Schlagwort: Überwachung

Warum wir nicht schweigen dürfen: Whistleblower Edward Snowden spricht

Er war Mitarbeiter der CIA, lebte im Ferienparadies Hawaii und verdiente gutes Geld. Dennoch verließ der Computerfachmann Edward Snowden Familie, Lebensgefährtin und sein Land. Jetzt blickt er in eine sehr ungewisse Zukunft: Heimat und Comfortzone verloren – zum Staatsfeind geworden – Angst vor Verfolgung und Strafe – kein Einkommen mehr. Warum das alles? Weil der 29Jährige der Überzeugung war, dass er nicht weiter schweigen durfte.

Unter dem Vorwand, das Land vor Terrorismus schützen zu müssen, überwachen die USA inzwischen nicht nur ihre eigenen Bürger, sondern die ganze Erde. Nicht, dass wir bisher nicht davon gehört hätten. Dennoch schlugen die Interviews, die Snowden in Hongkong gab, weltweit ein wie eine Bombe. Der US-Nachrichtendienst NSA und die Bundespolizei FBI haben direkten Zugriff auf die Server von Facebook, Apple und Google, Yahoo und Microsoft. Sie überwachen und speichern wahllos alle Daten, derer sie habhaft werden können – und zwar ohne jeden richterlichen Beschluss. Auch und besonders Deutschland steht im Focus der Dienste.

Prism nennt sich das bis dato hochgeheime Programm, das Edward Snowden dem britischen Guardian und der amerikanischen Zeitung Washington Post enthüllte. Er selbst hatte  darin Zugriff zu beliebigen Daten – auch denen des CIA und seiner Agenten.

„Wenn die Öffentlichkeit nicht entscheidet, ob sie solche Überwachung will oder nicht, wird es irgendwann zu spät sein und man wird gegen eine umfassende Kontrolle nichts mehr unternehmen können,“ sagt der junge Mann. Irgendwann genüge es, einfach nur in den Verdacht zu kommen, dass man entfernt etwas mit Terrorismus zu tun habe, um zu erleben, wie die ganze Staatsgewalt auf den Betroffenen niederprassele. Die Furcht, dass es soweit kommen könnte, werde ihn bis zum Ende seiner Tage verfolgen.

Beide Zeitungen haben eine interne Programm-Präsentation von Prism für leitende NSA-Analytiker online gestellt. Die Rechtsgrundlage, auf der die US-Regierung handelt, ist der Protect America Act aus dem Jahr 2007.

Siehe auch: How to navigate the internet around PRISM und Petition unterschreiben

Siehe außerdem: Alle wissen es, doch keiner spricht es aus: Deutschland ist nicht souverän und

Verurteilter Ex-Cia-Chef Seldon, genannt Lady, wird in Panama festgehalten

Nein, das ist kein Film: Wir werden wirklich überwacht!

.

Update: So erstellt NSA Nutzerprofile

Update: Die wackligen Dementis von Larry Page und Mark Zuckerberg

Update: Weitere Staaten haben Zugriff auf Prism

Update: Diese Dienste schützen vor Internet-Überwachung

Update: Opfer für ein höheres Gut

Update: Massive Hackerangriffe aus den USA auf China

Update: USA setzten bei EU-Kommission Aufweichung des Datenschutzes durch

Update: Tausende US-Firmen arbeiten mit Geheimdienst zusammen 

Update: Google und Facebook wollen die Guten sein

Update: „Obama hat die Überwachung vertieft“

Update: Snowden hat Hongkong via Moskau verlassen

Update: Will Snowden  nachKuba?

Update: Britisches Programm Tempura zusammen mit CIA genutzt

Update: UN-Bericht: Staatliche Überwachung weltweit normal

Update: USA drohen Ecuador mit schweren Konsequenzen

Update: Wie Geheimdienste Internet-Daten überwachen

Update: NSA überwacht gezielt EU-Vertretungen

Update: NSA überwacht monatlich 500 Millionen deutsche Verbindungen

Update: Das große Geld überwacht die politischen Eliten

Update: Alarmstimmung in der Wirtschaft wegen NSA-Spähaktionen

Update: Five Eyes – der exklusive Club der Gehemdienste

Update: 55% der Deutschen finden Überwachung zur Terrorabwehr ok

Update: Deutschland ist technisches Entwicklungsland

Update: Prism ist winzig gegenüber dem was noch kommt

Update: Snowden: BND mit NSA unter einer Decke

Update: Auch die deutsche Post scannt Briefe

Update: In Wiesbaden entsteht ein „Geheimdienst-Nervenzentrum“ für Europa

Update: Pirate-Bay-Gründer will absolut abhörsichere Messaging-App schaffen

Update: BND nutzt die NSA-Daten seit langem

Update: Lavabit-Gründer: „Ich weiß nicht, ob ich heute noch verhaftet werde

Update: Merkel zu G10-Gesetz: „Problem gelöst, wir sind souverän“

Update: US-Richter: „Demokratische Kontrolle des Geheimdienstes hat effektiv nie funktioniert“

Update: NSA gibt Rohdaten an Israel weiter

Update: Dagger-Komplex: Deutsche Steuerzahler finanzierten NSA-Standort

Update: USA enttarnen eigenen CIA-Mitarbeiter in der Botschaft Kabul

Update: BKA und FBI tauschen Dateien für Fingerabdrücke und einiges mehr aus

Update: Ein Jahr Snowden – was bisher geschah

Update: Snowden: ‚I’d volunteer for prison‘ to return to US

 

Wenn dann eine 100 Kilo-Bombe auf das Haus der Staatsfeinde fällt…

Die Welt der Geheimdienste liegt für Normalsterbliche meist unter einem undurchdringlichen grauen Schleier von Nichtwissen, Verdachtsmomenten und Verschleierungen.  Umso mehr ist dieser Film, wieder einmal vom deutsche-französischen Gemeinschaftssender Arte, eine Sensation. Gleich mehrere leitende Mitarbeiter des Schin Bet berichten in seltener Offenheit über ihre blutige Arbeit – man fragt sich unwillkürlich, was passiert sein muss, dass sie dies entgegen den Interessen ihres Staates tun. Einen kleinen Hinweis mag der Satz eines der Männer geben, als er sagt: „Wenn man den Dienst verlässt, ist man ein kleines bisschen links“…Hier der Begleittext zum Film von Arte:
Im nationalen Diskurs Israels spielen die Sicherheitskräfte gewöhnlich eine überdimensionierte Rolle. Zwei dieser Organe – Armee und Mossad – umgibt eine geradezu legendäre Aura. Nach dem Sechs-Tage-Krieg wurde jedoch das für die innere Sicherheit zuständige Organ Schin Bet zur zentralen Größe in den Diskussionen der israelischen Entscheidungsträger.
Seit die israelischen Truppen 1967 einen triumphalen Sieg über die Nachbarländer davontrugen, überwacht der Nachrichtendienst eine zahlreiche, feindlich gesinnte Bevölkerung in den von Israel besetzten Gebieten. Es ist die Aufgabe von Schin Bet, diese Bevölkerung in friedlichen Zeiten wie in Unruheperioden unter Kontrolle zu halten. „Töte zuerst!“ erzählt die Geschichte dieses vielleicht aktivsten, zweifelsohne aber geheimsten Organs der israelischen Sicherheitskräfte aus der Perspektive seiner leitenden Kader, die das Vertrauen der politischen Eliten des Landes mehr als alle anderen genießen.
In einer Reihe von Interviews berichten sechs hochrangige Schin-Bet-Offiziere ohne Umschweife über bedeutende Ereignisse in ihrer Amtszeit. Dabei sprechen sie auch über den moralischen Zwiespalt, in dem sie sich aufgrund von Folter und Terror, Verhaftungen und Ermordungen befanden. Möglicherweise haben sie den Bürgern, die sie zu schützen geschworen hatten, durch ihr Handeln mehr Sicherheit gebracht. Aber ist Israel dadurch auch dem Frieden näher gekommen?
Im Stil des Dokumentarfilms „The Fog of War“ von Errol Morris werden ihre Ausführungen mit schockierenden Archivbildern und 3D-Animationen unterlegt, die auf Fotos der geschilderten Ereignisse basieren. Sie veranschaulichen die Hintergründe des moralischen Dilemmas und konfrontieren den Zuschauer mit der Frage, ob er oder seine Regierung in der gleichen Lage hätten anders handeln können.
Vor dem Hintergrund der zentralen Rolle, die Israel beim weltweiten Kampf gegen den Terror spielt, geben die Bekenntnisse dieser „Gatekeeper“ zu denken und zwingen den Zuschauer sich zu fragen, mit welchen Mitteln dieser Kampf geführt werden soll, ob im Gazastreifen oder in Guantánamo, in Palästina oder Pakistan.
Wie ein moralisches Gleichnis zeigen die Schilderungen der Schin-Bet-Offiziere, was passiert, wenn ein Volk oder eine Nation versucht, Gewalt mit Gewalt zu begegnen. Quelle: Arte.tv

Der Film oben wurde in Arte und in der ARD ausgestrahlt. 
Ähnlich erschreckend ist das zweite Video: Die ARD-Reportage „Lizenz zum Töten“ berichtet von der Arbeit des Mossad: Der israelische Geheimdienst unterscheidet zwischen „leisen“ Exekutierungen, von denen möglichst niemand je etwas erfahren soll und bei denen Regeln des Gesetzes keine Rolle spielen – sowie zwischen „lauten“ Aktionen, die Angst und Schrecken verbreiten sollen. Auch hier ist man nicht zimperlich: Menschliche „Kollateralschäden“ seien zwar sehr bedauerlich und müssten eigentlich vermieden werden, kommen, so die Aussage im Film. bedauerlicherweise im Interesse des Staates jedoch vor. Davon, wie so etwas aussieht, kann eine palästinensische Witwe ein Lied singen: Weil sich die Agenten in der Wohnungstür geirrt hatten, wurde ihr Mann im Bett aus dem Schlaf gerissen und in ihrem Beisein ohne weitere Nachfrage erschossen.
Mit dem Verhalten ihrer Geheimdienste ist einer zunehmende Zahl von Israelis nicht einverstanden. Auch dieser Haltung ist wohl zu verdanken, dass die beiden selten offenen Dokumentationen überhaupt veröffentlicht werden konnten. 

Update: Avraham Shalom mit 86 gestorben – Vita
Update: Ex-Shin Bet Chief: Israeli Illusions Fueled Blowup
Update: Film mit Zeitzeugen zeigt: Mossad trägt Ruf zu Recht

Mit Argus-Augen alle Welt von oben zentimetergenau im Blick…

Mit ARGUS, einer neuartigen Kamera für Drohnen, will das amerikanische Forschungsinstitut DARPA die Qualität von Video-Überwachung auf ein bislang unbekanntes Niveau anheben. Mit einer Auflösung von 1,8 Gigapixel kann das fliegende Auge selbst 15 Zentimeter kleine Gegenstände aus größter Höhe erfassen.

Seit Ende der 50er-Jahre gehört die Defense Advanced Research Projects Agency zu den wichtigsten Forschungseinrichtungen des amerikanischen Verteidigungsministeriums. So ging aus dem militärischen Netzwerk ARPANET beispielsweise das heutige Internet hervor. Aktuell beschäftigen sich die meisten Forschungsprojekte mit neuen Maßnahmen für den Kampf gegen den Terror. In diesem Zusammenhang entstand auch die Überwachungskamera ARGUS-IS, deren Leistungsfähigkeit nun erstmals in einem Video der Öffentlichkeit präsentiert wurde.

Aus einer Höhe von gut sechs Kilometern (20.000 Fuß) nimmt das Autonomous Real-time Ground Ubiquitous Surveillance Imaging System einen Bereich von 10 Quadratmeilen (ungefähr 16 Quadratkilometer) auf. Die 368 Bildsensoren mit jeweils 5 Megapixel Auflösung liefern dabei so viele Details, dass man selbst fliegende Vögel oder die Farbe von Kleidungsstücken der Passanten gut erkennen kann (siehe dazu das Video).

ARGUS-IS nimmt allerdings nicht nur Fotos, sondern kontinuierliche Videostreams auf. Die werden über eine nicht genauer spezifizierte Übertragungstechnik in Echtzeit an die Bodenstation gesendet und dort weiterverarbeitet. Täglich werden so eine Million Terabyte, also ein Exabyte, Videodaten von der Drohne zur Basis gestreamt. Die Filtersoftware im Hauptquartier ist dann in der Lage, einzelne Fahrzeuge zu tracken und zeitgleich bis zu 65 verschiedene Bildausschnitte vergrößert darzustellen.

Künftig soll ARGUS in unbemannten Flugobjekten wie der Predator-Drohne zum Einsatz kommen. Auf lange Sicht stellen sich die Entwickler auch einen Einsatz im SolarEagle vor, einer Drohne mit Solarantrieb, die sich derzeit noch in der Entwicklungsphase befindet. Mit seiner Flügelspanne von rund 120 Metern soll sie ab 2015 in der Lage sein, bis zu fünf Jahre ununterbrochen in der Luft zu bleiben, was in Kombination mit ARGUS eine lückenlose Überwachung ganzer Landstriche ermöglichen würde. Quelle: chip.de

Sind die Internet-User noch vor der totalen Überwachung zu retten?

Haarsträubend ist der Hintergrund eines Gesetzes, das die Internet-Kommunikation in Russland total verändern wird. Mit dem vor wenigen Tagen beschlossenen Gesetz wurde jetzt die Einführung einer schwarzen Liste für Internetseiten beschlossen. Die Seiten können ohne weitere rechtliche Grundlage behördlich gesperrt werden.

Umgesetzt wird es offenbar, so der Spiegel,  mit Hilfe der landesweiten Einführung von Deep Packet Inspection (DPI, siehe Definition unten in diesem Blog). Damit lässt sich jedes Datenpaket, das durchs Netz transportiert wird, öffnen und überprüfen. DPI wird zwar im Gesetz nicht erwähnt. Doch das russische Kommunikationsministerium kam, gemeinsam mit den größten Internetunternehmen, die in Russland aktiv sind, bereits im August zu dem Schluss, dass das Gesetz nur mithilfe von DPI umgesetzt werden kann.

„DPI erlaubt es dem Staat, den Traffic jedes Nutzers zu überwachen, Websites und E-Mails mitzulesen, zu kopieren oder sogar zu verändern“, sagt Eric King, Forschungschef bei der Bürgerrechtsorganisation Privacy International. Man wisse, dass solche Techniken etwa in Tunesien vor dem arabischen Frühling eingesetzt worden seien. „Die Technik kann auch benutzt werden, um Werkzeuge auszuhebeln, mit denen Bürger in autoritären Regimen wie in China oder Iran Internetkontrollen umgehen können“, ergänzt King.

„Die Technik hat zwei Funktionen“, sagt der fürs Osteuropageschäft zuständige IBM-Manager Boris Poddubny, „Filterung und Sorm.“ Letzteres ist eine Abkürzung, grob übersetzbar als „System für operative Untersuchungstätigkeiten“. Der Begriff steht für das russische Überwachungsgesetz, das dem Geheimdienst FSB schon seit der Jahrtausendwende erlaubt, den Internetverkehr bestimmter Personen zu überwachen. Das aber lässt sich nun verfeinern. Poddubny sagt: „Es gibt möglicherweise Geräte, die Traffic kopieren, den DPI dann analysieren helfen kann, und es wird eine detaillierte Aufzeichnung geben: Wer lädt was herunter, wer hat sich im Internet was angesehen?“

Alexander Schkalikow vom Unternehmen Telecom Solutions, das in Russland seit 2007 DPI-Lösungen vertreibt, erklärte, DPI sei „sehr praktisch, weil das erlaubt, nicht den ganzen Traffic zu kopieren, sondern nur ein bestimmtes Protokoll oder die Inhalte eines bestimmten Kunden.“ Man könnte auch den gesamten Traffic einer Zielperson über DPI auf ein externes System kopieren. „Und das zeigt dann alle Sites an, die die Zielperson besucht hat.“       .Vollständiger Spiegel-Artikel hier:

Auch in Deutschland ist DPI im Einsatz, wie bei einer Veranstaltung der Bundestagsfraktion Die Linken und der Rosa-Luxemburg-Stiftung zu erfahren war:

Thomas Grob, Senior Expert Regulatory Strategy bei der Deutschen Telekom AG, berichtete vom DPI-Einsatz bei seinem Unternehmen. DPI werde nicht in öffentlichen Netzen eingesetzt, sondern lediglich zum Schutz von Geschäftskunden in Unternehmensnetzen. DPI könne aber live bei DDOs-Attacken und ähnlichen Bedrohungen zugeschaltet werden. In Mobilnetzen habe man Service Control Engines im Einsatz, um Services wie VoIP zu blocken. Die bräuchte man aber auch, um aus dem Verkehr Schlüsse für den Ausbau ziehen zu können außerdem wünsche sich die Bundesnetzagentur detaillierte Zahlen. Er wolle differenziert diskutieren, wie ein verantwortungsvoller Umgang mit dieser Technologie mit vielen Möglichkeiten gemacht werden könne.  Quelle: netzpolitik.org

Im bundesdeutschen Wirtschaftsleben geht es wenig zimperlich zu, wenn es darum geht, das Online-Verhalten der Mitarbeiter zu kontrollieren, wie letzte Woche in der Welt  Ullrich Hottelet zusammenfasste:

So bieten Firmen Dienste zum „Discussion-Mining“ an, die systematisch das Verhalten der Mitarbeiter in sämtlichen Kanälen analysieren. Sie listen auf, wer sich in welcher Form auf Facebook, Twitter, Xing oder in Online-Foren zu Themen geäußert hat, die das Unternehmen betreffen. Das läuft dann unter „Reputation-Management“.

Letztlich kann eine Schnüffelsoftware wie „CyberPatrol“ erfassen, was sich der Mitarbeiter im Internet alles angesehen hat. Solche Programme erstellen alle paar Sekunden Screenshots, also Kopien des Bildschirminhalts, und schicken sie bei entsprechender Systemeinstellung direkt an den Rechner des Chefs.

Kritisch beurteilen Experten einhellig die weitverbreitete SAP-Software, auch wenn der Konzern die Big-Brother-Funktionen nicht aktiv bewirbt. „Die SAP-Software ist nicht ansatzweise datenschutzrechtlich in Ordnung“, sagt Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD).

Verrufen bei Experten sind Unternehmen aus den USA, in denen Persönlichkeitsrechte der Mitarbeiter eine geringere Rolle als in Deutschland spielen. „Amerikanische Konzerne setzen solche Software ein, weil sie weltweit agieren. Sie sagen zwar, sie würden sie in Deutschland nicht nutzen, aber die Programme sind vorinstalliert“, sagt Weichert.

Besonders kritisch ist forensische Software, wie sie sonst nur IT-Experten der Polizei einsetzen, um Verdächtige zu überführen. Solche Programme überwachen alle Aktionen von Nutzern im Computernetz, selbst die flüchtigen Inhalte des Arbeitsspeichers lassen sich damit auslesen – und somit alle am Rechner eingegebenen Daten. Schmitz nennt als gängige Produkte „Encase„, das auch viele Polizeistellen verwenden, und die „Incident Response Software“ von Mandiant. Klicken Sie auf das Foto, um ein Demo-Video zu Encase zu sehen.

Nach Einschätzung von Ver.di-Experten wird ein Drittel aller Beschäftigten wegen seiner leistungsbezogenen Bezahlung anhand digital erfasster Daten beurteilt, ein Drittel würde zudem schlichtweg, oft unrechtmäßig, überwacht.

Wie groß nicht nur bei Unternehmen, sondern auch bei normalen Staatsbürgern das Interesse an Überwachungsprogrammen ist, kann ermessen, wer eine einfache google-Suche mit den entsprechenden Stichworten beginnt.

Und die Moral von der Geschicht‘? Das Web ist nicht frei – Vorsicht ist in jeder Hinsicht angebracht. Dazu gehören Verschlüsselungstechniken für die eigenen Daten ebenso wie die Pflicht, sich über technische Neuerungen und deren jeweilige Gegenspieler genauestens zu informieren. Noch geht das in ganz normaler Websuche.

Schließlich gilt es, all jene politisch zu unterstützen, die sich dafür einsetzen, dass im Internet nicht im rechtsfreien Raum wahlweise vom Staat, von Arbeitsgebern oder irgendwelchen profitorientierten Unternehmen herumspioniert werden kann. Wir brauchen verlässliche gesetzliche Grundlagen. Dazu gehört auch, sich im Internet in Frieden miteinander austauschen zu können.

Definitionen und ein wenig mehr

Deep Packet Inspection (DPI) (auch complete packet inspection oder Information eXtraction (IX)) steht für ein Verfahren in der NetzwerktechnikDatenpakete zu überwachen und zu filtern. Dabei werden gleichzeitig der Datenteil und der Headerteil des Datenpaketes auf bestimmte Merkmale wie ProtokollverletzungenComputervirenSpam und weitere unerwünschte Inhalte untersucht. Der Unterschied zur klassischen Stateful Packet Inspection besteht darin, dass diese nur den Headerteil des Paketes, nicht aber den erheblich aufwendigeren Datenteil überprüft.Deep Packet Inspection ermöglicht auch eine Regulierung von Datenströmen.
DPI wird derzeit meist in Enterprise-Anwendungen bei Providern, oft im Auftrag von Regierungen, in den unterschiedlichsten Anwendungsbereichen eingesetzt. Es ermöglicht eine erhebliche Absicherung des Informationsflusses, wird aber auch zur Vorratsdatenspeicherung, zum Abhören und Sammeln von Informationen und zur Zensur im Internet eingesetzt. Kritiker befürchten auch, dass die DPI-Technik in Zukunft dahingehend genutzt werden könnte, die Netzneutralität des Internets einzuschränken. Quelle: Wikipedia
                                                                    ********         
In der EU macht man sich derweil noch intensive Gedanken über die rechtlichen Grundlagen von Online-Überwachung. In dem Programm zur Stärkung der Inneren Sicherheit der deutschen Bundesregierung wird die Online-Durchsuchung als Maßnahme umschrieben, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Ob sie als eine Durchsuchung im Rechtssinne anzusehen und inwieweit sie einer Wohnungs- oder Hausdurchsuchung gleichzusetzen ist (womit sie den verfassungsrechtlichen Anforderungen an Eingriffsgesetze in das Wohnungsgrundrecht, z. B. nach der deutschen Strafprozessordnung genügen müsste), ist unter Juristen umstritten, obwohl die Bundesregierung die Auffassung vertritt, dass für spezielle Datentypen die Online-Durchsuchung bereits von geltendem Recht gedeckt sei. Eine Ermächtigungsgrundlage verfüge z. B. bereits der Zollfahndungsdienst als die die Maßnahme veranlassende Behörde. Dafür wird ein Programm für eine Quellen-Telekommunikationsüberwachung (auch Quellen-TKÜ, die Überwachung der Telekommunikation am Rechner vor ihrer Verschlüsselung) installiert und eingesetzt, wenn bei der klassischen Telekommunikationsüberwachung die Inhalte verschlüsselt werden. Quelle: Wikipedia 
 
 
 

Update: Auch Anonymisierungsdienste werden verboten

Update: Der Unterschied zwischen Diktaturen und Deutschland ist nur eine Konfigurationsdatei

Update: US-Wahl und die Lektionen von Datenkönig Obama 

Update: Reporter ohne Grenzen wollen zensierte Inhalte im Internet abrufbar machen

Update: Wie ein Phoenix: Hacker denken das Internet neu

Update: Totalitäre globale Überwachung ist eine realistische Möglichkeit

Update: Ein Jahr Snowden: Was bisher geschah

Update: USA verstimmt über deutsche Ermittlungen

 

 

Cyberwar aktuell: Immer neue Stuxnet-Ableger tauchen auf

Flame-Softwarecode: Neuer Verwandter ist kleiner und stärker spezialisiert

Entnommen Spiegel online

Die Familie der berüchtigten Cyberwaffe Stuxnet ist noch größer als bislang bekannt. Virenforscher haben eine weitere Malware ausgemacht, die mit Stuxnet und dem Spionageprogramm Flame verwandt ist. Der neu entdeckte Virus ist vergleichsweise klein, aber mächtig – ein „Präzisionswerkzeug“.

Die Forscher nennen den neuen Virus miniFlame, in Anlehnung an die bekannte Spionagesoftware Flame, die Kaspersky Lab bereits im Mai 2012 der Öffentlichkeit präsentierte. Während Flame jedoch ein ziemlicher Brocken ist, ein für einen Computervirus erstaunlich großes Stück Software mit einer Vielzahl potentieller Funktionen, sei miniFlame ein „hochpräzises, chirurgisches Angriffswerkzeug“, so die Fachleute der russischen IT-Sicherheitsfirma.

Er habe nur einige Dutzend Rechner befallen, vor allem imLibanon und in Iran. Betroffen sind demnach jedoch auch Computer in Frankreich und den USA. Auch Katar und Kuwait stehen auf der Liste – für einzelne Staaten scheinen sogar spezielle Varianten des Virus zu existieren.

Die Software sei ein „kleines, funktionales Spionagemodul, das für Datendiebstahl und direkten Zugang zu den infizierten System gestaltet wurde“, so die Forscher in einem Blogeintrag. Es basiere auf der gleichen Softwareplattform wie der ungleich größere Flame-Virus.

Während Flame Schätzungen zufolge 5000 bis 6000 Rechner befallen haben soll, ist miniFlame nur auf 50 bis 60 Computern installiert, glauben die Forscher. Nach StuxnetFlameGauss und Duqu wäre miniFlame das fünfte Mitglied einer ganzen Familie von Cyberwaffen, die alle aus der gleichen „Fabrik“ zu stammen scheinen, wie Kaspersky das ausdrückt. Die Virenfamilie gilt als erstes Beispiel für extrem aufwendige, von Nationalstaaten organisierte Cyber-Spionage und -Sabotage. Es gilt als wahrscheinlich, dass die USA und Israel hinter den Operationen stecken.

miniFlame als Nachhut?

Die Software könne beispielsweise benutzt werden, um Screenshots vom befallenen Rechner anzufertigen, Daten weiterzuleiten oder weitere Software dort zu installieren. Diese Art von direkter Einflussnahme auf die befallenen Rechner hätten weder Flame noch Gauss geboten, so die Forscher. Die Entwickler der Spionagesoftware selbst hätten miniFlame zwei unterschiedliche Namen gegeben, nämlich „John“ und „SPE“, so Kaspersky Lab.

Die Virenforscher vermuten, dass nur Rechner befallen worden sind, die bereits zuvor mit Flame oder dem Bankentrojaner Gauss infiziert wurden: Das Schadprogramm sei sowohl als Teil von Flame als auch als Teil von Gauss aufgetaucht und teile seine Kommando- und Kontrollserver (C&C) mit Flame. Die Kaspersky-Forscher vermuten, dass es von diesen C&C-Servern aus auf die befallenen Rechner geschmuggelt wurde. Flame und Gauss könnten die Daten geliefert haben, auf deren Basis anschließend die Ziele für miniFlame ausgewählt wurden.

Flame konnte danach von den betroffenen Rechnern gelöscht werden – der Lösch-Befehl aber hätte miniFlame unberührt gelassen. Der neue, kleinere Virus hätte den Rechner anschließend sogar gegen erneuten Flame-Befall immunisiert. Die Kaspersky-Forscher vermuten, dass für miniFlame auch eigene, bislang unentdeckte Kontrollserver existieren.

Enttarnt wurde miniFlame nur, weil Kaspersky sich Zugriff auf zwei Flame-C&C-Server verschafft hatte. Bei der Überwachung des Datenverkehrs von und zu diesen Servern sei man auf die mit miniFlame infizierten Computer gestoßen. Insgesamt habe man sechs Varianten des neuen Virus gefunden, so Kaspersky, die zwischen dem 1. Oktober 2010 und dem 1. September 2011 erstellt wurden. Besonders weit verbreitet sei eine Version von Juli 2011.

Bei Kaspersky ist man überzeugt, dass man noch mehr Mitglieder der Virenfamilie um Stuxnet und Flame finden wird. „Wir haben vermutlich nur die Oberfläche der massiven Cyber-Spionage-Operationen angekratzt, die im Nahen Osten im Gange sind“, heißt es im Bericht über miniFlame   – cis

Anatomie eines Hightech-Schädlings

Von Konrad Lischka und Christian Stöcker

Er kann Gespräche belauschen, Dateien übertragen, Chats protokollieren: Russische IT-Experten haben ein Spionageprogramm entdeckt, das rund tausend Rechner im Nahen Osten überwachen soll. Die Forscher nennen den Schädling „unglaublich komplex“. Ein Überblick, was der Virus kann.

Die Kaspersky-Forscher klingen fast ehrfürchtig, wenn sie sich zu der neu entdeckten Schadsoftware Flame äußern. Man habe es „mit einer der komplexesten Bedrohungen, die je entdeckt worden sind“ zu tun, schreiben die Mitarbeiter des russischen Antivirus-Unternehmens in ihrer Analyse des auf Rechnern im Nahen Osten entdeckten Schnüffelprogramms. Nach Stuxnet und Duqu ist Flame die dritte offenbar mit gewaltigem Aufwand produzierte Cyberwaffe, die Virenforscher in freier Wildbahn aufgespürt haben.

Das Zwanzig-Megabyte-Paket, das die vollständig entpackte Version von Flame darstellt, besteht aus einer Vielzahl von Modulen mit unterschiedlichen Kompressions- und Verschlüsselungstechniken. „Es ist ziemlich phantastisch und unglaublich, was die Komplexität angeht“, sagte Kaspersky-Forscher Alexander Gostev „Wired“. Flame enthält 20 Plug-ins, einzelne Softwaremodule, die ausgetauscht werden können, um den Angreifern die jeweils gewünschte Funktionalität zur Verfügung zu stellen.

Welchem Zweck dient das Schadprogramm?

Die Macher von Flame sind nicht auf das schnelle Geld aus – ihr Schadprogramm ist nicht auf Online-Banking oder andere lukrative Web-Anwendungen ausgerichtet. Die Kaspersky-Experten haben diese Eigenschaften beobachtet:

  • Flame kann interne Mikrofone befallener Rechner nutzen, um beispielsweise Gespräche in Büros oder aber Voice-over-IP-Telefonate aufzuzeichnen. Die Aufzeichnungen werden komprimiert gespeichert und regelmäßig an die Steuercomputer übertragen.
  • Die Schadsoftware zeichnet mit Screenshots Bildschirminhalte auf – besonders viele Screenshots werden immer dann gemacht, wenn bestimmte Anwendungen laufen, zum Beispiel Chatprogramme.
  • Bei der von den Kaspersky-Experten analysierten Flame-Version ist kein spezifisches Erkenntnisinteresse zu beobachten: Das Programm überträgt von befallenen Rechnern E-Mails und Dateien ohne besondere Einschränkung. Die Kaspersky-Experten schließen daraus, Flame sei ein allgemeines Werkzeug-Set für Cyberspionage – es könne aber auch Module für spezifische Angriffe und konkrete Ziele transportieren.
  • In jedem Fall ist die Software mit einer Hintertür ausgestattet, die das Nachladen von Komponenten gestattet – theoretisch ist Flame also eine Allzweckwaffe.
  • Nach der bisherigen Verbreitung zu urteilen, zielt Flame vor allem auf Rechner in Staaten im Nahen Osten und Nordafrika: Iran, Sudan, Syrien, Saudi-Arabien, Ägypten, Libanon und das Westjordanland sind Kaspersky zufolge betroffen.

Wie verbreitet sich Flame?

Wahrscheinlich gelangt der Virus bei gezielten Angriffen in Netzwerke und auf Einzelrechner: Eine auf bestimmte Empfänger zugeschnittene E-Mail verleitet sie dazu, eine Website aufzurufen oder eine angehängte Datei zu öffnen. Sobald sie das tun, beginnt die Infektion des gerade genutzten Rechners. Diese als „Spear Phishing“ bezeichnete Methode wird oft bei Spionage-Angriffen auf Regierungen, internationale Organisationen und Unternehmen genutzt.

Wie die Erstinfektion durch Flame abläuft, konnten die Kaspersky-Experten bislang nicht nachvollziehen. Sie vermuten allerdings, dass dabei eine Windows-Sicherheitslücke ausgenutzt wird.

Einmal auf einem Zielrechner aktiv, können die Befehlsgeber Flame verschiedene Module nachladen lassen, um weitere Computer zu befallen:

  • Infektion angeschlossener USB-Sticks: Die von Kaspersky untersuchte Flame-Version beinhaltet zwei Module zu diesem Zweck. Eines der Module nutzt einen Angriffsweg, den die Kasperksy-Experten bislang nur bei Stuxnet beobachtet haben.
  • Verbreitung in lokalen Netzwerken: Wie Stuxnet nutzt Flame dabei unter anderem eine Sicherheitslücke, die eine Infektion weiterer Rechner über Netzwerk-Drucker ermöglicht. Kaspersky berichtet, dass ein Windows-7-System auf neuestem Stand über ein lokales Netzwerk mit Flame infiziert wurde. Sie vermuten deshalb, dass Flame eine Sicherheitslücke ausnutzen könnte, die Microsoft bislang unbekannt war (eine sogenannte Zero-Day-Lücke).

Flame verbreitet sich kontrolliert, laut Kaspersky muss ein Befehlsgeber erst das Kommando zur Infektion weiterer Computer an eine Flame-Installation geben, angeblich zählt jede Installation der Schadsoftware die von ihr ausgehenden Angriffe, die Anzahl ist laut Kaspersky beschränkt.

Welche Rechner sind befallen?

Alles in allem sind Kasperskys Schätzungen zufolge etwa 1000 Rechner von den diversen Varianten von Flame befallen – dabei handelt es sich allerdings um eine Hochrechnung. Das Prinzip ist: Kaspersky extrapoliert von der Anzahl der befallenen Computer im Kreise der eigenen Kundschaft auf den Rest der digitalen Welt. Solche Schätzungen sind zwangsläufig ziemlich spekulativ. Ein spezifisches Muster konnten die Forscher bei den befallenen Rechnern bislang nicht ausmachen: „Die Opfer reichen von Einzelpersonen über gewisse staatliche Organisationen bis hin zu Bildungseinrichtungen.“ Klar scheint jedoch zu sein, dass sich die Opfer des Virus vorrangig im Nahen Osten befinden.

Eine Forschergruppe der Technischen Universität Budapest hat in den vergangenen Wochen parallel zu Kaspersky womöglich eine Variante derselben Schadsoftware analysiert. Die Budapester Forscher schreiben in ihrem Bericht, das von ihnen untersuchte Schadprogramm sei wahrscheinlich von Europa aus auf einer Analyseseite hochgeladen worden. Für die Budapester Gruppe ist es „offenkundig“, dass die von ihnen sKyWIper getaufte Schadsoftware „identisch“ mit dem Flamer genannten Schädling ist.

Symantec, ein Hersteller von Antiviren-Software, berichtet über Funde von Flamer-Varianten vor allem auf Rechnern in Ungarn, der West Bank, im Iran und Libanon. Auch in Österreich, Russland, Hongkong und den Vereinigten Arabischen Emiraten habe man Hinweise auf Flamer entdeckt – so wenige allerdings, dass es sich dabei auch um unterwegs genutzte, in anderen Staaten infizierte Laptops handeln könnte.

Wann wurde das Programm geschrieben?

Das genaue Geburtsdatum von Flame ist derzeit offenbar kaum zu bestimmen. Die Entwickler haben sich größte Mühe gegeben, den Entstehungszeitpunkt so gut wie möglich zu verschleiern. Unterschiedliche Module der komplexen Schadsoftware scheinen auf den ersten Blick in Jahren entwickelt worden zu sein. „Die Module scheinen von 1994 und 1995 zu stammen, aber der Code, den sie enthalten, kam erst 2010 heraus“, erklärte Kaspersky-Forscher Alexander Gostev „Wired„.

Die frühesten Spuren des Virus in freier Wildbahn, die Kaspersky auf den Rechnern seiner eigenen Kundschaft finden konnte, sind aus dem August 2010 datiert. Das Internetsicherheitsunternehmen Webroot listet jedoch eine Datei, deren Name im Flame-Paket vorkommt, jedoch schon im Dezember 2007 auf. Betroffen war damals ein Rechner in Europa, im April 2008 ein weiterer in Dubai. Dieser und ein weiterer mit Flame assoziierter Dateiname wurde Webroot zufolge am 1. März 2010 erstmals auf einem Rechner in Iran nachgewiesen.

Bei Kaspersky geht man davon aus, dass Flame spätestens ab „Februar bis März 2010“ aktiv war, möglicherweise auch schon früher. Die Forscher sind überzeugt, dass an dem Virus noch immer gearbeitet wird: „Seine Schöpfer führen in mehreren Modulen immer wieder Veränderungen durch, benutzen jedoch weiterhin dieselbe Architektur und dieselben Dateinamen.“ Einige der Module seien noch 2011 und sogar 2012 verändert worden.

Gibt es Verbindungen zu Stuxnet?

Auf den ersten Blick scheint Flame nicht aus dem gleichen Baukasten zusammengesetzt zu sein wie Stuxnet und Duqu. Die Plattform, die Kaspersky-Forscher „Tilded“ getauft haben, auf der Stuxnet und Duqu basieren, gehört nicht zum genetischen Code von Flame. „Flame und Stuxnet/Duqu wurden vermutlich von zwei unterschiedlichen Gruppen entwickelt“, schließen die Kaspersky-Forscher. Es sei allerdings möglich, dass die Autorenteams beider Virentypen Zugang zum gleichen Katalog von Sicherheitslücken gehabt hätten.

Flame nutze eine Infektionsmethode und eine bestimmte Sicherheitslücke, die auch in Stuxnet und Duqu zum Einsatz gekommen seien. Der nun neu entdeckte Flame-Virus basiere aber auf einer „vollkommen anderen Philosophie“. Möglich sei auch, dass Flame nach Stuxnet entwickelt worden sei und die Flame-Autoren Angriffswege und Sicherheitslücken aus den Veröffentlichungen über Stuxnet übernommen hätten. Bei Kaspersky ist man sich jedoch offenbar sicher, dass Flame von einem ähnlich professionellen Team konstruiert worden sein muss wie Stuxnet und Duqu. Möglicherweise als „paralleles Projekt für den Fall, dass ein anderes Projekt entdeckt wird“.

Das iranische Computersicherheitszentrum Maher sieht eine Verbindung zwischen Stuxnet, Duqu und Flame. Es scheine „eine enge Beziehung zu den gezielten Stuxnet- und Duqu-Attacken“ zu geben, so die Iraner, das schließe man aus „den Konventionen, nach denen die Dateinamen vergeben wurden, den Fortpflanzungsmethoden, dem Komplexitätslevel, der präzisen Zielgerichtetheit und superben Funkionalität“ der Schadsoftware.

In ihrem Umfang unterscheiden Stuxnet und Flame sich dramatisch: Alle Flame-Komponenten zusammengenommen verbrauchen 20 Megabyte Festplattenspeicher, während Stuxnet zwar mächtig aber extrem schlank war: Der Virus, der wohl Hunderte Uranzentrifugen in der iranischen Aufbereitungsanlage Natans zerstörte, war 500 Kilobyte klein. „Wired“ zitiert Kaspersky-Forscher Gostev mit den Worten, es werde wohl Jahre dauern, bis der gesamte Flame-Code analysiert ist: „Wir haben ein halbes Jahr gebraucht, um Stuxnet zu analysieren. Das hier ist 20 mal komplizierter. Es wird uns zehn Jahre kosten, alles vollständig zu verstehen.“

Das bisher bekannte Verbreitungsgebiet von Flame.

Siehe auch: USA nehmen sich das Angriffsrecht im Cyberwar

und Trapwire, das mächtige Fallen-Netz der USA 

Update: US-Gericht gestattet Google und Yahoo, die Mails ihrer User zu lesen

Update: Neues Gesetz erlaubt den USA den Angriff auf fremde Netze

Update: Equation-Gruppe: „Todesstern der Malware-Galaxie“