Es ist ein fast schon putziger Name, den sich IT-Sicherheitsexperten ausgedacht haben: Cloudhopper. Da hüpft jemand mit großen Sprüngen durch die Cloud, also den zunehmend beliebten Speicherplatz im Internet, von einem Server zum nächsten, und schnappt sich, was ihm gefällt. Die Realität ist um einiges ernüchternder. Denn der Begriff bezeichnet eine Hackergruppe, die aus China stammen soll und nach Unternehmensgeheimnissen Ausschau hält. In den kommenden Tagen werden die USA gezielt gegen die Cloud-Hüpfer vorgehen. Wall Street Journal, New York Times und Washington Post berichteten, dass das US-Justizministerium derzeit an einer Anklage arbeite.
Seit Monaten befinden sich die USA in einem immer härter geführten Handelsstreit mit China. Die Administration unter Präsident Donald Trump prüft bereits seit September, so meldete es die für gewöhnlich gut informierte Webseite Axios, großflächige Aktionen gegen China. Das Aufdecken von Cyber-Operationen gehöre dazu.
Spionageexperten sind ebenso verwirrt wie aufgeregt: Ein Magazin wirft China vor, mit Mini-Chips massenhaft US-Unternehmen auszuspionieren. Doch keiner will von dem Fall je gehört haben. Jetzt läuft die Suche nach der Wahrheit.
Im Axios-Bericht wird ein namentlich nicht genannter Mitarbeiter des Weißen Hauses mit den Worten zitiert: "Wir werden nicht zulassen, dass ausschließlich Russland der Buhmann ist. Es sind Russland und China."
Deutschland weiß seit Wochen Bescheid, dass Schritte gegen die Hackergruppe Cloudhopper eingeleitet werden. Über diplomatische Kanäle informierten die USA Partnerländer, darunter die Bundesregierung. Es waren Gespräche, die hierzulande für einige Aufregung sorgten. Denn die Amerikaner nannten auch Namen von deutschen Firmen, die von diesen Angriffen betroffen gewesen sein sollen. Die Behörden wurden umgehend aktiv.
Auch deutsche Unternehmen betroffen
Nach Informationen der Süddeutschen Zeitung verschickte das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) Nachrichten an mehrere Unternehmen aus Deutschland, deren Namen gefallen waren. Denn nach SZ-Recherchen sind in jüngerer Zeit auch verstärkte Aktivitäten aus China gegen deutsche Unternehmen wahrzunehmen. Im Fokus der Hacker liegen vor allem die Bau- und Materialforschung, Unternehmen des Maschinenbaus und einige große Wirtschaftsunternehmen. Im Vergleich zu Kampagnen, deren Ursprung in Russland vermutet werden, seien die Angriffe von Cloudhopper noch recht selten in Deutschland. Es seien bislang "nicht im wöchentlichen Rhythmus" Opfer zu beklagen. Doch die Angreifer sollen gezielter vorgehen. Der Schaden könnte deshalb mitunter genauso groß sein.
Eine gängige Methode der Cloudhopper sei es, nicht die Unternehmen selbst anzugreifen, sondern kleinere IT-Dienstleister, die für diese Unternehmen arbeiten. Das können zum Beispiel Cloud- oder Hosting-Anbieter sein. In aller Regel sind deren Netze deutlich schlechter abgesichert. Von dort aus "hüpfen" die Hacker in die Netzwerke der Unternehmen, an deren Daten sie interessiert sind.
Adrian Nish leitet beim Konzern BAE Systems den Bereich, in dem Hackerangriffe analysiert werden. "Die Anbieter, die Cloudhopper ins Visier nimmt, verfügen oftmals über besondere Rechte in die Netze ihrer Kunden. Diese Rechte können die Hacker ausnutzen, um die gewünschten Netze zu infiltrieren", sagt Nish. Viel können die betroffenen Unternehmen in Deutschland derzeit nicht tun. Üblicherweise enthalten solche Anschuldigungen und Berichte technische Details. Solche Informationen helfen Unternehmen, in den eigenen Netzen zu prüfen, ob sich Spuren der Angreifer finden. In diesem Fall wurden keine technischen Details übermittelt. Das heißt aber auch: Die Anschuldigungen sind in diesem Stadium nicht überprüfbar.
Strategie des "Naming und Shaming"
Im August 2018 veröffentlichten unbekannte Personen eine Artikelserie über APT10. Sie nannten Namen von Personen, die mutmaßlich zu der Hackergruppe gehören sollten - und behaupteten, dass die Hacker für das chinesische Ministerium für Staatssicherheit arbeiten würden. Als Beweis diente unter anderem eine Quittung des Fahrdienstes Uber, die an einer Adresse in der Hafenstadt Tianjin endete, von der aus eine lokale Zweigstelle des Ministeriums arbeiten soll. Inhaltlich konnte die IT-Sicherheitsfirma Crowdstrike zumindest Teile des Blogartikels, der sich Intrusion Truth nennt, verifizieren. Die Beziehung zum chinesischen Staat bleibt aber unbestätigt.
Doch eine frühere Veröffentlichung der Blogbetreiber erwies sich als inhaltlich korrekt. Das US-Justizministerium klagte im November 2017 drei chinesische Staatsbürger an, amerikanische Unternehmen gehackt zu haben. Zuvor hatte Intrusion Truth die Firma und Personen als chinesische Hacker enttarnt. Kurz nach der Anklage löste sich die Firma, für die die Hacker gearbeitet haben sollen, auf. Anfragen der SZ ließen die Blogbetreiber unbeantwortet.
Seit 2014 verfolgen die USA eine Strategie, die Experten als "Naming und Shaming" bezeichnen. Damit werden zwei Ziele verfolgt: Einerseits sollen die Akteure und die dahinterstehenden Regierungen, in diesem Fall China, unter Druck gesetzt werden. Andererseits geht es bei solchen Anklagen darum, der Öffentlichkeit zu zeigen, wie genau man solche Spionage-Operationen im Blick hat.
