Fast ein Jahr hat Ralf Benzmüller von der Sicherheitsfirma G Data gebraucht, um die Spionagesoftware Uroburos zu entschlüsseln. Vergangene Woche veröffentlichte er seine Erkenntnisse. Sie verdeutlichen, dass selbst Computer, die selbst nicht mit dem Internet verbunden sind, aus der Ferne ausspioniert werden können.

Einmal auf einem Rechner installiert, sichert der Virus Uroburos heimlich Daten, die er über jeden anderen beliebigen Rechner in einem Netzwerk versenden kann. Im sogenannten Peer-to-peer-Modus kommunizieren Rechner miteinander, die in einem solchen Netzwerk, aber nicht mit dem offenen Internet verbunden sind. Der Uroburos-Schädling sucht automatisch nach einem Rechner innerhalb dieses Netzwerkes, der doch online ist, um von dort seine Daten an die Hintermänner zu versenden.

Theoretisch ist ein sogenannter air gapped computer, also einer ohne direkte Anbindung ans Internet, ein probates Mittel gegen Angriffe von außen. Aber in der Praxis ist es kompliziert, die strikte Trennung aufrechtzuerhalten. Der Kryptografie-Experte Bruce Schneier hat zehn Tipps zur Einrichtung eines solchen "Air-Gapped"-Computers gesammelt, aber auch er sagt: Es mag möglich sein, einen einzelnen Rechner mit einem einzelnen Benutzer entsprechend abzuschotten. Aber es sei "fast unmöglich", ein ganzes Netzwerk solcher Computer wirklich sicher einzurichten und zu betreiben.

Nur Windows-Computer sind betroffen

Das gilt erst recht, wenn ein Angreifer hoch professionell arbeitet. Uroburos sei "hochgradig komplex, von der Struktur, von den ganzen Tarnelementen. Da waren Experten am Werk, die genau wussten, was sie tun", sagt Benzmüller, Forschungsleiter bei G Data, einem Bochumer Spezialisten für Sicherheitssoftware mit Kunden in Europa und Lateinamerika.

Drei Jahre lang konnte Uroburos unentdeckt Daten kopieren. Wie viele und bei wem, ist unklar, sagt Benzmüller. Bislang ist der Virus nur bei wenigen Kunden in Europa entdeckt worden. Betroffen sind nur Windows-Systeme. Hinter Oruburos, wie sich der Virus im Quelltext selbst nennt, kann eigentlich nur ein Geheimdienst stecken. "Vom Aufwand her dürfte das eng werden für ein Unternehmen."

Mutmaßlich russische Urheber

Uroburos ist darauf ausgelegt, Firmen oder Behörden mit weitverzweigtem Netzwerk auszuspähen. Dort kann die Schadsoftware lange Zeit verborgen bleiben. Vieles deutet darauf hin, dass der russische Geheimdienst dahinter steckt. Nicht nur, weil der Code auf russischsprachige Entwickler schließen lässt. Uroburos ähnelt auch einem anderen mutmaßlich russischen Spähprogramm namens Agent.btz, das im Jahr 2008 Rechner der US-Armee infizierte und erst Jahre später vollständig entfernt werden konnte. Bei der Entschlüsselung von Uroburos haben Benzmüller und seine Kollegen deutliche Parallelen zu Agent.btz herausgefunden.

So sind beide Programme exakt gleich verschlüsselt. Ein weiteres Indiz: Der Uroburos-Virus überprüft, ob das Programm Agent.btz bereits auf dem Rechner versteckt ist. In dem Fall installiert er sich nicht. "Und sie sind so ähnlich aufgebaut, dass sie wahrscheinlich aus derselben Autorengruppe stammen," vermutet Benzmüller. Und noch etwas spricht für die These, dass Uruburos eine Weiterentwicklung von Agent.btz ist: Uruburos gibt es mindestens seit 2011, also kurz nachdem Agent.btz aufgedeckt wurde.

Anderer Ansatz als bei der NSA

Uroburos (eigentlich Uroboros oder Ouroboros), die Schlange, die ihren eigenen Schwanz frisst, tauchte als Symbol schon im Alten Ägypten auf. Die gleichnamige Schadsoftware ähnelt von der Struktur her auch der Spionagesoftware Flame, die wohl von den USA und Israel im Orient eingesetzt wurde. Für die bekannteste Cyberwaffe – Stuxnet, das Programm, das seit 2007 versuchte, iranische Atomanlagen zu sabotierten – sollen ebenfalls die USA und Israel verantwortlich sein. Wie der Washington-Korrespondent der New York Times, David E. Sanger, in seinem Buch Confront and Conceal beschreibt, führt die Weltmacht seit 2006 einen geheimen Cyberkrieg gegen den Iran.

Die Vorbereitung des Stuxnet-Angriffs war dabei der erste Test einer NSA-Technik zur Ausspähung von Computern, die nicht mit dem Internet verbunden sind. Laut New York Times setzte die NSA dazu kleine Funkwanzen ein, die Signale an andere Rechner senden und von dort empfangen können. Die Wanzen übertragen ihre gesammelten Daten auch per Funksignal nach außen. Sie sind versteckt in USB-Kabeln. Der Ansatz ist also ein anderer als im Fall von Uroburos, aber das Ziel ist das gleiche.

Die mutmaßlich russische Spähsoftware zeigt damit erneut, wie verwundbar selbst vermeintlich abgeschottete Computer sind. Das zeigte im vergangenen Jahr auch die spektakuläre Entdeckung des badBIOS-Virus, der Daten über hochfrequente Audiosignale sendet und deshalb air gaps überwindet. Wo dieser Wundervirus herkam, weiß allerdings bis heute niemand.