Cyber-Angriff via Schweiz
Attacke auf den Iran mit dem Spionage-Virus Flame lief über Schweizer Server
Von Benno Tuchschmid
Bern Im Cyberspace ist aus dem kalten Krieg zwischen dem Iran und dem Westen längst ein heisser geworden. Nun ist klar: Die Cyber-Angriffe auf den Iran mit dem Schadprogramm Flame liefen auch über die neutrale Schweiz.
Die Melde- und Analysestelle für Informationssicherung des Bundes (Melani) bestätigt gegenüber der SonntagsZeitung, dass Teile der Kontrollinfrastruktur des Schadprogramms in der Schweiz registriert waren. «Wir haben sofort reagiert und den betroffenen Server in Zusammenarbeit mit dem Provider vom Netz genommen», sagt Max Klaus, Stellvertretender Leiter von Melani. Die zuständigen Behörden seien informiert worden. «Weitere Abklärungen dazu sind im Gange», sagt Klaus. Zum Zeitpunkt der Abschaltung und zum Standort des Servers macht Klaus keine Angaben. Neben der Schweiz sollen auch Hongkong, Vietnam, die Türkei, Deutschland und England als Server-Standorte gedient haben.
Der Cyberkrieg ist eines der geheimnisvollsten Kapitel in der Auseinandersetzung zwischen den USA und dem Iran: Ende Mai hatte das auf Sicherheitssoftware spezialisierte Unternehmen Kaspersky Lab ein Schadprogramm entdeckt. Name: Flame. Ein Programm als Waffe im Kampf gegen das Atomprogramm der Mullahs. Eng verwandt mit dem Stuxnet-Virus, der im Juni 2010 entdeckt wurde. Entwickelt wurde Flame mit dem Ziel, iranische Systeme auszuspionieren. Urheber: unbekannt. Experten ordnen die Attacken israelischen und amerikanischen Geheimdienstkreisen zu.
Gemäss Kaspersky Lab liefen die Angriffe über einen sogenannten C&C-Server. Diese Art Server nimmt in der Steuerung eines Schadprogramms eine zentrale Funktion ein: Er sendet Updates an die Ableger des Spionageprogramms, und er speichert die erbeuteten Daten. Im Fall von Flame waren diese verschlüsselt, sodass nur die Flame-Entwickler sie decodieren konnten.
Laut Marco Preuss, Virenanalyst bei Kaspersky Lab, gibt es zwei Wege, einen Kontrollserver einzurichten. Entweder die Programmierer hacken sich in ein System ein und errichten den Server klandestin. Diese Vorgehensweise ist gemäss Preuss vor allem bei Kriminellen verbreitet. «Unsere Analysen haben ergeben, dass für Flame Server unter falschen Angaben angemietet wurden», sagt Preuss.
Hinweise deuten auf einen verbotenen Nachrichtendienst
Auch Myriam Dunn Cavelty, Cyberwar-Spezialistin beim Center for Security Studies an der ETH Zürich, sagt: «Kriminelle suchen sich den Standort für ihre Kontrollinfrastruktur zufällig aus, staatliche Organisationen mieten Infrastruktur meist an.» Mit anderen Worten: Mit grösster Wahrscheinlichkeit hat sich eine Person in der Schweiz aktiv mit der Einrichtung beschäftigt. Laut Insidern beim Bund deutet damit vieles auf einen verbotenen Nachrichtendienst hin. Wer im Fall Flame an der Einrichtung eines C&C-Servers in der Schweiz beteiligt war, ist unbekannt. «Wir wissen nicht, ob hinter dem Server auch eine Schweizer Person steht», sagt Klaus. Klar ist jedoch, dass Cyberattacken für die Neutralität der Schweiz ein Problem darstellen. Der Nachrichtendienst des Bundes nennt staatlich gesteuerte Cyberspionage im Sicherheitsbericht 2012 als Gefahr für die Schweiz.
Für Laurent Goetschel, Experte für Schweizer Aussenpolitik am Europa-Institut der Universität Basel, ist es allerdings schwierig, der Schweiz beim Flame-Virus etwas vorzuwerfen. Dies, weil die Schweiz erst nachträglich von der Aktion erfuhr. Er sagt aber auch: «Cyberwar stellt die Schweizer Neutralität im Kriegsfall vor ganz neue Probleme. Das wird uns in Zukunft weiter beschäftigen.»
Publiziert am 21.10.2012
