Kritische Schadcode-Bibliothek: Datenleck offenbart Kunden der Google-Sicherheitsplattform VirusTotal

Auf VirusTotal überprüfen Unternehmen, Behörden und Sicherheitsexperten verdächtige Dateien und Webseiten. Nun zeigt ein Datenleak, wer den Google-Dienst nutzt – darunter sind auch deutsche Nachrichtendienste.

Kunden laden auf VirusTotal hoch, was sie verdächtig finden (Symbolbild)

Foto: Mohssen Assanimoghaddam / dpa

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Die Datei ist klein, 313 Kilobyte, sie sollte eigentlich nie öffentlich werden. Doch Ende Juni landet sie im Internet. Es handelt sich um eine Liste mit 5600 Namen, unter anderem von Mitarbeitern des US-Geheimdienstes NSA und deutscher Nachrichtendienste. Sie alle haben sich bei der IT-Sicherheitsplattform VirusTotal registriert.

Die meisten Onlinenutzer verirren sich kaum jemals dorthin, viele werden VirusTotal gar nicht kennen. Aber unter IT-Sicherheitsexperten gilt sie als einer der weltweit wichtigsten und wohl auch kritischsten Dienste im Kampf gegen Cyberattacken.

VirusTotal ähnelt einer riesigen Datenbank von Schadsoftware. Nutzerinnen und Nutzer können dort hochladen, was sie verdächtig finden, einzelne Dateien oder Links zu auffälligen Websites. Die Einsendungen werden in den Datenbanken von 70 Herstellern von Antivirensoftware daraufhin abgeglichen, ob sie verdächtige Programmzeilen enthalten, ob auf einem Rechner also ein Trojaner oder eine andere Malware entdeckt wurde. So ist ein globales Archiv der digitalen Angriffswerkzeuge entstanden, eine Art Schadcode-Bibliothek.

Das Angebot ist nicht unumstritten. Erst im März vergangenen Jahres hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen und Organisationen davor gewarnt , verdächtige Dateien automatisiert an die Plattform hochzuladen, wie es mancherorts offenbar praktiziert wird. Teils würden so vertrauliche interne Daten unabsichtlich »de facto öffentlich verfügbar« gemacht. Es sei davon auszugehen, dass staatliche Akteure wie Geheimdienste dies gezielt für Wirtschaftsspionage nutzten. Auch vertrauliche BSI-Informationen seien durch Empfänger schon automatisiert auf VirusTotal hochgeladen worden.

Das U.S. Cyber Command ist besonders präsent

Auf der geleakten Liste der VirusTotal-Kunden, die dem SPIEGEL vorliegt, stehen jeweils der Name der Organisation und die E-Mail-Adresse der Mitarbeiter, die den Account angemeldet haben. Dass die Liste authentisch ist, konnte der SPIEGEL verifizieren. So tauchen Namen von Behördenmitarbeitern auf, manche Betroffene sind auch auf LinkedIn zu finden.

Der Datensatz ist aufschlussreich, zumal er zahlreiche Nutzer umfasst, die nur ungern oder gar nicht über ihre Arbeit sprechen – und auch nicht darüber reden, wie sie an Informationen kommen.

So führen allein zwanzig Accounts zum »Cyber Command« der USA, Teil des amerikanischen Militärs und Schaltstelle für offensive und defensive Hackingoperationen. Ebenfalls vertreten: das US-Justizministerium, die amerikanische Bundespolizei FBI und der Geheimdienst NSA. Auch offizielle Stellen aus den Niederlanden, Taiwan und Großbritannien sind demnach auf VirusTotal unterwegs.

Mehrere deutsche Dienste sind betroffen, darunter eine ominöse »Bundesstelle«

Aus Deutschland sind unter anderem die Bundespolizei vertreten, das Bundeskriminalamt, der Militärische Abschirmdienst (MAD) und eine »Bundesstelle für Fernmeldestatistik«. Die Bundesstelle agierte lange als klandestine Tarneinrichtung des Bundesnachrichtendienstes, sie verfügt über diverse durchs Land verteilte Außenstellen, die zum Bereich »Technische Aufklärung« des Auslandsnachrichtendienstes gehören. Seit fast einem Jahrzehnt ist ihre wahre Bestimmung und Anbindung allerdings öffentlich bekannt.

Ebenfalls unter den Kunden der Plattform: drei Mitarbeiter des BSI, also jener Behörde, die im vorigen Jahr zumindest vor dem automatisierten Hochladen von möglicherweise vertraulichen Daten warnte.

Auch viele Mitarbeiter deutscher Konzerne tummeln sich dort. Unter den geleakten Adressen gehören rund 30 zu Mitarbeitern der Deutschen Bahn, aber auch die Bundesbank und diverse Dax-Größen wie Allianz, BMW, Mercedes-Benz und die Deutsche Telekom sind vertreten.

Ein Leak mit Missbrauchsmöglichkeiten

Screenshot der VirusTotal-Startseite: 2012 von Google übernommen

Foto: VirusTotal / DER SPIEGEL

Außer Namen und Mail-Adressen sind offenbar keine weiteren Daten wie etwa Passwörter betroffen. Das Leak offenbart aber, wer sich in den betroffenen Konzernen, Diensten und Organisationen mit IT-Sicherheit und Malware befasst. Das eröffnet Missbrauchsmöglichkeiten, etwa für Social Engineering oder gezielte Phishing-Attacken , bei denen versucht wird, Opfer mit für sie plausiblen Inhalten passgenau anzusprechen.

Bemerkenswert ist das Leak auch deshalb, weil VirusTotal zu Google gehört, einem der führenden Unternehmen weltweit, wenn es um den Schutz vor Hackerangriffen geht. Es sind kaum Fälle bekannt, in denen durch ein Leak interne Daten von Google-Systemen öffentlich wurden.

Wie wichtig VirusTotal in Sachen IT-Sicherheit ist und welch kritische Informationen dort landen können, zeigt eine E-Mail aus dem Jahr 2022, die zeitweise auf der Sicherheitsplattform auffindbar war. Der Deutsche Verband für Maschinen und Anlagenbau (VDMA) schickte in dieser E-Mail als Service für seine Mitglieder einen Link auf ein Webportal des Innenministeriums von Rheinland-Pfalz – samt des dazugehörigen Passworts. Über das Portal könne man sich Informationen über aktuell laufende Hackerangriffe herunterladen, um sich vor ihnen zu schützen. »Bitte geben Sie diese Daten nicht außerhalb Ihres Unternehmens weiter«, hieß es in der E-Mail, die für alle VirusTotal-Nutzer einsehbar war – auf einer Website also, die vermutlich Hacker in aller Welt minutiös beobachten. Mit der weitergeleiteten E-Mail des Branchenverbandes konnten sie sich nun im rheinland-pfälzischen Webportal einloggen und herausfinden, welche ihrer Angriffe bereits aufgefallen waren und welche unbemerkt geblieben sind. Beim VDMA heißt es auf Anfrage, dem Verband sei bislang nicht bekannt gewesen, dass die Mail mit dem vertraulichen Inhalt bei VirusTotal einsehbar war.

Ein Sicherheitsportal als Unsicherheitsfaktor

Das Beispiel verdeutlicht, wie schnell VirusTotal zum Unsicherheitsfaktor werden kann. Bisweilen wird die Seite, die einst 2004 von der spanischen Hispasec Sistemas gegründet und 2012 von Google übernommen wurde, auch als Leak-Seite für kuriose Inhalte jenseits von Schadcodes genutzt: Erst kürzlich landete etwa die Masterarbeit eines führenden russischen Geheimdienstlers  dort.

Auch viele Hacker verwenden VirusTotal, um sicherzustellen, dass ihre Schad- und Spionagesoftware von keinem Antivirus-Software-Hersteller erkannt wird. Die Fachzeitschrift »Wired« erkannte darin eine besondere Ironie: »Die Google-Seite, die euch beschützen soll, hilft Hackern dabei, euch anzugreifen«, titelte sie.

Der Dienst ist in einer Basisversion kostenlos, es gibt aber auch kostenpflichtige Angebote. Eingereichte Dateien liegen anschließend auf den Servern von VirusTotal. Dort kann sie jeder, der über einen speziellen Account verfügt, finden und herunterladen. Seit Jahren nehmen IT-Sicherheitsexperten an, dass auch Geheimdienste systematisch VirusTotal verwenden, um von rund 70 Antivirus-Software-Herstellern testen zu lassen, ob ihre aktuellen Angriffscodes Alarm schlagen. Und um Hacker aufzuspüren, deren Trojaner und weitere Werkzeuge auf der Seite landen.

Google will seine Leak-Kontrollen verbessern

Das BSI bestätigte dem SPIEGEL auf Anfrage, das Leak zu kennen: »Das BSI geht davon aus, dass die Daten authentisch sind.« Die Tatsache, dass auch BSI-Mitarbeiter betroffen seien, bewerte man als »unkritisch«, für andere Betroffene könne man keine Risikobewertung vornehmen. VirusTotal könne eine wertvolle Informationsquelle für Themen der IT-Sicherheit sein, so die Behörde weiter. »Das BSI rät allerdings den Bundesbehörden dringend an, keine Dateien zu VirusTotal hochzuladen.« Mit den Nutzungsbedingungen stimme man der Datenweitergabe an Dritte explizit zu. Darin, dass das BSI nach außen per Sicherheitswarnung im Umgang mit VirusTotal sensibilisiert, das Angebot aber selbst nutzt, sieht die Behörde keinen Widerspruch: »Das BSI nutzt VirusTotal als Informationsquelle, lädt aber selbst keine Dateien zu diesem Dienst hoch.«

Bei der Deutschen Telekom heißt es, das Leak sei bekannt und man habe sich mit VirusTotal bereits dazu ausgetauscht. Für das eigene Unternehmen habe man »keine kritische Betroffenheit« festgestellt: »Das wahrscheinlichste Angriffsszenario aus den Daten wäre Spear-Phishing. Die betroffenen Mitarbeiter wurden hierüber in Kenntnis gesetzt.« Man lade auch »grundsätzlich keine verdächtigen Dateien bei VirusTotal hoch«.

Eine Sprecherin von Google Cloud teilte auf Nachfrage mit, dass ein VirusTotal-Mitarbeiter »unabsichtlich einen kleinen Teil« von Kundendaten auf VirusTotal zugänglich gemacht habe. »Wir haben die Liste binnen einer Stunde nach dem Hochladen von der Plattform entfernt«. Man arbeite daran, interne Prozesse und technische Kontrollen zu verbessern, um derlei künftig zu verhindern.