Spionagesoftware "Regin" nahm Atomenergiebehörde ins Visier

28. November 2014, 12:24
157 Postings

Spuren der mutmaßlich von der NSA entwickelten Malware wurden im Netzwerk der IAEA gefunden – Verfassungsschutz ermittelt

Während sich US-Außenminister John Kerry am Montag in Wien den Kopf über das iranische Atomprogramm zerbrach, enthüllten die großen IT-Sicherheitsfirmen Kaspersky und Symantec eine hochkomplexe Spionagesoftware namens "Regin", die in den vergangenen Jahren zahlreiche Ziele weltweit angegriffen haben soll. Zwei Vorgänge, die einiges miteinander zu tun haben: Denn "Regin" soll von westlichen Geheimdiensten wie der NSA und dem britischen GCHQ entwickelt worden sein – und auch im Netzwerk der Internationalen Atomenergiebehörde (IAEA) in Wien, die maßgeblich in die Iran-Gespräche involviert war, gefunden worden sein. Das bestätigen mehrere voneinander unabhängige Quellen dem STANDARD.

Zweite Cyberwaffe gegen iranisches Atomprogramm

"Regin" ist dabei die zweite Cyberwaffe, die weltweit für Schlagzeilen sorgt. Zuvor hatte lediglich der Computerwurm "Stuxnet" eine ähnliche Prominenz erlangt. Stuxnet war ab 2009 in iranischen Atomanlagen eingesetzt worden, um Zentrifugen lahmzulegen. So wurde das Nuklearprogramm des Iran um Monate, wenn nicht Jahre zurückgeworfen. "Regin" hatte in Wien wohl ebenfalls das iranische Atomprogramm im Visier. Das Spionageprogramm ist unter anderem in der Lage, E-Mails abzufangen und Dateien zu kopieren.

Einschätzungen gesucht

Dabei sind vermutlich weniger geheime Dokumente über die iranischen Anlagen und Fortschritte im Fokus gestanden. Vielmehr ging es um die interne Korrespondenz von IAEA-Mitarbeitern. Die Organisation berichtet etwa dem UN-Sicherheitsrat von ihren Erkenntnissen. Gerade in den Verhandlungen zwischen den UN-Vetomächten plus Deutschland (5+1-Gruppe) und dem Iran bedeutet ein Wissen um die Meinung der IAEA einen wichtigen strategischen Vorteil. Der "Atomstreit" dauert schon länger als ein Jahrzehnt, erst diese Woche wurde nach gescheiterten Verhandlungen in Wien eine Fristverlängerung bekanntgegeben.

IAEA: "Cyberattacken konstante Bedrohung"

Offiziell möchte die IAEA zur Spionagesoftware "Regin" keinen Kommentar abgeben. "Cyberattacken sind eine ständige Bedrohung", hieß es aus der Behörde gegenüber dem STANDARD, "die IAEA wendet höchste Anstrengungen auf, um ihre IT-Systeme und in ihrem Netzwerk abrufbare Daten zu schützen." IT-Experten, die Einblick in Aufbau und Verbreitung von "Regin" nehmen konnten, bestätigen allerdings, dass "Regin" auf IAEA-Computern entdeckt worden ist.

Snowden-Dokumente zeigen IAEA als Ziel

Dass die Atomenergiebehörde für die USA zu den wichtigsten Spionagezielen weltweit gehört, ist schon seit längerem klar: Bereits 2004 wurde öffentlich, dass US-Dienste den damaligen IAEA-Generalsekretär Mohamed ElBaradei abgehört hatten. Im August 2013 veröffentlichte die Snowden-Vertraute Laura Poitras im deutschen "Spiegel" Informationen über NSA-Abhörmaßnahmen gegen internationale Organisationen, auch hier wurden die IAEA sowie die UNO-Niederlassung in Wien explizit genannt.

Nur wenige Informationen

Dabei ist noch unklar, wie "Regin" ins Netzwerk der IAEA gelangte und wie lange der Trojaner dort vor seiner Entdeckung spionieren konnte. Die US-Website "The Intercept", die von Poitras und Enthüllungsjournalist Glenn Greenwald geleitet wird, berichtete am Dienstag ausführlich über den Einsatz von "Regin" gegen EU-Parlament, EU-Kommission und Europarat.

Auch EU-Parlament durch "Regin" attackiert

Der britische GCHQ soll dabei Netzwerke des belgischen Providers Belgacom infiltriert haben, der die drei europäischen Institutionen als Telekomprovider versorgt. Belgacom-Mitarbeiter wurden ab dem Jahr 2010 mit gefälschten Profilen auf dem Karriereportal "Linkedin" dazu gebracht, Dateien zu öffnen. Tatsächlich verbarg sich dahinter Schadsoftware. Erst im Juni 2013 wurde der Eindringling von Belgacom enttarnt.

"Regin": Extrem fähig, extrem komplex

Der Trojaner kann laut der IT-Sicherheitsfirma Symantec auf vielfältige Art und Weise überwachen: "Regin" kann E-Mails automatisch analysieren, Kennwörter stehlen, die Kontrolle über den Rechner übernehmen und sogar gelöschte Dateien wiederherstellen. Eine andere Spielart des Schädlings kann laut Kaspersky Mobilfunknetze ausspionieren. Der Trojaner ist so komplex, dass namhafte IT-Firmen einen Nationalstaat als Urheber in Betracht ziehen. Denn die Entwicklung eines derartigen Programms kostet auch enorme Ressourcen.

Zusätzlich attackierte "Regin" keine Ziele in den USA und Großbritannien, hauptsächlich war das Schadprogramm in Saudi-Arabien und Russland aktiv.

Verfassungsschutz ermittelt

Österreichische Behörden bestätigen, Ermittlungen wegen "Regin" aufgenommen zu haben. Zur Ausspähung der Atomenergiebehörde wollte das Innenministerium keinen Kommentar abgeben. Bereits seit dem Beginn der Snowden-Enthüllungen gibt es Hinweise darauf, dass internationale Organisationen mit Sitz in Wien von der NSA abgehört wurden. So könnte die UNO etwa über eine Spezialeinrichtung am nahe dem UNO-Gebäude gelegenen IZD-Tower abgehört worden sein. Auch OPEC und OSZE sollen von der NSA ins Visier genommen worden sein.

UNO und OSZE: Keine Hinweise auf "Regin"

Im Gegensatz zur IAEA, die konkret zu "Regin" keinen Kommentar abgeben wollte, bestreiten UNO und OSZE gegenüber dem STANDARD offiziell, Spuren des Trojaners in ihren Netzwerken gefunden zu haben. Die OPEC gab kein Statement ab, der "Spiegel" vermutet, dass auch sie von "Regin" infiltriert wurde. Laut Experten, die sich mit "Regin" beschäftigt haben, wurde die OPEC aber durch andere Methoden attackiert. (Fabian Schmid, Markus Sulzabcher, derStandard.at, 28.11.2014)

  • Die Internationale Atomenergiebehörde in Wien wurde Ziel der Spionagesoftware "Regin".
    reuters

    Die Internationale Atomenergiebehörde in Wien wurde Ziel der Spionagesoftware "Regin".

  • IAEA-Generalsekretär Yukiya Amano muss die Ausspähung interner Dokumente befürchten.
    apa/epa

    IAEA-Generalsekretär Yukiya Amano muss die Ausspähung interner Dokumente befürchten.

  • Bis Montag fanden in Wien die Atomgespräche statt, unter anderem verhandelten der russische Außenminister Segej Lawrow (li.) und sein US-Kollege John Kerry. Die Einschätzung der IAEA spielte dort auch eine maßgebliche Rolle.

    Bis Montag fanden in Wien die Atomgespräche statt, unter anderem verhandelten der russische Außenminister Segej Lawrow (li.) und sein US-Kollege John Kerry. Die Einschätzung der IAEA spielte dort auch eine maßgebliche Rolle.

  • IAEA-Inspektoren in der iranischen Atomanlage Natanz.
    apa/epa

    IAEA-Inspektoren in der iranischen Atomanlage Natanz.

  • Der Trojaner soll vom US-Geheimdienst NSA entwickelt worden sein, vermutlich in Zusammenarbeit mit dem britischen GCHQ.
    foto: apa/epa/loscalzo

    Der Trojaner soll vom US-Geheimdienst NSA entwickelt worden sein, vermutlich in Zusammenarbeit mit dem britischen GCHQ.

Share if you care.