Krauter: Herr Welchering, was ist das für eine Programmiersprache, die die Kaspersky-Leute da entdeckt haben, und was verrät diese Programmiersprache über die Gefahr, die von Duqu ausgeht?
Welchering: Also das ist eine objektorientierte Programmiersprache. Die Experten sind gerade dabei, sie Stück für Stück zu entschlüsseln. Und sie ist deshalb so gefährlich, weil Duqu bisher als reines Spionagetool, als reine Spionagesoftware galt, aber dadurch jetzt herauskommt, Duqu kann ein bestimmtes Angriffswerkzeug nachladen, und dieses Angriffswerkzeug kann Duqu dann genau anpassen an seine Umgebung. Also wenn Duqu beispielsweise in einer Büroumgebung ist, und es hängt ein Kopierer im Netzwerk, dann kann Duqu eine andere Software nachladen, die diesen Kopierer etwa durch Überlastung in Brand setzen könnte. Wenn Duqu in einem Wasserwerk auf einen PC geschleust wurde, dann könnte Duqu beispielsweise nachladen eine Schadsoftware, die die Pumpen dieses Wasserwerkes lahmlegt, ähnliches dann auch für Erdölraffinerien, Pipelines und so weiter.
Krauter: Das heißt, das ist ein sehr flexibler Schädling, ein Chamäleon-Trojaner sozusagen?
Welchering: Ja nicht nur ein Chamäleon, das sich hervorragend tarnen und anpassen kann, und deshalb auch so schwer zu entdecken ist, sondern der auch gleich Sicherheitslücken relativ selbstständig sogar erkennt und nach Hause funken kann, ein Chamäleon, das nach Schlüssellöchern sucht und dann auch noch die richtigen Schlüssel dafür quasi formt.
Krauter: Eine eigene Programmiersprache, Herr Welchering, die entwickelt man ja nicht eben mal so nebenbei. Wie groß ist der Aufwand, der dahinter steckt?
Welchering: Na ja, für eine Programmiersprache wie die hier entwickelt wurde, da brauchen Softwarefirmen in aller Regel so zwischen anderthalb und zwei Jahren. Das hängt natürlich immer davon ab, wie viel Personal dafür eingesetzt wird. Man muss unterschiedliche Arbeitsgruppen miteinander koordinieren, vor allen Dingen die Testverfahren, die dauern schon allein Monate, denn da muss Stück für Stück nachvollzogen werden, wie sind jetzt welche Speicherbelegungen, wie kann ich jetzt tatsächlich welche ich Sprunganweisung überprüfen. Also ein enorm aufwändiges Verfahren und da braucht man wirklich enorm viel Wissen, man braucht enorm viel Methodenkenntnis und man braucht vor allen Dingen auch sehr viel Geld dafür.
Krauter: Wenn Sie sagen, dass da jetzt Dutzende von Experten über Jahre dran gearbeitet haben, letztlich ja dann Millionen in die Entwicklung dieses neuen Trojaners geflossen sein müssen; dass Terroristen oder einfache Kriminelle einen solchen Aufwand treiben, erscheint sehr unwahrscheinlich. Kann man daraus jetzt schon folgern, dass da definitiv ein großer Staat oder ein Geheimdienst dahinter steckt?
Welchering: Also zumindest kann man daraus folgern das zunächst einmal eine sehr große Organisation, die auf sehr viele Experten zurückgreifen kann, dahinter steckt, die auch sehr viel Geld hat. Und dann kann man aufgrund der Struktur der Schadsoftware, aufgrund der Struktur dieser neuen Programmiersprache eben auch folgern, dass diese Programmiersprache offensichtlich für den digitalen Krieg geschrieben worden ist. Es ist nämlich ganz erstaunlich, dass das Design dieser Programmiersprache, die man da Stück für Stück entschlüsselt, sehr stark ähnelt dem Design von Programmiersprachen, wie sie bisher in Flugabwehrrechnern eingesetzt wurden. Und deshalb ist nahe liegend: ohne Militär wäre Duqu so nicht entstanden, und deshalb kann man auch davon ausgehen, Duqu ist ein Virus, der vor allem wohl im digitalen Krieg eingesetzt wird oder werden sollte.
Krauter: Weiß man den derzeit, wie verbreitet diese Software überhaupt ist, wo er überall sich festgesetzt hat?
Welchering: Also man hat ihn in einigen iranischen Anlagen tatsächlich gefunden, ungefähr ein Dutzend. Man hat ihn weltweit in mehreren 60 oder 70 Anlagen gefunden, die genaue Verbreitung kann man im Augenblick nur abschätzen, aber da Duqu sich so gut tarnt, wird man jetzt erst einmal, nachdem diese Sprache auch entschlüsselt ist, herausbekommen können, wo er überall sitzt. Man muss von einer sehr, sehr weiten Verbreitung ausgehen.
Welchering: Also das ist eine objektorientierte Programmiersprache. Die Experten sind gerade dabei, sie Stück für Stück zu entschlüsseln. Und sie ist deshalb so gefährlich, weil Duqu bisher als reines Spionagetool, als reine Spionagesoftware galt, aber dadurch jetzt herauskommt, Duqu kann ein bestimmtes Angriffswerkzeug nachladen, und dieses Angriffswerkzeug kann Duqu dann genau anpassen an seine Umgebung. Also wenn Duqu beispielsweise in einer Büroumgebung ist, und es hängt ein Kopierer im Netzwerk, dann kann Duqu eine andere Software nachladen, die diesen Kopierer etwa durch Überlastung in Brand setzen könnte. Wenn Duqu in einem Wasserwerk auf einen PC geschleust wurde, dann könnte Duqu beispielsweise nachladen eine Schadsoftware, die die Pumpen dieses Wasserwerkes lahmlegt, ähnliches dann auch für Erdölraffinerien, Pipelines und so weiter.
Krauter: Das heißt, das ist ein sehr flexibler Schädling, ein Chamäleon-Trojaner sozusagen?
Welchering: Ja nicht nur ein Chamäleon, das sich hervorragend tarnen und anpassen kann, und deshalb auch so schwer zu entdecken ist, sondern der auch gleich Sicherheitslücken relativ selbstständig sogar erkennt und nach Hause funken kann, ein Chamäleon, das nach Schlüssellöchern sucht und dann auch noch die richtigen Schlüssel dafür quasi formt.
Krauter: Eine eigene Programmiersprache, Herr Welchering, die entwickelt man ja nicht eben mal so nebenbei. Wie groß ist der Aufwand, der dahinter steckt?
Welchering: Na ja, für eine Programmiersprache wie die hier entwickelt wurde, da brauchen Softwarefirmen in aller Regel so zwischen anderthalb und zwei Jahren. Das hängt natürlich immer davon ab, wie viel Personal dafür eingesetzt wird. Man muss unterschiedliche Arbeitsgruppen miteinander koordinieren, vor allen Dingen die Testverfahren, die dauern schon allein Monate, denn da muss Stück für Stück nachvollzogen werden, wie sind jetzt welche Speicherbelegungen, wie kann ich jetzt tatsächlich welche ich Sprunganweisung überprüfen. Also ein enorm aufwändiges Verfahren und da braucht man wirklich enorm viel Wissen, man braucht enorm viel Methodenkenntnis und man braucht vor allen Dingen auch sehr viel Geld dafür.
Krauter: Wenn Sie sagen, dass da jetzt Dutzende von Experten über Jahre dran gearbeitet haben, letztlich ja dann Millionen in die Entwicklung dieses neuen Trojaners geflossen sein müssen; dass Terroristen oder einfache Kriminelle einen solchen Aufwand treiben, erscheint sehr unwahrscheinlich. Kann man daraus jetzt schon folgern, dass da definitiv ein großer Staat oder ein Geheimdienst dahinter steckt?
Welchering: Also zumindest kann man daraus folgern das zunächst einmal eine sehr große Organisation, die auf sehr viele Experten zurückgreifen kann, dahinter steckt, die auch sehr viel Geld hat. Und dann kann man aufgrund der Struktur der Schadsoftware, aufgrund der Struktur dieser neuen Programmiersprache eben auch folgern, dass diese Programmiersprache offensichtlich für den digitalen Krieg geschrieben worden ist. Es ist nämlich ganz erstaunlich, dass das Design dieser Programmiersprache, die man da Stück für Stück entschlüsselt, sehr stark ähnelt dem Design von Programmiersprachen, wie sie bisher in Flugabwehrrechnern eingesetzt wurden. Und deshalb ist nahe liegend: ohne Militär wäre Duqu so nicht entstanden, und deshalb kann man auch davon ausgehen, Duqu ist ein Virus, der vor allem wohl im digitalen Krieg eingesetzt wird oder werden sollte.
Krauter: Weiß man den derzeit, wie verbreitet diese Software überhaupt ist, wo er überall sich festgesetzt hat?
Welchering: Also man hat ihn in einigen iranischen Anlagen tatsächlich gefunden, ungefähr ein Dutzend. Man hat ihn weltweit in mehreren 60 oder 70 Anlagen gefunden, die genaue Verbreitung kann man im Augenblick nur abschätzen, aber da Duqu sich so gut tarnt, wird man jetzt erst einmal, nachdem diese Sprache auch entschlüsselt ist, herausbekommen können, wo er überall sitzt. Man muss von einer sehr, sehr weiten Verbreitung ausgehen.