IT-Sicherheit:Das brisante Geschäft mit der Jagd auf Hacker

IT-Sicherheit: Wenn Staaten spionieren, setzen sie auf digitale Spitzel.

Wenn Staaten spionieren, setzen sie auf digitale Spitzel.

(Foto: Markus Spiske/Unsplash)
  • Wenn IT-Sicherheitsfirmen Berichte über Cyberangriffe veröffentlichen, kann das globale politische Konsequenzen haben.
  • Die Firmen agieren in einem Bereich, in dem staatliche Angreifer sowie betroffene Unternehmen und Organisationen gleichermaßen schweigen.
  • Staaten setzen immer stärker auf Hacking als zentrales Instrument der Spionage - und auf Kampagnen der Desinformation im Netz. Die Berichte der Analyseunternehmen enttarnen die Angriffe. Sie schaffen Transparenz - und sind gute PR für die Firmen selbst.

Von Hakan Tanriverdi

Kevin Mandia erzählte, wie er Weltpolitik gemacht hatte. Der Chef der amerikanische IT-Sicherheitsfirma Fireeye erklärte 2014 in einem Vortrag, warum er ein Jahr zuvor einen 60-seitigen Bericht über eine Hacking-Operation der chinesischen Volksbefreiungsarmee veröffentlicht hatte: "Bei uns arbeiten einige Leute, die früher im Militär waren. Und, ehrlich gesagt: Jeder wusste, dass die Chinesen diese Angriffe durchführten, aber niemand konnte wirklich darüber sprechen." Also habe man den Bericht veröffentlicht, "damit diese Information ans Licht kommt" (hier das Video).

Das Unternehmen aus Kalifornien mit mehr als 3000 Mitarbeitern ist auf die Abwehr von Cyberangriffen spezialisiert. Mit seiner Analyse der chinesischen Spionageaktion aber brachte es die mächtigsten Regierungen unter Zugzwang. Sie tauchte weltweit in Zeitungsartikeln auf. Die chinesische Regierung stritt alles ab. Das Weiße Haus unter Barack Obama erklärte, wiederholt Besorgnis über solche Hackerangriffe in Gesprächen mit der höchsten Ebene in China ausgedrückt zu haben.

"Und jetzt weiß es die ganze Welt"

IT-Sicherheitsfirmen, die Angriffe von Hackern analysieren, befinden sich in einer außergewöhnlichen Situation. Sie veröffentlichen Informationen in einem Bereich, in dem eigentlich alle schweigen wollen: gehackte Unternehmen, weil sie einen Imageschaden befürchten; gehackte Staaten, weil sie nicht alle Details in der Öffentlichkeit sehen wollen; und die Hacker, weil sie eben für Geheimdienste arbeiten und munter hacken wollen. Ein Mitarbeiter einer IT-Sicherheitsfirma sprach einmal davon, dass seine Branche Geheimdienst-Hacker vor aller Welt blamieren könne. Denn wenn die kommerziellen Analysten sie aufspürten, wirke das wie die Botschaft: "Wir haben euch gefunden. Wir wissen, wonach ihr gesucht habt. Wir wissen, wie ihr dabei vorgegangen seid und vielleicht sogar, warum ihr das getan habt. Und jetzt weiß es die ganze Welt."

Wie also gehen IT-Sicherheitsfirmen vor, wenn sie solche Berichte schreiben? Und welche Rolle spielen die Berichte auf politischer Ebene überhaupt? Um diese Fragen zu beantworten, hat die Süddeutsche Zeitung mit mehr als einem Dutzend Personen gesprochen. "Die Berichte sind auf jeden Fall politisch", sagt Florian Egloff, der am Center for Security Studies an der ETH Zürich zu Cybersicherheit forscht. Man müsse sich nur überlegen, was in der Öffentlichkeit überhaupt über Konflikte bekannt sei, die im digitalen Raum stattfinden. "Der Wissensstand liegt meist niedrig. Also schaffen diese Berichte eine Realität." Ein anderer IT-Sicherheitsexperte sagt: "Niemand ist so naiv. Alle wissen, dass diese Berichte politische Konsequenzen haben."

Der große Nachteil digitaler Spionage: Sie hinterlässt Spuren

Für Staaten ist Hacking ein zentrales Instrument der Spionage. Mit digitalen Einbrüchen kommen sie an Informationen, die Staaten und Firmen schützen wollen. Großer Vorteil: Man muss keine menschlichen Spitzel mehr einschleusen oder anwerben, die erst überzeugt werden müssen, sensible Dokumente zu klauen. Per Tastatur gibt man die Befehle einfach selber ein, Software wie Trojaner führen sie aus. Still, und ohne Widerstände.

Doch digitale Spionage hat einen großen Nachteil. Sie kann Spuren in den Netzwerken von Firmen und Staaten hinterlassen. Deshalb können IT-Sicherheitsexperten wie die von Fireeye die Angriffe zurückverfolgen. So analysierte zum Beispiel Mandias Team 2672 Einbrüche seit 2006, um den Bericht zum chinesischen Militär fertigzustellen. Solche Berichte können politische Krisen auslösen, aber sie schaffen auch Transparenz. Die Öffentlichkeit weiß dank ihnen, wie Hacker arbeiten.

Die Detektive des Informationskrieges

Die Unternehmen analysieren mittlerweile auch öfter eine zweite Variante des digitalen Angriffs: den Informationskrieg. Neben Hacking-Operationen gibt es zunehmend Versuche getarnter Akteure, durch das Verbreiten falscher Informationen die Meinung der Öffentlichkeit zu beeinflussen, teilweise werden staatliche Hacks von solchen Kampagnen begleitet. Die berüchtigte Troll-Fabrik aus Russland erreichte während des US-Wahlkampfs zum Beispiel bis zu 126 Millionen Amerikaner mit Geschichten, die die Nation weiter spalten sollten.

Lee Foster leitet bei der IT-Sicherheitsfirma Fireeye ein Team von Analysten, das sich um influence operations kümmert - jene Kampagnen, die mit manipulativen Beiträgen in digitalen Medien die Meinung der Öffentlichkeit in einem bestimmten Land beeinflussen sollen. Das Team von Foster deckte ein Netz von Accounts auf, das im Bericht als "iranisch" beschrieben wird und das unter anderem in Lateinamerika, USA und im Nahen Osten aktiv gewesen sein soll. Foster betont, dass der iranische Staat im Bericht nicht beschuldigt wird. Die Analysten seien sich nicht sicher genug gewesen, um einen Staat direkt verantwortlich zu machen

"Zwei bis drei Analysten haben bei uns an diesem Bericht gearbeitet", erzählt Foster. Die Aufklärung solcher Kampagnen basiere auf Hinweisen und sei selten vollständig. "Man kann Berichte nicht nur dann herausbringen, wenn man sich absolut sicher ist. Dann gäbe es überhaupt keine Berichte." Die Unternehmen entscheiden für sich selbst, wann der richtige Moment gekommen ist, um zu veröffentlichen.

Fireeye hat den Bericht auch herausgebracht, damit andere Stellen die Analyse mit ihrer Expertise ergänzen können. Sowohl Google als auch Facebook veröffentlichten später weitergehende Berichte. Beide Konzerne gehen bei der sogenannten Attribution - dem Fingerzeig auf einen mutmaßlich Schuldigen - einen Schritt weiter: Ihnen liegen nach eigenen Angaben Informationen vor, die nahelegen, dass der iranische Staatsfunk für die Aktion verantwortlich ist. Google löschte 39 Kanäle auf seinem Portal Youtube, Facebook 652 Konten, Seiten und Gruppen, die mit der Aktion in Verbindung stehen sollen.

Ale Firmen benutzen die Berichte für PR

Doch natürlich geht es den Firmen nicht nur selbstlos darum, die Welt sicherer zu machen. "Alle benutzen das als Marketing", sagt ein IT-Sicherheitsexperte, der bei einem Dax-Konzern arbeitet. Um offen zu reden, baten er und andere Fachleute um Anonymität. "Jede Firma will zeigen, was sie auf dem Kasten hat. Das ist Teil des Spiels und legitim." Eindrucksvolle Berichte bringen den Firmen nicht nur Schlagzeilen, sondern auch neue Kunden. Fahrlässig geschriebene Berichte, deren Aussagen von anderen Firmen oder einzelnen unabhängigen Fachleuten widerlegt werden, lassen Firmen unseriös erscheinen und schrecken Kunden ab.

Die Kunden, meist Unternehmen, kaufen tiefergehende Analysen ein, die es als Abo nur gegen Bezahlung gibt. Die Sicherheitsfirmen haben zudem praktischerweise Firewalls und andere Produkte zur Erkennung von Angriffen im Angebot, die andere Unternehmen direkt bei ihnen kaufen können.

Der IT-Sicherheitsexperte aus dem Dax-Konzern sagt, ihm persönlich sei egal, wer hinter einem Angriff steckt. Er sagt über die Sicherheits-Berichte: "Für uns ist das Quatsch und unnötiger Spin. Es macht keinen Unterschied, ob ich einen Angreifer aus China, Russland oder den USA im Netz habe. Der muss da raus." Teilweise verheimliche er seinen Vorgesetzten solche Informationen sogar, sonst gebe es nur Irritationen: "Die fragen dann recht naiv, ob wir nicht in der Botschaft anrufen können, damit die aufhören."

Für die Sicherheitsunternehmen hingegen gehört zur Analyse auch die Frage, wer hinter einem Angriff steckt. "Dieser politische Aspekt existiert nun einmal. Wir wollen herausfinden, was die Motivation der Gruppe ist", sagt eine Person, die öfter an solchen Berichten mitschreibt.

Informeller Austausch zwischen Unternehmen und Staat

Für besonders sensible Berichte finde manchmal ein informeller Austausch zwischen Unternehmen und auch Sicherheitsbehörden statt, erzählen zwei IT-Sicherheitsexperten unabhängig voneinander. Viele Experten seien vernetzt, zum Beispiel, weil sie früher für den Staat gearbeitet haben, erzählt einer von ihnen. "Es gibt eine Art Prüfprozess, der über Jahre gehen kann. Informationen gelangen ins behördliche Umfeld, werden dort weiter verfolgt und dann wird unsere Einschätzung bestätigt oder eben nicht." Ein Mitarbeiter einer deutschen Sicherheitsbehörde bestätigte diesen Prozess.

Manche Firmen gehen so weit, dass sie einen ihrer Mitarbeiter an Behörden ausleihen, erzählen zwei Experten. Das passiere eher in westlichen, auch deutschsprachigen Ländern. Der Grund: Die Produkte von IT-Sicherheitsfirmen sind weltweit auf bis zu Hunderten Millionen von Rechnern installiert. Manche Firmen wissen deshalb sehr genau Bescheid, wie Hacker in der Fläche vorgehen und für welche Konzerne, Regionen und Behörden sie sich interessieren.

Nach einer Sicherheitsüberprüfung arbeiten diese Personen dann in der Behörde mit den Daten ihrer Firma, auf die der Staat keinen direkten Zugriff hat. Oder die Behörde gibt dem externen Forscher aufgespürte Trojaner zur Analyse mit. Vor diesen Trojanern werden dann alle Kunden seines Unternehmens gewarnt.

Öl im "lichterloh tobenden Feuer der diplomatischen Beziehungen"

Joe Slowik arbeitete für die US Navy auch an offensiven Cyberaktionen. Er warnt davor, die politischen Auswirkungen der Berichte zu unterschätzen. Momentan kümmert er sich bei der Firma Dragos um die IT-Sicherheit kritischer Infrastrukturen, zum Beispiel von Konzernen, die Stromnetze betreiben. Privatfirmen seien selten in einer Position, einen Angriff zuordnen zu können, sagt er. "Solche Zuweisungen können Öl in das ohnehin schon lichterloh tobende Feuer der diplomatischen Beziehungen gießen."

Einen Fall, in dem eine eindeutige Zuordnung möglich war, beschreibt der Mitarbeiter der deutschen Sicherheitsbehörde: Bei einem Angriff aus Iran haben die Hacker anscheinend selbst das Produkt eines Antiviren-Herstellers verwendet. Der Hersteller konnte deshalb den Angriff entdecken und ihn sowohl auf Opfer- als auch auf Hackerseite beobachten.

Problematisch ist es Slowik zufolge, wenn es eine öffentlich verfestigte Meinung gebe, ein bestimmtes Land stecke hinter einem Angriff. Das könne Analysten in Behörden unter Druck setzen, vielleicht auch nur unbewusst. "Das könnte die interne Analyse verzerren, wenn das Ergebnis an die Erwartungen angepasst wird."

"'Viel Glück' und nichts weiter"

Mehrere IT-Sicherheitsforscher äußerten Zweifel daran, dass sich Regierungen von den Berichten politisch beeinflussen ließen. "Die Leute bei den Unternehmen sind keine Politik-Experten. Wenn sie ihre Berichte abgeben, wird die US-Regierung nur 'Viel Glück' antworten und nichts weiter", sagt einer, der früher für US-Geheimdienste arbeitete. Viele Firmen würden alles tun, um genau so viele Details wie die US-Regierung über bestimmte Hacker-Gruppen zu kennen. Sicherheitsbeamte würden die Berichte also lediglich zur Kenntnis nehmen.

Der Großteil der weltweit bekannten 150 Gruppen, die im Auftrag von Staaten hacken sollen, kommt aus Russland, China und Iran. Dass es nur wenige Berichte über die Angriffe der USA und europäischer Staaten gebe, liege nicht daran, dass die nicht hacken würden. Ein Grund: "Wir sind besser als die", sagt der Ex-Geheimdienstler und meint damit, dass amerikanische Hacker ihre Spuren sorgfältiger verwischen würden. Den zweiten Grund führt Florian Egloff an, der Forscher aus Zürich: "Die Sichtbarkeit der verschiedenen Firmen ist abhängig von ihrem Kundenstamm."

Zwei der Berichte über amerikanische Hacking-Operationen kamen von der russischen Firma Kaspersky. Auch chinesische Firmen fingen nun an, Berichte zu veröffentlichen, sagt Egloff: "Noch gibt es wenig zu westlichen Operationen." Aber auch von denen dürfte die Öffentlichkeit noch erfahren.

© SZ.de/jab
Zur SZ-Startseite
Computer Hacker

Russische Hacker
:Der Spion, der aus dem Rechner kam

Kaum ein Land beherrscht die Kunst des Hackens so wie Russland. Dieser Wissensvorsprung hat eine Vorgeschichte, die in Deutschland beginnt.

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB