Als Ermittler des Landeskriminalamts Anfang Juli in Nordrhein-Westfalen die Stahltür aufbrechen, geht es ihnen darum, sensible Dokumente aus dem Internet zu entfernen. Die Staatsanwaltschaft aus Frankreich meldete sich kurz zuvor und bat darum, einen Server zu beschlagnahmen. Aus Sicht der französischen Behörden war die Offenlegung der Daten "geeignet, die nationale Sicherheit Frankreichs zu gefährden", wie die Landesregierung in NRW später mitteilen wird.
Der Server stand in einem linken Kulturzentrum in Dortmund. Das Zentrum bietet Housing-Dienste an, das heißt: Andere Anbieter können hier ihre Server unterbringen. Was auf diesen angeboten wird, darauf haben Mitglieder des Kulturzentrums keinen Einfluss. Sie wissen zum Zeitpunkt der Razzia offenbar nicht, dass auf einem der Server Dokumente zu Gefängnissen und auch kritischen Infrastrukturen enthalten sind. Zum Beispiel zum Atomkraftwerk Fessenheim, das in Frankreich steht, in der Nähe der deutschen Grenze.
IT-Sicherheit:Das brisante Geschäft mit der Jagd auf Hacker
IT-Sicherheitsfirmen enttarnen digitale Angriffe, über die Attackierte und Geheimdienste lieber schweigen würden. Die Berichte können politische Erschütterungen auslösen - und sollen den Unternehmen neue Kunden bringen.
Die Ermittler aus NRW sind erfolgreich. Zumindest insofern, als die Daten nach der Server-Beschlagnahmung nicht mehr in Deutschland angeboten werden. Doch kurze Zeit später kursiert ein Link im Darknet, also jenem Teil des Internets, der nur mit speziellen Web-Browsern zu erreichen ist. War vorher nur noch ein kleinerer Teil der Daten online, sind es nun mindestens 65 Gigabyte. Darunter sind Pläne zum Bau eines Hochsicherheitsgefängnisses, Unterlagen zu einem geplanten Atommüll-Endlager im Nordosten Frankreichs und persönliche Informationen zu mehr als 1200 Mitarbeitern des französischen Bauunternehmens Ingérop. Auch einige firmeninterne E-Mails sind Teil des Datenlecks. SZ, NDR und die französische Tageszeitung Le Monde konnten diese Daten auswerten.
Der Konzern Ingérop mit Hauptsitz in Rueil-Malmaison bei Paris arbeitet weltweit an großen Bauprojekten. Eines davon ist das Atommüll-Endlager Cigéo, das in Bure geplant wird, im Nordosten Frankreichs. Die Firma wird seit Monaten von Atomkraftgegnern heftig dafür kritisiert, dass sie sich an den Planungen und dem Bau eines unterirdischen Endlagers beteiligen. Zuletzt hatten sie in einem Blog dazu aufgerufen, geheime Informationen an die Öffentlichkeit weiterzugeben. Doch dabei könnte es sich um ein Ablenkmanöver handeln. Denn Ingérop betonte auf Nachfrage, dass der Hackerangriff bereits vor der öffentlichen Kampagne der Atomkraftgegner stattgefunden habe.
Sollten die Atomkraftgegner hinter dem Cyberangriff stecken, wäre es ein spektakulärer Fall des politischen Hacktivismus und eine weitere Eskalation des Protests. Eine digitale Racheaktion, die Druck auf Firmen aufbauen soll, die am Geschäft mit Atomenergie verdienen. Das Cigéo-Projekt befindet sich noch in der Planung und auch die Bundesregierung und mehrere angrenzende Bundesländer haben bereits ihr Interesse bekundet, im Zuge des Genehmigungsverfahrens gehört zu werden. In den Daten finden sich zahlreiche Dokumente mit Bezug zu dem Endlager. Darunter sind auch Dokumente, die nahelegen, dass Ingérop die Bauern in der dünn besiedelten Region in "kontrollierbar" und "nicht-kontrollierbar" eingeteilt hat. Es bleibt unklar, was die Begriffe genau bedeuten sollen.
Der Inlandsgeheimdienst ermittelt in Frankreich
Die knapp 11 000 Dateien enthalten Informationen zu mehreren Projekten. Die Entwürfe sind sehr detailliert und zeigen auch, an welchen Orten im Gefängnis Videokameras montiert werden sollten. Das Gefängnis wird zur Zeit gebaut. Allerdings hat Ingérop die Ausschreibung verloren. Generell lässt sich aber aus den Bauplänen ableiten, welche Anforderungen der französische Staat an solche Gebäude stellt.
In Frankreich ermittelt laut Justizkreisen der Inlandsgeheimdienst. Ein mögliches Zeichen dafür, wie ernst man dort den Vorfall einstuft. Das LKA erhoffte sich, auf den beschlagnahmten Servern Hinweise auf Täter zu finden. Beide Stellen lehnen es ab, sich öffentlich zu äußern, um die Ermittlungen nicht zu gefährden.
Es scheint, als hätten die Angreifer sich über E-Mails Zugang zu den Servern verschafft. Darauf deuten interne Mails hin, in denen Systemadministratoren bei Ingérop versuchen, Mitarbeiter auf verdächtige Mails hinzuweisen. Solche Mails können zum Beispiel einen Trojaner enthalten, der den Weg in das Netzwerk öffnet.
Meist gelingt es den Angreifern, sich unerkannt durch das Netzwerk zu bewegen und an Administratoren-Rechte zu gelangen. Diese Konten erlauben Zugriff auf eine Vielzahl von Daten. Das ist der größtmögliche Schaden - dazu ist es bei Ingérop wohl gekommen.