https://www.faz.net/-gpf-8vkgb

Cyber-Attacken : Die Hacker des Kremls

„White hats“ und „black hats“ suchen beide nach Lücken im System. Die einen, um sie möglichst schnell zu reparieren, die anderen, um sie möglichst lange auszunutzen. Bild: Getty, Bearbeitung F.A.Z.

Russlands Geheimdienst nutzt das Geschick von Computerkennern. Er kauft ihre Dienste auf dem Schwarzmarkt ein – oder rekrutiert sie in Gefängnissen.

          Es gibt in Russland nur wenige Hacker, die sich gerne Hacker nennen. Das liegt an zwei Dingen: Russen denken bei dem Wort „Hacker“ nicht an Computerspezialisten, sondern an Kreditkartenbetrüger. Und Ausländer denken, wenn sie „Hacker“ und „Russland“ hören, auch nicht an Computerspezialisten, sondern an vom Kreml gesteuerte Cyberattentäter.

          Katharina Wagner

          Redakteurin in der Politik.

          So kommt es, dass auf einer der wichtigsten Hackerkonferenzen Russlands, den „Zeronights“, kaum ein Teilnehmer überhaupt noch Hacker sein möchte. Dabei lautet immerhin das Motto der Veranstaltung „It’s hack o’clock“. Aber die Leute dort wollen lieber „Forscher“ sein oder, im Hackerjargon für IT-Sicherheitsexperten: „white hats“. Kriminelle Hacker heißen „black hats“, beides kommt aus alten amerikanischen Western, in denen der Gute am weißen, der Böse am schwarzen Cowboyhut zu erkennen ist. „White hats“ und „black hats“ suchen beide nach Lücken im System. Die einen, um sie möglichst schnell zu reparieren, die anderen, um sie möglichst lange auszunutzen.

          Auf den „Zeronights“ im Moskauer Sowjethotel „Kosmos“ fallen viele englische Wörter. Fachfremden Besuchern hilft das allerdings auch nicht dabei, die Vorträge zu verstehen. Es geht um Cybersicherheit, und auf der Bühne findet eine Art Show-Hacken statt: Mitarbeiter von IT-Unternehmen erklären, wie neu entdeckte Sicherheitslücken funktionieren, das Publikum gibt die vorgegebenen Befehle ein. Im Saal hört man nichts außer dem Klicken der Tastaturen, es riecht nach Schweiß.

          Russische Cyberattacken? Erfindungen amerikanischer Softwareverkäufer

          Die meisten Besucher sind Männer zwischen 20 und 40, die Erkennungszeichen sind die gleichen wie im Westen: schwarze T-Shirts, Rucksäcke, beklebte Laptops. Das Haar ist länger als üblich in Russland, aber kürzer als beim deutschen Chaos Computer Club. Große russische IT-Unternehmen haben Werbestände aufgebaut, an denen Hackwettbewerbe stattfinden und gelötet wird. An einem stehen knapp bekleidete Hostessen einsam für Fotos bereit.

          Alles läuft sehr professionell ab, eine Pressesprecherin organisiert Termine mit den gewünschten Interviewpartnern. Die sind höflich und freundlich – bis zur ersten Frage über die Verbindungen von Hackerszene und russischem Staat. Über Politik wüssten sie nichts, heißt es dann, einer sagt, es sei für einen Hacker „unethisch“, über Politik zu reden. Und Hackergruppen wie „Fancy Bear“, die im Auftrag des Kremls die Server der Demokraten gehackt haben sollen, seien bloß Erfindungen amerikanischer Softwareverkäufer. Geschicktes Marketing, um mehr Antivirusprogramme zu verkaufen. Darunter würden sie dann leiden – ihre Geschäfte seien eingebrochen.

          Es hätte also recht langweilig werden können, wäre da nicht noch ein weiterer Hacker aufgetaucht, früher „black“, heute „white hat“, der in Bulgarien lebt, weil es ihm nach der Annexion der Krim zu „ungemütlich“ wurde in Russland. Er ist bereit, über Politik zu reden, vor allem zu schreiben, in verschlüsselten Mails. Ohnehin stellt sich heraus, dass russische Hacker im Exil die besseren Gesprächspartner sind.

          Russland umwirbt Computerfachleute mit allen Mitteln

          Viele von ihnen zieht es nach Asien, wo es warm und billig ist, wo inzwischen auch große Hackerkonferenzen stattfinden und wo man in Frieden leben kann, selbst wenn man nicht für den Kreml arbeiten will. Im Ausland sei es einfacher, Angeboten des russischen Staates zur Zusammenarbeit zu entgehen, schreibt einer, trotz des „Hungers der Sicherheitsbehörden nach IT-Experten“.

          Russland fehlt es an solchen Fachleuten. Viele gute gehen weg - nicht nur als Freelancer nach Asien, sondern auch nach Amerika oder Westeuropa, zu Facebook oder Google. Wer bleibt, wird umso heftiger umworben, von IT-Unternehmen, aber auch vom Staat. Selten geschieht das so öffentlich wie im vergangenen Jahr, als die Telekommunikationsaufsichtsbehörde Roskomnadsor im Internet eine Stelle für einen Hacker ausschrieb, unter anderem für die „Suche nach verstecktem Material auf unbeteiligten Computern und Netzwerken“. Dann stand da noch: „Arbeitserfahrung als black hat wird begrüßt.“

          Auch das Militär baut seit einiger Zeit seine Cyberstreitkräfte aus. Informationen darüber gibt es allerdings nur in Schnipseln, etwa diese Nachricht aus dem Juli 2013: „Verteidigungsminister Schojgu erklärt bei einem Treffen mit Universitätsrektoren die große Jagd auf junge Programmierer für eröffnet.“ Oder den in sozialen Netzwerken versteckten Werbefilm für die neuen russischen Cyber-Kaderschmieden: Ein Roboter tauscht seine Kalaschnikow gegen eine Tastatur, bevor Heavy Metal und Kasernenfotos mit Zweibettzimmern und Turnhalle für „angenehme Lebensbedingungen“ werben. Wie viele dieser Kaderschmieden es gibt, wie viele Rekruten dort leben, das ist nicht bekannt.

          Viele russische Hacker kommen direkt aus dem Gefängnis

          Andere Staaten gehen unbefangener mit ihrer Suche nach Hackern um. Die Bundeswehr wirbt mit Plakaten an Bushaltestellen für ihr „Projekt digitale Kräfte“, und der damalige Direktor des amerikanischen Geheimdienstes NSA trat 2012 in schwarzem T-Shirt auf einem Hackerkongress auf und schmeichelte den „Talenten in diesem Raum“: Das Land brauche sie, um das Internet sicherer zu machen.

          Dem russischen Geheimdienst FSB würden solche Auftritte vermutlich wenig nützen, unter Hackern gilt die Bezahlung in Staatsdiensten bis auf wenige Ausnahmen als miserabel. Eine normale Stelle, heißt es, bringe maximal 2400 Euro im Monat. Gute Hacker können darüber nur lachen. Und so nutzen die Geheimdienste ihre eigenen Methoden der Anwerbung. Dazu gehören Erpressung, Strafandrohung oder Schutzversprechen vor der Polizei.

          Schon lange wird berichtet, dass der FSB kriminelle Hacker direkt aus dem Gefängnis übernimmt. Seit Ende Januar gibt es darauf neue Hinweise. Da wurde bekannt, dass schon im Dezember mehrere wichtige Mitarbeiter der Abteilung für Cyberkriminalität des FSB verhaftet wurden. Ihnen wird Verrat von Staatsgeheimnissen vorgeworfen, spekuliert wird über die Weitergabe von Informationen an amerikanische Dienste. Einer der Festgenommenen, Dimitrij Dokutschajew, soll vor seiner Zeit als FSB-Agent ein unter dem Namen „Forb“ bekannter Hacker gewesen sein. „Forb“ arbeitete eine Zeitlang als Journalist bei der russischen Zeitschrift „Hacker“, aber auch als Kreditkartenbetrüger und Auftragshacker. In einem Zeitungsinterview prahlte er 2004 mit seinen Taten, darunter eine Attacke auf amerikanische Regierungs-Websites. Möglicherweise fiel er dadurch dem FSB auf. 2006 soll der Geheimdienst ihn unter Androhung eines Strafverfahrens „angeworben“ haben. Allerdings brachte Dokutschajew es beim FSB immerhin zu einer Festanstellung im Rang eines Majors - in ähnlichen Fällen sollen die Arbeitsbedingungen sehr viel schlechter sein.

          Hacker-Dienste vom Schwarzmarkt

          Vielleicht war „Forb“ ein Glücksgriff, oft aber sind Cyberkriminelle gar keine besonders guten Hacker. Außerdem werden sie in Russland nur selten erwischt. Ihre Verfolger sind schlecht ausgebildet und ausgestattet, und auch in den hierfür zuständigen Stellen blüht, wie überall im russischen Rechtssystem, die Korruption. Unter Cyberkriminellen gilt deshalb das Motto: „Lass die russischen Banken in Ruhe, dann lassen sie dich in Ruhe.“ Da der Staat seine Leute also nicht nur aus den Gefängnissen rekrutieren kann, hat er sich noch andere Zugänge zur Hackerszene gelegt. Einer ist der Kontakt zu den „grey hats“, der dritten und für den Kreml wahrscheinlich wichtigsten Hackergruppe.

          Was sie machen, kann man sich zum Beispiel so vorstellen: Ein Hacker findet eine bisher unbekannte Sicherheitslücke in einer von vielen Menschen genutzten Software, etwa Microsoft Office. Anstatt nun, was ein „white hat“ tun müsste, sofort Microsoft zu informieren und dafür eine vergleichsweise bescheidene Belohnung zu bekommen, entwickelt der „grey hat“ ein Programm, das die Lücke erfolgreich nutzt, um Daten zu klauen. Im Unterschied zum „black hat“ setzt er es aber nicht selbst ein. Der Hacker besitzt jetzt ein „Zero Day Exploit“ und damit eine der wertvollsten Waffen, die ein Hacker überhaupt besitzen kann: Ein Angriff mit solcher Software kann besonders viel Schaden anrichten, da Microsoft von der Lücke nichts weiß und nicht darauf vorbereitet ist, sie zu schließen. Bis das geschafft ist, können viele Daten längst gestohlen sein. Oft werden solche Angriffe erst spät oder gar nicht bemerkt, weshalb sie sich gut zum Ausspähen eignen. Genau das macht Zero Days, diese „Tage Null“, auch für Geheimdienste interessant. Ein Hacker kann mit so einem Fund, der allerdings auch viel Zeit und Arbeit kostet, auf dem Schwarzmarkt von einigen tausend bis zu anderthalb Millionen Dollar verdienen - je nachdem, wie komplex die Lücke und wie effektiv seine Arbeit ist.

          Auch die russischen Sicherheitsbehörden sammeln solche „Zero Day Exploits“. Aber da ihre eigenen Leute – nach allem, was man von Nicht-Kreml-Hackern über sie hört  – nicht gut genug sind, um sie selbst zu finden, kaufen die Dienste bei den „grey hats“ auf dem Schwarzmarkt ein. Natürlich nicht direkt, sondern über Mittler. So weiß ein Hacker oft nicht, mit wem er gerade Geschäfte macht. Ist es der FSB, dann könnte der Hacker künftig mehr für den Geheimdienst arbeiten, als ihm lieb ist. Ansonsten lässt sich aus dem rechtlich kaum geregelten Verkauf von „Zero Day Exploits“ schnell ein Strafverfahren fabrizieren.

          Und der russische Staat benutzt, wie ein Hacker sagt, noch andere „marktuntypische Methoden“, um die Preise zu senken. So wurde unter den „grey hats“ die Drohung gestreut, der Verkauf von hochwirksamer Schadsoftware an private Käufer und ins Ausland könne bald schon als Verrat geahndet werden. Der Kreml versuche sich als einziger Käufer zu etablieren, beschwert sich ein „grey hat“, und zerstöre so den Markt.

          Gruppe „Fancy Bear“ – eher Spione als Hacker

          Auch die Hackergruppe, die im April 2016 in die Server der Demokratischen Partei in den Vereinigten Staaten eindrang, benutzt häufig Zero Day Exploits. Ein IT-Unternehmen, das die Attacke untersuchte, nannte die Gruppe „Fancy Bear“ – der Bär ist der firmeneigene Code für Angreifer aus Russland, das Wort „Fancy“ leitet sich aus dem Wort „Sofacy“ ab, das in der Schadsoftware vorkam. Aber es kursieren noch viele weitere Bezeichnungen für die Hackergruppe, etwa „APT 28“, wobei APT für „Advanced Persistent Threat“ steht, die Fachbezeichnung für staatlich gesteuerte Hackerangriffe.

          „Fancy Bear“ hat laut Bundesamt für Verfassungsschutz im Mai 2015 auch das Computersystem des Deutschen Bundestags gehackt. Weder dabei noch bei dem Angriff auf die Demokraten kamen „Zero Day Exploits“ zum Einsatz. Aber allein 2015 benutzte „Fancy Bear“ bei anderen Angriffen sechs von den teuren Werkzeugen – und nicht einmal alle erfolgreich. Einige wurden wegen Fehlern der Angreifer schnell entdeckt und damit bald unwirksam. Dieser verschwenderische Umgang mit den teuren Ressourcen lässt Hacker zwei Dinge vermuten: Wahrscheinlich seien die Leute hinter „Fancy Bear“ keine echten Hacker. Sie scheinen von Technik weniger zu verstehen, von Spionage dagegen mehr – eine Spezialität von „Fancy Bear“ sind gefälschte Seiten oder Dokumente, die so echt wirken und so genau auf ihre Opfer zugeschnitten sind, dass die verlässlich darauf hereinfallen. Das wiederum könnten Hacker nicht leisten.

          Wer finanzierte die Bundestags-Hacker?

          Zweitens bedeutet das Verschleudern von Zero Days, dass Geld für „Fancy Bear“ keine Rolle spielt. Zumal in ihrer langen Laufbahn keine Attacke bekannt ist, mit der die Gruppe Geld verdient hätte. Deshalb wird „Fancy Bear“ von IT-Forschern als „staatlich finanziert“ eingestuft. Ob es allerdings der russische Staat ist, der hinter „Fancy Bear“ steht, oder ein anderer, das hat bisher niemand bewiesen. Auch die amerikanischen Geheimdienste nicht, die glauben, dass die Gruppe vom russischen Militärgeheimdienst GRU gesteuert wird. Die Gruppe arbeitete zwar zu Moskauer Arbeitszeiten, und die benutzte Schadsoftware wurde zum Teil auf Computern mit russischer Spracheinstellung bearbeitet. Aber das könnten auch falsche Fährten sein.

          Interessant ist aber, dass die Hacker von „Fancy Bear“ ganz anders arbeiten als die zweite Hackergruppe, die laut amerikanischen Geheimdiensten vom Kreml gesteuert wird, genannt „Cozy Bear“ (das Wort „coz“ stammt wieder aus dem Schadcode der Angreifer) oder „APT 29“. Auch „Cozy Bear“ hackte sich in das Netzwerk der Demokratischen Partei, und zwar schon im Sommer 2015, fast ein Jahr vor „Fancy Bear“. Unklar ist, ob beide Angreifer voneinander wussten. Den Demokraten fiel jedenfalls erst nach der zweiten Attacke auf, dass ihre Server gehackt wurden.

          „Cozy Bear“ benutzt weder „Zero Day Exploits“ noch andere teure Techniken. Dafür handelt die Gruppe schneller und virtuoser als „Fancy Bear“, kann sofort auf veränderte Bedingungen reagieren und ihre Methoden anpassen. „Fancy Bear“ dagegen braucht offensichtlich mehr Zeit, um Entscheidungen zu treffen. Ein Forscher der russischen Antivirus-Firma Kaspersky, der seit Jahren staatliche Hackerangriffe untersucht, vertritt deshalb die These, dass „Fancy Bear“ sich verhalte wie eine Gruppe staatlicher Akteure, „Cozy Bear“ aber nicht: Sie könnten Auftragshacker sein, die keine bürokratischen Prozesse durchmachen müssten und deshalb schneller handeln könnten.

          Arbeitete Kaspersky mit Russland zusammen?

          Das Gespräch mit den Leuten von Kaspersky ist noch an einer anderen Stelle interessant – da geht es um die Zusammenarbeit des Unternehmens mit dem russischen Staat, genauer mit dem FSB. Ein entrüsteter Pressesprecher schaltet sich ein, die Frage wird offenbar als Affront empfunden: Kaspersky arbeite schließlich überall auf der Welt mit Regierungen zusammen, um bei der Bekämpfung von Cyberkriminalität zu helfen.

          Es ist bloß so, dass im Dezember nicht nur FSB-Beamte wegen des Verdachts auf Verrat von Staatsgeheimnissen festgenommenen wurden, sondern auch ein Mitarbeiter von Kaspersky. Er leitete dort die Abteilung für Cyberkriminalität; ob und inwiefern er mit dem FSB zusammenarbeitete, ist unbekannt. Die Firma betont, die Vorwürfe bezögen sich auf eine Zeit, in der er noch nicht bei ihnen unter Vertrag war. Aber klar ist doch, dass es eine enge Zusammenarbeit mit den Sicherheitsbehörden gibt, über die nicht gerne gesprochen wird.

          Überhaupt scheinen die Verbindungen des Kremls in die Hackerszene noch weiter zu gehen, als es sich selbst Hacker bisher vorstellen konnten. Ebenfalls im Januar wurde bekannt, dass schon im Herbst drei Männer verhaftet wurden, die Mitglieder der bekannten Hackergruppe „Schaltaj-Boltaj“ sein sollen. Die Gruppe nannte sich auch „Anonyme Internationale“ und war eine Zeitlang der Liebling der regimekritischen russischen Mittelschicht. „Schaltaj-Boltaj“ veröffentlichte vorab Putins Neujahrsansprache, außerdem Briefwechsel und Dokumente wichtiger Kreml-Beamter, darunter Informationen über die berühmte Kreml-Troll-Fabrik in Sankt Petersburg. Im August 2014 ließen die Hacker Ministerpräsident Dmitrij Medwedjew über Twitter seinen Rücktritt verkünden: „Ich schäme mich für die Handlungen der Regierung. Entschuldigt.“ Nun steht der Verdacht im Raum, dass der FSB die Hacker von „Schaltaj-Boltaj“ eine Zeitlang gedeckt haben soll, um sie für seine Zwecke einzusetzen. Im Gegenzug habe der FSB ihnen „Sicherheit“ versprochen - so sagte es neulich das nach eigenen Angaben einzige Mitglied von „Schaltaj Boltaj“, das noch nicht verhaftet wurde, in einem Fernsehinterview in Estland. Dort will der Mann nun Asyl beantragen. Ein Hacker möchte übrigens auch er nicht gewesen sein.

          Weitere Themen

          Ist „Artikel 13“ schon Zensur? Video-Seite öffnen

          Proteste gegen Uploadfilter : Ist „Artikel 13“ schon Zensur?

          In ganz Deutschland haben Demonstranten gegen geplante Reformen beim Urheberrecht demonstriert. Das Europaparlament will in der kommenden Woche über „Artikel 13“ abstimmen – er könnte insbesondere die Arbeit von Youtubern erheblich einschränken.

          Was Sie zur Europawahl wissen müssen Video-Seite öffnen

          Der Countdown läuft : Was Sie zur Europawahl wissen müssen

          Die meisten EU-Länder wählen am 26. Mai ihre Abgeordneten im Europaparlament. Zur Wahl aufgerufen sind fast 400 Millionen EU-Bürger. Sie bestimmen 705 Parlamentarier, deren Mandat fünf Jahre andauert.

          Topmeldungen

          Boeing in der Krise : Aus Konkurrenzdruck an der Sicherheit gespart?

          Nach zwei Abstürzen steckt der Hersteller in einer schweren Krise. Die Boeing 737 Max ist das wirtschaftliche Fundament des Konzerns. Der Eindruck, zwischen Boeing und der Regierung herrsche allzu große Nähe, hat sich verfestigt. Vertrauen zurückzugewinnen, wird schwer.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.