Spione, die Spione beim Ausspionieren von Spionen erwischt haben – so beschreibt die New York Times, wie der US-Geheimdienst NSA bemerkt hat, dass ihm 2015 diverse, hochbrisante Werkzeuge abhanden gekommen sind.

Die ohnehin wilde Geschichte um Russland, die NSA und das Unternehmen Kaspersky Lab bekommt damit noch eine weitere Wendung. Zusammengefasst lautet sie nun so: Vor etwa drei Jahren hatten israelische Geheimdienstler das Netzwerk von Kaspersky gehackt. Sie bemerkten dann, dass sie nicht die einzigen waren: Russische Staatshacker nutzten Kasperskys Antiviren-Software "wie eine Art Google", um die Computer von Kunden – darunter mehrere US-Behörden – nach "sensiblen Informationen" und Codenamen für Programme von US-Geheimdiensten zu durchsuchen.

Bei mindestens einem NSA-Mitarbeiter wurden sie demnach fündig. Der Mann hatte Anleitungen und Werkzeuge, um in fremde Netzwerke einzudringen, sowie Informationen darüber, wie der Geheimdienst US-amerikanische Netzwerke verteidigt, auf seinem privaten Computer gespeichert. Auf diesem Computer war Kasperskys Software installiert, was auf offiziellen Rechnern der NSA untersagt ist. Die Israelis alarmierten ihre Verbündeten von der NSA mit Belegen über die russischen Aktivitäten, was letztlich zu der Entscheidung des US-Heimatschutzministeriums (DHS) führte, allen US-Behörden die Nutzung von Kaspersky-Produkten zu untersagen.

Zur Erinnerung: Die NSA hat ein Problem

Drei Anmerkungen zur Einordnung: Erstens ist offiziell nichts bestätigt. Die Quellen der New York Times sind allesamt anonym, die beteiligten Behörden und Staaten äußern sich nicht dazu und Kaspersky Lab teilte mit, in die von der Zeitung beschriebene Geheimdienstoperation "nicht involviert" gewesen zu sein und "nichts darüber zu wissen". Kaspersky Lab habe niemals einer Regierung bei ihren Spionagetätigkeiten geholfen und werde das auch niemals tun.

Der Bericht hilft den US-Behörden zweitens, von ihrem eigenen Versagen abzulenken und die Aufmerksamkeit auf Kaspersky zu richten. Das gilt auch für den kurz darauf von der Washington Post veröffentlichten Artikel zum Thema. Dass die NSA auch nach Snowden mehrfach einräumen musste, streng geheimes Material nicht ausreichend geschützt zu haben, sodass es in die Hände von Unbefugten gelangen konnte, scheint plötzlich keine Rolle mehr zu spielen.

Jede Antiviren-Software arbeitet im Prinzip gleich

Drittens ist die beschriebene Methode, ein Antiviren-Programm zu Spionagezwecken zu nutzen, nicht auf Kaspersky beschränkt. Um Malware zu finden, benötigen solche Programme nun einmal umfassenden Zugriff auf praktisch alle Dateien, die auf einem Computer gespeichert sind, sowie eine Verbindung zum Anbieter unter anderem für den Abgleich mit bekannten Malware-Samples oder -Signaturen. Die Software anderer Anbieter, auch US-amerikanischer, ließe sich theoretisch also so genau so kompromittieren und missbrauchen.

Kaspersky leitet Nutzerdaten allerdings auf seine russischen Server. Der russische Überwachungsexperte und Regierungskritiker Andrej Soldatow ist überzeugt, dass der Geheimdienst FSB deshalb diese Daten einsehen kann. Kaspersky wiederum sagt, die Daten seien verschlüsselt und würden auch für die russische Regierung nicht entschlüsselt.

Kaspersky lieferte viele Indizien selbst

Das Elegante an der ganzen Erzählung ist, dass sie verschiedene Berichte über Kaspersky aus den vergangenen Jahren zusammenführt.

Anfang 2015 hatte das Unternehmen bei einigen seiner hochrangigen Kunden eine Spionagesoftware der Superlative entdeckt und deren Entwickler fortan als Equation Group bezeichnet. Vieles deutete daraufhin, dass hinter der Gruppe mehr oder weniger direkt die NSA steckt. Kasperskys Fähigkeit, die Werkzeuge der Gruppe aufzuspüren, wäre für den russischen Geheimdienst extrem interessant gewesen – würde also erklären, warum russische Hacker das Unternehmen oder dessen Netzwerk infiltriert haben.

Einige Monate später musste Kaspersky einräumen, in den eigenen Systemen eine andere, ebenfalls hochentwickelte Spionagesoftware entdeckt zu haben. Sie soll "sehr ähnlich bis fast identisch" zu Duqu gewesen sein – einem mit Stuxnet verwandten Programm, das seinerseits als israelisch-amerikanische Koproduktion gilt.

Wer hinter Duqu 2.0 steckt, konnte Kaspersky damals nicht beweisen. Weitere Ziele der Spionagesoftware entsprachen der Analyse des Unternehmens zufolge aber auffällig dem Arbeitsfeld der Israelis. Was Kaspersky in seinem Netzwerk entdeckt hatte, könnte also durchaus die israelische Operation gewesen sein, von der die New York Times nun schreibt.

Und die Entscheidung des DHS von vor einigen Wochen, Kaspersky-Produkte aus US-Behörden zu verbannen, wurde offiziell damit begründet, dass die Software eine Gefahr für die nationale Sicherheit darstelle. Es bestehe das Risiko, dass die russische Regierung mit oder ohne Hilfe von Kaspersky die Zugriffsberechtigungen der Software auf die Computer der Anwender ausnutzen könnte. Falls die Darstellung der New York Times korrekt ist, hatten die US-Behörden dafür also bereits mindestens ein konkretes Beispiel. Sie hätten dann nur ziemlich lange gebraucht, um daraus Konsequenzen zu ziehen.