Der rätselhafte Angriff des Roten Oktober

Über Jahre arbeitet in der Schweiz eine hochkomplexe Spionagesoftware. Was liess das Land zum vorrangigen Ziel der globalen Cyberattacke werden?

Von 250 durch Kaspersky indentifizierten Maschinen standen 50 in der Schweiz: Die Karte zeigt, wo die Angreifer aktiv sind.
Bild: Securelist.com

Von 250 durch Kaspersky indentifizierten Maschinen standen 50 in der Schweiz: Die Karte zeigt, wo die Angreifer aktiv sind. Bild: Securelist.com

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Ende letzten Jahres erhielten die Bundesbehörden brisante Post aus Russland: Das Moskauer Softwareunternehmen Kaspersky Lab, bekannt für seine Antivirenprogramme, war einer seit fünf Jahren laufenden Cyberspionage-Kampagne auf die Spur gekommen. Roter Oktober, wie das Supervirus genannt wird, richtete sich offenbar gezielt gegen die Computersysteme von Behörden und Regierungsorganisationen. Dort ermittelte es hochsensible Daten und sandte sie an Kontrollcomputer, die grösstenteils in Russland und Deutschland stehen.

Und offenbar konnte das Programm in der Schweiz überdurchschnittlich viel Schaden anrichten. Die Melde- und Analysestelle Informationssicherung (Melani) erhielt von Kaspersky eine Liste mit IP-Adressen, die von infizierten Computern stammten. Die Zahl dieser Adressen – die jedem Gerät zugewiesen werden, die an das Internet angeschlossen sind – lässt sich aus Unterlagen ermitteln, die Kaspersky letzte Woche veröffentlicht hat.

Täter und Tatmotiv unbekannt

Im Zeitraum vom 2. November 2012 bis 10. Januar 2013 vermochte Kaspersky demzufolge 250 Adressen von betroffenen Computern aus insgesamt 39 Ländern ausfindig zu machen (wobei effektiv wohl sehr viel mehr als 250 Maschinen infiziert waren). Ein Fünftel der gefundenen Adressen, 50 Stück also, stammte aus der Schweiz. Das ist Weltrekord. Die am zweitmeisten verseuchte Nation ist Kasachstan, gefolgt von Griechenland. Viele der Länder auf der Opferliste liegen in Asien und Osteuropa. Westeuropa ist, abgesehen von der Schweiz, kaum betroffen.

Laut Kaspersky Lab handelt es sich bei den Opfern aus der Schweiz vor allem um diplomatische Vertretungen. Genauere Angaben sind weder beim Softwarekonzern noch beim Bund erhältlich. Gegenüber «Le Matin Dimanche» erklärte ein Melani-Mitarbeiter, die Betroffenen würden informiert, sodass sie Gegenmassnahmen ergreifen könnten. Laut Gerüchten ist es aber noch nicht gelungen, die Eigner sämtlicher gemeldeter IP-Adressen zu eruieren.

Computer der Eidgenossenschaft wurden vermutlich nicht befallen. Max Klaus, stellvertretender Melani-Leiter, lässt sich allerdings nur mit der Aussage zitieren, es seien nach momentanem Kenntnisstand «keine schweizerischen Betreiber kritischer Infrastrukturen» betroffen. Als «kritisch» gelten Infrastrukturen, deren Ausfall gravierende Auswirkungen für grosse Bevölkerungskreise hätte – etwa die Stromversorgung. Was jedoch hat die Schweiz zum vorrangigen Ziel der Hacker werden lassen? Laut Beobachtern besteht vermutlich ein Zusammenhang mit der starken Präsenz internationaler Organisationen, insbesondere in Genf.

Max Klaus von Melani weist darauf hin, dass Täter wie Tatmotiv unbekannt seien. Seinem Eindruck zufolge ist die Schweiz «insgesamt nicht häufiger von solchen Virenattacken betroffen als die umliegenden Länder».

Sicherheitsmängel bei KMU

Klar ist, dass auch auf die Bundesverwaltung schon Cyberangriffe verübt wurden. Für Aufsehen sorgte ein Vorfall vom Oktober 2009, als Hacker das Computersystem des Aussendepartements (EDA) infiltrierten. Über die Täterschaft, falls entdeckt, wurde nie informiert. Der Verdacht fiel seinerzeit auf das Ghadhafi-Regime in Libyen.

Heute verfügt die Bundesverwaltung gemäss Klaus über «sehr gute Vorkehrungen». Dasselbe gelte für die Schweizer Grossunternehmen, die allgemein viel in ihre Informatiksicherheit investierten. «Unzureichende Sicherheitsmassnahmen beobachten wir vorwiegend in KMU.» Dort fehle oft das Geld – oder auch das Gefahrenbewusstsein.

Hundertprozentige Sicherheit gebe es im Übrigen nie. Klaus lässt offen, ob die Abwehrsysteme des Bundes mit dem Roten Oktober fertig würden: «Man müsste die Schadsoftware analysieren, um zu verstehen, welche Sicherheitslücken sie ausnützt.»

Immerhin: Roter Oktober wurde deaktiviert, nachdem Kaspersky letzte Woche an die Öffentlichkeit trat. Die Gefahr scheint gebannt – vorerst.

Erstellt: 25.01.2013, 22:29 Uhr

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Kommentare

Weiterbildung

Gamen in der Schule

Die Schule bereitet Kinder auf die Arbeitswelt vor. Das Rüstzeug soll auch spielerisch vermittelt werden.