Eine perfekte Waffe für Nordkorea
Erst der Sony-Angriff, dann der «Wannacry»-Virus – in jahrzehntelanger Arbeit hat sich das Entwicklungsland zu einer Hacker-Grossmacht hochgearbeitet. Der Westen verzweifelt über der Frage, wie er auf die Cyber-Schläge reagieren soll.
Zu vermuten ist, dass Nordkorea im Cyberspace die gleiche Strategie verfolgt wie bei seinen Raketen: testen, testen, testen. (Bild: KCNA / Reuters)
Cyberangriffe sind die ideale Waffe für ein isoliertes Land wie Nordkorea, das wenig zu verlieren hat: Sich das nötige Wissen und die Hardware für einen Angriff anzueignen, ist relativ einfach; der virtuelle Raum bietet eine gewisse Anonymität; und Nordkoreas Feinde sind viel verwundbarer als das Land selbst, weil das Internet und Computersysteme das Herzstück westlicher Gesellschaften bilden. Erpressungssoftware und virtuelle Währungen bieten dem von Sanktionen gebeutelten Land zudem die Chance, Finanzmittel aufzutreiben. Auch setzt Pjongjang darauf, dass die USA nicht aus Rache für einen Cyberangriff militärisch intervenieren würden.
Der erste grosse Erfolg
Doch die Gehversuche als Hacker blieben laut der «New York Times» lange so stümperhaft, dass die amerikanischen Nachrichtendienste Nordkoreas Hacker nur belächelten. Erst um das Jahr 2009 sei eine Wende erfolgt, sagt Ben Buchanan vom Cyber-Security-Projekt der Universität Harvard im Gespräch. Seitdem habe es eine beachtliche Aufholjagd gegeben. Nach der Machtübernahme von Kim Jong Un baute dieser die Cyber-Mission aus und fasste auch finanzielle und politische Ziele ins Auge.
Die Bemühungen gipfelten 2014 im erfolgreichen Angriff auf die Firma Sony Pictures, die eine Komödie über Kim veröffentlichen wollte – Majestätsbeleidigung in den Augen Pjongjangs. Dem Cyberangriff fielen 70 Prozent der Firmencomputer zum Opfer, pikante interne E-Mails gelangten in die Schlagzeilen. Es war ein Desaster für Sony Pictures und Pjongjangs erster Propagandacoup im Netz.
«Jahrelang hatten wir zu antizipieren versucht, welche kritischen Infrastrukturen einmal Opfer eines Cyberangriffs werden könnten», sagte John Carlin, bis vor kurzem amerikanischer Staatsanwalt für nationale Sicherheit, jüngst an einer Fachkonferenz. «Einen Angriff auf ein Filmstudio als Symbol für freie Meinungsäusserung hatten wir nicht auf dem Radar.» Auch andere hochkarätige Angriffe werden inzwischen Nordkorea zugeschrieben. Betroffen waren mehrere ausländische Finanzinstitute, darunter die Zentralbank Bangladeshs, von deren Konto Hacker im vergangenen Jahr 81 Millionen Dollar erbeuteten.
Das berühmte Virus «Wannacry», das im Mai Hunderttausende von Computern infizierte und unter anderem den britischen Gesundheitsdienst vorübergehend lahmlegte, scheint ebenfalls von Nordkorea ausgegangen zu sein. Das Virus nutzte eine Sicherheitslücke im Betriebssystem Windows 7 aus, das zahlreiche Industrie- und Spitalsysteme verwenden, und erpresste von den Besitzern Lösegeld. Allerdings konnte ein britischer Student den Angriff überraschend einfach stoppen. Das Beispiel zeigt laut Chris Inglis, einem früheren Vizedirektor der NSA, dass es bei der Umsetzung der Angriffe teilweise noch hapere. Doch bei der Entwicklung von Schadsoftware habe Nordkorea sich stark verbessert.
Dass Nordkorea hinter diesen Angriffen steckt, lesen Experten auch aus den Techniken heraus, welche die Hacker jedes Mal verwenden: ähnlich exotische Verschlüsselungssoftware, die gleichen Server bei «Wannacry» und Sony sowie eine Form von Quellcode, die Experten für IT-Sicherheit bisher nur bei Angriffen gesehen haben, die sie Nordkorea zuschreiben. Natürlich wissen Profis, wie sie solche Spuren auch fälschen und die Ermittler auf eine falsche Fährte locken können. Aber auch dank anderen Erkenntnissen scheint den Nachrichtendiensten sicher, welche Angriffe sie Nordkorea zuzuschreiben haben.
Hilfe von aussen
Doch wie kann ein bitterarmes, isoliertes Entwicklungsland wie Nordkorea hinter einigen der schwersten Cyberangriffe stecken? 6000 Personen sollen in den Hacking-Diensten Pjongjangs stehen, berichtet die «New York Times» unter Berufung auf Geheimdienstquellen. Die Hacker verübten die Angriffe aber nicht unbedingt auf nordkoreanischem Boden, sagt der frühere Staatsanwalt Carlin; stattdessen setze Nordkorea Personen in anderen Ländern und die dortige Infrastruktur ein. Es sei das gleiche Muster von Zusammenarbeit, wie man es auch beim Nuklearprogramm beobachte.
So schufen chinesische und russische Firmen Internetverbindungen nach Nordkorea, und auch von Iran scheint Unterstützung zu kommen: Experten haben in von Nordkorea verwendeter Malware ähnliche Funktionen entdeckt, wie sie iranische Hacker bei einem Angriff gegen den saudischen Erdölkonzern Aramco 2012 verwendet hatten.
Zu vermuten ist, dass Nordkorea im Cyberspace die gleiche Strategie verfolgt wie bei seinen Raketen: testen, testen, testen. Auch «Wannacry» könnte bloss ein Probelauf gewesen sein, um zu lernen, wie zugänglich westliche Infrastrukturen für Hacker sind und wie der Gegner reagiert. Genau das ist die Frage, vor der der Westen nun steht. Nordkorea spielt zwar nicht in der gleichen Liga wie die Cyber-Grossmächte Israel, Russland und USA. Dennoch richten die Angriffe Schäden an. «Wie immer mit Nordkorea gibt es keine guten Optionen», sagt Buchanan. Die USA werden kaum einen Krieg mit dem Land beginnen als Vergeltung für die Cyberangriffe. Offenbar versuchen sie, Gleiches mit Gleichem zu vergelten: Laut der «Times» suchen Hunderte amerikanischer Hacker täglich die IT-Systeme in Nordkoreas Nuklearprogramm nach Schwachstellen ab.
