Categories: SicherheitVirus

Jüngster Datenverlust der NSA: Kaspersky räumt „Beteiligung“ ein

Kaspersky hat bestätigt, dass es in den Anfang des Monats vom Wall Street Journal gemeldeten Datenverlust des US-Auslandsgeheimdiensts NSA verwickelt ist. Allerdings sollen die Daten rein zufällig, nämlich im Rahmen eines vom Nutzer initiierten Scans einer Kaspersky-Sicherheitssoftware an Kaspersky übermittelt worden sein. Darüber hinaus soll der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, durch sein Verhalten den Datenverlust überhaupt erst ermöglicht haben.

Wie das WSJ berichtete, wurde der Datenverlust erst durch einen eklatanten Regelverstoß des NSA-Mitarbeiters ermöglicht: Er nahm Daten zur weiteren Bearbeitung mit nach Hause und speicherte sie dort auf seinem eigenen PC. Darunter befanden sich auch Details zu einem NSA-Exploit. Der Vorfall selbst ereignete sich angeblich bereits 2015.

Kaspersky will nun unter anderem bei der Auswertung seiner Log-Dateien festgestellt haben, dass besagter Mitarbeiter Raubkopien von Software wie Microsoft Office eingesetzt hat. Den benötigten Lizenzschlüssel soll er mit einem Schlüsselgenerator, einem sogenannten Keygen, erstellt haben. Diese Programme werden häufig von Sicherheitsanwendungen blockiert – unter anderem weil sie regelmäßig Schadsoftware enthalten -, weswegen Keygen-Nutzer häufig ihren Virenschutz deaktivieren, bevor sie einen Schlüsselgenerator starten.

Der NSA-Mitarbeiter soll genauso vorgegangen sein. Dabei infizierte er sein System mit einer Backdoor. Erst nach der Reaktivierung seines Kaspersky-Virenschutzes wurde die Schadsoftware erkannt und blockiert. Bei weiteren manuellen Scans des Nutzers wurden schließlich neue Varianten einer Malware entdeckt, die von der Equation Group entwickelt wurde – einer Offensiveinheit der NSA.

Der Schadcode befand sich laut Kaspersky in einem Archiv im 7-Zip-Format, das an Kaspersky übermittelt und dort analysiert wurde. Es enthielt demnach mehrere Malware-Varianten und Quellcode von Equation-Malware. Der Kaspersky-Mitarbeiter soll seinen Fund daraufhin dem CEO gemeldet haben, der eine Löschung des Archivs auf allen Kaspersky-Systemen angeordnet haben soll. Kaspersky betont, dass das Archiv nicht an Dritte weitergegeben worden sei.

Darüber hinaus will Kaspersky Beweise dafür gefunden haben, dass sich der Vorfall bereits 2014 und nicht wie vom WSJ gemeldet 2015 ereignete. Nach dem 17. November 2014 soll auf dem fraglichen PC keine Malware mehr gefunden worden sein. Außerdem weist Kaspersky darauf hin, dass Dritte möglicherweise über die installierte Backdoor für einen unbekannten Zeitraum vollen Zugriff auf den Privat-PC des NSA-Mitarbeiters hatten, auf dem sich die NSA-Daten befanden. Zudem habe die Untersuchung gezeigt, dass Kasperskys Software nicht mithilfe von Begriffen wie „streng geheim“ oder „vertraulich“ nach ungefährlichen Dateien suche.

Kaspersky ließ in seiner Stellungnahme jedoch offen, ob das Unternehmen 2014 die NSA über den Fund auf dem Privat-PC des Mitarbeiters informierte. Stattdessen betonte es, es sei inzwischen eine Richtlinie eingeführt worden, die die Vernichtung jeglicher vertraulicher oder geheimer Informationen vorschreibe, die ein Scanner oder eine Sicherheitssoftware von Kaspersky ans Tageslicht fördere. Kaspersky teilte aber auch mit, dass die Untersuchung des Vorfalls noch nicht abgeschlossen sei.

Ob die Stellungnahme ausreichen wird, um vor allem US-Behörden davon zu überzeugen, dass Kaspersky nicht mit der russischen Regierung zusammenarbeitet, darf bezweifelt werden. Schon Mitte September verbot das US-Heimatschutzministerium Department of Homeland Security (DHS) den Einsatz von Kaspersky-Produkten bei staatlichen Stellen. Als Begründung wurden angebliche Verbindungen führender Kaspersky-Mitarbeiter zu russischen Geheimdiensten genannt. Zudem sollen russische Unternehmen zur Spionage im Ausland verpflichtet sein.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago