Jüngster Datenverlust der NSA: Kaspersky räumt „Beteiligung“ ein

Geheime Daten der NSA landen 2014 tatsächlich auf Servern von Kaspersky. Sie stammen vom Privat-PC eines NSA-Mitarbeiters, der eine Sicherheitssoftware von Kaspersky einsetzt. Sie überträgt die Daten im Rahmen eines Malware-Funds an Kaspersky.

Kaspersky hat bestätigt, dass es in den Anfang des Monats vom Wall Street Journal gemeldeten Datenverlust des US-Auslandsgeheimdiensts NSA verwickelt ist. Allerdings sollen die Daten rein zufällig, nämlich im Rahmen eines vom Nutzer initiierten Scans einer Kaspersky-Sicherheitssoftware an Kaspersky übermittelt worden sein. Darüber hinaus soll der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, durch sein Verhalten den Datenverlust überhaupt erst ermöglicht haben.

Kaspersky (Bild: Kaspersky)Wie das WSJ berichtete, wurde der Datenverlust erst durch einen eklatanten Regelverstoß des NSA-Mitarbeiters ermöglicht: Er nahm Daten zur weiteren Bearbeitung mit nach Hause und speicherte sie dort auf seinem eigenen PC. Darunter befanden sich auch Details zu einem NSA-Exploit. Der Vorfall selbst ereignete sich angeblich bereits 2015.

Kaspersky will nun unter anderem bei der Auswertung seiner Log-Dateien festgestellt haben, dass besagter Mitarbeiter Raubkopien von Software wie Microsoft Office eingesetzt hat. Den benötigten Lizenzschlüssel soll er mit einem Schlüsselgenerator, einem sogenannten Keygen, erstellt haben. Diese Programme werden häufig von Sicherheitsanwendungen blockiert – unter anderem weil sie regelmäßig Schadsoftware enthalten -, weswegen Keygen-Nutzer häufig ihren Virenschutz deaktivieren, bevor sie einen Schlüsselgenerator starten.

Der NSA-Mitarbeiter soll genauso vorgegangen sein. Dabei infizierte er sein System mit einer Backdoor. Erst nach der Reaktivierung seines Kaspersky-Virenschutzes wurde die Schadsoftware erkannt und blockiert. Bei weiteren manuellen Scans des Nutzers wurden schließlich neue Varianten einer Malware entdeckt, die von der Equation Group entwickelt wurde – einer Offensiveinheit der NSA.

Der Schadcode befand sich laut Kaspersky in einem Archiv im 7-Zip-Format, das an Kaspersky übermittelt und dort analysiert wurde. Es enthielt demnach mehrere Malware-Varianten und Quellcode von Equation-Malware. Der Kaspersky-Mitarbeiter soll seinen Fund daraufhin dem CEO gemeldet haben, der eine Löschung des Archivs auf allen Kaspersky-Systemen angeordnet haben soll. Kaspersky betont, dass das Archiv nicht an Dritte weitergegeben worden sei.

Darüber hinaus will Kaspersky Beweise dafür gefunden haben, dass sich der Vorfall bereits 2014 und nicht wie vom WSJ gemeldet 2015 ereignete. Nach dem 17. November 2014 soll auf dem fraglichen PC keine Malware mehr gefunden worden sein. Außerdem weist Kaspersky darauf hin, dass Dritte möglicherweise über die installierte Backdoor für einen unbekannten Zeitraum vollen Zugriff auf den Privat-PC des NSA-Mitarbeiters hatten, auf dem sich die NSA-Daten befanden. Zudem habe die Untersuchung gezeigt, dass Kasperskys Software nicht mithilfe von Begriffen wie „streng geheim“ oder „vertraulich“ nach ungefährlichen Dateien suche.

Kaspersky ließ in seiner Stellungnahme jedoch offen, ob das Unternehmen 2014 die NSA über den Fund auf dem Privat-PC des Mitarbeiters informierte. Stattdessen betonte es, es sei inzwischen eine Richtlinie eingeführt worden, die die Vernichtung jeglicher vertraulicher oder geheimer Informationen vorschreibe, die ein Scanner oder eine Sicherheitssoftware von Kaspersky ans Tageslicht fördere. Kaspersky teilte aber auch mit, dass die Untersuchung des Vorfalls noch nicht abgeschlossen sei.

Ob die Stellungnahme ausreichen wird, um vor allem US-Behörden davon zu überzeugen, dass Kaspersky nicht mit der russischen Regierung zusammenarbeitet, darf bezweifelt werden. Schon Mitte September verbot das US-Heimatschutzministerium Department of Homeland Security (DHS) den Einsatz von Kaspersky-Produkten bei staatlichen Stellen. Als Begründung wurden angebliche Verbindungen führender Kaspersky-Mitarbeiter zu russischen Geheimdiensten genannt. Zudem sollen russische Unternehmen zur Spionage im Ausland verpflichtet sein.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Kaspersky, Malware, National Security Agency, Politik, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Jüngster Datenverlust der NSA: Kaspersky räumt „Beteiligung“ ein

Kommentar hinzufügen
  • Am 27. Oktober 2017 um 14:31 von C

    NACHTRAG:
    Lt. Kaspersky sollte die gefundene NSA Malware nicht zu Änderungen am bisherigen Schutz geführt haben, d. h. die typisierende Erkennung reicht auch für die neue NSA Malware aus.

    Dann widerspricht aber Kaspersky sich selbst – von wegen „sofort gelöscht“.
    Außerdem hätten die Unterlagen auf eine Entwicklungs-Richtung & Art der Equitation Group analysiert werden müssen, um sich vor diesen Angriffs-Vektoren zukünftig auch zu schützen.

    Es sagen beide Seiten nicht die vollständige Wahrheit. Leider.
    Zweifel bleiben daher immer noch. Auf beiden Seiten.

  • Am 26. Oktober 2017 um 17:18 von C

    Was die Erkennung der NSA Malware anbelangt hatte Ich richtig vermutet:
    KIS erkennt die vermeintliche Malware – und schickt sie zur weiteren Analyse zum KSN. Bis hierhin kann Ich Kaspersky folgen.

    Ab hier wird es jedoch jetzt komisch:
    Kaspersky stellt die NSA Malware auf seinen KSN Servern fest, der Chef wird informiert – und er gibt Anweisung zur sofortigen Löschung? Was auch erfolgt sein soll?
    Gerade dann, wenn neue MALWARE festgestellt wurde muss diese analysiert und zugeordnet werden. Dann müssen die Viren-Schutz-Wächter hierzu aktualisiert werden, diese Malware zukünftig sicher zu erkennen und zu blockieren.
    Auch wenn es Staats-Malware ist. Malware ist Malware – und muss deshalb bekämpft werden! Schließlich zahle Ich für einen vollständigen Schutz und nicht für staatliche Backdoors…

    Was auch noch schräg ist, dass Kaspersky selbst gehakt wurde. Von wen und wann ist nebensächlich. Die Tatsache dass erscheint mir bedenklich.

    Ich bin KIS User. Von den komischen Meldungen habe Ich mich nicht verunsichern lassen. Was jetzt aber Kaspersky da an Statement abgibt macht mich nachdenklich, ob Ich in Zukunft weiterhin deren Produkte einsetzen soll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *