Interview. Die RUB-IT-Sicherheitsexperten Dr. Thorsten Holz und Moritz Contag haben im Zuge einer Recherche mit dem Bayrischen Rundfunk und NDR die Unternehmensspionage-Software Winnti der gleichnamigen chinesischen Hackergruppe analysiert. Im Gespräch spricht Thorsten Holz über Wirtschaftsspionage und Organisationsformen von Hackergruppen.

:bsz: Herr Holz, erklären Sie einmal, wie die Hackergruppe und die Schadsoftware vorgeht.

Thorsten Holz: Wie die Schadsoftware im ersten Schritt auf die Server kommt, wissen wir nicht genau. Das typische Vorgehen der Gruppe ist, dass sie erst einmal versuchen, durch Phishing-Emails ein Opfer dazu zu bringen, ein Attachment zu öffnen, das bösartig ist, oder einen bösartigen Link zu klicken. Es gab allerdings auch schon direkt Eingriffe, zum Beispiel indem sie Schwachstellen in einer Software ausgenutzt haben und so Zugriff auf die Rechner bekommen haben. Aber das ist, wie gesagt, nur Spekulation.

Der Startpunkt unserer Analyse ist eine Kopie der Schadsoftware selber, das heißt, diese liegt an sich erst einmal nur im Binärcode vor, was die Analyse schwierig, aber nicht unmöglich macht. So kann man sehen, welches Verhalten die Schadsoftware potentiell hat. Wir haben herausgefunden, dass es in der Datei selbst noch Konfigurationsoptionen gibt. Unter anderem, welcher Server kontaktiert werden soll, um von dort Befehle zu erhalten oder die Information, wohin die Schadsoftware sich auf dem Zielsystem kopieren soll. Interessanterweise gab es häufig Identifier bei denen dann zum Beispiel Firmennamen standen.

Das heißt, die Gruppe sucht sich die Unternehmen gezielt aus und verteilt die Schadsoftware nicht per Zufall?

Winnti geht sehr gezielt vor. Die Phishing-Mails schicken sie nicht flächendeckend, sondern ganz gezielt an ein paar Mitarbeiter innerhalb der Organisation, die sie angreifen wollen. Winnti ist gezielte Wirtschaftsspionage. Zumindest meistens. Denn wir haben auch gesehen, dass sie teilweise politische Spionage durchführen. Beispielsweise haben wir einige Server entdeckt, die von der Hongkonger Regierung betrieben werden. Da liegt der Verdacht nahe, dass die Angreifer Zugriff auf die Computer haben wollen um dort politisch relevante Informationen abzugreifen.

Sind die Organisationsformen von Hackergruppen bekannt?

Da gibt es im Allgemeinen leider relativ wenig Informationen. Bei Winnti weiß man es relativ konkret, da die Anti-Viren-Firma Kaspersky vor ein paar Jahren einmal sehr detailliert recherchiert hat. Da konnten sie meherere Indizien finden, die nach China deuten. Sie konnten auch einem der Entwickler, der mutmaßlich größere Teile der Software implementiert hat, konkret einen Namen zuordnen. Dort liegt nahe, dass die Mittel der Gruppe vom Staat kommen. Aber das sind auch Indizien.

Wie weit verbreitet ist das Problem der Wirtschaftsspionage?

Wirtschaftsspionage ist ein großes Problem in der Praxis, vor allem weil häufig gezielte Angriffe auf Firmen durchgeführt werden, um beispielsweise Informationen über Kunden oder über Vorserienmodelle zu stehlen. Das betrifft einerseits die ganz Großen – wir hatten jetzt einen Fokus auf DAX-Firmen. Allerdings gibt es natürlich auch jede Menge kleiner Firmen, die in ihrer Sparte Weltmarktführer sind und so ein Ziel werden.

Sind diese Unternehmen in der Lage, sich vor der Spionage zu schützen?

Generell ist es sehr schwierig. Gerade wenn man gezielte Angriffe hat, vielleicht von einer Behörde oder sehr spezialisierten Angreifern, dann ist ein Schutz schwierig. Wenn ich eine sehr große Firma bin, also ein DAX-Konzern mit hunderttausend Mitarbeitern, hat ein Angreifer sehr viele Chancen. Allerdings verfügen diese Firmen meistens über professionelle Teams von Verteidigern, die proaktiv nach Schwachstellen im Netz suchen und wissen wie man schnell und effektiv reagiert. Das andere Problem sind dann eher die Mittelständler oder die kleineren Firmen, die dann häufig nicht genug Kompetenz im Bereich der IT-Sicherheit haben. Bei einer Firma mit nur 30 Personen wird die IT-Abteilung vielleicht aus ein bis drei Personen bestehen und für die ist IT-Sicherheit nur eines von vielen Themen.

Sie haben sich vor kurzem auch mit einer chinesischen Überwachungsapp beschäftigt, die beim Grenzübergang installiert wird (:bsz 1218). Wie kommt es dazu, dass

Überwachungssoftware häufig aus China stammt? Ist das Land quasi marktführend?
Ob sie marktführend sind, weiß ich nicht. Es gibt natürlich auch noch diverse andere Länder, die in diesem Bereich sehr aktiv sind. Aus Russland gibt es diverse Angriffe, aber auch die NSA und andere Geheimdienste sind in der Praxis sehr aktiv. Die Enthüllungen von Snowden haben gezeigt, wie großflächig die NSA überwacht. Technologisch sind sicherlich auch die USA oder Russland sehr weit vorne.

:Stefan Moll