Mit »Flame« ist kürzlich ein neuer, extrem aufwendiger Computervirus entdeckt worden, der hauptsächlich Ziele im Iran angreift. Neue Informationen aus Washington weisen dabei auf eine enge israelisch-amerikanische Zusammenarbeit hin. Steht die nächste Schlacht im nahöstlichen Cyberwar bevor?

Klappern gehört auch bei IT-Sicherheitsunternehmen zum Handwerk. Doch die Einschätzung der Moskauer Antivirenexperten von der Firma Kaspersky Labs scheint zuzutreffen: »›Flame‹ ist eine der komplexesten Bedrohungen, die je entdeckt wurden.«

Komplex ist der Virus alleine durch seine schiere Größe: Mit bis zu 20 Megabyte ist »Flame« je nach Konfiguration etwa 20-mal größer als die effektivste Schadsoftware bisher: »Stuxnet«. Doch seine Funktionen sind gänzlich anderer Natur. Während Stuxnet hochspezialisiert nur in bestimmten Industrieanlagen des iranischen Atomprogramms zerstörerisch tätig wurde, handelt es sich bei Flame um einen universell einsetzbaren Spion.

Ferngesteuert Die Software registriert neben den Inhalten der Festplatten sämtliche Eingaben über die Tastatur, speichert Fotos vom Bildschirminhalt, zeichnet über das PC-Mikrofon Gespräche im Raum auf und spioniert sogar Mobiltelefone aus, die in Reichweite des Bluetooth-Funkmoduls der Rechner auftauchen.

Dabei schickt sie einerseits ihre Daten verschlüsselt an ihre unbekannten Schöpfer, lässt sich von denen aber andererseits auch fernsteuern: Flame kann sich selbst restlos von einem Computer entfernen oder auch die ganze Festplatte löschen. Außerdem können praktisch beliebige weitere Module mit anderen Funktionen nach Bedarf nachgeladen werden.

Flame ist viel zu komplex für private Urheber. Der reine Programmieraufwand und die damit verbundenen Kosten lassen auf einen staatlichen Akteur schließen, und der enorme Funktionsumfang wäre selbst für Industriespionage auf höchstem Niveau nicht notwendig. Auch das Verbreitungsgebiet ist eindeutig: Flame ist praktisch nur im Nahen Ossten aktiv, mit weitem Abstand am häufigsten im Iran, wo Kaspersky Labs 189 Infektionen bekannt sind. Diese Indizien sprechen für eine israelische Urheberschaft.

Vizepremier Und ein Dementi klingt anders: »Für jeden, der die iranische Bedrohung als bedeutend einschätzt, wäre es logisch, verschiedene Schritte, diesen eingeschlossen, zu unternehmen, um sie zu kontern. Israel ist mit Hightech reich gesegnet. Diese Werkzeuge, auf die wir stolz sind, eröffnen uns alle Arten von Möglichkeiten«, sagte der israelische Vizepremier Moshe Ya’alon dem Rundfunksender Galgalatz.

Aus den USA kommen noch eindeutigere Erklärungen. Die renommierte Tageszeitung New York Times berichtete in der vergangenen Woche über das ganze Ausmaß der amerikanisch-israelischen Zusammenarbeit beim Cyber-Krieg. Die begann noch unter Präsident George W. Bush unter dem Namen »Olympic Games« und wurde von Obama weitergeführt.

Für die enge Zusammenarbeit mit Israel haben die USA drei Gründe: Israel verfügt über exzellent qualifiziertes Personal. Jedes Jahr werden Hunderte Programmierer von der Armee ausgebildet, die eng mit Universitäten und der Rüstungs- und IT-Wirtschaft vernetzt ist, sowie die eigene, legendäre IT-Einheit 8200. Außerdem verfügt Israel über detailliertere Informationen über das iranische Atomprogramm. Und mit der Einbindung israelischer Experten wollten die USA sicherstellen, dass Israel keine Alleingänge mit konventionellen Waffen unternimmt.

Stuxnet Das erste öffentlich bekannt gewordene Produkt dieser Kooperation war der bereits erwähnte Stuxnet-Virus. Es war der erste Computervirus, der echten physischen Schaden außerhalb eines Computers anrichten konnte. Etwa Tausend Uranzentrifugen wurden mit seiner Hilfe zerstört. Seine Bedeutung für die virtuelle Kriegsführung beschrieb der Experte Ralph Langner so: Ein vergleichbarer Fortschritt für die konventionelle Kriegsführung wäre das Auftauchen eines F-35-Kampfjets auf einem Schlachtfeld des Ersten Weltkriegs.

Flame hat zwar technisch keine Gemeinsamkeiten mit Stuxnet, nutzt aber teilweise dieselben zuvor unbekannten Sicherheitslücken aus. Der genaue Urheber wird bis auf Weiteres unbekannt bleiben. Der Iran will seinerseits bereits eine Cyberwar-Einheit im aktiven Einsatz haben. Dass die neben der Abwehr der westlichen Attacken auch eigene erfolgreich ausgeführt hätte, ist nicht bekannt – was aber naturgemäß nicht bedeutet, dass das nicht durchaus passiert sein könnte. Es spricht aber einiges dafür, dass im Cyberwar Israel dem Iran mit seinem »Silicon Wadi« für lange Zeit uneinholbar überlegen bleiben wird.