Die Datei ist klein, 313 Kilobyte, sie sollte eigentlich nie öffentlich werden. Aber Ende Juni landet sie im Internet. Es handelt sich um eine Liste mit 5.600 Namen, unter anderem von Mitarbeitern des US-Geheimdienstes NSA und deutscher Geheimdienste. Sie alle haben sich bei der IT-Sicherheitsplattform Virustotal registriert. Die meisten Online-Nutzer verirren sich kaum jemals dorthin, viele werden sie gar nicht kennen. Aber unter Hacking-Experten gilt sie als einer der wichtigsten und wohl auch kritischsten Dienste im Kampf gegen Cyberattacken.

Mithilfe von Virustotal überprüfen IT-Experten aus aller Welt Dateien auf Viren, der Dienst ähnelt einer riesigen Datenbank von Schadsoftware. Nutzer können dort hochladen, was sie verdächtig finden, einzelne Dateien oder Links zu auffälligen Websites. So ist ein globales Archiv der digitalen Angriffswerkzeuge entstanden, eine Art Schadcode-Bibliothek. Rund 70 Hersteller von Antiviren-Software gleichen mithilfe von Virustotal ab, ob die Einsendungen verdächtige Programmzeilen enthalten, zum Beispiel, ob ein Trojaner entdeckt wurde.

Mit einem Check auf Virustotal schützen sich Konzerne und Behörden vor Malware – doch auch Hacker nutzen die Google-Plattform.
APA/Lino Mirgeler

Das Angebot ist nicht unumstritten. Erst im März vergangenen Jahres hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen und Organisationen in einer Sicherheitswarnung davor gewarnt, verdächtige Dateien automatisiert auf die Plattform hochzuladen, wie es mancherorts offenbar praktiziert wird. Teils würden so vertrauliche konzerneigene Daten unabsichtlich "de facto öffentlich verfügbar" gemacht. Es sei davon auszugehen, dass staatliche Akteure wie Geheimdienste dies gezielt für Wirtschaftsspionage nutzten. Auch vertrauliche BSI-Informationen seien durch Empfänger schon automatisiert auf Virustotal hochgeladen worden.

Zwei Ministerien aus Österreich

Auf der geleakten Liste der Virustotal-Kunden, die dem STANDARD vorliegt, stehen jeweils der Name der Organisation und die E-Mail-Adresse der Mitarbeiterinnen und Mitarbeiter, die den Account angemeldet haben. Dass die Liste authentisch ist, konnten der STANDARD und das deutsche Nachrichtenmagazin "Der Spiegel" verifizieren. So tauchen Namen von Behörden-Mitarbeitern auf, manche Betroffene sind auch auf Linkedin zu finden.

Der nun aufgetauchte Datensatz ist aufschlussreich, zumal er zahlreiche Nutzer umfasst, die nur ungern oder gar nicht über ihre Arbeit sprechen – oder darüber reden, wie sie an Informationen kommen.

So führen alleine zwanzig Accounts zum "Cyber Command" der USA, Teil des amerikanischen Militärs und Schaltstelle für offensive und defensive Hacking-Operationen. Ebenfalls vertreten: das US-Justizministerium, die amerikanische Bundespolizei FBI und der Geheimdienst NSA. Auch offizielle Stellen aus den Niederlanden, Taiwan und Großbritannien sind demnach auf Virustotal unterwegs.

Aus Österreich betroffen sind das Bundesministerium für Landesverteidigung und das Innenministerium.

Ebenfalls unter den Kunden der Plattform: drei Mitarbeiter des BSI, also jener Behörde, die im vorigen Jahr zumindest vor dem automatisierten Hochladen von möglicherweise vertraulichen Daten warnte. Auch viele Mitarbeiter deutscher Konzerne tummeln sich dort. Unter den geleakten Adressen gehören rund 30 zu Mitarbeitern der Deutschen Bahn, aber auch die Bundesbank und diverse Dax-Größen wie Allianz, BMW, Daimler und die Deutsche Telekom sind vertreten.

Leak eröffnet Missbrauchsmöglichkeiten

Außer Namen und Mail-Adressen sind offenbar keine weiteren Daten wie etwa Passwörter betroffen. Das Leak offenbart aber, wer sich in den betroffenen Konzernen, Diensten und Organisationen mit IT-Sicherheit und Malware befasst. Das eröffnet Missbrauchsmöglichkeiten, etwa für Social-Engineering oder gezielte Phishing-Attacken, bei denen versucht wird, Opfer mit für sie plausiblen Inhalten passgenau anzusprechen.

Bemerkenswert ist das Leak auch deshalb, weil Virustotal zum Google-Konzern gehört. Der Tech-Konzern zählt zu den führenden Unternehmen weltweit, wenn es um den Schutz vor Hacker-Angriffen geht. Es sind kaum Fälle bekannt, in denen durch ein Leak interne Daten von Google-Systemen öffentlich wurden.

Wie wichtig Virustotal in Sachen IT-Sicherheit ist und welch kritische Informationen dort landen können, zeigt eine E-Mail aus dem Jahr 2022, die zeitweise dort auffindbar war.

Der Deutsche Verband für Maschinenbauer (VDMA) schickte als Service für seine Mitglieder darin einen Link auf ein Webportal des Innenministeriums von Rheinland-Pfalz – samt dem dazugehörigen Passwort. Über das Portal könne man sich Informationen über aktuell laufende Hackerangriffe herunterladen – um sich vor ihnen schützen. "Bitte geben Sie diese Daten nicht außerhalb Ihres Unternehmens weiter", hieß es in der E-Mail, die für alle Virustotal-Nutzer einsehbar war – auf einer Website die Hacker aller Welt minutiös beobachten. Mit der weitergeleiteten E-Mail des Branchenverbandes konnten sie sich nun im Webportal einloggen und herausfinden, welcher ihrer Angriffe bereits aufgefallen waren und welche unbemerkt blieben. Beim VDMA heißt es auf Anfrage, dem Verband sei bislang nicht bekannt gewesen, dass die Mail mit dem vertraulichen Inhalt bei Virustotal einsehbar war.

Die Google-Seite, die "Hackern hilft"

Das Beispiel verdeutlicht, wie schnell das Sicherheitsportal Virustotal zum Unsicherheitsfaktor werden kann. Bisweilen wird die Plattform, die einst 2004 von der spanischen Hispasec Sistemas gegründet und 2012 von Google übernommen wurde, auch als Leak-Seite für kuriose Inhalte jenseits von Schadcodes genutzt: Erst kürzlich landete etwa die Masterarbeit eines führenden russischen Geheimdienstlers dort.

Auch viele Hacker verwenden Virustotal, um sicherzustellen, dass ihre Spionage-Software von keinem Antiviren-Hersteller erkannt wird. Die Fachzeitschrift "Wired" erkannte darin eine besondere Ironie: "Die Google-Seite, die Euch beschützen soll, hilft Hackern dabei, Euch anzugreifen", titelte sie.

Der Dienst ist in einer Basisversion kostenlos, es gibt aber auch kostenpflichtige Angebote. Die Dateien liegen anschließend auf den Servern von Virustotal. Dort kann sie jeder, der über einen speziellen Account verfügt, finden und herunterladen. Seit Jahren nehmen IT-Sicherheitsexperten an, dass auch Geheimdienste systematisch Virustotal verwenden - um von rund 70 Antivirursherstellern testen zu lassen, ob ihrer aktuellen Angriffscodes Alarm schlagen. Und um Hacker aufzuspüren, deren Trojaner und weiteren Werkzeuge auf der Seite landen.

Das BSI bestätigte "Spiegel" und STANDARD auf Anfrage, das Leak zu kennen: "Das BSI geht davon aus, dass die Daten authentisch sind". Die Tatsache, dass auch BSI-Mitarbeiter betroffen seien, bewerte man als "unkritisch", für andere Betroffene könne man keine Risikobewertung vornehmen. Virustotal könne eine wertvolle Informationsquelle für Themen der IT-Sicherheit sein, so die Behörde weiter. "Das BSI rät allerdings den Bundesbehörden dringend an, keine Dateien zu Virustotal hochzuladen." Mit den Nutzungsbedingungen stimme man der Datenweitergabe an Dritte explizit zu.

Eine Sprecherin von Google Cloud teilte auf Nachfrage mit, dass ein Virustotal-Mitarbeiter "unabsichtlich einen kleinen Teil" von Kundendaten auf Virustotal zugänglich gemacht habe. "Wir haben die Liste binnen einer Stunde nach dem Hochladen von der Plattform entfernt." Man arbeite daran, interne Prozesse und technische Kontrollen zu verbessern, um derlei künftig zu verhindern. (Hakan Tanriverdi, Marcel Rosenbach und Max Hoppenstedt, beide "Der Spiegel", 17.3.2023)