Für die Mitarbeiter der russischen Firma Kaspersky Lab gehört es zum Alltag, Computerviren, Würmer und Trojaner aufzuspüren und sie unschädlich zu machen. Doch diesmal entdeckten sie einen besonders ausgefeilten Cyberangriff nicht wie üblich bei ihren Kunden, sondern in mehreren der unternehmenseigenen Computernetzwerken. Die Attacke blieb über Monate unentdeckt.

Zunächst nahmen die Angreifer nach Darstellung des Unternehmens im vergangenen Jahr einen Kaspersky-Mitarbeiter in einer Niederlassung der Firma im asiatisch-pazifischen Raum ins Visier. Vermutlich schickten sie ihm eine unverdächtig erscheinende E-Mail, in deren Anhang sich eine Schadsoftware versteckte, die sich in den Systemen der Firma einnistete und ausbreitete. Der Befall sei erst bei internen Sicherheitsüberprüfungen "in diesem Frühjahr" entdeckt worden.

"Ähnlich bis fast identisch"

Der Angriff auf Kaspersky Lab beweise, "wie schnell das Wettrüsten mit Cyberwaffen eskaliert", heißt es in einem 45-seitigen Report des Unternehmens, in dem es den Vorfall selbst analysiert - und der dem SPIEGEL vorab vorlag. Der genaue Grund für den Angriff sei den eigenen Analysten "noch nicht klar", die Eindringlinge hätten sich aber insbesondere für Themen wie zukünftige Technologien, sichere Betriebssysteme und die neuesten Kaspersky-Untersuchungen über anhaltende, hochentwickelte Bedrohungen ("Advanced persistent threats", APT) interessiert - als eine solche ordnen die Kaspersky-Mitarbeiter auch das gegen sie selbst eingesetzte Spionagewerkzeug ein.

Den Analysten in der Moskauer Firmenzentrale kam der Schädling schnell bekannt vor. Es handelt sich nach ihrer Einschätzung um eine modernisierte und weiterentwickelte Variante der Cyberwaffe Duqu, die 2011 international Schlagzeilen machte.

Das nun entdeckte, modular aufgebaute Spionagewerkzeug setze auf der bekannten Duqu-Plattform auf: Einige Softwarepassagen und Methoden seien "sehr ähnlich bis fast identisch", sagt Vitaly Kamluk, Kasperskys Chef-Analyst. Das Unternehmen bezeichnet den elektronischen Eindringling denn auch als "Duqu 2.0": "Wir sind zu dem Schluss gekommen, dass es sich um dieselben Angreifer handelt."

Auf die Frage, wen das Unternehmen hinter der Software vermutet, gibt man sich bei Kaspersky branchenüblich vage. Das modulare Duqu-Arsenal sei "äußerst komplex und sehr, sehr teuer", sagt Kamluk. "Dahinter stecken keine Onlinekriminellen, wir haben es wohl mit staatlichen Angreifern zu tun." Wie häufig bei der schwierigen Suche nach den wahren Urhebern von technisch leicht zu verschleiernden Cyberattacken könnten vor allem die Ziele Aufschluss über die möglichen Urheber geben.

"Ausgeprägte geopolitische Interessen"

Die Urheber von Duqu hatten "ausgeprägte geopolitische Interessen", so der Kaspersky-Analyst. Neben dem Unternehmen selbst ist offenbar wie schon beim Vorgänger Duqu insbesondere das iranische Nuklearprogramm im Visier der neuen Angriffswelle.

Mehrere der neuen Infektionen mit Duqu 2.0 hätten 2014 und 2015 im Zusammenhang mit den sogenannten "P5 +1"-Gesprächen stattgefunden, sagt Kamluk. Dabei handelt es sich um die seit 2006 andauernden diplomatischen Bemühungen von Großbritannien, den USA, China, Frankreich, Russland und Deutschland, mit Iran zu einer Übereinkunft über dessen Nuklearprogramm zu kommen. Kaspersky habe gleich an drei der wechselnden Tagungsorte Spuren von Duqu 2.0 festgestellt.

Unter anderem fanden die klandestinen Treffen der Delegationen im fraglichen Zeitraum in Österreichs Hauptstadt Wien und im schweizerischen Lausanne statt, meist in Hotels. Welche dieser Tagungsorte genau infiziert wurden, wollte Kaspersky "zum Schutz eigener Kunden und der laufenden Ermittlungen" nicht mitteilen. Für Deutschland nimmt an den Arbeitssitzungen der Politische Direktor des Auswärtigen Amts teil, zu den entscheidenden Runden reiste Außenminister Steinmeier selbst.

Nukleargespräche und Auschwitz-Gedenken ausgespäht

Ohne auf technische Hintergründe einzugehen oder die Cyberwaffe Duqu zu erwähnen, hatte das "Wall Street Journal" bereits in diesem März von Spionage bei den "P5 +1"-Gesprächen berichtet  und diese unter Berufung auf anonyme hochrangige Quellen in der US-Regierung israelischen Geheimdiensten zugeschoben. Israelische Politiker hatten diesen Vorwurf scharf dementiert .

Einen weiteren Infektionsherd mit Duqu 2.0 machten Kaspersky-Analysten rund um die Feierlichkeiten zum 70-jährigen Jahrestag der Befreiung von Auschwitz-Birkenau aus - zu den Gästen der zentralen Gedenkveranstaltung Ende Januar zählten neben Bundespräsident Joachim Gauck unter anderem der französische Staatspräsident François Hollande, der ukrainische Präsident Petro Poroschenko sowie weitere Regierungschefs.

In den Programmzeilen der Vorgängerversion Duqu hatten die Kaspersky-Analysten 2011 einige Auffälligkeiten gefunden, die den Verdacht erhärten könnten. Demnach stammten die Autoren aus einem Land mit der passenden Zeitzone "GMT +2" und arbeiteten freitags auffallend weniger und samstags gar nicht - was zur israelischen Arbeitswoche passt, in der freitags die Sabbatruhe beginnt.

Russische und britische Behörden eingeschaltet

Vor allem aber wies Duqu derart große Ähnlichkeiten mit Stuxnet auf, das verschiedene internationale IT-Experten sich damals sicher waren, dass es zwischen den Urhebern der beiden Programme mindestens eine enge Verbindung geben müsse. Hinter Stuxnet, das Steuerungsanlagen in der iranischen Urananreicherungsanlage in Natans so manipulierte, das eine große Zahl von Zentrifugen irreparabel beschädigt wurde, steckten die USA - und Israel.

In der neuen Fassung sind Kaspersky zufolge fast alle dieser Zeitstempel manipuliert, um falsche Spuren zu legen. Zudem enthält sie einen offensiven Hinweis auf einen bekannten chinesischen Hacker, was die Russen ebenfalls für einen Täuschungsversuch halten. Tief in den einzelnen Modulen versteckt hätten die Angreifer indes kleinere Fehler gemacht, sagt Kamluk - zum Beispiel würde dort einer der alten Zeitstempel wieder auftauchen.

Am Mittwochvormittag informierte das Unternehmen seine Mitarbeiter intern über den Vorfall. Firmengründer Eugene Kaspersky will sich am Nachmittag auf einer Pressekonferenz in London dazu äußern. Zudem hat das IT-Unternehmen russische und britische Sicherheitsbehörden eingeschaltet und Microsoft informiert. Wie schon bei der ersten Duqu-Welle nutzten die Angreifer auch diesmal bislang unbekannte Schwachstellen auf Windows-Rechnern, sogenannte Zero Day Exploits.