Dame, König, As, Hacker

Die Hacker setzten sich ein Limit. Fünf bis sechs Versuche sollten reichen. Entweder tappten die Mitarbeiter des Auswärtigen Amtes bis dahin in die Falle, oder aber sie wurden misstrauisch. Dann hätten sie lästige Nachfragen bei den Technikern gestellt, und das galt es zu verhindern. Zu oft durfte das Download-Fenster auf den Rechnern also nicht angezeigt werden.
In diesem Fenster zu lesen war eine Aufforderung: Es gebe ein Update. Programme, die man sich auf die Rechner installieren müsse. 17 Mitarbeiter folgten der Aufforderung. Unbemerkt luden sie sich Schadsoftware auf ihre Computer. Die Hacker der Gruppe Turla waren an ihrem Ziel angekommen. Über dieses Download-Fenster, so erzählen es drei Personen, gelang eine extrem präzise durchgeführte Hackeroperation gegen die Bundesregierung. (Die Personen wollen anonym bleiben.)

Ein Partnerdienst warnte deutsche Behörden im Dezember 2017 vor dem Angriff. Daraufhin schickte das Bundesamt für Sicherheit in der Informationstechnik in der Anfangsphase ein Team aus zehn Personen zum Auswärtigen Amt. Im Laufe von drei Monaten stellten bis zu fünf Personen sicher, dass der Angriff sieben Tage die Woche analysiert wurde.

Die Hacker hatten zuvor eine Lernplattform namens Ilias übernommen. Diese wird von der Hochschule des Bundes für öffentliche Verwaltung betrieben. Da die Hacker Administratorenrechte besaßen, konnten sie bestimmen, welche Nutzer das Download-Fenster zu sehen bekamen. Es waren jene, die beim Auswärtigen Amt arbeiteten. Die Hacker folgten den Angreifern auf ihre Rechner. Monatelang versuchten die Hacker, über einzelne Rechner auf das gesamte Netz zuzugreifen. Der Coup wäre es gewesen, sich frei in den Netzen des Bundes bewegen zu können. Nach allem, was bisher bekannt ist, scheiterten sie.

IT-Sicherheitsexperten des Bundes gehen mit hoher Wahrscheinlichkeit davon aus, dass es sich bei den Eindringlingen um Elitehacker aus Russland handelt, Turla, Snake oder Ouroboros genannt. In Gesprächen nach Bekanntwerden des Hacks äußerten hohe Regierungsbeamte, sich so „sicher wie nie zuvor“ zu sein, die Täter benennen zu können. Die Bundesregierung war anscheinend so überzeugt, dass sie zum ersten Mal öffentlich Russland beschuldigte. Russland streitet die Anschuldigungen ab – bis heute. Vier Diplomaten ließ die Regierung ausweisen. Zwar handelte es sich dabei in erster Linie um eine konzertierte Aktion im Zuge des Giftangriffs auf den Doppelagenten Sergej Skripal – sowohl die USA als auch weitere europäische Staaten wiesen ebenfalls Diplomaten aus. Dennoch entschied sich die Bundesregierung erstmals, die mutmaßlichen Drahtzieher öffentlich zu benennen und wies auf den Hackerangriff als Teilbegründung hin.

Damit übernimmt Deutschland eine Strategie, die die USA seit 2014 immer aggressiver verfolgen: Sowohl einzelne Hacker als auch Staaten werden öffentlich benannt und bestraft. Mal werden Anklagen erhoben, in denen die Gesichter chinesischer und russischer Hacker auf „Wanted“-Plakate gedruckt werden, mal werden Diplomaten des Landes verwiesen. Geheimdienste und Ermittler, die jahrelang mit Verweis auf die nationale Sicherheit versuchten, ihre Strategien und Erkenntnisse für sich zu behalten, sind binnen kürzester Zeit dazu übergegangen, in Presseerklärungen minutiös die Ergebnisse ihrer Ermittlungen offenzulegen.

Das erste Mal sorgte sich das Weiße Haus im Jahr 1983 vor einem Cyberangriff mit weitreichenden Konsequenzen. Damals erschien der Hollywood-Film „WarGames“. Ein Teenager, gespielt von Matthew Broderick, hackte sich unbeabsichtigterweise in die Systeme des North American Aerospace Defense Command – zuständig für Weltraumüberwachung, um vor Interkontinentalraketen-Angriffen zu warnen – und löste beinahe den dritten Weltkrieg aus. Der damalige Präsident Ronald Reagan sah den Film in Camp David und wollte vom Vorsitzenden der Joint Chiefs of Staff wissen, ob das Szenario realistisch wäre. Die Antwort kam eine Woche später, wie der Journalist Fred Kaplan recherchierte: „Mr. President, das Problem ist viel größer als Sie denken.“

Internationale Konfliktaustragung mit anderen Mitteln

Mittlerweile ist digitale Spionage ein Werkzeug, das Staaten nur allzu gerne einsetzen. IT-Sicherheitsforscher führen eine detaillierte Liste mit Eliteeinheiten, die mutmaßlich im Staatsauftrag handeln. Mehr als 150 Einträge werden aufgelistet, ausschließlich mit Verweis auf öffentlich einsehbare Berichte von IT-Sicherheitsfirmen. Der Fokus der Liste liegt stark auf Staaten wie China und Russland, NATO-Mitglieder werden nicht einzeln aufgeführt. Das könnte sich ändern, sobald mehr Berichte über Hackerangriffe aus den USA, Großbritannien oder Deutschland bekannt würden.

Sven Herpig bezeichnet Cyberangriffe als „Fortführung internationaler Konfliktaustragung mit anderen Mitteln“. Herpig arbeitete für das auf IT-Sicherheit spezialisierte Bundesamt für Sicherheit in der Informationstechnik und ist nun Experte für Cybersicherheit beim Thinktank Stiftung Neue Verantwortung. Cyberangriffe kosten möglicherweise weniger Ressourcen als reguläre Spionageoperationen, erklärt Herpig, außerdem müsse man Agenten oft nicht quer durch die Welt schicken, sondern sie blieben im eigenen Land oder operieren von einem Drittland aus. „Durch die Digitalisierung ist deutlich mehr angreifbar und anstatt aktenbergeweise geheime Informationen aus Büros herauszuschleppen, schickt man diese über das Internet.“ Zu dieser Aufzählung könnte man hinzufügen: Wer ein Smartphone per Hack in eine Wanze verwandelt, muss keinen Gedanken an die Batterielaufzeit verschwenden. Der Ausspionierte sorgt selbst dafür, den Akku aufzuladen. Gerade Hackereinheiten aus China sollen in massiver Weise Daten aus Netzwerken weltweit abgegriffen haben. So hieß es in einem Bericht der Firma Mandiant, dass Hacker der Einheit 61398 „Hunderte Terabyte“ von insgesamt 141 Organisationen entwendet haben sollen. Es war auch dieser Bericht, vielmehr die Reaktion darauf, die in Washington als Herausforderung wahrgenommen wurde. Als letzter Grund für einen Kurswechsel.

John Carlin, Assistant Attorney General for National Security, beschreibt in seinem kürzlich erschienenen Buch „Dawn of Code War“ die Hintergründe. Er erwähnt insbesondere ein Interview mit dem chinesischen Botschafter Cui Tiankai, das im Magazin Foreign Affairs erschien. Kurz zuvor hatte die New York Times den Bericht des Unternehmens Mandiant auf ihrer Titelseite ausführlich behandelt. Tiankai zeigte sich wenig beeindruckt und antwortete auf Nachfragen: „Ich glaube nicht, dass es bis dato irgendjemandem gelungen ist, Beweise zu präsentieren, die auch vor Gericht standhalten und zeigen würden, dass es wirklich so jemanden in China gibt, chinesische Staatsbürger, die solche Aktionen durchführen.“ Carlin zufolge sei besonders der letzte Satz als Herausforderung aufgefasst worden: „Unser Ziel war es, genau jene harten Beweise für das Vorgehen Chinas zu liefern.“

Der frühere Chef des FBI James Comey soll über chinesische Hacker gesagt haben, dass diese sich in den Netzwerken der Opfer verhalten hätten „wie ein Gorilla, der in ihrem Haus wütet“. Sie fielen auf. Jahrelang will die US-Regierung beobachtet haben, wie das chinesische Militär Geschäftsgeheimnisse durch Cyberangriffe erbeutete und an konkurrierende Unternehmen im eigenen Land weitergab. Alle Beteiligten wussten, dass es diesen Gorilla im Haus gab, „sie (die chinesischen Hacker) haben nicht einmal ihre Spuren verwischt und ihre Identität verschleiert“, sagt Carlin, aber öffentlich redete niemand darüber. „Das internationale Völkerrecht ist vor allem ein Gewohnheitsrecht“, erklärt Carlin im Lawfare-Podcast. „Solange wir dieses Verhalten toleriert, verschwiegen und als geheim eingestuft haben, haben wir internationales Recht etabliert. Nichts zu tun hieß, etwas zu tun.“ Die USA und andere Länder hätten das Signal gesendet, dass es in Ordnung sei, private Firmen mit dem Ziel auszuspähen, um die Konkurrenz zu fördern. Durch Nichtstun habe man Fakten geschaffen.

Das änderte sich durch die Anklagen. Seit 2014 wählten die USA in 13 Fällen den Weg über die Justiz. Das heißt: In 13 Fällen sind sich die USA in der Zuschreibung der Angriffe so sicher, dass sie diese auch vor einem Gericht vertreten wollen. Sofern sie die Täter schnappen können. Tim Maurer, Cybersicherheitsexperte der Stiftung Carnegie Endowment for International Peace, wird in einem demnächst erscheinenden Paper seine Auswertung dieser Anklagen veröffentlichen. In dem Papier heißt es, dass mit den Anklagen zwei Ziele verfolgt werden können: Einerseits könne man Akteure (und damit Staaten) für ihre Taten zur Rechenschaft ziehen. Andererseits könnten die USA zukünftige Taten verhindern, da Hacker mitbekommen, wie gut die Zuordnung solcher Angriffe mittlerweile möglich sei. „2015 haben wir eine Debatte geführt, ob eine Attribution überhaupt möglich sei. Die 13 Anklagen dürften diese Zweifel aus dem Weg geräumt haben“, sagt Maurer auf Nachfrage. Ein Staat, der über ausreichend Ressourcen verfüge – etwa um elektronische Spionage und menschliche Spione einzusetzen –, könne solche Angriffe erkennen und zuweisen. Dazu passt, dass die US-Regierung mittlerweile dazu übergegangen sein soll, russische Hacker vor den Midterm-Wahlen per Textnachricht oder Pop-ups im Browser zu warnen. Man weiß, was der Gegner treibt.

Weniger Wirtschaftsspionage

Ob die Anklagen erfolgreich gewesen sind, bewertet Maurer je nach Staat unterschiedlich: „Bis jetzt hatten die Anklagen keine klare abschreckende Wirkung auf Aktivitäten aus Russland“, heißt es dort. Bei China hingegen sei vor allem nach der Anklage 2014 ein Effekt zu beobachten gewesen: Die Präsidenten Barack Obama und Xi Jinping schlossen 2015 einen Vertrag, der festlegte, dass die ökonomisch motivierte Spionage eingestellt werde. IT-Sicherheitsfirmen konnten in den folgenden Monaten und Jahren feststellen, dass die Angriffe tatsächlich zurückgingen. Ein Rückgang sei auch in Deutschland zu spüren gewesen, nachdem Bundeskanzlerin Angela Merkel im Juni 2016 die Spionagetätigkeit zur Sprache gebracht hatte. Merkel und Xi versprachen sich einen „gegenseitigen Verzicht auf Cyberspionage zu kommerziellen Zwecken“.

Anklagen verhindern außerdem, dass Hacker sich frei bewegen können, zumindest nicht in den Staaten, die ein Auslieferungsabkommen mit den USA abgeschlossen haben. Die Hacker würden bei der Einreise riskieren, festgenommen zu werden. Denn zwar trifft es zu, dass die Digitalisierung Spionage aus dem Netz vereinfacht, allerdings sichern sich so genannte „Hochwertziele“ besonders gut ab. So misslang es mutmaßlich russischen Hackern der Militäreinheit GRU, die Organisation für das Verbot chemischer Waffen (OPCW) in Den Haag aus der Ferne zu hacken. Also reisten die Hacker in die Niederlande und stellten ihren Mietwagen samt Spionagegeräten auf dem Parkplatz eines Marriott-Hotels ab. Mit einer Antenne, die auf den in direkter Nähe befindlichen Sitz der OPCW zeigte, sollten Passwörter abgefangen werden. Die Operation flog auf, die Hacker wurden festgenommen. Es sind genau diese „Close access“-Operationen, die durch Anklagen verhindert werden könnten. „Sanktionen haben aber mehr Biss als Anklagen“, davon geht Tim Maurer aus. „Die haben direkte Folgen, zum Beispiel, dass Besitztümer der Betroffenen im Ausland beschlagnahmt werden können. Sanktionen können damit besonders auch auf die höhere Ebene abzielen, auf Regierungsbeamte.“

Sven Herpig bezeichnet die Anklagen als „erste Tests, die gefahren werden, um zu sehen, ob man damit Hacker abschreckt“. In Deutschland beobachte man interessiert, wie Partnerländer vorgehen, doch dass eine eigene Strategie vorhanden sei, diesen Eindruck habe Herpig nicht. „Deutschland ist beileibe kein Vorreiter.“

Der Hackerangriff auf das Auswärtige Amt lief über Outlook ab. Die Hacker schickten E-Mails an die Rechner, die sie zuvor mit Schadsoftware infiziert hatten. In den E-Mails enthalten waren PDF-Anhänge, in denen Befehle codiert waren. So erfuhren sie, welche Dokumente auf den Rechnern abgespeichert waren, über diese Befehle schickten sie sich diese Dokumente an eigene E-Mail-Adressen. Insgesamt hatten die Hacker lediglich Zugriff auf wenige Dokumente mit wenig brisanten Inhalten. Die Hacker übersahen einen entscheidenden Punkt. Nicht alle Mitarbeiter rufen ihre Mails immer mit Outlook auf. Manchmal verwenden sie dafür Telefone der Firma Blackberry. Auf diesen Geräten funktionierte der Angriff nicht. War die Mail so programmiert, dass sie sich aus dem Outlook-Postfach automatisch löschen sollte, nachdem die Befehle ausgeführt worden waren, schlug der Angriff auf den Blackberry-Telefonen nicht nur fehl, die Mail blieb weiterhin im Postfach. So fiel sie auf.

Auf Nachfrage teilte das Auswärtige Amt mit, dass „geheimdienstliche Tätigkeit und andere Staatsschutzdelikte“ nach deutschem Recht strafbar sind und von den dafür zuständigen Behörden verfolgt werden. Die Entscheidung, Diplomaten auszuweisen, sei „nach einer Gesamtabwägung aller zur Verfügung stehenden Erkenntnisse sowie in enger Abstimmung mit Partnern in der EU und in der NATO getroffen worden“ und sei als „starkes Signal der Solidarität mit Großbritannien“ zu verstehen. Die Entscheidung „signalisiert die Entschlossenheit der Bundesregierung, Angriffe auf unsere engsten Partner und Alliierten nicht unbeantwortet zu lassen“. Auch fast ein Jahr später werden wesentliche Details des Hackerangriffs weiterhin als geheim eingestuft. In vertraulichen Zirkeln öffnete man sich jedoch ein wenig – und berichtete, wie man den Angriff bemerkt und aufgearbeitet hat. Die Gespräche fanden statt, damit sich auch die Industrie besser vor Angriffen jener Hackergruppe schützen kann, die als eines der Aushängeschilder des russischen Staates bewertet wird. Die Öffentlichkeit wurde jedoch nicht informiert. Obwohl man sich anscheinend so sicher ist wie nie zuvor.

Hakan Tanriverdi arbeitet als Reporter für digitale Themen bei der Süddeutschen Zeitung.