Kaspersky legt Bericht zum Datenverlust bei der NSA vor

Firmenzentrale Kaspersky Lab (Bild: Kaspersky)

Dem russischen IT-Sicherheitsanbieter wurde in den USA vorgeworfen, seine Software habe geholfen, als vertraulich eingestufte Daten der NSA zu entwenden. Das hat das Unternehmen zurückgewiesen und legt nun Details zu dem Vorfall vor. Der Bericht offenbart auch erhebliche Versäumnisse des NSA-Mitarbeiters, von dessen PC die Daten entwendet wurden.

Kaspersky Lab hat nun einen ausführlichen Untersuchungsbericht vorgelegt, mit dem sich das Unternehmen gegen Vorwürfe aus den USA wehren will, wonach seine Software dabei geholfen habe als vertraulich eingestufte Daten der NSA zu entwenden. Vor einem Monat hatte das Wall Street Journal berichtet, die NSA habe wichtige Daten, darunter auch Exploits für unbekannte Sicherheitslücken verloren. Bei dem Vorfall soll Software von Kaspersky Lab eine Rolle gespielt haben.

Firmenzentrale Kaspersky Lab (Bild: Kaspersky)

Das Unternehmen hatte zwar grundsätzlich eingeräumt, dass Software von ihm in den Vorfall involviert war, hatte aber eine gezielte Absicht dahinter verneint. Die Daten seien 2014 im Rahmen eines Malware-Funds vom privaten PC eines NSA-Mitarbeiters an Server von Kaspersky übertragen worden – so wie das bei einer erkannten Malware eben üblich ist.

Mit der Veröffentlichung der Ergebnisse der anschließenden internen Untersuchung und der zu dem Vorfall gesammelten Fakten untermauert das Unternehmen diese Argumentation nun. Dem Bericht zufolge übertrug eine Sicherheitssoftware von Kaspersky die Daten im September 2014 an Kaspersky, um als Malware erkannten Code näher untersuchen zu können. Das ist eine in der Branche übliche Vorgehensweise.

Der Bericht fördert allerdings zahlreiche Versäumnisse auf Seiten des NSA-Mitarbeiters zutage. Auf seinem Rechner hätten sich Signaturen einer Malware der Equation Group gefunden. Die wird dem US-Auslandsgeheimdienstes NSA zugeordnet. Mit einer IP-Adresse, die räumliche Nähe zur NSA-Zentrale in Fort Meade, Maryland nahelegt, habe er außerdem eine unlizenzierte Kopie von Microsoft Office 2013 mit einem illegalen, zudem mit Malware infizierten, Aktivierungs-Tool installiert.

NSA (Bild: NSA)

Um das Tool ausführen zu können, habe der Nutzer das Kaspersky-Produkt vorübergehend deaktiviert. Als die Antivirus-Software wieder aktiviert wurde, erkannte sie mehrere Schadprogramme. Darunter befand sich auch ein 7zip-Archiv. Das wurde zur Überprüfung zum Kaspersky Virus Lab übertragen.

Dieses Archiv enthielt die Tools der Equation Group, Quellcode und als geheim eingestufte Dokumente. Der mit der Untersuchung befasste Analyst habe darüber CEO Eugene Kaspersky informiert. Der habe dann angeordnet, das Archiv, den Quellcode und die offenbar vertraulichen Daten zu löschen. Gespeichert blieben bei Kaspersky demnach nur die Binärdateien der erkannten Malware.

“Erstens ist zur Verbesserung des Schutzes nur der Binärcode der Malware interessant und zweitens hat das Unternehmen bezüglich möglicherweise vertraulich geltendem Material Bedenken. In Folge des Vorfalls wurden alle Analysten über eine neu erstellte Richtlinie angewiesen, von nun an möglicherweise vertrauliches Material, das zufälligerweise anlässlich der Untersuchung von Malware in ihren Besitz gelangt, stets zu löschen”, erklärt das Unternehmen in seinem Bericht.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Der Untersuchung zufolge hatte die Kaspersky-Software damals 121 als Malware eingestufte Programme auf dem Rechner des NSA-Mitarbeiters gefunden. Eine davon war die Backdoor Mokes, die auch als Smoke Bot oder Smoke Loader bezeichnet wird. Deren Kommando- und Kontrollserver wurden laut Kaspersky von September bis November 2014 vermutlich von der chinesischen Gruppe “Zhou Lou” betrieben. Es könne daher auch sein, dass Daten infolge “eines Remotezugriffs auf den Computer, an eine unbekannte Anzahl von Dritten weitergegeben” wurden sagte ein Kaspersky-Sprecher gegenüber der BBC.

US-Behörden unterstellen Kaspersky seit Anfang des Jahres immer nachdrücklicher die Verbindung zu russischen Behörden. Das führte zunächst dazu, dass Kaspersky von der Liste der zugelassenen Lieferanten gestrichen wurde und zuletzt von der US-Regierung der Einsatz von Kaspersky-Software in Behörden sogar ausdrücklich untersagt wurde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht dagegen keinen Anlass zur Besorgnis. Es betonte in einer Pressemitteilung sogar: “Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.”

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.