McAfee-Bericht über gigantische Cyber-Attacke Die Spur führt nach China

Indizien deuten darauf hin, dass die Cyberspionage-Operationen gegen 72 Regierungen, Unternehmen und Organisationen ihren Ursprung in China haben. Doch weil die Betroffenen schweigen und auch die IT-Sicherheitsfirmen eigene Interessen haben, ist das wahre Ausmaß der Online-Schnüffelei nur schwer abzuschätzen.

Von Johannes Kuhn

E-Mail-Archive, Strategiepapiere, Verträge, Software-Quellcode, Details über neue Ölfeld-Auktionen oder Informationen über Industrieanlagen: Es ist eine lange Liste, die das US-Computersicherheitsunternehmen McAfee in seinem Bericht (hier als pdf) zu einem gigantischen internationalen Cyberspionage-Angriff veröffentlicht hat. Eine Beuteliste, wenn man den Experten Glauben schenkt.

Unbekannte Hacker sollen seit 2006 mindestens 72 Regierungen, Organisationen und Unternehmen ausspioniert haben - manche nur für einige Wochen, andere über Jahre hinweg. Das wäre die größte zusammenhängende Cyberspionage-Aktion, die es bislang gegeben hat.

Die Methode war dabei dem Bericht zufolge meist folgende: Über eine gezielte Phishing-Mail an Mitarbeiter mit entsprechenden Zugriffsrechten konnte sich Schadsoftware installieren, die dann über eine Hintertür im Server den Datendiebstahl ermöglichte. "Operation Shady Rat" hat McAfee-Sicherheitsforscher Dmitri Alperovitch die Spionageaktion genannt - "zwielichtige Ratte", wobei "RAT" für "Remote Access Tool" steht, dem Softwarewerkzeug für den Fernzugriff.

Die Liste der Betroffenen ist lang, aber auch unvollständig, weil McAfee beispielsweise keine Firmennamen nennt. Zwölf US-Militärunternehmen sind darunter, die Vereinten Nationen, die Welt-Anti-Doping-Agentur (WADA), das Internationale Olympische Komitee (IOC), neun US-Regierungsstellen, Regierungsbehörden in Indien, Kanada, Taiwan, sowie auch eine deutsche Buchhaltungsfirma. "Es ging immer darum, über Informationsgewinnung einen Wettbewerbsvorteil zu erringen", sagt Rolf Haas, ein McAfee-Experte für Unternehmenssicherheit, der allerdings nicht an der Erstellung des Berichts beteiligt war.

Die Erkenntnis, dass Spionage inzwischen auch massiv im digitalen Bereich stattfindet, ist nicht neu - über das Ausmaß gibt es aber kaum verlässliche Informationen. Viele Studien zum Thema stammen von IT-Sicherheitsfirmen, die Unternehmen und Privatpersonen ihren Schutz anbieten und damit von einer gefühlten Bedrohung profitieren.

Zwischen Hype und Dunkelziffer

Auch die McAfee-Enthüllung erschien nicht zufällig am Mittwoch: Heute beginnt in Las Vegas die Hackerkonferenz Def Con, da gilt es, sich in Szene zu setzen. Die US-Zeitschrift Vanity Fair hatte zuvor den exklusiven Zugriff auf den Bericht erhalten und konnte so Werbung für sein September-Heft machen, das auch den "Cyberwar" zum Thema hat.

Doch nicht nur die Interessenslage, auch die fehlende Transparenz sorgt dafür, dass die reale Bedrohung nur schwer einzuschätzen ist: "Viele Unternehmen, nicht nur Banken und Telekommunikationsfirmen, sondern auch Industrieunternehmen haben tierische Angst, dass so ein Angriff an die Öffentlichkeit kommt", berichtet McAfee-Mann Haas. Weil betroffenen Firmen ein Imageschaden droht, dürfte die Dunkelziffer beträchtlich sein, schätzt er. Auch einige im nun veröffentlichten Bericht genannten Organisationen vermieden es auf Anfrage von Vanity Fair, die Angriffe zu bestätigen.

Unter solchen Umständen dürfte es schwierig sein, den konkreten Schaden zu beziffern. Die bei "Operation Shady Rat" entwendeten Verträge oder Design-Pläne könnten dem Angreifer einen wirtschaftlichen oder politischen Vorteil sichern, vielleicht handelt es sich jedoch um unwichtiges oder veraltetes Material, das keinerlei Nutzen hat.

Einfacher hingegen ist es offenbar, auf den Urheber der Angriffe zu schließen. "Alles deutet auf China", vermutet James A. Lewis vom Center for Strategic and International Studies, einem Washingtoner Think Tank, im Gespräch mit verschiedenen Medien. "Wer sonst sollte Taiwan ausspionieren wollen?"

Indizien, keine Beweise

Tatsächlich befinden sich viele der betroffenen Organisationen und Unternehmen im asiatischen Raum - keines jedoch in China. Das Sekretariat des ASEAN-Staatenbundes wurde beispielsweise im September 2006 angezapft; zu diesem Zeitpunkt verhandelten die Staaten der Pazifik-Region gerade über Verträge über eine verstärkte wirtschaftliche Zusammenarbeit. Auch die Spionage gegen IOC und die WADA könnten auf China deuten, allerdings fanden diese Angriffe erst nach den Olympischen Spielen 2008 in Peking statt.

Cyberspionage-Angriffe, die von chinesischen Rechnern ausgingen, sind gut dokumentiert - die bekanntesten waren bislang "Operation Aurora", bei der 2009 Google und 33 weitere Firmen attackiert wurden, sowie die Operation "Night Dragon", bei der im gleichen Jahr Energiefirmen wie Shell, Exxon Mobile und BP ins Visier von Hackern gekommen sein sollen. Chinesische Regierungsvertreter dementieren allerdings, dass das Land sich an solchen Aktionen beteiligt.

Bereits seit langem sind eine ganze Reihe von Ländern in der Lage, Internet-Spionage im großen Stil zu betreiben. Auch die USA, Russland, Frankreich und Israel gelten als bestens ausgerüstet. Darüber, wie verbreitet die Spionage-Aktivitäten im Netz wirklich sind und welcher Schaden dabei entsteht, kann allerdings weiterhin nur spekuliert werden.