Hardware-Importe: US-Heimatschutz fürchtet Spionage-Viren ab Werk (Spiegel Online, 9.7.2011)

Hardware-Importe

US-Heimatschutz fürchtet Spionage-Viren ab Werk

Rechner mit eingebautem Spähprogramm, Smartphones mit vorinstalliertem Trojaner: Experten spekulieren seit Jahren über Spionage-Angriffe durch ab Werk infizierte Hardware aus Fernost. Nun bestätigte ein hochrangiger US-Heimatschützer, dass es solche Fälle gegeben hat.

Spiegel Online, 9.7.2011

{jumi [*3]}

So schwierig war die Frage gar nicht, die der US-Abgeordnete Jason Chaffetz am vergangenen Donnerstag im US-Repräsentantenhaus bei einer Ausschusssitzung stellte. Ob im Ausland gefertigte IT-Komponenten mit vorinstallierter Schadsoftware in die Vereinigten Staaten importiert worden seien, wollte Chaffetz von einem hochrangigen Vertreter des US-Heimatschutzministeriums wissen. Prompt geriet der stellvertretende Unterstaatssekretär Greg Schaffer ins Stottern (siehe YouTube-Video unten).

Sechsmal setzt Schaffer zu ausweichenden, allgemeinen Antworten an. Sechsmal fragt Chaffetz nach: „Passiert das?“, „Sind Ihnen Fälle bekannt, in denen Software oder Hardware mit eingebauten Sicherheitsrisiken in die Vereinigten Staaten importiert worden sind?“ Schließlich antwortete Schaffer dann doch: „Ich kenne Fälle, in denen das passiert ist.“

Seine Worte könnten die erste offizielle Bestätigung für ein gefürchtetes Szenario sein: Seit Jahren spekulieren Politiker, Medien und Nutzer darüber, dass ein Zulieferer bestimmte für den Export vorgesehene Technik mit speziellen Schadprogrammen ausstattet – womöglich auf Wunsch einer ausländischen Regierung oder einer kriminellen Gruppierung. Auf neuen Firmen-Laptops wäre dann zum Beispiel ein Programm installiert, das bestimmte Daten auf Kommando über das Netz an die Auftraggeber verschickt.

Es ist sehr heikel, bei solchen Fällen Schuldige zu benennen. Hat ein Mitarbeiter bei einem Zulieferer vorsätzlich Schad- und Schnüffelprogramme eingeschmuggelt? War vielleicht die Fertigungsanlage eines Herstellers virenverseucht? Handelte da jemand auf Druck? Absicht oder Unglück – was wirklich passiert ist, lässt sich kaum mehr nachvollziehen, wenn mit Schnüffelprogrammen infizierte Technik einmal entdeckt ist.

Absicht oder Unfall?

Das dürfte Schaffers zögerliche Antworten erklären. Er war sehr bemüht, keine Schuldigen zu benennen. Auf die Anfrage des US-Senders MSNBC, was Schaffer nun genau gemeint habe, zufällige oder absichtliche Infektionen, hat das US-Heimatschutzministerium bislang nicht geantwortet.

Schon 2009 haben die Autoren der vom US-Präsidenten in Auftrag gegebenen „Cyberspace Policy Review“ diese Gefahren thematisiert. In dem Dokument ist in einem Absatz zur „Lieferkettensicherheit“ von den Risiken neuer Fertigungsstandorte die Rede. Die Autoren schreiben, Fertigung im Ausland sei eine Chance für „staatliche Akteure, Produkte zu infizieren“. Sie räumen aber ein, es gebe „nur wenige dokumentierte Fälle eindeutiger, absichtlicher Infektionen“. Ob es sich bei diesen wenigen Fällen um in die USA importiere Technik handelt, lässt der Bericht offen.

Smartphones und iPods mit Viren ab Werk

Allerdings sind Fälle dokumentiert, in denen Hersteller ab Werk mit Schadsoftware infizierte Geräte ausgeliefert haben. So etwas kommt seit Jahren immer wieder vor: 2008 befiel ein Trojaner namens MocMex Windows-Rechner in den USA, Singapur und Russland. Die Schadsoftware war in einem digitalen Bilderrahmen vorinstalliert. Sobald Nutzer diesen an einen Rechner anschlossen, wurde das Schadprogramm aktiv, sammelte Passworte ein und versuchte, diese übers Netz zu übermitteln. Gebaut wurden die betroffenen Bilderrahmen in China, Sicherheitsforscher wollen damals den Trojaner auch zu einer „Gruppierung“ in die Volksrepublik zurückverfolgt haben.

2006 lieferte Apple einige Video-iPods mit einem vorinstallierten Virus aus, 2010 steckte in einigen Samsung-Smartphones ab Werk eine Speicherkarte mit einem Windows-Trojaner. In diesen und den meisten anderen bekannt gewordenen Fällen haben die betroffenen Firmen Zulieferer als Ursprung der Infektion ausgemacht und die Öffentlichkeit zügig informiert.

Online-Spionage per Spear-Phishing dürfte effektiver sein

Zur Panik besteht dennoch kein Grund: In der Praxis dürfte die gezielte Infektion von Hardware ab Werk zu speziellen Spionage-Zwecken nicht sehr effizient sein. Man kann ja nicht vorher wissen, welche Geräte an welchen Kunden ausgeliefert werden. Infektionen ab Werk sind mit einem Schrotflintenschuss zu vergleichen: Man streut die Attacke möglichst weit, in der Hoffnung, ein paar Treffer bei Insidern zu landen.

Im Online-Spionagegeschäft scheint bislang aber ein anderer Ansatz zu dominieren: sogenanntes Spear-Phishing – gezielte Online-Angriffe auf Insider. Die gängige Methode sind glaubhaft formulierte, individuell abgestimmte E-Mails, die Empfänger zum Öffnen eines infizierten Dokuments oder einer Website mit Spähsoftware verleiten. Ein Sicherheitsbericht des US-Außenministeriums aus dem Jahr 2008 führt diese Art von Angriffen unter dem Titel „Byzantine Candor“. Man glaube, die Angriffe kämen aus China, heißt es in dem Bericht weiter. Ziele seien Netzwerke der US-Armee, des Außen-, Verteidigungs- und Energieministeriums, andere Regierungsstellen, Unternehmen und Internetprovider.

Auch in den Postfächern deutscher Beamter landen speziell zugeschnittene Nachrichten mit angehängten Dokumenten, die statt der versprochenen Fachartikel dann meist Spähsoftware enthalten. Schon 2008 waren die Verfassungsschützer besorgt über die Erfolge der Spähpost . „Leider“, so die US-Botschaftsdepesche, „halten die Verfassungsschützer die Mehrheit der Empfänger für extrem empfänglich gegenüber diesen Social-Engineering-Angriffen“.

Solange Insider an Dienstrechnern E-Mail-Anhänge bedenkenlos öffnen, ist ein Schrotflintenangriff mit infizierter Hardware vielleicht gar nicht nötig.