Internet-Kriminalität: Die Virenjäger

Der Mann, der auch Geheimdienste stoppen kann, trägt ein T-Shirt mit einem aufgedruckten Maulwurf. Ein Symbol für seine Arbeit im Untergrund, im Unsichtbaren? Vitaly Kamluk winkt ab. „Irgendwas musste ich halt anziehen“, sagt er und konzentriert sich wieder auf den bläulich flimmernden Monitor vor sich.

Es ist schwülwarm an diesem Sommertag in Moskau, doch Kamluk bekommt davon nichts mit. Hinten, an der Glastür, bewacht ein grimmig dreinblickender Sicherheitsmann den Zugang zum klimatisierten Büro. An der Wand zeigen sieben Uhren die Zeit in Moskau und München, in Peking und anderen Städten dieser Welt.

Das Internet schläft nie und auch die bösen Buben, wie der junge Russe seine Gegner nennt, sind schließlich Tag und Nacht aktiv.

Vertrieb und Verwaltung für Europa in Ingolstadt

Vitaly Kamluk, der Mann mit dem Maulwurfs-T-Shirt, gilt als einer der profiliertesten Fachleute überhaupt für die Gefahren des Internets. Sein Arbeitgeber ist die Firma Kaspersky Lab, ein Hersteller von Virenschutz-Programmen. Eugene Kaspersky gründete das russische Unternehmen vor 15 Jahren und richtete die Europazentrale in Ingolstadt ein. 160 Menschen arbeiten dort, vor allem in Vertrieb und Verwaltung. Doch das Nervenzentrum der Firma ist in Moskau.

Das silbergraue Bürohaus liegt eine halbe Stunde Fahrt vom Roten Platz entfernt, in einem Industriegebiet der Zwölf-Millionen-Stadt. Ein Schild, dass hier Kaspersky seinen Sitz hat, sucht man draußen vergeblich. Ein Aufzug führt in den gut bewachten vierten Stock. In kühlen Räumen sitzen junge Männer und Frauen an ihren Rechnern, tragen Jeans und Shirts, sprechen wenn, dann leise miteinander. Sie, die Analysten, sind die eigentlichen Stars von Firmen wie Kaspersky. Denn sie sind es, die den Spionen und Datendieben, den Hackern, aber auch den Geheimdiensten der Welt das Leben schwerer machen.

So wie Vitaly Kamluk. Seit 2005 arbeitet der junge Weißrusse mit dem dünnen Backenbart für das Unternehmen. Mathematik hat er studiert, Chemie und Physik waren seine Leidenschaft. Heute analysiert der 28-Jährige Schadprogramme. Er untersucht, wie sie funktionieren, ob sie spionieren wollen oder schlicht zerstören. Und er versucht herauszufinden, wie sie von Kriminellen ferngesteuert werden.

Ein falscher Klick genügt

Moderne Online-Kriminalität trifft einen fast immer zu Hause oder im Büro. Mal ist es die E-Mail, die angeblich von der Post, von Ebay oder von Facebook stammt. Mal die Internetseite, die harmlos scheint, tatsächlich aber gefährlich ist. Wer hier nicht aufpasst, kann schnell zum Opfer werden. Ein falscher Klick, schon schmuggeln sich kleine Programme auf dem Computer ein, beginnen dort ihr übles Werk.

Malware, so der Fachbegriff, also bösartige Software, kann Passwörter stehlen, für das Mailprogramm, den Facebook-Zugang oder das Online-Banking. Andere Schädlinge öffnen auf dem Computer unbemerkt eine „Hintertür“. Die Folge: Der PC wird plötzlich ferngesteuert, von einem Kriminellen tausende Kilometer entfernt. Er könnte den Rechner jetzt einfach sperren, durch ihn Werbemails verschicken oder ihn zur Empfangszentrale machen für gestohlene Kreditkarten-Daten. Der Nutzer selbst bekommt davon nichts mit – bis irgendwann die Polizei vor seiner Haustür steht.

Forschungsobjekte haben Kamluk und seine Kollegen jedenfalls genug. Bis zu 125000 neue Schadprogramme entdecken die Virenjäger derzeit – jeden Tag. Zum Vergleich: 2008 waren es gerade einmal 1500 täglich.

Krieg der Roboter

„Damals war es noch ein Kampf Mann gegen Mann“, erzählt der 28-Jährige. „Irgendwo da draußen saß ein böser Junge und programmierte einen Virus. Und hier saß ein guter Junge und machte ihn unschädlich.“ Heute werden Schadprogramme massenhaft verbreitet – durch spezielle Maschinen. Und Maschinen sind es auch, die Viren und Trojaner finden und stoppen. „Es ist ein Krieg der Roboter geworden“, sagt Kamluk.

Viel Arbeit wird den Analysten im Hauptquartier der Moskauer Firma also schon durch Routineprogramme abgenommen. Anderes ist echte Kopf- und Handarbeit. Wie alle Antiviren-Hersteller schickt auch Kaspersky sogenannte Crawler in den Einsatz. Die elektronischen Spürhunde suchen allein ihren Weg durch das Internet. Entdecken sie gefährliche Programme, melden sie diese an das Unternehmen. Dort gleichen die Experten ab: Ist es ein „normaler“ Virus – oder doch ein ganz spezieller Fall?

Ein Monitor an der Wand im Kaspersky-Hauptquartier listet auf, mit welchen Schädlingen sich die Virenjäger auseinandersetzen: „Backdoor.Win64.ZAccess.br“, „Trojan.Win32.Menti.mnto“. „Worm.Win32.Autorun.dtcj“ – hinter jedem einzelnen der kryptischen Bezeichnungen steckt ein kleines Wunderwerk der Programmierkunst – gut durchdacht und brandgefährlich. „Im Zweifelsfall nehmen wir uns auch mal Wochen für einen einzelnen Schädling Zeit“, sagt Kamluk. Dann sezieren er und seine Kollegen die Viren und Trojaner – wie Mediziner, nur am Monitor. Sie lesen viele tausend Programmzeilen, suchen nach digitalen Fingerabdrücken der Täter – und verfolgen die Spuren zu ihnen zurück. Moderne Detektivarbeit mit einem Ziel: „Wir wollen die Verbraucher schützen“, sagt Kamluk.

84981 Fälle von Sabotage oder Datendiebstahl 2011

Man könnte es auch profaner sagen. Kaspersky Lab verdient Geld mit Virenschutzprogrammen. Und das ist ein hart umkämpfter Markt. Je besser Virenschutzprogramme Schädlinge entdecken, umso besser lassen sie sich verkaufen.

Wichtig sind solche Schutzprogramme auf jeden Fall. Allein im Jahr 2011 registrierten die deutschen Polizeidienststellen 222267 Straftaten, die über das Internet begangen wurden. Am häufigsten ging es dabei um Betrügereien. Hinzu kamen 84981 Fälle von Computerkriminalität – Sabotageakte oder Datendiebstahl etwa. Und die Dunkelziffer lag weitaus höher. Weil Betroffene gar nicht merkten, dass sie Opfer einer Straftat wurden. Oder weil sie die Tat nicht meldeten.

Dass Firmen mit Computer-Attacken erpresst werden, zahlen und schweigen, ist unter Fachleuten ein offenes Geheimnis.

„Flame“ spionierte bis zu seiner Enttarnung zwei Jahre lang

Cyber-Angriffe auf Industriebetriebe, aber auch auf ganze Länder erstaunen Vitaly Kamluk längst nicht mehr. International Aufsehen erregten der 28-Jährige und sein Team, als sie im Frühjahr dieses Jahres „Flame“ entdeckten. Flame ist eine hochkomplexe Cyberwaffe. Zwei Jahre lang hatte das Programm heimlich Computer im Nahen Osten ausspioniert, ehe es von Kaspersky enttarnt wurde.

Flame sammelte geheime Daten in Firmen und Staatsbetrieben, machte heimlich Fotos, startete Mikrofone und Webcams an Computern, schickte alles, was es finden konnte, über das Internet in die USA.

Wer Flame programmierte, ist nicht bekannt. Viele tippen auf die US-Geheimdienste NSA und CIA, unterstützt vom israelischen Militär. Genaueres fanden selbst Kamluk und seine Kollegen noch nicht heraus. Nur eines: Der Programmcode von Flame war in hervorragendem Englisch geschrieben.

„Flame hatte nur rund 700 Computer infiziert. Aber uns war klar, dass es wichtig sein würde, dieses Programm zu stoppen“, sagt Kamluk heute. Das gelang den russischen Antiviren-Spezialisten – und war doch nur ein Erfolg auf Zeit.

Tatsächlich werden Kriege längst nicht mehr allein mit Panzern und Kanonen ausgetragen. Moderne Schlachten finden im Internet statt – und die Militärs der Welt sind dafür gerüstet. Auch die Bundeswehr arbeitet seit mehreren Jahren daran, deutsche Infrastrukturen gegen Hacker-Angriffe zu schützen – und selbst Online-Attacken zu führen. „Eine Anfangsbefähigung zum Wirken in gegnerischen Netzwerken wurde erreicht“, erfuhren die Mitglieder des Verteidigungsausschusses des Bundestags erst kürzlich in einem Bericht. Was nichts anderes heißt als: Auch deutsche Soldaten sind jetzt in der Lage, sich in fremde Computeranlagen hinein zu hacken, sie lahmzulegen oder gar zu zerstören.

Angriffe auf die Stromversorgung oder die Kühlung eines Reaktors

Was ein Cyberkrieg für Folgen hätte, mögen sich selbst Pessimisten nur ungern ausmalen. Für Richard Clarke, den früheren US-Bundeskoordinator für nationale Sicherheit, steht fest: „In einem elektronischen Krieg dürften in erster Linie zivile Ziele angegriffen werden.“ So schreibt er es zumindest in seinem Buch „World Wide War“. Und auch Eugene Kaspersky, Gründer und Chef von Kaspersky Lab, ist überzeugt: „Das erste Opfer eines Cyberkriegs wäre die ganz normale Bevölkerung.“

Was, wenn Angreifer – oder Terroristen? – per Mausklick die Stromversorgung einer Stadt auf Wochen stoppen? Die Versorgung mit Trinkwasser? Wenn sie die weltweiten Börsen lahmlegen – oder die Kühlung eines Atomreaktors?

Der Schritt von der Cyberkriminalität zum Cyber-Krieg ist nicht sehr groß. Auch Vitaly Kamluk weiß das. Er hat es ja bei „Flame“ gesehen. Spionageprogramme können Bankdaten ausspähen – oder eben das Atomprogramm einer Nation. Bis die Virenjäger sie finden und an die Oberfläche zerren. „Da draußen dürften noch viele Programme wie Flame unterwegs sein“, ist der junge Russe in seinem Maulwurfs-T-Shirt überzeugt. „Wir haben sie nur noch nicht entdeckt.“