Auf Seite 134 der Anklageschrift des US-Justizministeriums ist in einer Grafik übersichtlich eine Auswahl der gesammelten Beweise aufgelistet. Ganz oben links im Bild zu sehen ist ein Mann. Sein Name ist Jin Hyok Park, und er soll für drei der spektakulärsten Hackerangriffe der vergangenen Jahre verantwortlich sein.
Alle Pfeile, die von Park wegführen, enden bei Angriffen, die weltweit Systeme lahmlegten, Schaden in Millionenhöhe verursachten und in einem Fall Spekulationen auslösten, ob Menschen ihretwegen gestorben seien. (Bis heute gibt es darüber keinen bestätigten Fall.) Die Angriffe kann man als Best-Of einer Hackergruppe bezeichnen, die IT-Sicherheitsforscher "Lazarus" nennen. Auch Park soll ihr angehören. Doch es geht um mehr als gewöhnliche Cyberkriminalität: Lazarus soll im Auftrag des Staates Nordkorea hacken.
Wanna Cry:Die mühsame Jagd auf Lazarus
Tief im Code der Erpresser-Software finden Experten eine mögliche Spur zu Hackern aus Nordkorea. Doch die Beweisführung ist schwierig.
Im Visier der Hacker: der globale Geldverkehr
Im Visier der Hacker standen unter anderem der globale Geldverkehr - Nordkorea versuchte, eine Milliarde Dollar über das Bezahlsystem Swift zu erbeuten und scheiterte wegen eines Rechtschreibfehlers -, aber auch das Filmstudio Sony Pictures Entertainment als Rache für eine Hollywood-Satire und US-Rüstungskonzerne. Auch der Angriff mit der Erpresser-Software Wannacry stamme von der Lazarus-Gruppe. Wannacry sperrte und infizierte Hunderttausende Rechner in mehr als 150 Ländern. Betroffen waren vor allem Privatpersonen - aber auch Unternehmen wie die Deutsche Bahn und Renault. Von diesem Angriff waren insbesondere Kliniken in Großbritannien betroffen, fast 7000 Termine von Patienten mussten abgesagt werden.
Dass Nordkorea hinter diesen Cyberangriffen stecke, haben amerikanische und britische Regierungen schon im vergangenen Jahr erklärt. Auch IT-Sicherheitsfirmen haben wiederholt Berichte veröffentlicht, die das nahelegten. Der US-amerikanische Thinktank CSIS schreibt, dass diese Gruppe für bedeutende Hacking-Operationen zuständig sei.
Aber erst jetzt geht die US-Regierung juristisch gegen einen Hacker aus Pjöngjang vor - ein Novum. Die Grafik, die die Regierung präsentiert, soll zeigen, dass die USA mittlerweile eine aggressive Strategie fährt. Die Botschaft: Alle Nationen, die mit digitaler Spionage oder gar Sabotage gegen die USA vorgehen wollen, werden enttarnt, angeklagt und somit öffentlich unter Druck gesetzt - das dürfte zumindest das Kalkül der Amerikaner sein.
Park soll Zugang zu einer Vielzahl von E-Mail-Adressen gehabt haben, die allesamt in Verbindung mit den großen Angriffen stehen. In der Anklage wird ab Seite 130 detailliert herausgearbeitet, was über Park bekannt ist: Der 34-jährige soll an der Technischen Universität Kim Ch'aek in Pjöngjang studiert haben und mehrere Programmiersprachen beherrschen. Zwischen 2011 und 2013 soll er in China für die Firma "Chosun Expo Joint Venture" gearbeitet haben. Dabei soll es sich nach Angaben der US-Regierung um eine Scheinfirma handeln, hinter der die nordkoreanische Regierung stecke. Das gehe aus Aussagen nordkoreanischer Dissidenten hervor und aus Informationen von ausländischen Ermittlern.
Park soll es nicht geschafft haben, seine Spuren effektiv zu verwischen
Die Regierung kann Park vor allem deshalb beim Namen nennen und anprangern, weil es ihm trotz aller Versuche nicht immer gelungen sei, seine Spuren zu verwischen. Den Ermittlern liegen Mails vor, die Jahre zurückliegen, deutlich vor den ersten Hacking-Operationen.
Park habe demnach seine private Mail-Adresse verwendet, um mit Passwörtern geschützte Dokumente an jene Adresse zu schicken, die für Hacking-Operationen verwendet wurde und zu der er Zugang gehabt haben soll. Er habe auch über mindestens zwei E-Mail-Konten hinweg Informationen mit Gesprächspartnern darüber geteilt, wann er sich in einer chinesischen Provinz an der Grenze zu Nordkorea aufgehalten habe - dort hat die Scheinfirma ihren Sitz. Koreanischsprachige FBI-Ermittler haben den Schreibstil analysiert und erkannt, dass vor allem Wörter verwendet wurden, die in Nordkorea üblich sind.
Park ist der einzig namentlich genannte Angeklagte. Doch aus dem Dokument geht deutlich hervor, dass das FBI sich ein umfassendes Bild der Hacking-Gruppe verschaffen konnte. Unter anderem ist es den FBI-Ermittlern gelungen, gelöschte E-Mail-Anhänge wiederherzustellen. Darin befand sich eine Datenbank, aus der sich herauslesen lässt, welche Systeme mit Trojanern infiziert worden waren, teils aufgeschlüsselt nach einzelnen Rechnern. Zwei Jahre später veröffentlichte die IT-Sicherheitsfirma McAfee einen Bericht über eine Cyberattacke auf südkoreanische Banken. Beide Listen überlappten stark, sprich: Es besteht Grund zur Annahme, dass die Liste aus 2011 jene Liste voller Ziele ist, die die nordkoreanischen Hacker abgearbeitet haben.
Zu den Aufgaben von Nordkoreas Hackern gehört es nicht nur, digitale Spionage zu betreiben, sondern auch Geld zu verdienen. Bis zu 100 000 Dollar sollen sie pro Jahr erwirtschaften, zehn Prozent davon dürfen sie behalten. Das Land wird international mit Sanktionen überzogen, deshalb ist diese kriminelle Einnahmequelle wichtig für das Regime. Durch Hacker-Angriffe soll auch das Atomwaffenprogramm finanziert werden. Park Jin Hyok ist also nicht nur eine außenpolitische Waffe, er ist auch ein Devisenbeschaffer.