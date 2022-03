Düsseldorf Die Startseite von Virus Total sieht aus wie eine Wikipedia für Schadsoftware. Die Schadsoftware-Datenbank kann jeder frei verwenden. Doch das schließt auch die Cyberkriminellen ein, vor deren Angriffen die meisten Nutzer sich schützen wollen.

Virus Total ist eine vom Unternehmen Google betriebene kostenlose Onlineplattform. Es ist die größte und umfassendste Datenbank an Malware im Netz. Die Nutzer können dort einzelne Dateien hochladen, die dann online mit über 70 verschiedenen Antivirenprogrammen und Malware-Scannern überprüft werden.

Von der Idee her sei Virus Total eine gute Sache für die Cybersicherheitsbranche, sagt Stefan Pechardscheck, globaler Technologieleiter bei der Unternehmensberatung Bearing Point. „Die Wahrscheinlichkeit, dass eines der Programme ein Virus erkennt, ist größer, als wenn man nur eine Virenerkennungssoftware benutzt.“

Doch es gibt auch Potenzial für Missbrauch. Denn beim Upload von Daten zu Virus Total gibt man die Vertraulichkeit der hochgeladenen Daten auf. Man stimmt der Datenweitergabe an Dritte mit den Nutzungsbedingungen explizit zu. Die Plattform bietet zahlenden Kunden Zugriff auf alle bei Virus Total hochgeladenen Dateien.

Top-Jobs des Tages Jetzt die besten Jobs finden und

per E-Mail benachrichtigt werden. Standort erkennen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die oberste deutsche Behörde für den Schutz der IT-Infrastrukturen, warnt Unternehmen in einem Schreiben: Neben den Kunden wie Unternehmen, Geheimdiensten, Forschern und Journalisten könnten auch alle der über 70 Antivirenhersteller eine Kopie der Dateien erhalten. Viele dieser Firmen haben ihren Sitz außerhalb der EU – so wie der russische Antivirensoftware-Hersteller Kaspersky.

Auch auf Virus Total aktiv: Das Unternehmen Kaspersky aus Russland. Hochgeladene sensible Daten könnten in das Land abfließen. (Foto: imago/Schöning) Kaspersky

Es sei davon auszugehen, dass „weltweit Institutionen die hochgeladenen Dateien bei Virus Total im Rahmen von (Wirtschafts-)Spionage auswerten“, schreibt das BSI. Die Behörde riet kürzlich davon ab, Antivirensoftware von Kaspersky weiter einzusetzen, da die Möglichkeit bestünde, dass Russland IT-Anbieter bei einem Cyberangriff gegen Deutschland einbeziehen könnte.

Doch auf Virus Total ist Kaspersky weiterhin aktiv, wie im Verzeichnis der Plattform ersichtlich ist. Auf die Frage, ob Google russische Anbieter infolge des Ukrainekrieges ausschließen wolle, antwortet der Konzern: „Wir prüfen weiterhin die Auswirkungen von Sanktionen auf unsere Produkte und Dienstleistungen und halten uns gegebenenfalls daran.“

Generell würden alle Virus-Total-Kunden einen Überprüfungsprozess durchlaufen, teilt Google Deutschland mit. „Sie unterzeichnen unsere Nutzungsbedingungen, die die Weitergabe von Dateien oder Inhalten außerhalb von Virus Total verbieten. Sobald eine Datei mit der Virus-Total-Community geteilt wird, steht sie nur für Premium-Benutzer zum Download zur Verfügung.“ Dateien und ihre Inhalte würden niemals an Nichtkunden weitergegeben.

Andreas Rohr, CTO der Deutschen Cyber-Sicherheitsorganisation (DCSO), gibt zu bedenken: „Die Nutzungsbedingungen schließen zwar kriminelle Organisationen oder Staaten aus, und diese werden dort sicherlich keinen Account bekommen, aber sie könnten sich einen Fake Account erstellen wie bei Briefkastenfirmen.“

Virus Total: Deutsche Firmen laden sensible Inhalte hoch

IT-Experte Pechardscheck sagt, dass unkritische Dokumente bei Anbietern wie Virus Total oder der Alternative Jotti’s Malware Scan durchaus hochgeladen werden können. Verzichten sollte man auf Forschungsdaten aus der Industrie, Firmengeheimnisse oder interne Sicherheitsberichte.

Doch deutsche Unternehmen laden sogar diese sensiblen Inhalte auf der Plattform hoch. Selbst kritische Infrastrukturen sind betroffen, die eigentlich auf eine erhöhte Cybersicherheit achten sollen.

So stellte das BSI fest, dass manche Firmen E-Mail-Anhänge teilautomatisiert zu Virus Total hochgeladen haben. Auch Cybersicherheitswarnungen und Lageberichte der Behörde landeten auf der Onlineplattform und müssen „als abgeflossen gelten“.

Unternehmen würden mit dem Dienst etwas naiv umgehen, stellt Cyberexperte Rohr fest. So laden manche Firmen ihre Dokumente aus dem eigenen Unternehmensnetzwerk zu Virus Total hoch. „Der Dienst protokolliert, aus welchem Land und von wem eine Datei hochgeladen wurde (etwa über die IP-Adresse). Damit wurden in der Vergangenheit Unternehmen mit bestimmten Angreiferkampagnen verknüpft, was bislang nicht öffentlich bekannt war.“

Statt eine Originaldatei hochzuladen, sollte man davon einen Hashwert erstellen und mit diesem prüfen, ob es sich um eine schadhafte Datei handelt. „SHA256, eine etablierte Methode zur Erstellung eines Hashwerts, ist vergleichbar mit einem eindeutigen Fingerabdruck.“

Virus Total von Google löscht nicht immer alle Daten

Wer im Nachhinein hochgeladene Dateien löschen will, kann das zwar tun. Doch das BSI schreibt auch: In manchen Fällen verweigere Virus Total Löschanfragen von fälschlicherweise hochgeladenen Dateien. „Selbst wenn ein Dokument im Nachhinein doch gelöscht wurde, sind die Inhalte vermutlich bereits unmittelbar nach dem Upload an eine Mehrzahl Dritter abgeflossen“, sagt das BSI. Es sei nicht feststellbar, welche Virus-Total-Kunden ein hochgeladenes Dokument im Zugriff haben.

Google Deutschland teilt mit, dass man sich nur weigere, Dateien zu löschen, „wenn die hochgeladene Datei nachweislich bösartig ist“. Damit solle verhindert werden, dass Angreifer ihre Schadsoftware entfernen. Auch werde eine Löschung verweigert, wenn der Antragsteller nicht der Eigentümer der Datei ist.

Cyberkriminelle testen Schadsoftware auf Virus Total

Eine Kritik, die es schon seit Jahren an Virus Total gibt: Die Hersteller von Malware nutzen das Programm auch, indem sie ihre Viren dort testen. „Die Kriminellen laden infizierte Dateien hoch und checken, ob die Malware von den Softwares erkannt wird. Wird sie erkannt, können die Hacker weiter daran feilen“, sagt Bearing-Point-Experte Pechardscheck.

Hinzu kommt: Jeder, auch potenzielle Cyberkriminelle, kann auf Virus Total einen Informationsdienst abonnieren, wenn neue Dateien hochgeladen werden. Virus Total Intelligence erlaubt es Nutzern, Filter für jede Art von Schlüsselwörtern zu setzen, etwa „intern“ oder „Verschlusssache“. Tauchen neue Dokumente mit diesen Begriffen auf, werden die Abonnenten in Echtzeit über den Upload informiert. So können Premiumkunden an möglicherweise vertrauliche Unterlagen gelangen.

Außerdem kann die Plattform Cyberangreifern als Frühwarnsystem für die eigene Enttarnung dienen. IT-Spezialist Rohr erklärt: „Wenn ich als Angreifer, etwa ein Nationalstaat, beispielsweise eine bestimmte Schadsoftware schreibe, beobachte ich bei Virus Total, ob diese hochgeladen wird, und merke damit, wann mein Angriff erkannt wurde.“

Mehr: Deepfakes: Im Krieg können wir unseren Augen nicht mehr trauen