Hardware-Importe US-Heimatschutz fürchtet Spionage-Viren ab Werk

Rechner mit eingebautem Spähprogramm, Smartphones mit vorinstalliertem Trojaner: Experten spekulieren seit Jahren über Spionage-Angriffe durch ab Werk infizierte Hardware aus Fernost. Nun bestätigte ein hochrangiger US-Heimatschützer, dass es solche Fälle gegeben hat.

Von

Spähangriff: Die USA fürchten ab Werk installierte Spionage-Komponenten
Corbis

Spähangriff: Die USA fürchten ab Werk installierte Spionage-Komponenten


So schwierig war die Frage gar nicht, die der US-Abgeordnete Jason Chaffetz am vergangenen Donnerstag im US-Repräsentantenhaus bei einer Ausschusssitzung stellte. Ob im Ausland gefertigte IT-Komponenten mit vorinstallierter Schadsoftware in die Vereinigten Staaten importiert worden seien, wollte Chaffetz von einem hochrangigen Vertreter des US-Heimatschutzministeriums wissen. Prompt geriet der stellvertretende Unterstaatssekretär Greg Schaffer ins Stottern (siehe YouTube-Video unten).

Sechsmal setzt Schaffer zu ausweichenden, allgemeinen Antworten an. Sechsmal fragt Chaffetz nach: "Passiert das?", "Sind Ihnen Fälle bekannt, in denen Software oder Hardware mit eingebauten Sicherheitsrisiken in die Vereinigten Staaten importiert worden sind?" Schließlich antwortete Schaffer dann doch: "Ich kenne Fälle, in denen das passiert ist."

Seine Worte könnten die erste offizielle Bestätigung für ein gefürchtetes Szenario sein: Seit Jahren spekulieren Politiker, Medien und Nutzer darüber, dass ein Zulieferer bestimmte für den Export vorgesehene Technik mit speziellen Schadprogrammen ausstattet - womöglich auf Wunsch einer ausländischen Regierung oder einer kriminellen Gruppierung. Auf neuen Firmen-Laptops wäre dann zum Beispiel ein Programm installiert, das bestimmte Daten auf Kommando über das Netz an die Auftraggeber verschickt.

Es ist sehr heikel, bei solchen Fällen Schuldige zu benennen. Hat ein Mitarbeiter bei einem Zulieferer vorsätzlich Schad- und Schnüffelprogramme eingeschmuggelt? War vielleicht die Fertigungsanlage eines Herstellers virenverseucht? Handelte da jemand auf Druck? Absicht oder Unglück - was wirklich passiert ist, lässt sich kaum mehr nachvollziehen, wenn mit Schnüffelprogrammen infizierte Technik einmal entdeckt ist.

Absicht oder Unfall?

Das dürfte Schaffers zögerliche Antworten erklären. Er war sehr bemüht, keine Schuldigen zu benennen. Auf die Anfrage des US-Senders MSNBC, was Schaffer nun genau gemeint habe, zufällige oder absichtliche Infektionen, hat das US-Heimatschutzministerium bislang nicht geantwortet.

Schon 2009 haben die Autoren der vom US-Präsidenten in Auftrag gegebenen " Cyberspace Policy Review" diese Gefahren thematisiert. In dem Dokument ist in einem Absatz zur "Lieferkettensicherheit" von den Risiken neuer Fertigungsstandorte die Rede. Die Autoren schreiben, Fertigung im Ausland sei eine Chance für "staatliche Akteure, Produkte zu infizieren". Sie räumen aber ein, es gebe "nur wenige dokumentierte Fälle eindeutiger, absichtlicher Infektionen". Ob es sich bei diesen wenigen Fällen um in die USA importiere Technik handelt, lässt der Bericht offen.

Smartphones und iPods mit Viren ab Werk

Allerdings sind Fälle dokumentiert, in denen Hersteller ab Werk mit Schadsoftware infizierte Geräte ausgeliefert haben. So etwas kommt seit Jahren immer wieder vor: 2008 befiel ein Trojaner namens MocMex Windows-Rechner in den USA, Singapur und Russland. Die Schadsoftware war in einem digitalen Bilderrahmen vorinstalliert. Sobald Nutzer diesen an einen Rechner anschlossen, wurde das Schadprogramm aktiv, sammelte Passworte ein und versuchte, diese übers Netz zu übermitteln. Gebaut wurden die betroffenen Bilderrahmen in China, Sicherheitsforscher wollen damals den Trojaner auch zu einer "Gruppierung" in die Volksrepublik zurückverfolgt haben.

2006 lieferte Apple einige Video-iPods mit einem vorinstallierten Virus aus, 2010 steckte in einigen Samsung-Smartphones ab Werk eine Speicherkarte mit einem Windows-Trojaner. In diesen und den meisten anderen bekannt gewordenen Fällen haben die betroffenen Firmen Zulieferer als Ursprung der Infektion ausgemacht und die Öffentlichkeit zügig informiert.

Online-Spionage per Spear-Phishing dürfte effektiver sein

Zur Panik besteht dennoch kein Grund: In der Praxis dürfte die gezielte Infektion von Hardware ab Werk zu speziellen Spionage-Zwecken nicht sehr effizient sein. Man kann ja nicht vorher wissen, welche Geräte an welchen Kunden ausgeliefert werden. Infektionen ab Werk sind mit einem Schrotflintenschuss zu vergleichen: Man streut die Attacke möglichst weit, in der Hoffnung, ein paar Treffer bei Insidern zu landen.

Im Online-Spionagegeschäft scheint bislang aber ein anderer Ansatz zu dominieren: sogenanntes Spear-Phishing - gezielte Online-Angriffe auf Insider. Die gängige Methode sind glaubhaft formulierte, individuell abgestimmte E-Mails, die Empfänger zum Öffnen eines infizierten Dokuments oder einer Website mit Spähsoftware verleiten. Ein Sicherheitsbericht des US-Außenministeriums aus dem Jahr 2008 führt diese Art von Angriffen unter dem Titel "Byzantine Candor". Man glaube, die Angriffe kämen aus China, heißt es in dem Bericht weiter. Ziele seien Netzwerke der US-Armee, des Außen-, Verteidigungs- und Energieministeriums, andere Regierungsstellen, Unternehmen und Internetprovider.

Auch in den Postfächern deutscher Beamter landen speziell zugeschnittene Nachrichten mit angehängten Dokumenten, die statt der versprochenen Fachartikel dann meist Spähsoftware enthalten. Schon 2008 waren die Verfassungsschützer besorgt über die Erfolge der Spähpost. "Leider", so die US-Botschaftsdepesche, "halten die Verfassungsschützer die Mehrheit der Empfänger für extrem empfänglich gegenüber diesen Social-Engineering-Angriffen".

Solange Insider an Dienstrechnern E-Mail-Anhänge bedenkenlos öffnen, ist ein Schrotflintenangriff mit infizierter Hardware vielleicht gar nicht nötig.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 46 Beiträge
Alle Kommentare öffnen
Seite 1
DergerechteZorn 09.07.2011
1. So was...
So etwas macht sicher nur der böse Chinese. In westlicher Hard- und - vor allem - Software (Apple, Microsoft) wird man niemals so etwas entdecken, denn das sind ja die "Guten"... ... so wie alle westlichen Konzerne, Geheimdienste und Regierungen... oder?
wika 09.07.2011
2. Terror und Krieg wo man hinsieht …
… und wo soll es hinführen? Totale Zensur und Kontrolle des Internets? Natürlich zum Schutz der Bürger und der notleidenden Unternehmen. Wer sind nochmal gleich die Verursacher? Denken wir mal an Stuxnet und blicken dann etwas beschämt nach Israel und die USA in die weniger offiziellen aber mit öffentlichen Mitteln bezahlten Softwareschmieden. naja, wenns der andere macht müssen wir ja auch. Klar so kann man die Welt auch kaputt spielen. Selber ruinieren, dann vor den selbst geschaffenen Gefahren warnen und die Bürger nebst der Freiheiten erwürgen … alles zum Schutz derselben. Hier winkt doch förmlich der Kontrollwahn schon wieder durch und so perfide plausibel gemacht. Schaffen wir die Freiheit ab um sie zu retten, wie lustig! Darf ich noch einen draufsetzen? Schon die letzte Meldung gelesen *„Terrorfahnder entdecken tödlichsten Sprengstoff aller Zeiten“* … Link (http://qpress.de/2011/07/09/terrorfahnder-entdecken-todlichsten-sprengstoff-aller-zeiten/). So in etwa müssen sie sich unsere Zukunft vorstellen. Die Pest selber verursachen, dann den Retter spielen, natürlich nur unter größten Opfern der Betroffenen. Danke Huxley, für deine schöne neue Welt.
scionescio 09.07.2011
3. Ja es ist mir passiert
Etwa 1987 kaufte ich einen neuen Apple beim Wiederverkäufer. Das war vor dem Internet für Normalmenschen. Ich packte das Teil aus seinen diversen Verpackungen auf und fuhr es in Gang. Eine Woche spielte ich glücklich rum, liess niemanden an den Computer ran, hatte mein Password, steckte auch keine fremden Disketten rein. Da machte es plötzlich vor meinen Augen "riesel-riesel" und alle Buchstaben und Zahlen rieselten auf dem Monitor runter zu einem Ameisenhügel. Das war das Resultat eines Virus. Der Wiederverkäufer lehnte jegliche Garantie ab. Das war einfach mein Fehlverhalten. Ich hatte die Rechnung zu bezahlen. Aber ich wusste ja, dass es nicht so war. Viele Jahre später, als es das Internet gab, erfuhr ich dann, dass ich mit meiner Störung nicht der Erste und Einzige war. Angestellte, wütend auf den Arbeitgeber und um ihm zu schaden, hatten Vieren in die fabriksneuen Computer plaziert. Aber dass "Viren" oder was auch immer, in Microsofts und auch Skypes Software stecken, konnte man ja vor Jahren schon der Presse entnehmen, und zwar im Zusammenhang mit geplanter Verschlüsselungs Software. Also, machen wir uns nichts vor...
peter78 09.07.2011
4. Und in Europa?
... setzen "unsere" Geheimdienst vermutlich ausschließlich Hard- und Software made in USA ein. Vermutlich sind die noch nichtmal auf die Idee gekommen, wie man sich vor Spionage dieses "Verbündeten" schützen kann. Die Einzelheiten eines Waffendeals müssen ja nur vor den eigenen Bürgen geheim gehalten werden.
tengri_lethos, 09.07.2011
5. Kowalski
Zitat von scionescioEtwa 1987 kaufte ich einen neuen Apple beim Wiederverkäufer. Das war vor dem Internet für Normalmenschen. Ich packte das Teil aus seinen diversen Verpackungen auf und fuhr es in Gang. Eine Woche spielte ich glücklich rum, liess niemanden an den Computer ran, hatte mein Password, steckte auch keine fremden Disketten rein. Da machte es plötzlich vor meinen Augen "riesel-riesel" und alle Buchstaben und Zahlen rieselten auf dem Monitor runter zu einem Ameisenhügel. Das war das Resultat eines Virus. Der Wiederverkäufer lehnte jegliche Garantie ab. Das war einfach mein Fehlverhalten. Ich hatte die Rechnung zu bezahlen. Aber ich wusste ja, dass es nicht so war. Viele Jahre später, als es das Internet gab, erfuhr ich dann, dass ich mit meiner Störung nicht der Erste und Einzige war. Angestellte, wütend auf den Arbeitgeber und um ihm zu schaden, hatten Vieren in die fabriksneuen Computer plaziert. Aber dass "Viren" oder was auch immer, in Microsofts und auch Skypes Software stecken, konnte man ja vor Jahren schon der Presse entnehmen, und zwar im Zusammenhang mit geplanter Verschlüsselungs Software. Also, machen wir uns nichts vor...
Sie kaufen einen virenverseuchten Apple-Rechner und behaupten dann, dass bei Microsoft Schadsoftware in deren Programmen steckt. Das ist wieder mal MS-Bashing auf niedrigstem Niveau.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.