Bereits im letzten Jahr wurde enthüllt, wie der britische Geheimdienst GCHQ im Jahr 2012 in das Netzwerk des größten belgischen Telekommunikationsanbieters Belgacom eindrang. Neue Informationen von The Intercept liefern nun weitere Details zu dem Angriff, bei dem fortschrittlichste Spionage-Tools zum Einsatz kamen.

Bereits im Jahr 2012 erkannten Angestellte des größten belgischen Providers Belgacom Unregelmäßigkeiten im eigenen Netzwerk in Form von Problemen im internen E-Mail-Verkehr. Erst ein Jahr später, im Juni 2013 konnten die Sicherheitsexperten des Unternehmens den Grund für diese Unregelmäßigkeiten ergründen und fanden eine hochentwickelte Malware. Installiert wurde diese vom britischen Geheimdienst, wie Snowden-Dokumente nahelegen.

Die Spyware Regin, die auf den E-Mail-Servern und im internen Netzwerk des Providers gefunden wurde, stiehlt Daten von infizierten Computern und tarnt sich als legitime Software von Microsoft. Auf die Computer der Mitarbeiter gelangte Regin durch gefälschte Internetseiten, etwa die des Netzwerks LinkedIn.

Während Belgacom öffentlich die Tragweite der Angriffe herunterspielte und betonte, dass Kundendaten nie in Gefahr waren, da nur die internen Systeme des Providers betroffen seien, hatte der angreifende britische Geheimdienst indes Zugriff auf die über das Unternehmen geleiteten unverschlüsselten und verschlüsselten Datenströme.

Besonders pikant ist der Angriff aus mehreren Gründen: So zählen die Europäische Kommission, das Europäische Parlament und der Europäische Rat zu den Kunden des Providers. Weiterhin stellt der Vorgang ein Novum dar: Es ist der erste bekannte Cyber-Angriff eines EU-Staates auf einen anderen, wobei Belgacom auch mehrere internationale Datenleitungen unterhält. Die niederländische Politikerin Sophie in ’t Veld äußerte gegenüber The Intercept, dass es Sanktionen gegen Großbritannien geben sollte, falls sich die aktuellen Anschuldigungen beweisen lassen.

Nach der Entdeckung der Malware investierte Belgacom mehrere Millionen Euro, um seine eigenen Systeme zu bereinigen. Die Cisco-Router, die das Herzstück des Netzwerkes bilden, waren allerdings ebenfalls infiziert und durften von den Belgacom-Ermittlern auf Geheiß des Vorstandes nicht selbst untersucht werden, so dass die Herkunft der Malware nicht ergründet werden konnte. Ob die Router schon infiziert übergeben oder erst nach Inbetriebnahme infiziert wurden, konnte so nicht untersucht werden. Zumindest der amerikanische Geheimdienst hat bereits Cisco-Router vorab manipuliert.