Jüngster Datenverlust der NSA: Kaspersky räumt „Beteiligung“ ein

Kaspersky hat bestätigt, dass es in den Anfang des Monats vom Wall Street Journal gemeldeten Datenverlust des US-Auslandsgeheimdiensts NSA verwickelt ist. Allerdings sollen die Daten rein zufällig, nämlich im Rahmen eines vom Nutzer initiierten Scans einer Kaspersky-Sicherheitssoftware an Kaspersky übermittelt worden sein. Darüber hinaus soll der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, durch sein Verhalten den Datenverlust überhaupt erst ermöglicht haben.

Wie das WSJ berichtete, wurde der Datenverlust erst durch einen eklatanten Regelverstoß des NSA-Mitarbeiters ermöglicht: Er nahm Daten zur weiteren Bearbeitung mit nach Hause und speicherte sie dort auf seinem eigenen PC. Darunter befanden sich auch Details zu einem NSA-Exploit. Der Vorfall selbst ereignete sich angeblich bereits 2015.

Kaspersky will nun unter anderem bei der Auswertung seiner Log-Dateien festgestellt haben, dass besagter Mitarbeiter Raubkopien von Software wie Microsoft Office eingesetzt hat. Den benötigten Lizenzschlüssel soll er mit einem Schlüsselgenerator, einem sogenannten Keygen, erstellt haben. Diese Programme werden häufig von Sicherheitsanwendungen blockiert – unter anderem weil sie regelmäßig Schadsoftware enthalten -, weswegen Keygen-Nutzer häufig ihren Virenschutz deaktivieren, bevor sie einen Schlüsselgenerator starten.

Der NSA-Mitarbeiter soll genauso vorgegangen sein. Dabei infizierte er sein System mit einer Backdoor. Erst nach der Reaktivierung seines Kaspersky-Virenschutzes wurde die Schadsoftware erkannt und blockiert. Bei weiteren manuellen Scans des Nutzers wurden schließlich neue Varianten einer Malware entdeckt, die von der Equation Group entwickelt wurde – einer Offensiveinheit der NSA.

Der Schadcode befand sich laut Kaspersky in einem Archiv im 7-Zip-Format, das an Kaspersky übermittelt und dort analysiert wurde. Es enthielt demnach mehrere Malware-Varianten und Quellcode von Equation-Malware. Der Kaspersky-Mitarbeiter soll seinen Fund daraufhin dem CEO gemeldet haben, der eine Löschung des Archivs auf allen Kaspersky-Systemen angeordnet haben soll. Kaspersky betont, dass das Archiv nicht an Dritte weitergegeben worden sei.

Darüber hinaus will Kaspersky Beweise dafür gefunden haben, dass sich der Vorfall bereits 2014 und nicht wie vom WSJ gemeldet 2015 ereignete. Nach dem 17. November 2014 soll auf dem fraglichen PC keine Malware mehr gefunden worden sein. Außerdem weist Kaspersky darauf hin, dass Dritte möglicherweise über die installierte Backdoor für einen unbekannten Zeitraum vollen Zugriff auf den Privat-PC des NSA-Mitarbeiters hatten, auf dem sich die NSA-Daten befanden. Zudem habe die Untersuchung gezeigt, dass Kasperskys Software nicht mithilfe von Begriffen wie „streng geheim“ oder „vertraulich“ nach ungefährlichen Dateien suche.

Kaspersky ließ in seiner Stellungnahme jedoch offen, ob das Unternehmen 2014 die NSA über den Fund auf dem Privat-PC des Mitarbeiters informierte. Stattdessen betonte es, es sei inzwischen eine Richtlinie eingeführt worden, die die Vernichtung jeglicher vertraulicher oder geheimer Informationen vorschreibe, die ein Scanner oder eine Sicherheitssoftware von Kaspersky ans Tageslicht fördere. Kaspersky teilte aber auch mit, dass die Untersuchung des Vorfalls noch nicht abgeschlossen sei.

Ob die Stellungnahme ausreichen wird, um vor allem US-Behörden davon zu überzeugen, dass Kaspersky nicht mit der russischen Regierung zusammenarbeitet, darf bezweifelt werden. Schon Mitte September verbot das US-Heimatschutzministerium Department of Homeland Security (DHS) den Einsatz von Kaspersky-Produkten bei staatlichen Stellen. Als Begründung wurden angebliche Verbindungen führender Kaspersky-Mitarbeiter zu russischen Geheimdiensten genannt. Zudem sollen russische Unternehmen zur Spionage im Ausland verpflichtet sein.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.