Neue Schadsoftware: «Wir haben Zugriff auf Flame»
Aktualisiert

Neue Schadsoftware«Wir haben Zugriff auf Flame»

Ein heimtückisches Spionage-Tool namens Flame alarmiert weltweit IT-Experten und Computer-Laien. Die brennendsten Fragen und Antworten zum angeblichen Stuxnet-Nachfolger.

von
Daniel Schurter
Flame kann zusätzliche Spionage-Funktionen über das Internet nachladen.

Flame kann zusätzliche Spionage-Funktionen über das Internet nachladen.

Ein neues Gespenst geht um in der Computerwelt und trägt mit seinem gefährlich klingenden Namen nicht gerade zur Beruhigung der unklaren Situation bei. Die Schadsoftware «Flame» (Flamme) gehört laut der russischen Sicherheitsfirma Kaspersky in die Kategorie der Cyber-Superwaffen, die gegen jedes Land oder Unternehmen eingesetzt werden könnten. Dies passiert mit dem Ziel, die ahnungslosen Opfer digital auszuspionieren.

Noch gibt es abgesehen von den Kaspersky-Angaben wenig gesicherte Erkenntnisse. Und um die Verwirrung komplett zu machen, kursieren mehrere Namen und Bezeichnungen in den Medien. Die Rede ist auch von «sKyWIper» oder «Flamer» - letzterer Begriff bedeutet übersetzt aus dem Englischen «verbaler Angreifer» oder «Tunte».

20 Minuten Online hat bei wichtigen Schweizer Institutionen und Sicherheitsexperten nachgefragt, was sie über Flame wissen und wie sie die Situation einschätzen.

Wie gefährlich ist Flame wirklich?

Laut dem Schweizer Sicherheitsexperten Stefan Friedli hängt dies stark davon ab, wer die Malware einsetzt und was damit erreicht werden soll. «Auf rein technischer Ebene kann man sagen, dass ambitioniert gearbeitet wurde, was ein entsprechend effektives Produkt zu Tage förderte. Alles in allem ist Flame aber nicht signifikant gefährlicher als die Malware, mit der wir uns seit Jahren konfrontiert sehen.»

Wird die Gefahr in den Medien übertrieben dargestellt?

Eine gewisse Übertreibung finde schon statt, meint Friedli. Der Begriff «Super-Malware» treffe sicher nicht zu. «Speziell die Aussage, dass Flame durch seine Grösse massiv komplexer ist als andere, frühere Bedrohungen, ist sehr fragwürdig und führt zu einer verzerrten Wahrnehmung.» Die vorläufige Bilanz des Experten: «Flame ist eine signifikante Entdeckung, aber keine Katastrophe. Für die meisten Benutzer und Firmen ändert sich nichts, ausser einem neuen Eintrag in der Datenbank ihres Virenscanners.»

Hat Flame Computer-Systeme in der Schweiz infiziert?

Bei der Melde- und Analysestelle Informationssicherheit (Melani) sind keine Infektionen bekannt. Die zuständigen Bundesbehörden versuchen zurzeit, Informationen einzuholen und sie zu verifizieren. Gleich tönt es beim Internet-Dienstleister Switch, der unter anderem das Hochleistungs-Netzwerk für die Universitäten betreibt. Laut dem Switch-Sicherheitschef ist gesichert, dass Flame bisher im Iran und in Ungarn gefunden wurde.

Laut Kaspersky hat Flame unter anderem Forschungseinrichtungen im Visier. Wie konkret ist die Bedrohung?

Gemäss Switch ist die Malware spezialisiert auf das Sammeln von Informationen. Flame werde gezielt eingesetzt, das heisst nicht im grossen Stil, sondern dort, wo die Angreifer Informationen stehlen wollen. Forschungslabore seien da sicher attraktive Ziele, sofern es sich um sensitive Gebiete wie Geologie (Ölvorkommen), neue Technologien oder Bio-/Gentechnologie handle. «Uns sind solche Fälle bekannt, allerdings nicht an Schweizer Hochschulen.»

Welche gesicherten Informationen gibt es?

Die Schweizer Fachleute stehen in ständigem Kontakt mit Sicherheitsexperten in der ganzen Welt und erhalten so Informationen aus erster Hand. Bei Switch heiss es: «Im spezifischen Fall haben wir Zugriff auf die Malware, und sind mit den Analysten im Kontakt. Sollten Hinweise auftauchen, dass Flame in der Schweiz aktiv ist, würden wir sofort informiert werden.» Laut Sicherheitsexperte Friedli sind Kasperskys Angaben zur Funktionsweise von unabhängigen Experten weitgehend bestätigt worden. Aber: «Informationen zu Verbreitung, Urheber und zugrundeliegender Motivation der Entwickler sind bisher Vermutungen ohne prüfbare Nachweise.»

Welche Betriebssysteme kann Flame befallen?

Bekannt ist, dass die Malware eine Schwachstelle im Windows-System ausnutzt, um in fremde Computer einzudringen. Ob auch andere Systeme (OS X, Linux etc.) betroffen sind, ist offen.

Ist Flame ein Computer-Virus, ein Wurm oder ein Trojaner?

Alle Bezeichnungen treffen laut Kaspersky zu. Das hat mit der Funktionsweise von Flame zu tun. Es handelt sich um ein Software-Paket, das modulartig aufgebaut ist und im Baukasten-Prinzip erweitert werden kann. Je nach Bedarf der Angreifer können zusätzliche Spionage-Funktionen über das Internet nachgeladen werden.

Wer steckt hinter Flame?

Das kann zum jetzigen Zeitpunkt nicht gesagt werden. Laut Kaspersky gibt es Ähnlichkeiten zum Stuxnet-Wurm, der nach unbestätigten Meldungen von Geheimdiensten in den USA oder Israel entwickelt wurde. Die professionelle Programmierung von Flame deutet nicht auf gewöhnliche Kriminelle, sondern auf staatliche Stellen als Auftraggeber hin.

Angeblich ist Flame im Dezember 2007 das erste Mal gesichtet worden. Warum erlangt die Malware erst jetzt Bekanntheit?

2007 wurde laut Sicherheitsexperte Friedli eine der Kernkomponenten zum ersten Mal in freier Wildbahn gesichtet. Dabei habe es sich nicht zwingend um jene Flame-Software gehandelt, die nun analysiert werde. «Grundsätzlich gilt aber als gesichert, dass Flame gute zwei Jahre genutzt wurde und in dieser Zeit nicht entdeckt worden ist.» Die Frage nach dem «Warum» sei hier sicher eine, die sich die Antivirenhersteller gefallen lassen müssten.

Bis zu 5000 Computer befallen

Die Experten von Kaspersky stehen bei der Entschlüsselung der Flame-Schadsoftware erst am Anfang. Nach einer ersten Analyse kamen sie zum Schluss, Flame habe 20 Mal mehr Code als Stuxnet, mit dem iranische Anlagen zur Urananreicherung und Zentrifugen ausspioniert wurden (20 Minuten Online berichtete).

Wie es scheint, dient Flame nun ebenfalls als Spionagewerkzeug. Der 20 Megabyte grosse Schädling überwache den Datenverkehr im Netzwerk, nehme Screen-Shots auf, protokolliere Tastatur-Eingaben und zeichne über das im Computer eingebaute Mikrofon Gespräche als Audio-Datei auf. Das Programm, das für Windows-Computer entwickelt wurde, verbreitet sich gemäss Kaspersky über infizierte USB-Sticks, manipulierte E-Mails und Webseiten sowie über lokale Netzwerke (LAN). Gesteuert werde Flame durch externe Computer über das Internet.

Wer hinter Flame steckt, ist offen. In Israel schürte jedoch Vize-Premierminister Mosche Jaalon Gerüchte, sein Land stehe hinter der Cyber-Attacke. Die Regierung im Iran reagierte auf die Berichte über Flame mit einer scharfen Attacke auf Israel.

(ap)

Deine Meinung