1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Spionagesoftware "Flame"

Michael Gessat29. Mai 2012

Ein hochkomplexer Computerschädling, der vor allem im Nahen und Mittleren Osten Rechner infiziert - das erinnert an den Fall "Stuxnet". Ob auch "Flame" eine Cyber-Waffe von Geheimdiensten ist, ist offen.

https://p.dw.com/p/1543A
Ein Screenshot vom 29.05.2012 zeigt einen kleinen Ausschnitt des Quellcodes des Computer-Schädlings Flame Quelle: Kaspersky.com   dpa     (zu dpa «Computervirus «Flame»: Neue Runde im Cyberkrieg um den Iran» vom 29.05.2012 - Redaktionshinweis: Verwendung nur zu redaktionellen Zwecken bei vollständiger Quellenangabe)
Computervirus FlameBild: picture-alliance/dpa/Kaspersky.com

In der "wirklichen", der analogen Welt, versuchen besonnene Politiker und Diplomaten immer noch, den Iran davon abzuhalten, Atomwaffen zu bauen. Die "Falken" in der israelischen Regierung drohen schon seit längerem recht konkret, notfalls auch einen militärischen Präventivschlag zu führen. Und in der digitalen Welt, im "Cyberspace", ist der Krieg schon im vollen Gange – das suggeriert zumindest das martialische Vokabular von "Cyberwar" und "Cyberwaffen". Eines steht fest: Digitale Sabotage kann sehr ernste, sehr analoge Auswirkungen haben – der 2010 entdeckte Computervirus "Stuxnet" hatte offenbar das Ziel, die Zentrifugen in iranischen Urananreicherungsanlagen zu manipulieren.

Rabiate und subtile Computerschädlinge

Wer die Software damals höchst aufwendig programmiert und in Umlauf gebracht hatte, ist nach wie vor nicht endgültig geklärt, die meisten Experten tippen auf einen "interessierten" Geheimdienst. Auch wer dafür verantwortlich ist, dass Ende April das iranische Ölministerium und die wichtigsten Erdöl-Terminals am Persischen Golf kurzfristig vom Internet abgeklemmt werden mussten, ist nicht bekannt – auf den Computern hatte sich ein Virus breitgemacht, der kurzerhand die Daten von den Festplatten löschte. Als Experten des international tätigen Anti-Virus-Unternehmens Kaspersky den Fall untersuchten, entdeckten sie auf einem der befallenen Rechner eine weitere bislang unbekannte Schadsoftware. Aber deren Ziel war nicht rabiate Zerstörung, sondern möglichst unauffällige Daten-Sammelei.

Irans Präsident Mahmud Ahmadinedschad besucht die Urananreicherungsanlage in Natans (Quelle: dpa - Bildfunk)
Computervirus "Stuxnet" sabotierte erfolgreich die Zentrifugen zur Urananreicherung im IranBild: picture-alliance/dpa

Ausgefeilte Spionage-Software

"Flame", so berichtet Vitaly Kamluk von Kaspersky, protokolliert die Tastaturanschläge mit, macht Bildschirm-Schnappschüsse, sucht über das Funkprotokoll Bluetooth nach am Computer angeschlossenen Geräten und verbreitet sich im Netzwerk weiter – aber nur, wenn ein Kontrollrechner aus dem Internet dazu den Befehl gibt. Der Fernsteuer-Rechner sammelt regelmäßig die ausspionierten Daten ein, und von hier aus kann "Flame" bei Bedarf auch wieder stillgelegt werden.

Vitaly Kamluk kann erklären, warum der Schädling bislang unentdeckt bleiben konnte: "Bei der Infektion überprüft 'Flame', ob Antiviren-Software auf dem Rechner installiert ist. In diesem Fall führt er keine Operationen aus, die ihn verraten könnten." Und der zweite Grund sei schlicht die nur sehr begrenzte Verbreitung des Schädlings. Nach ersten Zahlen von Kaspersky waren im Iran 189 Computer nachweislich mit dem Datenspion infiziert, dann folgen Israel bzw. die dortigen Palästinensergebiete mit knapp 100, Sudan und Syrien mit 30 Fällen; verglichen mit der Verbreitung "normaler" Computerviren ist das fast nichts. Internationale Anti-Viren-Labore werden aber in der Regel gerade erst durch einen massiven Ausbruch auf eine neue Malware aufmerksam.

Vitaly Kamluk, Malware-Experte der Firma Kaspersky in Moskau Fotoquelle: http://www.kaspersky.com/about/press/image_gallery#tab=tab-2
Vitaly Kamluk, Malware-Experte der Firma Kaspersky in MoskauBild: kaspersky

Bewusste Zurückhaltung

Auch für Márk Félegyházi vom Labor für Kryptografie und Systemsicherheit an der Technischen Universität Budapest deutet gerade die bewusste Zurückhaltung beim Einsatz von "Flame" auf einen sehr durchdachten Plan hin. Über einen möglichen Urheber will der Experte, der auch schon bei der Aufdeckung des Stuxnet-Nachfolgers "Duqu" beteiligt war, nicht spekulieren: "Eines ist offensichtlich: Dies ist nicht die Arbeit von Amateuren, von 'Script-Kiddies'" – der Entwicklungsaufwand sei immens gewesen. Genauso wie beim technisch ganz anders gestrickten "Stuxnet", deutet Félegyházi die Parallele an: "Es gibt die Hypothese, dass dies die Arbeit von staatlichen Stellen ist; dass irgendjemand "Flame" für einen sehr bewussten Einsatzzweck genutzt hat."

Urheber unbekannt

Möglicherweise könnte die Spionagesoftware "Flame" zur gleichen Zeit wie Stuxnet entwickelt worden sein, möglicherweise zur Vorbereitung neuer Angriffe, möglicherweise von den gleichen Auftraggebern. Aber das sind alles nur Spekulationen. Auch Vitaly Kamluk von Kaspersky kann zurzeit nicht sagen, wer hinter "Flame" steckt: "Wir versuchen, die Spuren der Kontrollrechner im Internet nachzuverfolgen." Aber da haben die unbekannten Urheber einigen Aufwand betrieben, so der Experte: "Es gibt mehrere Dutzend Server, die sehr weit von einander entfernt in verschiedenen Ländern stehen. Davon auf einen geographischen Ursprung oder auf eine Organisation zu schließen, ist unmöglich."