viren-Experten von Kaspersky Lab haben die jüngste Cyberwaffe „Roter Oktober" entdeckt. Im Gespräch mit dem Wall Street Journal Deutschland berichtet der Gründer und Chef der Firma, Eugene Kaspersky, was über die Ursprünge der Malware inzwischen bekannt ist – und wie sich seiner Meinung nach kritische Infrastruktur wirklich schützen lässt.

WSJ: Bei den großen ausgefeilten Cyber-Attacken der jüngsten Zeit – Stuxnet, Flame, Gauss und nun Roter Oktober – scheinen vor allem nicht-westliche Staaten im Visier zu stehen…

Eugene Kaspersky: Bei Roter Oktober waren auch westliche Staaten unter den Opfern. Bei den Quellen haben wir nur sehr wenige Daten. Denn es ist nicht unsere Aufgabe, die Quellen zu finden – das ist Aufgabe der Polizei oder von Geheimdiensten. Sie sind in der Lage, diese Vorfälle zu untersuchen - wir nicht.

Und tun sie das auch?

Das weiß ich nicht, weil sie nichts öffentlich machen. Aber höchstwahrscheinlich schon. In einigen Fällen – wenn auch nicht bei Roter Oktober - wissen sie, wer dahinter steckt. Aber ich bin mir nicht bei allen Fällen sicher.

Wer sind denn die möglichen und wahrscheinlichen Hintermänner?

Hinter Angriffen mit Spionage-Werkzeugen stecken manchmal Kriminelle, die auf Geld aus sind - vielleicht Unternehmen, die Daten ihrer Wettbewerber stehlen wollen, oder vielleicht Regierungen. Aber ich glaube, dass wir nur die Spitze des Eisbergs kennen und viele Attacken, die entweder von Regierungen ausgeführt werden oder von Cyberkriminellen, die die Daten an Regierungen verkaufen, nicht sichtbar sind. Nehmen wir Roter Oktober: Viele der Programm-Module kannten wir schon seit Jahren. Aber wir sahen nicht, dass sie alle zusammengehören. Wir konnten sozusagen alle Buchstaben lesen, wussten aber nicht, dass sie alle aus demselben Buch sind.

Und wie haben Sie das dann herausgefunden?

Es gab eine Anfrage von einem unserer Partner aus einem EU-Land, der anonym bleiben möchte. Er bat uns bei der Analyse einer Cyber-Attacke, die er untersuchte, um technische Unterstützung, weil ihm Experten fehlten. Sie gaben uns die Information, dass alle Module einen gemeinsamen Ursprung haben. Und dann haben wir alles zusammengezählt und gesehen: Das ist groß, das ist wirklich groß.

Und woher hatte diese Regierungsorganisation die Information, dass alle diese Schadsoftware-Module einen gemeinsamen Ursprung haben?

Sie zählten zu den Opfern der Attacke und sammelten nicht alle aber viele der Module, die dabei eine Rolle spielten. Wir fanden dann ähnliche Module in verschiedenen Ländern und bei ganz unterschiedlichen Organisationen.

Wie viele verschiedene Module haben Sie gefunden?

Mehr als 1000 Dateien – aber sie lassen sich in 30 Gruppen einteilen. Der Unterschied beispielsweise zwischen Gauss und Flame auf der einen und Roter Oktober auf der anderen Seite ist, dass bei Flame und Gauss die immer gleichen Module bei verschiedenen Opfern genutzt wurden. Roter Oktober dagegen wurde auf jedes einzelne Opfer genau abgestimmt.

Was lässt sich über die Angreifer noch sagen?

Ihr Programmierstil und ihre Tricks sind genau dieselben, die wir von russisch sprechenden Kriminellen kennen. Das ist ganz klar russische Schule, das können wir erkennen. Dazu kommen die russischen Kommentare im Code. Wir sind ziemlich sicher, dass russisch sprechende Kriminelle oder Regierungsvertreter eine Rolle spielten. Vielleicht kommen sie aus Russland, vielleicht aus der Ukraine, Israel, USA – vielleicht sogar Deutschland. Wir kümmern uns nicht darum, wer es war. Vielleicht waren es auch Aktivisten.

Aber es gab doch niemals eine derart ausgefeilte Attacke von Aktivisten...

Vielleicht Kriminelle, die die Daten dann an einen Geheimdienst oder wen auch immer geliefert haben.

Welche der großen Attacken in der jüngsten Zeit – Stuxnet, Gauss, Flame und Roter Oktober – war die ausgefeilteste?

Diese Fragen müssten Sie eher meinen Experten stellen, denn ich habe mir den Code persönlich nicht angesehen. Aber wenn es um Zeit und Ressourcen geht, die in die Entwicklung der Software geflossen sind, ist Roter Oktober vielleicht die aufwändigste Attacke.

Arbeiten Sie mit anderen Anti-Viren-Unternehmen bei der Aufdeckung von solchen Attacken zusammen?

Wir kooperierten in diesem Fall mit den CERT - Computer Emergency Response Teams – in verschiedenen Ländern. In diesem Fall haben wir mit anderen Anti-Viren-Unternehmen nicht zusammengearbeitet, weil wir es nicht mussten. Wir kooperieren aber zum Beispiel mit Microsoft, MSFT +0,41% Microsoft Corp. U.S.: Nasdaq $46,87 +0,19 +0,41% 19 Sept. 2014 13:53 Volumen (​15 Min. verzögert) : 41,11 Mio. KGV 17,66 Marktkapitalisierung 384,64 Milliarden $ Dividendenrendite 2,64% Umsatz/Mitarbeiter 677.570 $ mit denen wir zusammen Botnetze entdecken konnten, die dann von lokalen Polizeieinheiten aufgelöst wurden. Es ist wie bei der Behandlung einer Krankheit: Je nach Krankheit arbeiten wir mit verschiedenen Leuten zusammen.

Wie ist dabei Ihre Beziehung zu Regierungen – insbesondere Geheimdiensten, die ja in einigen der Attacken selbst involviert sein könnten?

In jedem Land gibt es offensive und defensive Geheimdiensteinheiten – Spionage und Spionageabwehr. Wir arbeiten mit Organisationen zusammen, die sich um die Spionageabwehr kümmern. In vielen anderen Ländern haben wir von Zeit zu Zeit Kontakte zu Geheimdiensten, wenn sie ihre Bürger schützen wollen. Die Mission unserer Firma ist es, die Welt zu retten. Es gibt natürlich die geschäftlichen Dienstleistungen. Aber wir assistieren auch weltweit Behörden bei der Jagd auf Bösewichte.

Gab es jemals die Bitte von einem Geheimdienst, irgendetwas nicht zu entdecken?

Einmal habe ich davon gehört. Es war nicht Russland. Sie wollten uns fragen, taten es aber letztlich doch nicht, weil ihnen andere bereits erklärt hatten, dass das nicht funktioniert.

Glauben Sie, dass andere Anti-Viren-Unternehmen das machen?

Das weiß ich nicht – aber es hätte nicht viel Sinn. Die Wettbewerber würden es dann dennoch entdecken. Früher oder später wird das entdeckt.

Stuxnet hat damals vier bislang nicht bekannte Sicherheitslücken genutzt – wie viele nutzte Roter Oktober?

Es waren drei Sicherheitslücken, die wir gefunden haben – zwei für Microsoft Word und eine für Microsoft Excel. Keine davon ist allerdings heute eine unbekannte Sicherheitslücke, also ein Zero-Day-Exploit. Allerdings ist Roter Oktober ja auch schon seit mehreren Jahren aktiv – das kann also mal anders gewesen sein. Außerdem haben wir seltsamerweise keine Lücke gefunden, die auf Adobe ADBE -1,72% Adobe Systems Inc. U.S.: Nasdaq $66,74 -1,17 -1,72% 19 Sept. 2014 13:52 Volumen (​15 Min. verzögert) : 3,32 Mio. KGV 136,10 Marktkapitalisierung 33,78 Milliarden $ Dividendenrendite N/A Umsatz/Mitarbeiter 347.161 $ -Produkte zielt. Wir glauben, dass es noch etwas gibt, was wir noch nicht gefunden haben.

Sie warnen regelmäßig vor dem Einsatz von Cyberwaffen. Glauben Sie, dass es internationale Regeln für Cyberwaffen geben sollte?

Das ist keine neue Idee. In mancherlei Hinsicht sind Cyberwaffen weniger gefährlich als konventionelle Waffen, weil sie normalerweise keine Menschen töten – auch wenn ich von einem Gerücht gehört habe, wo es diesen Fall gegeben haben soll. Es gab mal einen Virus, der die Zahlen von gedruckten Dokumenten zufällig vertauscht hat. Laut dem Gerücht soll dadurch in den Niederlanden ein Patient getötet worden sein, weil das Virus den Betrag bei der Morphin-Dosis, die der Patient erhalten sollte, ausgetauscht hatte. Technisch ist es jedenfalls möglich, Computerattacken durchzuführen, die Menschen töten. Doch normalerweise töten sie heute nicht.

Auf der anderen Seite ist es sehr einfach, Computerattacken zu kopieren. Es ist einfach, den Code zu analysieren und in veränderter Form noch einmal zu verwenden – eine Cruise Missile lässt sich hingegen nicht noch einmal verwenden. Computerattacken sind zudem deutlich günstiger. Cyberwaffen sind einerseits humaner als konventionelle Waffen aber auf der anderen Seite auch gefährlicher, weil sie einfacher einzusetzen sind. Deshalb sind Cyberwaffen eine gefährliche Innovation. Das muss Regierungen erklärt werden. Sie sollten darüber übereinstimmen, Cyberwaffen nicht zu nutzen. Wir befinden uns in einer kritischen Zeit. Es gibt andere Mächte wie Terroristen, die Cyberwaffen einsetzen könnten. Der Unterschied zwischen Terroristen und Regierungen ist, dass Regierungen miteinander sprechen können – mit Terroristen zu verhandeln ist deutlich schwieriger. Terroristen sind die nächsten, die Cyberwaffen einsetzen werden.

Wenn Terroristen Cyberwaffen einsetzen, sollten es Regierungen vielleicht auch tun?

Das ist dann zu spät. Unbekannte Gruppen können Programmierer einstellen oder Software auf dem Schwarzmarkt kaufen und gegen entwickelte Länder einsetzen – das lässt sich nicht mit Cyberwaffen stoppen.

Sprechen Sie mit Regierungen, und werben Sie dafür, nicht auf Cyberwaffen zu setzen?

Die Regierungsvertreter, mit denen ich spreche, lassen sich in verschiedene Kategorien aufteilen. Die meisten wissen nicht, wovon ich rede. Diejenigen, die es verstehen, spalten sich wiederum in zwei Gruppen: Einige erkennen eine große Gefahr, andere sehen eine Chance – und ich spreche mit beiden Seiten.

Aus welchen Ländern kommen diejenigen, die eine Chance sehen?

Es gibt in allen Ländern beide Seiten. Es hängt davon ab, für welche Organisation sie arbeiten. Arbeiten sie für eine Organisation, die für die Verteidigung zuständig ist, stimmen sie darin überein, dass das gefährlich ist. Sind es Geheimdienste mit offensiver Ausrichtung, sehen sie es als Chance.

Sie sagten, Cyberwaffen können kopiert werden. Konnten Sie beobachten, dass Kriminelle sich bei Stuxnet, Flame und den anderen Cyberattacken etwas abgeschaut haben?

Nein. Es kann sein, dass das passiert ist – aber wir wissen nichts davon.

Und wenn es passiert, würden Anti-Viren-Programme die Schädlinge erkennen?

Ich glaube, dass die meisten Programme sie erkennen würden. Aber: Wenn Kriminelle die Cyberwaffen auseinanderbauen und ein wenig in der Funktionalität verändern, hätten wir eine Malware, die ähnlich funktioniert, aber nicht entdeckt würde. Und sie müssen die Software auch gar nicht eins zu eins kopieren. Es reicht, wenn sie die Ideen dahinter verstehen. Also: Wenn Sie die Mechanismen der Algorithmen verstehen und diese einfach in einer anderen Art und Weise nachprogrammieren…

Ich bin kein Anti-Viren-Experte. Aber ich glaube, dass das Problem dieser Programme darin besteht, Schädlinge zu entdecken, die noch nicht bekannt sind.

Das stimmt.

Gibt es auf dem Gebiet der Entdeckung bislang unbekannter Malware, der sogenannten Heuristik, Fortschritte?

Hier gibt es einen entscheidenden Unterschied zwischen krimineller Malware und gezielten Attacken. Bei krimineller Malware werden zufällig Computer befallen und zufällig Daten gesammelt. Die Kriminellen sind nicht am einzelnen Computer speziell interessiert. Es gibt also tausende Infektionen, und wir können sehen, dass es eine neue Software gibt und erkennen das typischerweise recht schnell. Innerhalb weniger Minuten – vielleicht fünf Minuten, nachdem die Software damit begonnen hat, sich zu verbreiten – können wir die Verbindungen kappen und die weitere Verbreitung stoppen. Cyberkriminelle mögen das nicht – wir sehen das in diesen Untergrundforen, in denen sie sich austauschen. Diese zufälligen Attacken sind einfach zu stoppen.

Bei direkten Attacken ist das anders. Da geht es vielleicht um eine oder nur wenige Infektionen. Das ist der Grund, warum Stuxnet am Ende gestoppt wurde – die Software infizierte einfach zu viele Computer. Nur weil sich die Software auf so vielen Computern verbreitete, haben wir sie entdeckt. Wäre Stuxnet immer im selben Netzwerk geblieben, hätten wir es vermutlich niemands gefunden.

Gibt es überhaupt wirksamen Schutz gegen diese direkten Attacken?

Die direkten Attacken werden immer durch eine Kombination von Social Engineering – der gezielten Manipulation von Menschen – und dem Ausnutzen von Sicherheitslücken ausgeführt. Wir können also einerseits Malware stoppen, die Sicherheitslücken ausnutzt. Andererseits schulen wir das Sicherheitsbewusstsein und erklären Mitarbeitern und Top-Managern die typischen Fallen, wie man Leute hereinlegt.

Also führen Cyberkriminelle auch schon gezielte Attacken aus?

Ja, Sie senden beispielsweise Grußkarten anlässlich von Feiertagen oder anderen Ereignissen per E-Mail. Wir zeigen dann Screenshots von typischen E-Mails, die Schulungen funktionieren gut.

Sprechen wir von kritischer Infrastruktur…

Wenn wir von Attacken wie bei Stuxnet sprechen, bei denen viel Geld investiert wurde, ist das was anderes. Stuxnet war weniger kompliziert als Flame, Gauss und Roter Oktober. Aber ich bin mir recht sicher, dass mehr Geld in die Entwicklung gesteckt wurde, weil die Malware auf kritische industrielle Infrastruktur zielte. Es gab keine Möglichkeiten, Fehler zu machen. Gauss und Flame dagegen waren Spionage-Werkzeuge, die Daten von verschiedenen Quellen eingesammelt haben und nicht unbedingt einen bestimmten Computer befallen mussten. Bei Stuxnet ging es um eine bestimmte Maschine – deshalb glaube ich, dass mehr Geld in die Entwicklung geflossen ist.

Wir lässt sich kritische Infrastruktur schützen?

Der einzige Weg, derartige Systeme gegen diese Art von Cyberwaffe zu schützen, ist, das Konzept des Systems zu verändern – es muss sich um eine sichere Umgebung handeln.

Das bedeutet keine Verbindung zum Internet?

Nein, ein sichere Betriebssystem. Stuxnet befiel Computer, die nicht mit dem Internet verbunden waren – über USB-Sticks. Die Techniker reisen, sie nutzen USB-Sticks und Laptops – nicht nur im Iran, überall.

Wie lässt sich dann beispielsweise eine besonders kritische Anlage wie ein Atomkraftwerk schützen? Können dann etwa gar keine Daten von außen in das Netzwerk fließen?

Doch, es gibt drei mögliche Szenarien, wie man sich gegen eine Attacke wie Stuxnet schützen kann: Es gibt einen einfachen, einen komplizierten und den einzig wahren Weg. Zunächst der sehr einfache, die Quarantäne: Wenn Sie ein Techniker sind und eine neue Software auf einem kritischen System installieren wollen, sollten Sie den Inhalt des USB-Sticks erst auf einem anderen Computer zwischenspeichern. Auf diesem sollte ein anderes Betriebssystem zum Einsatz kommen, als das, was vom kritischen System genutzt wird. Von dort kann man es dann weiterkopieren.

Verstehe. Aber theoretisch wäre es ja auch möglich, dass eine Malware auf zwei verschiedene Betriebssysteme zielt…

Natürlich – aber das ist schwieriger. Deswegen ist das ja auch der primitive Weg. Es ist ein erster Schritt. Wenn Sie nichts anderes haben, ist es schon einmal gut, das zu unternehmen. Den zweiten Weg gibt es noch nicht. Doch es wäre recht einfach umzusetzen, und vielleicht werden wir das einmal anbieten: Default-Denial-Systeme. Auf solchen Systemen wären nur Applikationen erlaubt, die bereits installiert sind – oder neue Versionen davon. Auf diesen Computern ließe sich keine neue Software installieren. Wir arbeiten daran, das für Windows-Computer bereitzustellen - vielleicht schon dieses Jahr.

Und der einzig wahre Weg?

Der einzige echte Schutz ist ein sicheres Betriebssystem, an dem wir jetzt schon seit langem arbeiten. Dieses System basiert auf dem Prinzip, dass nicht nur die Software, die ausgeführt werden darf, signiert ist, sondern das, was sie tun darf. Wenn es sich beispielsweise um einen PC zum Berechnen von Zahlen handelt, dann kann er Zahlen berechnen aber nicht auf das Internet zugreifen. Das Verhalten der Applikationen wird also überwacht und nichts außerhalb der vorgegebenen Bahnen zugelassen. Wir haben das System von Grund auf neu geschrieben, es funktioniert, und wir sind in Gesprächen mit einigen Kunden aus der Industrie.

Wie heißt das System?

Wir haben noch keinen öffentlichen Namen, intern nennen wir es schlicht 11 11.

Wann wird es fertig sein?

Es wird niemals fertig sein, genau wie Microsoft Windows [lacht]. Aber wir arbeiten schon mit einigen Unternehmen zusammen, die kritische Infrastruktur betreiben, und wir entwickeln Prototypen. Das große Problem ist die Softwareentwicklung. Es ist komplizierter, für dieses System Software zu entwickeln. Sicherheit gibt es nicht gratis. Je mehr Sicherheit Sie haben, desto weniger Freiheit gibt es beim Entwickeln von Applikationen.

Aber das ganze Konzept eignet sich tatsächlich nur für die wirklich kritische Infrastruktur?

Ja, denn die Softwareentwicklung für dieses System ist wirklich teuer – nicht mit Windows zu vergleichen. Sie arbeiten in einer sehr begrenzten Umgebung mit sehr begrenzter Funktionalität. Sie müssen viel akkurater programmieren.

Welche Kunden sind interessiert?

Derzeit Kraftwerksbetreiber.

Nur Kraftwerke?

Wir reden auch mit anderen, arbeiten aber mit Kraftwerken zusammen. Das ist immerhin wirklich kritische Infrastruktur.

Kontakt zum Autor: stephan.doerner@wsj.com