„Chef, wir sind aufgeflogen!“

Was passiert eigentlich bei den bösen Jungs™, wenn IT-Sicherheitsexperten eine Malware aufspüren? Wie zum Beispiel im Herbst 2018? Da entdeckte Kaspersky die mächtige Spionagesoftware „Tajmahal“. Wie könnte die Gegenseite reagieren? Die Frage regt meine Fantasie an.

Aufgeregt ruft der Dienst habende Admin mitten in der Nacht seinen Chef an: „Wir sind aufgeflogen!“ Der Oberspion brummelt verschlafen eine Antwort ins Telefon und beruhigt erstmal seine Frau: „Schlaf weiter, Schatz, ich muss los. Nein, nichts Schlimmes.“ Er fährt ins Büro, checkt an der Sicherheitsschleuse ein und übernimmt das Kommando. „Control-Server abschalten! Plan B aktivieren!“

Jemand bricht mit großem Aufwand in das diplomatische Netzwerk eines Landes ein. Und bleibt fünf Jahre lang unentdeckt. Da würde ich relativ hohe Beträge wetten, dass es einen Plan B gab. Gab? Gibt! Wahrscheinlich ist dieser Plan gerade jetzt aktiv. An irgendeiner Stelle (oder an mehreren Stellen) haben die Spione versteckte Hintertüren installiert, die bei Bedarf verdeckt aktiviert werden können. Vielleicht sogar mit einer Zeitschaltung: Nach Aktivierung sechs Wochen warten, bis etwas Gras über die Sache gewachsen ist, dann Hintertür öffnen und Kommando-Server kontaktieren.

Tajmahal war laut Kaspersky mindestens fünf Jahre lang aktiv. Die Software pickte sich gezielt die Rosinen aus dem Datenwust auf ihren Zielrechnern. Was könnte besonders wichtig sein? Wenn Daten ausgedruckt werden, auf Sticks kopiert oder auf DVDs gebrannt, kann das als erster Anhaltspunkt gelten, dass diese Daten nicht ganz unwichtig sind. Tajmahal sendet dann Verzeichnisse genau dieser Dateien an seinen Control-Server. Dort werden sie wahrscheinlich gesichtet und gezielt einzelne Dateien angefordert. Über 80 nachladbare Module hat Kaspersky gefunden. Nicht gefunden hat man die Hintertür für Plan B.