Antivirenhersteller von NSA ausgespäht

Martin Schindler,
(Bild: James Martin/CNET)

Kaspersky, Avira, Bitdefender, F-Secure und Dr.Web: Zahlreiche Sicherheitshersteller sind ins Visier von NSA und GCHQ geraten. Die Geheimdienste sollen Mails abgefangen und gezielt nach Schwachstellen in Sicherheitslösungen gesucht haben.

Das Internet-Portal “The Intercept” veröffentlicht neue Dokumente von Edward Snowden. Demnach sollen sich Geheimdienste NSA und GCHQ ganz besonders für die Arbeit von Antiviren-Herstellern interessieren. Das von The Intercept veröffentliche Slide-Deck trägt den Namen Project Camberdada.

Wie “The Intercept” berichtet, soll der US-Auslandsgeheimdienst Mails an Hersteller von Antivirenlösungen abgefangen haben. Auch ein Reverse Engineering von verschiedenen Software-Produkten sollen der US-Geheimdienst und der britische GCHQ angestrengt haben. Auf diesem Wege habe der US-Geheimdienst fortlaufend versucht, Erkenntnisse über den Wissenstand der Antivirenhersteller über Malware zu bekommen.

Avira, BitDefender und Dr. Web: Spionageziele des US-Geheimdienstes NSA? (Bild: The Intercept)
Avira, BitDefender und Dr. Web: Spionageziele des US-Geheimdienstes NSA? Antivirenhersteller stehen offenbar ganz besonders im Interesse der Geheimdienste. (Bild: The Intercept)

Die National Security Agency soll es vor allem auf den russischen Anbieter Kaspersky Labs abgesehen haben. Der Sicherheitshersteller hat offenbar mehrmals Schädlinge aufgespürt, die möglicherweise unter Beteiligung des US-Geheimdienstes zustande gekommen sind.

Mit dieser Strategie bekommen die NSA und der britische GCHQ zum einen Informationen darüber, in wie weit die eigenen ‘Schädlinge’ vor dem Zugriff durch AV-Programme sicher sind. Zum anderen bekommt man über den Mail-Verkehr der Sicherheits-Unternehmen auch aus erster Hand Informationen über neue Sicherheitslecks. Im Fall von Kaspersky aber soll, so die Snowden-Unterlagen, der GCHQ auch versucht haben, die Kommunikation zwischen der Client-Sofware und dem Kaspersky-Server abzufangen.

Über das so genannte Software Reverse Engineering sollen die Geheimdienste versucht haben, Schwachstellen in der Sicherheitslösung aufzuspüren. Es sei aber nicht klar, so die Autoren von The Intercept, ob die Geheimdienste mit diesen Versuchen auch Erfolg hatten.

“Wenn man einen Exploit für eine AV-Produkt schreibt, dann hat man automatisch die höchsten Privilegien (Root, System oder oder sogar Kernel) mit einem Schuss”, so zitiert The Intercept den Sicherheitsforscher Joxean Koret, von dem Sicherheitsunternehmen Coseinc aus Singapur. Koret erklärt in diesem Zusammenhang auch, dass die meisten Sicherheits-Produkte weit weniger sicher sind als Word oder Google Chrome.

Im Fall der ausgespähten E-Mails von Antivirus-Unternehmen allerdings nennt ein Dokument 23 Namen von weiteren Herstellern. Darunter CheckPoint aus Israel, die deutsche Avira, Ikarus und Emsisoft (heute Neuseeland) aus Österreich, Avast, AVG aus Tschechien, Eset, Spy-Emergency und Nod32 aus der Slovakei, Viritpro und Novirusthanks aus Italien, Bitdefender aus Rumänien, Dr.Web aus Russland, F-PROT aus Island und F-Secure aus Finnland, Norman aus Norwegen sowie Hersteller aus Indien, Polen oder Südkorea. Wie The Intercept hervorhebt, fehlen in dieser Aufstellung US-Marken wie McAfee und Symantec sowie die britische Sophos.

Die Dokumente sind nicht datiert. Allerdings veröffentlicht das Portal auch einen Antrag auf die Verlängerung der gesonderten Untersuchung der Lösung von Kaspersky. Dieser Antrag muss halbjährlich verlängert werden. Das Dokument, das The Intercept veröffentlicht, ist ein Antrag für die Verlängerung einer Ausnahmeregelung für den Zeitraum vom Juli 2008 bis Januar 2009.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de