Fast zehn Jahre lang soll der auf den Namen Regin getaufte Trojaner unbemerkt internationale Industrieunternehmen ausspioniert haben, darunter Ziele in Deutschland, Russland, Belgien und Saudi-Arabien. Im November vergangenen Jahres konnten Experten der Sicherheitsfirma Symantec die Schadsoftware enttarnen. Sie bezeichneten ihn als die gefährlichste Cyberwaffe seit der Computerwurm Stuxnet unter anderem das iranische Atomprogramm attackierte.

Lange spekulierten die Experten über die Herkunft der hochentwickelten Schadsoftware. Inzwischen scheint es sicher, dass Regin ein Werkzeug des US-amerikanischen Geheimdienstes NSA ist. Das zeigen Analysen der Sicherheitsfirma Kaspersky auf Basis von geleakten Snowden-Dokumenten, die der Spiegel Mitte Januar veröffentlichte.

Eines der Dokumente zeigt den Code eines Keyloggers namens QWERTY. Dieser wird von den sogenannten Five Eyes eingesetzt, dem Geheimdienst-Verbund der USA, Großbritannien, Kanada, Australien und Neuseeland. Mit QWERTY ist es möglich, die Tastatureingaben auf einem fremden Rechner heimlich mitzuschneiden, um an Passwörter zu gelangen.

Die Experten von Kaspersky erklären in einem Blogeintrag, dass sie den Code von QWERTY mit einem Modul von Regin verglichen haben. Die Ähnlichkeiten ließen keinen Zweifel: "Es gibt eindeutige Beweise dafür, dass QWERTY nur als ein Teil von Regin funktioniert", schreiben sie. Angesichts der Komplexität von Regin sei es unwahrscheinlich, dass jemand QWERTY programmiert haben könnte, ohne gleichzeitig Zugriff auf den Code von Regin zu haben.

Angriffe auf Kanzleramt und EU

Die Dokumente des Whistleblowers Edward Snowden belegen, dass die NSA und ihre verbündeten Geheimdienste QWERTY eingesetzt haben. Dadurch gilt als sicher, dass sie auch von Regin wussten. Wie Spiegel Online schreibt, gebe es im Quellcode der beiden Programme zudem zahlreiche Verweise auf die Sportart Kricket. Diese ließen auf eine Beziehung zu den Five Eyes schließen.

Schon kurz nach der Enthüllung von Regin vermuteten Verbündete Snowdens, dass die Geheimdienste hinter dem Trojaner stecken könnten. Bereits im November berichtete das US-Nachrichtenportal The Intercept von möglichen Verbindungen. Hinweise fanden sie im Angriff auf den belgischen Telekommunikationskonzern Belgacom, bei dem Regin eingesetzt wurde. Belgacom wurde vom britischen Geheimdienstes GCHQ über längere Zeit ausspioniert.

Die Belgier waren nur eines der Opfer: Bis jetzt wurde Regin bei Cyberangriffen in 19 Ländern nachgewiesen. Zu den mutmaßlichen Zielen gehören Energielieferanten, Telekommunikationsanbieter und auch die EU-Kommission. Ende Dezember wurde der Trojaner zudem auf dem privaten USB-Stick einer Mitarbeiterin des Kanzleramts entdeckt.

Die NSA forciert den Cyberkrieg

Sollte Regin tatsächlich aus den Laboren der US-Geheimdienste stammen, würde es einmal mehr bestätigen: Der NSA und ihren Partnern geht es längst nicht mehr nur um Überwachung und das Sammeln von Daten. Die Komplexität von Regin und seine Ziele lassen auf eine tiefergehende Spionage von Industrie und Politik schließen. Selbst Verbündete der USA sind davor nicht gefeit.

Programme wie Stuxnet und Regin gehören zum Arsenal der neuen digitalen Kriegsführung. Sie eignen sich nicht nur zur Spionage, sondern auch zur Sabotage. Unter dem Namen Taylored Access Operation, kurz TAO, koordiniert die interne Hacker-Abteilung der NSA nach den jetzigen Erkenntnissen Angriffe auf digitale Ziele.

In der "Cyberkrieg-Strategie" der NSA ist die Überwachung von Bürgern, Unternehmen und Regierungen nur der erste Schritt, die "Phase 0" wie es in geleakten Dokumenten heißt. Das eigentliche Ziel sei die "kontrollierte Eskalation in Echtzeit". Offiziell heißt es, die USA rüste sich lediglich zur Abwehr von Angriffen. Angesichts der Fundorte von Regin ist dieses Argument kaum haltbar. Die Snowden-Enthüllungen zeigen immer deutlicher, dass die NSA selbst den Krieg im Netz forciert.

Mit der Enttarnung von Regin könnte das etwas schwieriger werden. Auch wenn er nach Meinung der Experten sicherlich noch in zahlreichen System schlummert. Doch die jetzigen Analysen beziehen sich möglicherweise auf ältere Versionen des Trojaners. Es ist anzunehmen, dass die Five Eyes bereits an neuen Programmen arbeiten – und sie bereits verwenden.