1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Wirbel um Regin

Jörg Brunsmann26. November 2014

Dass IT-Experten ständig neue Computerviren und Trojaner entdecken, das ist Alltag. Der jetzt enttarnte Trojaner "Regin" aber ist anders. Hinterlistig, gefährlich – und vermutlich im Auftrag von Geheimdiensten unterwegs.

https://p.dw.com/p/1Dtuo
Symbolbild - Ein Mann tippt auf einer Tastatur (Foto: Oliver Berg dpa/lnw)
Regin kann Tastatureingaben mitverfolgen und sich später wieder selbst entfernen.Bild: picture-alliance/dpa

In Rollen gebracht haben den Stein die Sicherheitsexperten des Unternehmens Symantec. Sie haben am Montag (24. November 2014) die Entdeckung des Trojaners öffentlich gemacht.

Was die Forscher entdeckt haben, lässt viele Experten aufhorchen und wenn man bei Symantec von einer "hoch entwickelten Spionagesoftware" spricht, die für eine "langfristige Massenüberwachung" geeignet sei, dann schwingt schon fast so etwas wie Anerkennung mit, denn einen Trojaner wie das "Regin" getaufte Programm erleben auch die Symantec-Experten nicht alle Tage.

Der Super-Agent unter den Trojanern

Die meisten Trojaner, die für PCs im Umlauf sind, bestehen aus einem Stück Software, das eine ganz bestimmte Aufgabe hat. Bringen Kriminelle das Schadprogramm in Umlauf, dann geht es in der Regel darum, wichtige Daten wie Kreditkarteninformationen oder Passwörter abzugreifen. Ist die Sicherheitslücke, die der Trojaner nutzt, geschlossen, setzt man ein neues Programm ein. Es gibt seit langem regelrechte Baukästen für Viren und Trojaner.

Symantec Logo am Hauptquartier in Cupertino (Foto: Mike Fox/ZPress dpa)
Der Anti-Viren-Software-Hersteller Symantec hat den Trojaner entdeckt.Bild: picture-alliance/dpa/M. Fox

Damit können selbst Laien sich einen entsprechenden Schädling zusammenklicken. Er besteht in der Regel aus einem Programmteil, das die Sicherheitssperren auf dem PC umgeht und einem zweiten Programmteil, das den eigentlichen Schaden verursacht und beispielsweise Daten von der Festplatte klaut. Regin aber ist anders. Dieser Trojaner ist kein Programm aus dem Baukasten – Regin selbst ist der Baukasten.

Forscher erstaunt, was Regin kann

Die Symantec-Experten haben festgestellt, dass Regin wie ein großes Puzzle aus immer neuen Teilen zusammengesetzt werden kann. Die Auftraggeber können aktuelle Sicherheitslücken berücksichtigen und den Trojaner die unterschiedlichsten Spionage-Aufgabe erledigen lassen. Regin kann alle Tastatureingaben protokollieren, die gesamte Internetkommunikation überwachen, Bilder des Bildschirminhalts anfertigen oder die eingebaute Kamera eines PCs einschalten.

Das Programm lässt sich offenbar sogar weiter spezialisieren, um Mobilfunksender – die ebenfalls von PCs gesteuert werden – zu überwachen. Hinzu kommt, dass die Programmierer von Regin viel Arbeit investiert haben, um zu verhindern, dass Regin endeckt wird. Der Trojaner hebelt diverse Sicherheitsanwendungen aus und soll sogar in der Lage sein, sich selbst nach einem Einsatz wieder aus einem System zu entfernen.

Wer steckt hinter dem Programm?

Wer treibt so einen Aufwand, wer hat überhaupt die Möglichkeiten, so eine Software zu entwickeln, zu programmieren und zu pflegen? Sicherheitsexperten, nicht nur die von Symantec, sondern auch anderer Unternehmen, sind sich sicher, dass nur der Staat, sprich die Geheimdienste dazu in der Lage sind. Die Entwicklung und Pflege einer solchen Spionage-Software kostet nämlich enorm viel Geld. Kriminelle, die per Internet-Betrug das schnelle Geld verdienen wollen, dürften damit in jedem Fall überfordert sein.

Vor allem der US-Geheimdienst NSA und der britische Geheimdienst GCHQ stehen unter Verdacht. Im Trojaner selbst findet sich natürlich kein Hinweis auf die Dienste, aber Regin passt in das Muster, mit dem der britische und der US-Geheimdienst bisher auf Datenfang gegangen sind. Regin kann als Ergänzung angesehen werden, um Daten zu bekommen, an die mit herkömmlichen Methoden wie dem Belauschen von Internet-Leitungen nicht heranzukommen ist.

Symbolbild Datenschutz
Ob Virenschutzprogramme gegen Regin helfen werden, ist fraglich.Bild: Schlierner - Fotolia.com

Die EU als Angriffsziel?

Bisher, so sagen Sicherheitsexperten, sei Regin vor allem gegen Telekommunikationsanbieter und andere Regierungen eingesetzt worden. Der Trojaner steht vor allem in Verdacht, dass der belgische Telekomanbieter Belgacom mit seiner Hilfe ausspioniert wurde. Belgacom ist ein Schlüsselunternehmen, da einige EU-Gremien mit dem Anbieter zusammenarbeiten. Ziel könnte es also gewesen sein, interne Dokumente der Europäischen Union abzugreifen.

Auch der vor einigen Monaten aufgekommene Verdacht, bei deutschen Telekomanbietern wie der Telekom oder Netcologne hätten sich Spione eingeschlichen, erscheint jetzt in einem anderen Licht; Regin erscheint zumindest als ideales Werkzeug, um Daten der Unternehmen ohne deren Wissen oder Mithilfe abzugreifen.

Ist gegen Regin ein Software-Kraut gewachsen?

Auch wenn der Trojaner jetzt zumindest teilweise enttarnt wurde – zu stoppen sein wird Regin wohl nicht. Dafür ist das Programm zu wandlungsfähig. Angeblich ist der Trojaner bereits seit 2008 im Einsatz. Dass die Sicherheitsexperten sechs Jahre gebraucht haben, um Regin so weit zu enttarnen, dass sie damit an die Öffentlichkeit gehen konnten, spricht Bände. Immerhin – jetzt wo einiges über Machart und Programmierung des Trojaners bekannt ist, könnte es auch möglich sein, dass das Schadprogramm zukünftig von Virenscannern erkannt wird.

Privatnutzer allerdings dürfte ohnehin nicht im Visier von Regin stehen. Machart und bisher gefundene Daten deuten darauf hin, dass Regin sehr gezielt gegen Unternehmen und Einzelpersonen eingesetzt wurde. Auch das deutet auf die Geheimdienste als Auftraggeber hin; Regin massenhaft einzusetzen, haben NSA und Co. schlicht und ergreifend nicht nötig; die Alltags-Überwachung, die mit viel einfacheren Mitteln funktioniert, liefert schon reichlich Daten.