IT-Security: Geheimdienste bloßstellen

Sicherheitsfirmen enttarnen Hacker-Angriffe, die viele lieber verschweigen würden. Doch das Geschäft ist lukrativ. Der Großteil der Hacker kommt aus Russland, China und Iran. Über die USA und europäische Staaten gibt es nur wenige Berichte - und das hat Gründe.

Insgeheim hatten alle Bescheid gewusst, sagt Kevin Mandia. Der Chef der IT-Sicherheitsfirma Fireeye erklärte 2014, warum seine Firma einen 60-seitigen Bericht über eine Hacking-Operation der chinesischen "Volksbefreiungsarmee" veröffentlichte: "Bei uns arbeiten einige Leute, die früher im Militär waren. Und, ehrlich gesagt: Jeder wusste, dass die Chinesen diese Angriffe durchführten, aber niemand konnte wirklich darüber sprechen." Also habe man den Bericht veröffentlicht, "damit diese Information ans Licht kommt".

Die Analyse tauchte weltweit in Zeitungsartikeln auf. Die chinesische Regierung stritt alles ab. Das Weiße Haus unter Barack Obama erklärte, wiederholt Besorgnis über solche Hackerangriffe in Gesprächen mit der höchsten Ebene in China ausgedrückt zu haben. Der Bericht des Unternehmens zwang die mächtigsten Regierungen zum Handeln.

IT-Sicherheitsfirmen, die Angriffe von Hackern analysieren, befinden sich in einer außergewöhnlichen Situation. Sie veröffentlichen Informationen in einem Bereich, in dem eigentlich alle schweigen wollen: Die gehackten Unternehmen, weil sie einen Imageschaden befürchten, und die Hacker, weil sie eben für Geheimdienste arbeiten und munter hacken wollen. Ein Mitarbeiter einer IT-Sicherheitsfirma sprach einmal davon, dass seine Branche Geheimdienst-Hacker vor aller Welt blamieren könne. Denn wenn die kommerziellen Analysten sie aufspürten, wirke das wie die Botschaft: "Wir haben euch gefunden. Wir wissen, wonach ihr gesucht habt." Und jetzt wisse es die ganze Welt.

Wie also gehen IT-Sicherheitsfirmen vor, wenn sie solche Berichte schreiben? Und welche Rolle spielen die Berichte auf politischer Ebene? Um diese Fragen zu beantworten, hat die Süddeutsche Zeitung mit mehr als einem Dutzend Personen gesprochen. "Die Berichte sind auf jeden Fall politisch", sagt Florian Egloff, der am Center for Security Studies an der ETH Zürich zu Cybersicherheit forscht. Man müsse sich nur überlegen, was in der Öffentlichkeit überhaupt über Konflikte bekannt sei, die im digitalen Raum stattfinden. "Der Wissensstand liegt meist niedrig. Also schaffen diese Berichte eine Realität."

Für Staaten ist Hacking ein zentrales Instrument der Spionage. Mit digitalen Einbrüchen kommen sie an Informationen, die Staaten und Firmen schützen wollen. Der Vorteil: Man muss keine menschlichen Spitzel mehr einschleusen oder anwerben, die erst überzeugt werden müssen, sensible Dokumente zu klauen. Doch digitale Spionage hat einen großen Nachteil. Sie kann Spuren in den Netzen von Firmen und Staaten hinterlassen. Deshalb können IT-Sicherheitsexperten die Angriffe zurückverfolgen. So analysierte Mandias Team 2672 Einbrüche seit 2006, bevor es den Bericht zum chinesischen Militär veröffentlichte. Solche Berichte können politische Krisen auslösen, aber sie schaffen auch Transparenz. Die Öffentlichkeit weiß durch sie, wie Hacker arbeiten.

Eindrucksvolle Berichte bringen den Unternehmen zahlende Kunden

Lee Foster leitet bei der IT-Sicherheitsfirma Fireeye ein Team von Analysten, das sich um Kampagnen kümmert, die mit manipulativen Artikeln die Meinung der Öffentlichkeit in einem bestimmten Land beeinflussen sollen. Sein Team deckte ein Netz von Accounts auf, das im Bericht als "iranisch" beschrieben wird und unter anderem in den USA aktiv gewesen sein soll. Foster betont, dass der Staat im Bericht nicht beschuldigt wird. Die Analysten seien sich nicht sicher genug gewesen. Die Aufklärung solcher Kampagnen basiere auf Hinweisen und sei selten vollständig.

Fireeye habe den Bericht veröffentlicht, damit Dritte die Analyse mit ihrer Expertise ergänzen. Sowohl Google als auch Facebook veröffentlichten solche Berichte. Sie gehen bei der "Attribution" - dem Fingerzeig auf einen mutmaßlich Schuldigen - einen Schritt weiter: der iranische Staatsfunk sei für die Aktionen verantwortlich.

Natürlich geht es den Firmen um mehr. "Alle benutzen das als Marketing", sagt ein IT-Sicherheitsexperte, der bei einem Dax-Konzern arbeitet. Um offen reden zu können, will er - wie andere Fachleute - anonym bleiben. "Jede Firma will zeigen, was sie auf dem Kasten hat." Eindrucksvolle Berichte bringen Firmen Kunden, fahrlässig geschriebene, deren Aussagen von anderen widerlegt werden, lassen Firmen unseriös erscheinen und schrecken ab. Die Kunden kaufen tiefergehende Analysen, die es als Abo und nur gegen Bezahlung gibt. Zudem haben die Unternehmen praktischerweise Produkte zur Erkennung von Angriffen im Angebot.

Der IT-Sicherheitsexperte aus dem Dax-Konzern führt aus, dass ihm persönlich egal sei, wer hinter einem Angriff steckt. "Es macht keinen Unterschied, ob ich einen Angreifer aus China, Russland oder den USA im Netz habe. Der muss da raus." Teilweise verheimliche er Vorgesetzten solche Informationen sogar, sonst gebe es nur Irritationen: "Die fragen dann recht naiv, ob wir nicht in der Botschaft anrufen können, damit die aufhören."

Bei besonders sensiblen Berichten findet manchmal ein informeller Austausch zwischen Unternehmen und auch mit Sicherheitsbehörden statt, erzählen zwei IT-Sicherheitsexperten unabhängig voneinander. Viele Fachleute sind vernetzt, zum Beispiel, weil sie früher für den Staat gearbeitet haben. "Es gibt eine Art Prüfprozess, der über Jahre gehen kann. Informationen gelangen ins behördliche Umfeld, werden dort weiterverfolgt, und dann wird unsere Einschätzung bestätigt oder eben nicht." Ein Mitarbeiter einer deutschen Sicherheitsbehörde bestätigte diesen Prozess.

Joe Slowik warnt davor, die politischen Auswirkungen der Berichte zu unterschätzen. Er arbeitete für die US Navy an offensiven Cyberaktionen. Momentan kümmert er sich bei Dragos um die IT-Sicherheit kritischer Infrastrukturen. Dazu zählen Konzerne, die Stromnetze betreiben. Privatfirmen seien selten in einer Position, einen Angriff zuordnen zu können, sagt er. "Solche Zuweisungen können Öl in das ohnehin schon lichterloh tobende Feuer der diplomatischen Beziehungen gießen."

IT-Sicherheitsforscher haben Zweifel, dass sich Regierungen von den Berichten politisch beeinflussen ließen. "Die Leute bei den Unternehmen sind keine Politik-Experten. Wenn sie ihre Berichte abgeben, wird die US-Regierung nur 'Viel Glück' antworten und nichts weiter", sagt einer, der für US-Geheimdienste arbeitete. Sicherheitsbeamte würden die Berichte lediglich zur Kenntnis nehmen. Der Großteil der 150 Gruppen, die im Auftrag von Staaten hacken sollen, kommt aus Russland, China, Iran. Dass es wenig Berichte über die USA und europäische Staaten gebe, habe mehrere Gründe. Einer davon: "Wir sind besser als die", sagt der Ex-Geheimdienstler. Amerikanische Hacker verwischen ihre Spuren sorgfältiger.