Alles begann mit einem Hacker namens "Jester". Er kaperte Rechner und benutzte sie, um die Server von Wikileaks mit Anfragen zu bombardieren. Bald zwang er die Organisation in die Knie. Zwei Tage später kam die zweite Attacke. Ein unbekannter Angreifer setzte mehrere Computer-Bataillons in Marsch und schoss aus verschiedenen Orten der Welt Anfragen auf Wikileaks. Die Seite stürzte binnen Sekunden ab. Bald darauf war die Organisation wieder online, doch die Attacken gingen weiter.
Herrscht so etwas wie Krieg im Internet? Die jüngsten Ereignisse um die "Anonymous"-Gruppe sorgen für Diskussionen.
(Foto: iStock)Andere digitale Attacken ließen sich hingegen auf Wikileaks-Anhänger zurückführen. Nachdem der Online-Bezahldienst PayPal und der Finanzdienstleister PostFinance Konten von Julian Assange eingefroren hatten, trat die Gruppe "AnonOps" auf den Plan. "Operation Payback" hieß die Angriffsserie, die tausende anonyme Mitglieder von "AnonOps" gegen PayPal und PostFinance, später auch gegen Websites von Master Card und Visa, von Interpol und der schwedischen Staatsanwaltschaft, von Fox News und Sarah Palin richteten.
Am Mittwoch um 22.09 Uhr hatte ein Anführer im Netz befohlen: "target: www.visa.com :: fire fire fire!!!" Drei Minuten später war die Website von Visa nicht mehr zugänglich. Die Angreifer schossen Stunden lang. Im Kampfrausch schrieb "Sunny Singh", ein Mitglied der Gruppe:
Bloody hell! @anon_operation takes down mastercard, visa, a Swiss bank, the Swedish prosecution, and Lieberman's site. In 24 hours? Whoa!
In einem internen Chatlog der Angreifer vom 7. Dezember hieß es:
12:33: +qvhhqln (...) postfinance.ch is down.
12:33: sluggo down in germany
12:33: RapedByJuliandown in the states also (...)
12:33: fuogo down in Italy
12:34: %Zachary ^ keep firing
12:34: postfinance is down in AZ
12:34: bluzytrix down in Japan
Aber was war eigentlich passiert? Ist das schon der "Cyber-Krieg", vor dem Sicherheitsexperten auf der ganzen Welt seit geraumer Zeit warnen? Ein Annäherungsversuch in fünf Kapiteln.
DER KRIEG. Die schwierigste Frage lässt sich auf den ersten Blick leicht beantworten: Die Scharmützel um Wikileaks sind kein Krieg. Denn abgesehen davon, dass es den im völkerrechtlichen Sinne nicht mehr gibt, sind weder Angreifer noch Angegriffene (scheinbar!) staatliche Akteure. Konventionen für internationale Konflikte greifen nicht. Die technische Entwicklung ist den Juristen um Jahre voraus.
Digitale Attacken mögen zwar "keine zivilisierte Form der Meinungsäußerung" sein, wie die Frankfurter Allgemeine Sonntagszeitung am vergangenen Wochenende bemerkte. In den Augen von vielen Netz-Aktivisten, Hackern und IT-Experten gelten Cyber-Sabotagen und -Proteste allerdings bereits als eine Art des Aufstands und gar eine neue Art des bewaffneten Konflikts. "Das Internet ist zum Schlachtfeld geworden", schrieb das französische Online-Magazin Owni. Zur Frage, ob die Zerstörung von Wikileaks eine legitime Kriegshandlung sein könnte, sagte der ehemalige Chef der CIA Michael Hayden im September der SZ: "Ehrliche Antwort? Wir wissen es nicht."
DIE ANGRIFFE. "Es handelte sich um DoS- und DDoS-Angriffe", sagt Jose Nazario, Fachmann der IT-Firma Arbor Networks, die solche Anschläge anhand von Monitor-Systemen auf der ganzen Welt misst. Nazario misst Tausende Anfrage-Bombardements pro Jahr, sie richten sich gegen Medien, Firmen und Regierungen - meist zu Sabotage-Zwecken.
Kein Cyber-Angriff lässt sich so leicht umsetzen und zeigt so rasch Wirkung wie die Denial-of-Service- (DoS) und Distributed-Denial-of-Service (DDoS)-Attacken. Hacker verwendeten sie bei den bisher größten Angriffen. In Estland brachten sie 2007 die Netzwerke von Regierung und Finanzwesen bis an den Rand des Chaos, und ein Jahr später schnitten sie Georgien vom Internet ab - kurz bevor die russischen Truppen in Südossetien einmarschierten.
Über Schadsoftware kapert ein Hacker fremde Rechner und verwandelt sie in "Zombies". Ohne dass ihre Besitzer es merken, missbraucht der Eindringling sie für seine Zwecke. Wer Zombie-PCs auf diese Weise manipuliert, kann einen DoS-Angriff starten. Wie ein Puppenspieler lenkt der Hacker nun die gekaperten Rechner wie Marionetten auf dem digitalen Schlachtfeld - und bleibt unentdeckt. Er kann Millionen Anfragen pro Sekunde senden und ganze Server zum Abstürzen bringen.
Bei einem DDoS-Angriff, also einem dezentralisierten DoS, kann der Puppenspieler stärkere Bombardements vollstrecken. Auch hier arbeitet ein Hacker mit Zombie-Rechnern aus allen Winkeln der Erde, aber es sind so viele und sie verlangen eine so beträchtliche Koordination, dass er organisierter vorgehen muss. So errichtet der Hacker aus jeweils mehreren Hundert Zombie-PCs Zellen, sogenannte Botnets. Wie eine große Armee greift der Hacker seine Ziele mit diesen Botnets von verschiedenen Flanken an.
Laut dem Institut für Informatik der Universität Bonn fanden vergangene Woche insgesamt 17 solcher Angriffe im Umfeld der Wikileaks-Affäre statt. Zunächst nahmen 200 Aktivisten teil, beim Höhepunkt der Angriffe (um Mitternacht des 9. Dezember) gab es bereits 7200 Teilnehmer. Alle hatten die eigenen Computer zur Verfügung gestellt.
So musste der Chef-Hacker in diesem Fall keine Zombie-PCs verwenden: Es entstand ein freiwilliges Botnet. Ein IT-Experte aus Bonn, der sich anhand eines Tarnprogramms in die interne Kommunikationen der Angreifer einmischte, betont die neue Qualität der Attacken: "Es reichen nun wenige aus, um große Seiten platt zu machen."
Die Waffen, die Verteidigung, die Angreifer
DIE WAFFEN. Angriffe im Internet erfordern Programmiertechnik. Unter eine Cyber-Attacke fallen laut Nato-Rechtsberaterin Katharina Ziolkowski "alle Arten der Änderung, Unterdrückung, Störung oder Zerstörung von Daten auf gegnerischen oder feindlichen Computern bzw. Hemmungen oder Unterbrechung des Datenübertragungsprozesses". Die Mittel dazu haben sich in den vergangenen Jahrzehnten deutlich erweitert und können finanzielle bis materielle Schäden anrichten. Experte weigern sich noch, die Werkzeuge der Cyber-Angriffe als Waffen zu bezeichnen. Sie sind eine relativ neue Angriffsform. Bemühungen, sie zu klassifizieren, seien laut dem Experten Jeffrey Carr noch "in der Kindheit". Zwischen dem Anfrage-Bombardement per Knopfdruck und einer Kalaschnikow lägen weiterhin Welten.
Aber in den Augen eines Hackers und auch aus der Sicht von dessen Zielen wirken die Attacken durchaus wie bewaffnete Angriffe - und deren Mittel wie Waffen: Sie richten Schäden an. Im Netz-Zeitalter haben viele Staaten spezialisierte Behörden gegründet, um solche Fragen zu beantworten und sich im Cyberspace zu verteidigen.
Es gibt vielfältige Methoden, um digitale Angriffe zu vollstrecken. Ein "logische Bombe" der CIA zerstörte vor 28 Jahren eine Gasleitung in Sibirien. Sie bediente sich einer heimlich modifizierten Software, die sowjetische Spione zuvor in Kanada gestohlen hatten. "Falltüren" verschaffen einem fremden Agenten unbemerkt Zutritt in ein Rechnersystem und erlauben Spionage und Sabotage. "Würmer", Schadprogramme also, die einen Computer heimlich befallen, kennt jeder, der eine infizierte E-Mail geöffnet hat.
Die Macht dieser Schädlinge bekam die Welt im September zu spüren, als bekannt wurde, dass ein weltweit verbreiteter Wurm namens "Stuxnet" eine Atomanlage in Iran erreicht hatte.
DIE VERTEIDIGUNG. Eine Verteidigung ist möglich, aber äußerst aufwendig. Längst nicht jedes Unternehmen und nicht jede Regierung verfügt über entsprechenden Schutz. Visa und MasterCard konnten die Attacken der Wikileaks-Sympathisanten nicht stoppen - trotz Vorwarnung. Arbor Networks gilt weltweit als einzige Firma, die Attacken messen und (manchmal) blockieren kann. "Wir sehen mehr Angriffe als alle anderen", sagt Experte Nazario.
Nur in einem von fünf Fällen lässt sich die Identität eines Botnets aufdecken. 2009 betrug die schwerste Attacke 48 Gigabytes pro Sekunde. Spiegel-Online, Deutschlands populärstes Nachrichtenportal, empfängt Anfragen in einer Rate von weniger als 1 Gigabyte pro Sekunde.
Wikileaks selbst hat eigene Methoden, um sich zu verteidigen. Die Organisation verwendet Server mit einer beträchtlichen Bandbreite, was verhindert, dass Anfrage-Bombardements die Kommunikationskanäle verstopfen. Sie richtet Filter ein, um bestimmte Angreifer von vornherein abzuwehren. Weil all das trotzdem oft wenig nutzt und Wikileaks zunächst nur blinkend im Netz bleiben kann, betreibt sie Vorsorge in Form von Hunderten Backups ihrer Archive.
DIE ANGREIFER. Wer bei den jüngsten Attacken die Fäden gezogen hat, ist unklar. Seit Jahren halten Sicherheitsexperten das Problem der Attribuierung als das künftig größte bei der Verfolgung von Cyber-Spionage, Cyber-Sabotage und Cyber-Angriffen. Ein Anstifter versteckt sich hinter seinem Pseudonym und seinen Botnet-Bataillons. Seine Identifizierung wird nahezu unmöglich.
Die großen Angriffe auf Estland und Georgien ließen trotz internationaler Bemühungen lediglich die Herkunft der Botnets erkennen - sie lagen in Russland und China, aber auch in Afrika und dem Nahen Osten. Wer sie eingefädelt hatte, ist bis heute eine Geheimnis. Die verwendeten Zombie-PCs gehörten Menschen, die von nichts wussten.
Auch von "Jester", einem selbsterklärten US-Patrioten, der sich für den ersten Angriff auf Wikileaks bekannte, ist wenig bekannt. Klar ist nur: Er initiierte eine wirkungsvolle, aber relativ einfache DoS-Attacke.
Die folgenden Angriffe waren riesige DDoS-Attacken, also nicht das Werk eines Garagenhackers, sondern blitzartige Anschläge, die Spezialisten angestiftet haben müssen. "Die Angriffe waren sehr geschickt, das können keine regulären User organisieren", sagt Jose Nazario. Aber warum scheinen die für die Attacken verantwortlichen "AnonOps" - ebenso wie "Jester" - dann ganz normale Hacker zu sein? "Das kann man doch so aussehen lassen", so Nazario.
Die vermeintlichen Experten sollen zwei Jugendliche aus den Niederlanden gewesen sein, die kürzlich verhaftet wurden. Informationen der holländischen Staatsanwaltschaft zufolge hatte ein 16-Jähriger angeblich eine der DDoS-Wellen angestiftet. Auch ein 19-Jähriger hätte eine eigene Attacke organisiert.