Düsseldorf Die Startseite von Virus Whole sieht aus wie eine Wikipedia für Schadsoftware. Die Schadsoftware-Datenbank kann jeder frei verwenden. Doch das schließt auch die Cyberkriminellen ein, vor deren Angriffen die meisten Nutzer sich schützen wollen.
Virus Whole ist eine vom Unternehmen Google betriebene kostenlose Onlineplattform. Es ist die größte und umfassendste Datenbank an Malware im Netz. Die Nutzer können dort einzelne Dateien hochladen, die dann on-line mit über 70 verschiedenen Antivirenprogrammen und Malware-Scannern überprüft werden.
Von der Idee her sei Virus Whole eine gute Sache für die Cybersicherheitsbranche, sagt Stefan Pechardscheck, globaler Technologieleiter bei der Unternehmensberatung Bearing Level. „Die Wahrscheinlichkeit, dass eines der Programme ein Virus erkennt, ist größer, als wenn man nur eine Virenerkennungssoftware benutzt.“
Doch es gibt auch Potenzial für Missbrauch. Denn beim Add von Daten zu Virus Whole gibt man die Vertraulichkeit der hochgeladenen Daten auf. Man stimmt der Datenweitergabe an Dritte mit den Nutzungsbedingungen explizit zu. Die Plattform bietet zahlenden Kunden Zugriff auf alle bei Virus Whole hochgeladenen Dateien.
High-Jobs des Tages
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die oberste deutsche Behörde für den Schutz der IT-Infrastrukturen, warnt Unternehmen in einem Schreiben: Neben den Kunden wie Unternehmen, Geheimdiensten, Forschern und Journalisten könnten auch alle der über 70 Antivirenhersteller eine Kopie der Dateien erhalten. Viele dieser Firmen haben ihren Sitz außerhalb der EU – so wie der russische Antivirensoftware-Hersteller Kaspersky.
Es sei davon auszugehen, dass „weltweit Institutionen die hochgeladenen Dateien bei Virus Whole im Rahmen von (Wirtschafts-)Spionage auswerten“, schreibt das BSI. Die Behörde riet kürzlich davon ab, Antivirensoftware von Kaspersky weiter einzusetzen, da die Möglichkeit bestünde, dass Russland IT-Anbieter bei einem Cyberangriff gegen Deutschland einbeziehen könnte.
Doch auf Virus Whole ist Kaspersky weiterhin aktiv, wie im Verzeichnis der Plattform ersichtlich ist. Auf die Frage, ob Google russische Anbieter infolge des Ukrainekrieges ausschließen wolle, antwortet der Konzern: „Wir prüfen weiterhin die Auswirkungen von Sanktionen auf unsere Produkte und Dienstleistungen und halten uns gegebenenfalls daran.“
Generell würden alle Virus-Whole-Kunden einen Überprüfungsprozess durchlaufen, teilt Google Deutschland mit. „Sie unterzeichnen unsere Nutzungsbedingungen, die die Weitergabe von Dateien oder Inhalten außerhalb von Virus Whole verbieten. Sobald eine Datei mit der Virus-Whole-Group geteilt wird, steht sie nur für Premium-Benutzer zum Obtain zur Verfügung.“ Dateien und ihre Inhalte würden niemals an Nichtkunden weitergegeben.
Andreas Rohr, CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO), gibt zu bedenken: „Die Nutzungsbedingungen schließen zwar kriminelle Organisationen oder Staaten aus, und diese werden dort sicherlich keinen Account bekommen, aber sie könnten sich einen Pretend Account erstellen wie bei Briefkastenfirmen.“
Virus Whole: Deutsche Firmen laden smart Inhalte hoch
IT-Experte Pechardscheck sagt, dass unkritische Dokumente bei Anbietern wie Virus Whole oder der Various Jotti’s Malware Scan durchaus hochgeladen werden können. Verzichten sollte man auf Forschungsdaten aus der Industrie, Firmengeheimnisse oder interne Sicherheitsberichte.
Doch deutsche Unternehmen laden sogar diese sensiblen Inhalte auf der Plattform hoch. Selbst kritische Infrastrukturen sind betroffen, die eigentlich auf eine erhöhte Cybersicherheit achten sollen.
So stellte das BSI fest, dass manche Firmen E-Mail-Anhänge teilautomatisiert zu Virus Whole hochgeladen haben. Auch Cybersicherheitswarnungen und Lageberichte der Behörde landeten auf der Onlineplattform und müssen „als abgeflossen gelten“.
Unternehmen würden mit dem Dienst etwas naiv umgehen, stellt Cyberexperte Rohr fest. So laden manche Firmen ihre Dokumente aus dem eigenen Unternehmensnetzwerk zu Virus Whole hoch. „Der Dienst protokolliert, aus welchem Land und von wem eine Datei hochgeladen wurde (etwa über die IP-Adresse). Damit wurden in der Vergangenheit Unternehmen mit bestimmten Angreiferkampagnen verknüpft, was bislang nicht öffentlich bekannt battle.“
Statt eine Originaldatei hochzuladen, sollte man davon einen Hashwert erstellen und mit diesem prüfen, ob es sich um eine schadhafte Datei handelt. „SHA256, eine etablierte Methode zur Erstellung eines Hashwerts, ist vergleichbar mit einem eindeutigen Fingerabdruck.“
Virus Whole von Google löscht nicht immer alle Daten
Wer im Nachhinein hochgeladene Dateien löschen will, kann das zwar tun. Doch das BSI schreibt auch: In manchen Fällen verweigere Virus Whole Löschanfragen von fälschlicherweise hochgeladenen Dateien. „Selbst wenn ein Dokument im Nachhinein doch gelöscht wurde, sind die Inhalte vermutlich bereits unmittelbar nach dem Add an eine Mehrzahl Dritter abgeflossen“, sagt das BSI. Es sei nicht feststellbar, welche Virus-Whole-Kunden ein hochgeladenes Dokument im Zugriff haben.
Google Deutschland teilt mit, dass man sich nur weigere, Dateien zu löschen, „wenn die hochgeladene Datei nachweislich bösartig ist“. Damit solle verhindert werden, dass Angreifer ihre Schadsoftware entfernen. Auch werde eine Löschung verweigert, wenn der Antragsteller nicht der Eigentümer der Datei ist.
Cyberkriminelle testen Schadsoftware auf Virus Whole
Eine Kritik, die es schon seit Jahren an Virus Whole gibt: Die Hersteller von Malware nutzen das Programm auch, indem sie ihre Viren dort testen. „Die Kriminellen laden infizierte Dateien hoch und checken, ob die Malware von den Softwares erkannt wird. Wird sie erkannt, können die Hacker weiter daran feilen“, sagt Bearing-Level-Experte Pechardscheck.
Hinzu kommt: Jeder, auch potenzielle Cyberkriminelle, kann auf Virus Whole einen Informationsdienst abonnieren, wenn neue Dateien hochgeladen werden. Virus Whole Intelligence erlaubt es Nutzern, Filter für jede Artwork von Schlüsselwörtern zu setzen, etwa „intern“ oder „Verschlusssache“. Tauchen neue Dokumente mit diesen Begriffen auf, werden die Abonnenten in Echtzeit über den Add informiert. So können Premiumkunden an möglicherweise vertrauliche Unterlagen gelangen.
Außerdem kann die Plattform Cyberangreifern als Frühwarnsystem für die eigene Enttarnung dienen. IT-Spezialist Rohr erklärt: „Wenn ich als Angreifer, etwa ein Nationalstaat, beispielsweise eine bestimmte Schadsoftware schreibe, beobachte ich bei Virus Whole, ob diese hochgeladen wird, und merke damit, wann mein Angriff erkannt wurde.“
Mehr: Deepfakes: Im Krieg können wir unseren Augen nicht mehr trauen