Ein geschickt eingeschmuggelter Einzelgänger, der unter höchstem Risiko geheime Dokumente und Informationen erbeutet - unser Bild von Spionage ist nachhaltig durch Filme und Agentengeschichten wie die Bond-Reihe geprägt. Doch das Geschäft hat sich mächtig verändert. Statt eines einzelnen Spions sind längst ganze Armeen an der Beschaffung von Informationen beteiligt. Und können dabei mehr Informationen abgreifen, als es sich 007 je erträumt hatte.
"Das ist die größte und komplexeste Attacke, die die Welt je gesehen hat", urteilt Microsofts Präsident Brad Smith in einem TV-Beitrag bei "CBS" über den im Dezember entdeckten Angriff auf die US-Regierung. Der Konzern unterstützt mit 500 Software-Experten die Aufklärungsarbeit der Regierung. Und ist vom Ausmaß des Hacks überrascht. Mehr als 18.000 Netzwerke in Regierungen und Firmen waren auf einen Schlag infiltriert worden, darunter das Justizministerium, das Finanzministerium und der für Nuklearsicherheit verantwortliche Teil des Energieministeriums. Doch hinter dem Angriff steckte nicht eine kleine Hackertruppe. Sondern eine ganze Armee. Mindestens 1000 Entwickler waren an dem Angriff beteiligt, hat Microsoft herausgefunden.
Gigantische Operation
Dafür spricht der enorme Aufwand, den die Angreifer betrieben haben. Es war ihnen gelungen, das von vielen Firmen und Regierungsorganisationen genutzte Programm Solarwinds zu kapern, das ironischerweise eigentlich Netzwerke sicherer machen soll. Indem sie große Teile des Programmcodes so umbauten, dass es nicht nur ihren Zwecken diente, sondern gleichzeitig auch die Attacke verbarg, konnten sie auf einen Schlag Tausende Netzwerke auf einmal infiltrieren. "Das wirklich Verstörende an der Attacke ist, wie weitverbreitet und unterschiedslos sie ausgeführt wurde", staunt auch Smith.
Auch die schiere Dauer der Operation ist beeindruckend: Monatelang waren die Angreifer in den Netzwerken aktiv, lasen E-Mails und Geheiminformationen mit. Wie lange eine solche Aktion dauern kann, sieht man aktuell in Frankreich. Eine gerade aufgedeckte Großoperation hatte ganze drei Jahre die französischen Regierungsbehörden aushorchen können, bis sie letztes Jahr entdeckt wurde, verkündete die nationale IT-Sicherheitsbehörde Anssi gestern Abend. Auch hier waren die Hacker über eine Software zur Sicherung von Netzwerken eingedrungen. Anssi vermeidet es zwar, Russland explizit zu nennen. Ein Vergleich des Angriffs mit dem Vorgehen der Russland zugeordneten Gruppe Sandworm deutet aber auf einen entsprechenden Verdacht hin.
Strategiewechsel
Die beiden Angriffe zeigen gut, wie sich das Vorgehen der internationalen Spionage verändert hat. Zwar wird der Mann vor Ort wohl nie ganz verschwinden, die seit Jahren beobachtbare Verschiebung ins Digitale hat sich im letzten Jahr aber noch einmal verschärft, berichtet die "BBC". Weil es durch Lockdowns, Reise- und Kontaktbeschränkungen schwieriger geworden ist, auf die klassischen, zwischenmenschlichen Informationswege zuzugreifen, hätte eine zunehmende Anzahl von Staaten begonnen, aggressiver auf Cyberattacken zur Informationsbeschaffung zu setzen - auch gegen eigentlich befreundete Staaten. "Jeder sorgt gerade für sich selbst", zitiert der Sender den Experten John Hultquist. "Und das zu recht: Man will schließlich als Geheimdienst eine gute Antwort liefern können, was gerade los ist."
Zu den Zielen gehören nicht nur andere Staaten, sondern auch die Weltgesundheitsorganisation, die bereits von Hackern aus Russland, dem Iran und Korea ins Visier genommen wurde. Auch der Wettlauf um einen Impfstoff war begleitet von eine Welle von Phishing-Versuchen bei den beteiligten Firmen und Forschungseinrichtungen. Das Wuhan Institut für Virologie, von dem mehrfach behauptet wurde, dort sei das Coronavirus als Kampfstoff entwickelt worden, sei "von jedem" aufs Korn genommen worden, so Hultquist.
Neue Player
Durch den Wandel der Geheimdienstarbeit findet auch eine Verschiebung der Machtverhältnisse statt. Zwar spielen die alten Großmächte wie die USA, Russland und China auch in diesem Bereich ganz vorne mit, sie haben rechtzeitig das Potenzial erkannt und begonnen, ihre Geheimdienste auch auf die neuen Ziele anzusetzen. Gleichzeitig bietet die Umwälzung aber auch neuen Staaten Gelegenheit, sich auf der internationalen Bühne zu etablieren. Vom Iran und Nordkorea geht für einen Großteil der Welt militärisch keine Gefahr aus. Doch ihre Hackertruppen sind weltweit gefürchtet. So versuchte der Iran etwa, das Ergebnis der US-Wahl zu beeinflussen. Genau wie Russland und China.
Das liegt auch daran, dass die Hackerangriffe durch die zunehmende Vernetzung der Welt eine immer größere Wirkung entfalten können. Bei Angriffen auf Stromnetze wären etwa verheerende Folgen denkbar. Als russische Hacker in der Ukraine mit NotPetya einen Probelauf für die jetzt entdeckte Attacke starteten, lag das halbe Land still. Was genau die Hacker bei den nun entdeckten Angriffen in den USA zum Ziel hatten, sei noch nicht geklärt, erklärt Smith. Auch in Frankreich ist noch offen, wie viele und welche Informationen genau gestohlen wurden.
Keine Sicherheit mehr
Die größte Gefahr der neuen Spionage-Methoden ist aber, dass sie sich viel schwerer entdecken lassen als ein klassischer Spion. Nur durch Zufall war etwa der US-Angriff aufgeflogen, weil einem Sicherheitsforscher aufgefallen war, dass er mit einem zweiten Gerät für den Empfang von Freischaltcodes für die Zwei-Faktor-Authentifizierung angemeldet war. Erst danach war langsam das Ausmaß entdeckt worden. Dass jetzt alles gefunden ist, ist längst nicht gesagt. Der Angriff sei wie ein Gemälde von Rembrandt, zitiert "CBS" einen der Ermittler: Man finde immer wieder neue Details.
Und: Anders als bei einem erwischten Spion ist der Angriff durch seine Entdeckung nicht vorbei. "Es geht immer noch weiter. Es werden immer noch neue Firmen infiziert", erklärt Experte Jon Miller. "Viele Angriffe hören auf, wenn sie auffliegen. Dieser geht weiter." Das hat eine verstörende Folge: Man kann nie sicher sein, tatsächlich jeden Angriffswinkel gefunden zu haben, erklärt der ehemalige NSA-Chef Chris Inglis. Während früher ein neuer Zugangscode oder ein Austauschen des Schlosses ausgereicht hätte, ist das nicht mehr genug. "Die einzige Art, wirklich sicher zu gehen, ist komplett die Hardware auszutauschen und das ganze System loszuwerden."
