«Gelingt den Spionen der zweite Schritt, liegt ihnen alles offen»

Wo Diplomaten verhandeln, da sind Spione oft nicht weit. Heute sind das nicht mehr Männer mit Schlapphüten sondern Viren. Wie aber gelingt es einem solchen Cyber-Spion, sich Zugang zu Verhandlungen zu verschaffen? SRF-Digitalredaktor Guido Berger gibt Auskunft.


SRF-Digitalredaktor Guido Berger im Gespräch

5:38 min, aus SRF 4 News aktuell vom 12.06.2015

SRF News: Mit Hilfe eines Computer-Virus' sollen die Atomverhandlungen mit Iran in einem Genfer Hotel ausspioniert worden sein. Die Bundesanwaltschaft ermittelt gegen unbekannt. Einzelheiten sind wenig bekannt. Wie aber könnte diese Spionage-Aktion abgelaufen sein?

Guido Berger: Das Einfallstor dieser Spionage-Aktion könnte ein Computer an der Hotel-Reception gewesen sein, der eine Anfrage per Mail erhielt. Diese Anfrage könnte eine Person dazu verleitet haben, auf etwas zu klicken. Das ist Standard. Danach kommt der ausgefeilte Teil: Die Spionage-Software infiziert anschliessend selbstständig andere Maschinen im Netzwerk und breitet sich aus, bis das ganze Netzwerk verseucht ist – Computer, Lift- und Alarmanlagen sowie Überwachungskameras. Das besonders Raffinierte an dieser Software ist, dass sie sich nur im Speicher der Infizierten Maschinen versteckt. Sie schreibt keine Dateien und hinterlässt so kaum Spuren. Wird eine einzelne Maschine ausgeschaltet, wird die Software zwar gelöscht. Schaltet man die Maschine aber wieder ein, infizieren die anderen Maschinen des Netzwerks sie sofort wieder.

«  Jemand macht dann den Fehler und verbindet sich doch… »

Wie könnten auf diese Art und Weise dann die Verhandlungen abgehört worden sein?

Noch ist erst das Fangnetz ausgeworfen, die Spionage-Software befindet sich nun im Hotelnetzwerk. Dieses sollte eigentlich als unsicher gelten und die Verhandlungsteilnehmer sollten es nicht benutzen. Allerdings sind viele Personen in solche Verhandlungen involviert. Jemand macht dann den Fehler und verbindet sich doch… Die Maschine dieses Verhandlungsteilnehmers wird nun ebenfalls infiziert. Das hat zur Folge, dass sich die Software auf den Maschinen anderer Teilnehmer ausbreiten kann. Gelingt dieser zweite Schritt, dann liegt den Spionen alles offen: Sie können Notizen lesen, Dokumente kopieren, Passwörter stehlen oder auf Mikrofone und Webkameras der Computer zugreifen.

Das alles geschieht im Geheimen. Wie aber entdeckt man eine solche Spionage-Aktion?

Alle Informationen, die wir bis jetzt haben, stammen von Kaspersky. Das ist eine russische Sicherheitsfirma. Sie gehört zu den grossen im Virenschutz-Geschäft. Kaspersky hat die Spionage-Software entdeckt und sie «Duqu 2» getauft. Dabei handelt es sich um eine Variante von «Duqu», einer schon 2011 entdeckten Spionage-Software. Kaspersky hat «Duqu 2» nicht nur technisch analysiert, sondern auch gesagt, dass eines der konkreten Ziele dieser Software die Atomverhandlungen hier in der Schweiz waren. Diese Details wurden aber von keiner anderen Quelle offiziell bestätigt.

Gibt die Analyse Hinweise auf die Herkunft der Spione?

«Duqu 2» ist ein Nachfolger von «Duqu» und «Duqu» wiederum ist verwandt mit «Stuxnet». Letzterer war 2010 entdeckt worden und verantwortlich für die Sabotage von iranischen Atomanlagen. «Stuxnet» wird eigentlich von allen Spezialisten den USA und Israel zugeschrieben. Aufgrund dieser Verwandtschaft liegt es nun nahe, dass man hinter «Duqu 2» Israel vermutet – insbesondere, weil Israel bei den Verhandlungen in Genf nicht dabei war und damit ein Motiv hat. Allerdings fehlt ein richtiger Beweis für diese Vermutung. Offiziell hat Israel jegliche Beteiligung abgestritten.

«  Es stellt sich die Frage, weshalb die Spione ein solch ausgeklügeltes Werkzeug für die Atomverhandlungen in Genf hätten opfern sollen. »

Was spricht gegen diese Version der Geschichte?

Dagegen spricht, dass alle Informationen aus einer Quelle stammen, nämlich von Kaspersky. Die Sicherheitsfirma hat «Duqu 2» entdeckt, weil sie selber damit infiziert wurde. Das ist aussergewöhnlich. Denn wenn man eine Firma wie Kaspersky angreift, deren Aufgabe es ist, solche Werkzeuge aufzudecken, dann muss der Spion davon ausgehen, ebenfalls entdeckt zu werden. Das wiederum würde bedeuten, dass die Spione bereit waren, dieses Werkzeug zu opfern. Denn wenn eine Spionage-Software auffliegt, kann man sie nicht weiter verwenden. Die Verhandlungspunkte der Atomgespräche waren bekannt. Da stellt sich die Frage, weshalb die Spione ein so ausgeklügeltes Werkzeug wie «Duqu 2» hätten opfern sollen.