Datendiebstahl bei Fireeye: Wenn Hacker-Jäger selbst gehackt werden

Eine der renommiertesten IT-Sicherheitsfirmen der Welt wurde gehackt. Die Angreifer dürften interessante Werkzeuge für ihr Arsenal gefunden haben.

Dieses Mal hat es Kevin Mandia selbst erwischt. Sein Unternehmen Fireeye jagt Hacker, Fireeye ist eine der bekanntesten Cybersicherheits-Firmen der Welt. Sie hat die US-Wahlen abgesichert, und Nationalstaaten rufen seine Teams, wenn internationale Hackerangriffe aufgedeckt werden sollen. Nun muss Mandia aber nicht über ein gehacktes Land berichten, sondern über das eigene Unternehmen. Fireeye ist selbst gehackt worden, und zwar von einem ziemlich raffinierten Angreifer, wie Mandia betont und wohl betonen muss, schließlich steht seine Firma für Cyber-Verteidigung. "Die Disziplin, die Operational Security und die verwendeten Techniken deuten darauf hin, dass der Angreifer von einem Nationalstaat unterstützt wurde", schreibt er im Blog des Unternehmens.

Mandia gründete 2004 Red Cliff Consulting, das Unternehmen wurde später in Mandiant umbenannt. Dann wurde Mandiant von Fireeye gekauft, heute ist er CEO des Gesamtkonzerns. Seine 25 Jahre Erfahrung im Geschäft lassen ihn nun annehmen, dass nur Elite-Angreifer hinter dem Hack stecken können. Der Hack sei genau auf Fireeye zugeschnitten, inwiefern verrät das Unternehmen allerdings nicht. Er habe das FBI eingeschaltet. Im Normalfall ziehen staatliche Behörden Unternehmen wie Fireeye hinzu, um Cyber-Vorfälle aufzuklären. Jetzt ist es umgekehrt.

Dabei ist kaum zu erwarten, dass das FBI mehr technisches und personelles Know-how hat, um den Fall aufzuklären. Tatsächlich dürfte es eher um politische Unterstützung gehen. Denn unter Verdacht stehen russische Hacker. Fireeye selbst hat Russland nicht bezichtigt, und will sich auch auf Nachfrage der SZ nicht festlegen, doch auf die Beschreibung der Angreifer durch das Unternehmen passen nur wenige Nationalstaaten. Zu solchen Top-Angreifern zählen nur: Die USA selbst, China und eben Russland. Der New York Times zufolge hat das FBI den Fall an die eigenen Russland-Spezialisten übergeben.

Digitales Waffenarsenal geplündert

Fireeye zufolge haben die Hacker in erster Linie das digitale Waffenarsenal der Firma geplündert, die "Red-Team"-Werkzeuge. Red Teams sind von Unternehmen beauftragte "gute" Hacker, die versuchen, die IT-Sicherheit der Unternehmen in sogenannten Penetrationstests zu überwinden, die vorab abgesprochen worden sind. Dafür nutzen sie Werkzeuge, die jenen ähneln, die kriminelle Hacker für ihre Raubzüge verwenden. Die digitalen Werkzeuge von Fireeye könnten für Staatshacker praktisch sein, sagte der Ex-NSA-Hacker Patrick Wardle der Times: "Mit den Fireeye-Werkzeugen könnten die Hacker Hochrisikoziele angreifen - ohne großes Risiko, selbst entdeckt zu werden."

Identifiziert werden die fähigsten Hackergruppen jeweils durch die bei ihren Angriffen verwendeten Tools und Techniken. Neue, für Raubzüge unverbrauchte Tools können deshalb durchaus ein guter Fang für die Hacker sein. Auch Fireeye betont, dass es die Hacker wohl auf diese Tools abgesehen hatten.

Es scheint jedoch unwahrscheinlich, dass die mutmaßlich russischen Angreifer es ausschließlich auf ein die firmeneigenen Hacker-Werkzeuge abgesehen haben. Schließlich haben sie gezeigt, dass sie auch ohne diese fähig sind, in das Netzwerk von Fireeye einzubrechen. Für Hacker dürften auch interne Berichte des Unternehmens sehr interessant sein, etwa forensische Analysen über vergangene Angriffe auf Nationalstaaten, aber auch Berichte über Penetrationstests. Nicht alle der von Fireeye untersuchten Firmen werden alle entdeckten Sicherheitslücken sofort geschlossen haben. Solche Informationen könnten den Hackern auf späteren Raubzügen nützen. Fireeye zufolge gibt es aber bislang keine Anzeichen dafür, dass solche Daten auch abgeflossen sind.

Als CEO eines börsennotierten Unternehmens verweist Kevin Mandia in dem Blogeintrag auf US-Wertpapiergesetze, wonach seine Sätze als "vorausschauende Aussagen" zu verstehen seien. Heißt börsenrechtlich gesehen: Der Wissensstand kann sich jederzeit ändern. Spätestens, wenn Daten und digitale Einbruchswerkzeuge von Fireeye bei spektakulären Hacks verwendet werden.