«Es gibt keine Sicherheit für Luxemburg»

Es ist ein aufsehenerregender und rätselhafter Fall von Internet-Spionage: Jahrelang sind Unternehmen und Behörden vor allem in Russland und Saudi-Arabien ausgespäht worden. Das neu entdeckte Überwachungs-Programm sei so komplex und aufwendig, dass nur Staaten als Auftraggeber in Frage kämen, erklärte die amerikanische IT-Sicherheitsfirma Symantec diese Woche. Gut jede vierte Infektion traf demnach Betreiber von Telekom-Netzen. Dabei hätten die Angreifer zum Teil auch Zugriff auf Verbindungsdaten bekommen. Symantec gab der Software den Namen «Regin».

Die ausgeklügelte Spionage-Software wird von der Enthüllungs-Website «The Intercept» mit dem US-Abhördienst NSA und ihrem britischen Partner GCHQ in Verbindung gebracht. Elemente von «Regin» seien bei Angriffen der beiden Geheimdienste auf EU-Institutionen und den belgischen Telekom-Konzern Belgacom festgestellt worden, schreibt «The Intercept» unter Berufung auf Branchenkreise am späten Montag.

Keine Sicherheit für Luxemburg

Der Internet-Provider «Perceval Technologies» bietet Speicherplatz an. In Belgien wurde bei dem Unternehmen Spuren des «Regin»-Virus entdeckt. Die Firma hat auch einen Sitz in Luxemburg. In Munsbach stehen Rechner des Unternehmens. «Bis jetzt haben wir keine Anzeichen, dass Luxemburg vom Virus «Regin» betroffen ist, was nicht heißen will, dass das Land nicht infiziert ist. Nicht wissen heißt nicht unbedingt nicht infiziert sein,» erklärt Damien Gerard von «Perceval Technologies» gegenüber Tageblatt.lu. Er wirft hinterher:»Kein Land ist vor Cyberangriffen sicher, es gibt keine 100-prozentige Sicherheit in diesem Bereich auch nicht in Luxemburg».

Der russische Symantec-Konkurrent Kaspersky Lab spricht von 27 «Opfer» in 14 Ländern. Die Zahl der betroffenen einzelnen Computer sei deutlich höher, erklärte Kaspersky ohne genaue Angaben. Die ältesten Software-Fragmente gingen bis ins Jahr 2003 zurück, hieß es. Es sei davon auszugehen, dass das Spionage-Netzwerk weiterhin aktiv sei.

Keine Ahnung zu Luxemburg

Das Programm breitet sich auf infizierten Computern in mehreren Stufen aus und ist darauf getrimmt, lange unentdeckt zu bleiben. «Selbst wenn man es entdeckt, ist es sehr schwer, festzustellen, was es macht», erläuterte Symantec. Das verdeckt agierende Trojaner-Programm kann den Sicherheitsforschern zufolge unter anderem Aufnahmen vom Bildschirm machen, Passwörter stehlen, den Datenverkehr überwachen und für die Angreifer gelöschte Dateien wiederherstellen. Zudem können Handygespräche belauscht werden. Die Aufgaben der Software können an das Angriffsziel angepasst werden. So habe eine Variante E-Mails in Datenbanken von Microsofts Exchange-Plattform durchforstet, während eine andere die Steuerungssoftware von Mobilfunk-Zellen ins Visier genommen habe.

Das Ziel war ganz klar die EU in Brüssel. Aber was ist mit Luxemburg? Wir sind ein Bankenzentrum, der europäische Gerichtshof sitzt hier. Teile der Kommission und Verwaltungen sind hier angesiedelt. Eine Spur nach Luxemburg scheint es bislang nicht zu geben, glaubt man den Aussagen des «Computer Incident Response Center» (CIRCL). Die Behörde kümmert sich um Sichereit im Netz in Luxemburg. «Die Europäische Kommission wurde vom ‚Regin‘ Virus befallen. Was Luxemburg betrifft, kann ich nichts sagen, da der Angriff europaweit erfolgte», sagt Alexandre Dulanoy von CIRCL knapp. Er verweist lediglich auf einen Bericht wo «Regin» auf einer IT-Konferenz von Hack.lu in Luxemburg Ende Oktober erwähnt wurde.

Stuxnet in Luxemburg

Die Software war nach Erkenntnissen von Symantec zunächst von 2008 bis 2011 aktiv, und wurde dann abrupt zurückgezogen. Danach sei im Jahr 2013 eine neue Version aufgetaucht. Die bisherigen Analysen bezögen sich vor allem auf die erste Variante, schränkten die Sicherheitsforscher ein. Von der zweiten Version habe man bisher nur wenige Daten bekommen können.

Rund die Hälfte der bisher entdeckten «Regin»-Infektionen entfalle auf Personen und kleinere Unternehmen. Außerdem seien Fluggesellschaften, Forschungseinrichtungen sowie die Energiebranche und das Hotelgewerbe betroffen gewesen. Die gestohlenen Informationen würden verschlüsselt gespeichert und übermittelt. Der dabei entstehende Datenverkehr sei einer der wenigen Hinweise, um das Spionage-Programm aufzuspüren. Symantec habe die Software seit Ende 2013 erforscht. Nur in der ersten von fünf Etapen der Ausbreitung sei die Aktivität von «Regin» überhaupt sichtbar. Danach versteckte sich die Software in verschlüsselten Fragmenten an verschiedenen Stellen.

Rechner infiziert

Die Entwicklung von «Regin» dürfte Monate, wenn nicht Jahre gedauert haben, schätzten die IT-Sicherheitsexperten. Die Software spiele technisch in einer Liga mit dem Sabotage-Programm «Stuxnet», das einst das iranische Atomprogramm untergrub, erklärte Symantec. Hinter «Stuxnet» werden israelische und amerikanische Geheimdienst vermutet. Mit der Stuxnet-Variante 0.5 wurde die Ventilsteuerung der Zentrifugen zur Urananreicherung angriffen. Diese Software wurde in den vergangenen Jahren laut Symantec auch in Luxemburg registriert. Fünf Prozent der Infektionen wurden in Luxemburg enteckt, berichtet die Sicherheitsabteilung von Symantec. Wie das Programm funktioniert, wird in diesem Video gezeigt.

Ob auch Luxemburg tatsächlich in den Spionefall auftaucht, werden die nächsten Tage zeigen. Die Enthüllungs-Website «The Intercept» hat angekündigt, dass es weitere Enthüllungen rund um «Regin» geben wird.