bedeckt München 22°

Digitale Angriffe:Wie sich die USA und Iran im Cyberspace bekämpfen

U.S. Navy F-18 Hornets are seen off the wing of a U.S. Air Force B-52H Stratofortress assigned to the 20th Expeditionary Bomb Squadron, part of the Bomber Task Force deployed to the region, while conducting joint exercises in Arabian Sea

Klassische Abschreckung: F-18-Kampfflugzeuge der US-Marine im Hintergrund sowie ein Langstreckenbomber vom Typ B-52H Stratofortress, die Triebwerke im Vordergrund. Längst setzen die USA aber auch auf Cyber-Methoden im Kampf gegen Iran.

(Foto: U.S. Navy/Reuters)
  • Ein Militärschlag der USA gegen Iran wurde in letzter Minute verhindert, eine zur gleichen Zeit geplante Cyberattacke auf das Land fand dennoch statt.
  • Es ist der jüngste Schlag eines seit Jahren andauernden digitalen Konflikts zwischen den Ländern, der spätestens mit dem Stuxnet-Virus vor rund zehn Jahren begann.
  • Der Stuxnet-Angriff auf iranische Uran-Zentrifugen zeigte der Welt im Jahr 2010, wie effektiv digitale Sabotage sein kann, und löste Irans digitale Aufrüstung aus.

Die Flugzeuge waren bereits in der Luft, die Kriegsschiffe mit Lenkraketen in Stellung. Doch die Aussicht auf bis zu 150 Tote hielt Oberbefehlshaber Donald Trump in letzter Minute doch noch von einem Militärschlag gegen Iran ab. So berichtete es die New York Times vor zehn Tagen unter Berufung auf namentlich nicht genannte Quellen in der Regierung. Der Präsident bestätigte die Meldung via Twitter.

Ein anderer, deutlich leiserer Angriff wurde vom US-Präsidenten hingegen nicht gestoppt. Einen Tag später berichtete die Washington Post, dass die USA Cyberattacken auf Ziele in Iran durchgeführt hätten. Demnach seien mit dem gezielten Angriff Raketenkontrollsysteme der iranischen Armee lahmgelegt worden. Unter IT-Sicherheitsexperten entwickelte sich sogleich eine Debatte über Sinn und Unsinn eines Cyberangriffs auf Iran. Diverse Kommentatoren warnten davor, dass die USA damit ihre Karten zu offen zeigten, und sich damit die Möglichkeit nähmen, die selben Sicherheitslücken in der Zukunft wieder auszunutzen.

Debatte über "verbrannte" Sicherheitslücken

Die Sorge ist nicht komplett unberechtigt. Staaten wissen häufig als einzige von Sicherheitslücken in viel genutzten Systemen - sogenannte Zero-Day-Lücken - um sich auch ohne Phishing-E-Mails oder infizierte USB-Sticks Zugang zu verschaffen. Einmal genutzt, ist das Wissen jedoch schnell "verbrannt", weil sich Gegner darauf einstellen und ihre Systeme schützen können.

Ryan Kalember, den Chef der Abteilung Cyberstrategie der IT-Sicherheitsfirma Proofpoint, überzeugt das Argument aber nicht. Es sei zum Beispiel nicht ausgemacht, dass das Cyber-Kommando der US-Armee überhaupt unbekannte Sicherheitslücken nutzen musste, um die Raketensysteme auszuschalten. "Das ist zwar Spekulation, aber tatsächlich sind viele dieser militärischen Systeme alt und werden nie geupdated, die Netzwerke sind nicht gut voneinander getrennt."

Die jüngste Cyberattacke der USA ist ein weiteres Kapitel eines lange schwelenden digitalen Konflikts zwischen den beiden Staaten. Nach Einschätzung von Jens Monrad, Europachef der Analyseeinheit der amerikanischen IT-Sicherheitsfirma Fireeye, habe dieser im Prinzip bereits 2009 begonnen. Damals gelang es den USA und Israel wohl, die hochkomplexe Schadsoftware Stuxnet in einer iranischen Anlage zur Anreicherung von Uran zu platzieren. Diese Software manipulierte die Zentrifugen, die das Uran schleudern, sodass sie kaputtgingen. Das iranische Atomprogramm wurde deutlich verlangsamt. Es war der erste groß angelegte Hack, bei dem Industrieanlagen physisch beschädigt wurden.

Geheimer Plan gegen Irans Infrastruktur

Stuxnet zeigte, welche Wirkung ein gut geplanter digitaler Angriff haben kann. 2016 wurde dann bekannt, dass das US-Militär für den Fall eines Scheiterns des Atomabkommens mit Iran vorgesorgt hatte. Etliche Millionen Dollar und die Arbeit Tausender Militärvertreter flossen in die Vorbereitung der Operation Nitro Zeus: Dahinter verbirgt sich ein ausgeklügelter Plan, der im Fall eines bewaffneten Konflikts Irans Luftabwehr, Stromnetze, und Kommunikationssysteme lahmlegen soll.

Der Angriff mit Stuxnet war zwar aus amerikanischer Sicht extrem erfolgreich, doch er wirkte auch als Katalysator für den Aufbau der iranischen Cyberkapazitäten. Vor Stuxnet, so sagt es Monrad, beschränkten sich die Iraner eher auf digitalen Vandalismus: Twitter-Konten oder Webseiten in verfeindeten Ländern hätten sie lahmgelegt oder sie übernommen und politische Botschaften auf ihnen platziert. Irans Cybereinheiten ähnelten damals, übertragen auf die analoge Welt, eher einer marodierenden Jugendbande.

Das hat sich geändert. Mittlerweile hat die Firma Fireeye gleich drei "Advanced Persistent Threats" (APT) beobachtet, die sie der iranischen Regierung zuordnet, sagt Monrad. APT sind Hackergruppen, hinter denen nach Einschätzung von Fireeye aufgrund ihrer ausgeklügelten Strategien und Ressourcen nur ein Nationalstaat stehen könne. Sie sind so etwas wie die Eliteeinheiten des globalen Hackings. Dazu kommen noch Akteure, die Monrad als "freie Mitarbeiter" des iranischen Hackerwesens bezeichnet: Cyberkriminelle, die sich auf Zuruf an Hacking-Aktionen im Interesse der Regierung beteiligen. Manche sind durch Geld motiviert, andere wollen gute Patrioten sein.

Mittlerweile hat auch Iran ein digitales Waffenarsenal und fähige Hacker

Im Jahr 2012 zeigte Iran zum ersten Mal, wie es seine Fähigkeit zum Angriff verbessert hatte. Die Schadsoftware Shamoon zerlegte die komplette IT-Infrastruktur von Saudi-Aramco, dem staatlichen Energieunternehmen Saudi-Arabiens. Mehrere Zehntausend Computer wurden damals von Angreifern unbrauchbar gemacht. "Wenn man sich die Shamoon-Attacke ansieht, wird deutlich, dass die Cyberfähigkeiten der Iraner zu diesem Zeitpunkt deutlich strukturierter abliefen. Sie hatten zum Beispiel begonnen, ihren eigene Schadsoftware zu entwickeln", sagt Monrad. Er geht auch davon aus, dass Iran zu diesem Zeitpunkt die Rekrutierung für die eigenen Cyberstreitkräfte professionalisiert hatte.

Heute verfüge Iran über ein gut entwickeltes digitales Waffenarsenal und fähige Hacker, um es einzusetzen. Zudem habe das Land auch die Liste der Ziele seiner Angriffe ausgeweitet. Zunächst wurden nur Ziele im Nahen Osten angegriffen, mittlerweile auch die USA und andere westliche Länder. 2011 griff eine iranische Gruppe etwa US-Banken massiv an, Kunden hatten Schwierigkeiten sich in ihre Bankkonten einzuloggen. Zur gleichen Zeit etwa versuchten iranische Hacker die Kontrolle über einen Damm in der Nähe von New York zu übernehmen.

Ryan Kalember von Proofpoint sagt, man dürfe das Können der Iraner nicht überbewerten, aber die Angriffe seien deutlich besser geworden. Besonders die Hartnäckigkeit, mit der sie "Social-Engineering-Attacken" durchführten, sei bemerkenswert. So verschafften sich iranische Hacker durch "Phishing-Mails" Zugang zur Arbeit von US-Wissenschaftlern, die zu Atomwaffen oder andere für Iran interessante Themen forschen. FireEye zufolge gab es seit Juni deutlich mehr von diesen gezielten Phishing-Attacken auf Ziele in den USA. Monrad sagt, das könnten Vergeltungsaktionen der iranischen Cyberstreitkräfte gegen die neuen Sanktionen der USA sein.

Auch Kalember sagt, dass die Gefahr einer zerstörerischen iranischen Cyberattacke in den USA grundsätzlich besteht. Attacken, die ganze Netzwerke auslöschen könnten, "sind vom technischen Standpunkt her keine Zauberei". Vor allem im häufig kaum geschützten zivilen Bereich in den USA könnte Iran damit eine Menge Schaden anrichten. Dass Iran dazu grundsätzlich in der Lage ist, hätte das Land inzwischen unter Beweis gestellt. Offen ist nur, ob Teheran ein Interesse hat, den Konflikt mit den USA auf diese Weise zu eskalieren.

Süddeutsche Zeitung Wirtschaft Angriff aus Fernost

Sicherheit im Netz

Angriff aus Fernost

Deutsche Geheimdienste und Firmen warnen vor Cyberattacken aus Ländern wie China. Doch sie sorgen sich auch wegen des Vorgehens der US-Regierung   Von Markus Balser