Ouroboros, die Schlange, die sich in den eigenen Schwanz beißt © G Data

Fast ein Jahr hat Ralf Benzmüller von der Sicherheitsfirma G Data gebraucht, um die Spionagesoftware Uroburos zu entschlüsseln. Vergangene Woche veröffentlichte er seine Erkenntnisse. Sie verdeutlichen, dass selbst Computer, die selbst nicht mit dem Internet verbunden sind, aus der Ferne ausspioniert werden können.

Einmal auf einem Rechner installiert, sichert der Virus Uroburos heimlich Daten, die er über jeden anderen beliebigen Rechner in einem Netzwerk versenden kann. Im sogenannten Peer-to-peer-Modus kommunizieren Rechner miteinander, die in einem solchen Netzwerk, aber nicht mit dem offenen Internet verbunden sind. Der Uroburos-Schädling sucht automatisch nach einem Rechner innerhalb dieses Netzwerkes, der doch online ist, um von dort seine Daten an die Hintermänner zu versenden.

Theoretisch ist ein sogenannter air gapped computer, also einer ohne direkte Anbindung ans Internet, ein probates Mittel gegen Angriffe von außen. Aber in der Praxis ist es kompliziert, die strikte Trennung aufrechtzuerhalten. Der Kryptografie-Experte Bruce Schneier hat zehn Tipps zur Einrichtung eines solchen "Air-Gapped"-Computers gesammelt, aber auch er sagt: Es mag möglich sein, einen einzelnen Rechner mit einem einzelnen Benutzer entsprechend abzuschotten. Aber es sei "fast unmöglich", ein ganzes Netzwerk solcher Computer wirklich sicher einzurichten und zu betreiben.

Nur Windows-Computer sind betroffen

Das gilt erst recht, wenn ein Angreifer hoch professionell arbeitet. Uroburos sei "hochgradig komplex, von der Struktur, von den ganzen Tarnelementen. Da waren Experten am Werk, die genau wussten, was sie tun", sagt Benzmüller, Forschungsleiter bei G Data, einem Bochumer Spezialisten für Sicherheitssoftware mit Kunden in Europa und Lateinamerika.

Drei Jahre lang konnte Uroburos unentdeckt Daten kopieren. Wie viele und bei wem, ist unklar, sagt Benzmüller. Bislang ist der Virus nur bei wenigen Kunden in Europa entdeckt worden. Betroffen sind nur Windows-Systeme. Hinter Oruburos, wie sich der Virus im Quelltext selbst nennt, kann eigentlich nur ein Geheimdienst stecken. "Vom Aufwand her dürfte das eng werden für ein Unternehmen."

Mutmaßlich russische Urheber

Uroburos ist darauf ausgelegt, Firmen oder Behörden mit weitverzweigtem Netzwerk auszuspähen. Dort kann die Schadsoftware lange Zeit verborgen bleiben. Vieles deutet darauf hin, dass der russische Geheimdienst dahinter steckt. Nicht nur, weil der Code auf russischsprachige Entwickler schließen lässt. Uroburos ähnelt auch einem anderen mutmaßlich russischen Spähprogramm namens Agent.btz, das im Jahr 2008 Rechner der US-Armee infizierte und erst Jahre später vollständig entfernt werden konnte. Bei der Entschlüsselung von Uroburos haben Benzmüller und seine Kollegen deutliche Parallelen zu Agent.btz herausgefunden.

So sind beide Programme exakt gleich verschlüsselt. Ein weiteres Indiz: Der Uroburos-Virus überprüft, ob das Programm Agent.btz bereits auf dem Rechner versteckt ist. In dem Fall installiert er sich nicht. "Und sie sind so ähnlich aufgebaut, dass sie wahrscheinlich aus derselben Autorengruppe stammen," vermutet Benzmüller. Und noch etwas spricht für die These, dass Uruburos eine Weiterentwicklung von Agent.btz ist: Uruburos gibt es mindestens seit 2011, also kurz nachdem Agent.btz aufgedeckt wurde.