Frage: Herr Kamluk, Ihr Unternehmen hat gerade einen ausführlichen Bericht über einen Cyberspionagevirus – genannt MiniDuke – veröffentlicht. Wer wurde da von wem ausspioniert?

Vitaly Kamluk: Betroffen waren 59 Opfer in 23 Ländern, oft waren Regierungsnetzwerke das Ziel. Aus unserer Sicht war das ein einzigartiger und sehr seltsamer Angriff. Nicht nur, weil so viele verschiedene Länder betroffen waren, sondern auch wegen der merkwürdigen Funktionalitäten von MiniDuke. Zum Beispiel konnte das Schadprogramm offenbar über Befehle, die bei Twitter veröffentlicht wurden, ferngesteuert werden. Andere Bausteine von MiniDuke haben uns wiederum an das vor wenigen Monaten entdeckte Spionageprogramm Red October erinnert.

Frage: MiniDuke, Red October, Stuxnet, Flame – ständig gibt es Schlagzeilen über neue gefährliche Superviren. Worin unterscheiden die sich von denen, die Passwörter oder Kontodaten ergattern?

Kamluk: Da gibt es einen grundlegenden Unterschied. Jeden Tag werden Hunderttausende neuer Schadprogramme in Umlauf gebracht. Die allermeisten davon sind lediglich neue Versionen von älterer Malware. Meist geht es um Diebstahl. Die Cyberkriminellen haben es auf alles abgesehen, was Geld bringt. Sie versuchen an Kreditkartennummern zu kommen oder saugen Informationen von sozialen Netzwerken ab und verkaufen diese Datensätze. Manchmal werden Firmeninterna gestohlen und die Unternehmen damit erpresst. Mit Attacken, wie wir sie bei Red October oder Stuxnet gesehen haben, hat das nichts zu tun. Da geht es nicht in erster Linie um Geld, sondern um Spionage und Sabotage. Bei Red October wurden jahrelang hochgeheime Dokumente erbeutet, vor allem von Botschaften und Behörden. Mit Stuxnet wurde eine iranische Uran-Aufbereitungsanlage manipuliert. Wir hatten auch schon einen Fall, in dem ein Schadprogramm Informationen über Kontobewegungen gesammelt hat. Die Hacker wollten sich offensichtlich einen Überblick über Geldströme verschaffen.

Frage: Wer sind diese ominösen Hacker? Einzeltäter, terroristische Vereinigungen? Oder stecken Geheimdienste dahinter?

Kamluk: Das ist schwer zu beantworten. Wir haben oft keine verlässlichen Fakten, um die Angreifer zu identifizieren. Die Cyberspione versuchen, keinerlei Spuren zu hinterlassen. Trotzdem gibt es manchmal Hinweise, dass eine Malware aus einem bestimmten Land kommt. Red October wurde mithilfe eines E-Mail-Anhangs eingeschleust, der eine Sicherheitslücke ausgenutzt hat. Dieser ursprüngliche Exploit basierte auf einem Code, der von chinesischen Hackern stammte. Aber bei der weiteren Analyse fiel uns auf, dass andere Module des Schadprogramms auf keinen Fall aus China stammen konnten. Also ist die Spur vermutlich eine falsche Fährte, die vielleicht sogar extra gelegt wurde.

Frage: Stattdessen fanden Sie Hinweise auf russischsprachige Programmierer. War vielleicht die russische Regierung der Auftraggeber?

Kamluk: Das muss man sehr genau differenzieren: Wir haben Hinweise auf eine Beteiligung russischer Muttersprachler gefunden, nicht auf eine Beteiligung der russischen Regierung.