Analysten für IT-Sicherheit haben einen neuen Computerwurm entdeckt. Die Flame getaufte Schadsoftware habe Tausende Rechner vorwiegend im Nahen Osten befallen und sei seit bis zu fünf Jahren aktiv, teilte das auf Anti-Viren-Programme spezialisierte Kaspersky Lab mit. 

Flame ist ein sogenannter Trojaner, ein Programm also, dass sich tarnt und dank der Fahrlässigkeit eines Nutzers in ein System einschleust. Es kann laut Kaspersky Daten sammeln, die Einstellungen des befallenen Computers verändern, das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots machen und Chat-Konversationen aufzeichnen. Außerdem enthält das Programm demnach eine Nachladefunktion, um weitere Programme auf dem befallenen Rechner einschleusen zu können.

Ersten Analysen zufolge dient Flame dazu, Daten zu entwenden und Nutzer der Systeme auszuspähen. Physischer Schaden sei von dem Virus nicht zu erwarten. Die Analysten zeigten sich aber beeindruckt von den vielen Wegen, auf denen Flame Daten sammelt. So belauscht es beispielsweise via Bluetooth Geräte in der Umgebung des befallenen Rechners, wenn es eine offene Bluetooth-Verbindung findet. Und die Bildschirmfotos, die es macht, weden nicht zufällig angefertigt, sondern vor allem, wenn bestimmte Anwendungen laufen, die Flame interessieren.

Verbindung zu Stuxnet

Die Experten von Kaspersky stehen bei der Entschlüsselung des Programms nach eigenen Angaben noch am Anfang. Flame habe 20-mal mehr Codes als Stuxnet, mit dem iranische Anlagen zur Urananreicherung angegriffen und Zentrifugen zerstört wurden. Sind alle Programmteile auf dem befallenen Rechner geladen, ist der Schädling 20 Megabyte groß.

Eine iranische Agentur für Datensicherheit teilte über ihre Website mit, Flame habe eine "enge Verbindung" zu Stuxnet und sei möglicherweise für Cyberangriffe verantwortlich, die nach iranischen Angaben kürzlich für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten. Sollten sich die Angaben bestätigen, wäre Flame nach Stuxnet und Duqu die dritte entdeckte Cyberwaffe , die im großen Stil verbreitet wurde.

Flame hat allerdings ein anderes Ziel als Stuxnet und sein Code sei offensichtlich von anderen Programmierern geschrieben worden, schreibt ein Kaspersky-Analyst in einem Blog . Trotzdem glaubt er an eine Verbindung zu Stuxnet. Denn Flame ähnele in vielen Punkten Stuxnet und Duqu. Da sei nicht nur die regionale Verteilung des Angriffes, die der von Stuxnet ähnele. Das Programm sei auch sehr hoch entwickelt und könnte "problemlos als eine der komplexesten Bedrohungen beschrieben werden, die bislang entdeckt wurden".

Bis zu 5.000 Computer betroffen

Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen. Laut einer von Kaspersky erstellten Karte hat Flame dabei in den vergangen zwei Jahren Systeme in den folgenden Ländern befallen: Iran , Libonon, Syrien , Sudan , Ägypten , palästinensische Gebiete und Saudi-Arabien .

Über den möglichen Urheber der Schadsoftware wollte Kaspersky keine Angaben machen. Jedoch deutete das Unternehmen an, der Auftraggeber der Software könne derselbe sein wie bei Stuxnet.

Gefunden wurde das Programm nicht von Kaspersky selbst. Die International Telecommunications Union, eine Agentur der Vereinten Nationen, hatte es entdeckt und Kaspersky um Hilfe bei der Analyse gebeten.

Der 2010 entdeckte Stuxnet war für Industrieprogramme entwickelt worden damals ein Novum. Er hatte vor allem Industrieanlagen wie Kraftwerke oder Chemiefabriken, auch in Deutschland, befallen. Betroffen waren auch Kunden, die das Siemens-Steuerungssystem Simatic einsetzten. Allerdings hat Siemens zufolge keines der Unternehmen einen konkreten Schaden dadurch erlitten.