Eine mysteriöse Hackergruppe hat mehrere Datensätze veröffentlicht (hier als Übersicht), aus denen hervorgehen soll, dass der US-Geheimdienst NSA Teile des globalen Geldverkehrs ausspioniert hat. Ebenfalls enthalten sind Werkzeuge, mit denen die Elite-Hacker der NSA wohl Windows-Betriebssysteme übernehmen konnten.
Die Hacker nennen sich Shadowbrokers - in Anlehnung an das Computerspiel Mass Effect - und sind seit August 2016 unter diesem Namen aktiv. Ob und von wem sie Befehle erhalten, ist unklar. Sicher ist nur: Jede Veröffentlichung hat das Potenzial, die US-Beziehungen sowohl zur internationalen Gemeinschaft als auch zu amerikanischen Technik-Konzernen massiv zu beschädigen.
Bislang haben die Hacker von Shadowbrokers in fünf Veröffentlichungen Daten und Werkzeuge ins Netz gestellt, die dem US-Geheimdienst zugerechnet werden. In den technischen Werkzeugen sind geheime Informationen enthalten, die sich anhand der vom Whistleblower Edward Snowden geleakten Dokumente unabhängig überprüfen lassen - und damit die NSA-Urheberschaft zu belegen scheinen.
Gestohlene Zugänge, interne Infrastruktur
Im aktuellen Datensatz enthalten ist ein Ordner mit dem Namen Swift. Über dieses System wird der globale Geldverkehr geregelt. Powerpoint-Präsentationen und Excel-Tabellen geben Aufschluss über Tausende gestohlene Zugänge von Mitarbeitern und Administratoren von einem Anbieter für Swift-Systeme. Für 16 Zugänge wird im Dokument angedeutet, dass der Geheimdienst bereits "sammelt", also seine Schadsoftware erfolgreich installiert hat und den Zahlungsverkehr beobachten kann.
Außerdem wussten die Hacker anscheinend Bescheid, wie die interne Infrastruktur dieses Anbieters beschaffen war, wie der IT-Sicherheitsforscher Matt Suiche in einem Blogpost schreibt. Über eigens geschriebene Programme konnten die Hacker gezielt nach Swift-Zahlungen suchen. Alles in allem hätten die Angreifer "volle Kontrolle", oder, wie Suiche auf Nachfrage sagt: God's eye; das Auge Gottes, das alles sieht.
Der offenbar überwachte Anbieter heißt Eastnets und betreut in erster Linie den Geldtransfer von Banken aus dem Nahen Osten. In einem Statement hat die Firma sämtliche Vorwürfe abgestritten. Ein "kompletter Check" der Systeme sei zu dem Ergebnis gekommen, dass es keinen Hacker-Angriff gegeben habe. Auf die detaillierten Informationen geht das Statement jedoch nicht ein. Ein Sprecher von Swift teilte der Nachrichtenagentur Reuters mit, dass es keine Anzeichen eines Hacker-Angriffs auf das zentrale Netzwerk gegeben habe.
Besonders sensibler Zeitpunkt
Der Spiegel veröffentlichte Ende 2013 Informationen über eine Datenbank namens "Tracfin", in der auch Swift explizit erwähnt wird. 2012 war bekannt geworden, dass die USA eine Schadsoftware geschrieben hatte, mit der gezielt Banken aus dem Libanon ausspioniert werden sollten. Zusammen genommen geben diese Dokumente also Aufschluss über mehrere Versuche der USA, den Geldverkehr auszuspionieren.
Für die USA kommt die Veröffentlichung zu einem besonders ungünstigen Zeitpunkt. Derzeit wird dort ermittelt, ob die Regierung in Nordkorea ebenjenes Swift-System geknackt hat und dabei bis zu einer Milliarde Euro klauen wollte - und an einem Rechtschreibfehler scheiterte. In den nun veröffentlichten Dokumenten finden sich zwar keine Anzeichen für eine Manipulation des Geldverkehrs, dafür aber für eine Spionageaktion.
Was Windows-Nutzer tun müssen
Ebenfalls in dem Datensatz enthalten sind Informationen über Schwachstellen in Windows-Betriebssystemen. Sie versetzten IT-Sicherheitsforscher weltweit in Alarmbereitschaft. Matthew Hickey demonstrierte, dass es mit den von Shadowbrokers veröffentlichten Werkzeugen möglich war, mehrere Versionen von Windows zu übernehmen.
Eines der Werkzeuge wurde als besonders praktisch beschrieben, da mit ihm automatisch mehrere Angriffswege getestet werden konnten - sehr praktisch in der Bedienung. Hickey beschrieb die veröffentlichten Dokumente in Summe als "einfachen Weg", um sich als Angreifer in fremde Netzwerken einzuklinken - trotz hoher Nutzerrechte. Auf dem Schwarzmarkt wären diese Werkzeuge zwei Millionen US-Dollar wert gewesen, schätzt Chaouki Bekrar, dessen Firma Geld für solche Instrumente ausgibt.
Microsoft hat Schwachstellen bereits beseitigt
Erst als sich Microsoft per Blogpost zu Wort meldete, beruhigte sich die Lage ein wenig. Der Konzern teilte mit, dass die Schwachstellen bereits beseitigt wurden. Das entsprechende Update wurde Anfang März veröffentlicht.
Da diese Updates automatisch eingespielt werden, müssen sich Windows-Nutzer keine Sorgen machen (sofern sie diese Funktion nicht deaktiviert haben). In Firmen prüfen IT-Abteilungen Updates erst manuell. Sie wollen sicherstellen, dass alle Programme weiterhin funktionieren. Diese Firmen könnten nun - sofern das Update noch nicht installiert ist - von Hackern angegriffen werden.
Weigerte sich die NSA, Informationen weiterzugeben?
Doch woher weiß ein Konzern wie Microsoft, auf welchen Hacking-Instrumenten ein Geheimdienst sitzt? Für die NSA ist diese Frage besonders heikel. Denn von ihr hängt ab, ob sich das Verhältnis zwischen Technikfirmen und der Regierung in Zukunft verbessert oder verschlechtert.
Das für den Dienst denkbar schlimmste Szenario wäre, dass die NSA Informationen über kritische Schwachstellen in amerikanischen Produkten nicht an die Unternehmen weitergegeben hat - obwohl sie offenbar seit mehr als drei Monaten wusste, dass ihr genau diese Hacking-Werkzeuge geklaut worden waren.
Absolute Verschwiegenheit stünde in dieser Variante über der Sicherheit von Hunderten Millionen Nutzern. Das wäre besonders heikel für einen Geheimdienst, der sich damit brüstet, 91 Prozent aller Schwachstellen an betroffene Firmen weiterzugeben.
Doch die Frage, wer wann welche Informationen zurückhielt oder weitergab, bleibt ungeklärt. Microsoft teilte zwar mit, dass sich keine Person oder Regierungsorganisation - also auch nicht die NSA - gemeldet hätte, um den Konzern vor den nun veröffentlichten Schwachstellen zu warnen. Gleichzeitig aber gibt Microsoft nicht preis, woher die Informationen stammen (normalerweise steht das hier).
Seit 2003 veröffentlicht der Konzern einmal monatlich Sicherheitsupdates. Im Februar - also kurz nachdem die Namen der NSA-Werkzeuge bekannt wurden - fiel dieses Update aus. In "letzter Minute" sei etwas dazwischen gekommen. Über die genauen Hintergründe dürfte noch länger gerätselt werden.
Shadowbrokers deuten weitere Veröffentlichungen an
Nach dem Wahlsieg von Donald Trump hatten sich die Shadowbrokers Anfang Januar 2017 schon aus der Öffentlichkeit verabschiedet. Ursprünglich hatten sie versucht, ihr gesamtes geklautes Material für eine Million Bitcoin (das entsprach seinerzeit mehr als einer halben Milliarde US-Dollar) zu versteigern. Ihr Vorhaben schlug fehl. Später boten sie einzelne Pakete zum Kauf an.
Mit den Raketenangriffen auf einen syrischen Militärstützpunkt und der damit einhergehenden Erkenntnis, dass sich die Beziehungen zwischen Russland und den USA unter Trump nicht zwangsläufig verbessern werden, haben sich die Shadowbrokers nun zurückgemeldet. Sie schließen ihre Botschaft - wie immer in gebrochenem Englisch - mit dem Satz: "Wer weiß, was wir das nächste Mal dabei haben werden?"
