Spionage, Hacker, Geheimdienste : Deutsche Forschungseinrichtungen werden ausgespäht

Wissenschaftler werden regelmäßig von Hackern angegriffen - auch von Geheimdiensten. Die Angriffe erfolgen "aus allen Himmelsrichtungen und praktisch ohne Pause".

von
Angriff im Geheimen. Forschungsinstitute sind ein beliebtes Ziel von Hackern. Vor allem ausgefeilte Attacken lassen sich kaum aufklären. Dieses Foto entstand im Cyberabwehrzentrum in der deutschen Hewlett-Packard-Zentrale in Böblingen.
Angriff im Geheimen. Forschungsinstitute sind ein beliebtes Ziel von Hackern. Vor allem ausgefeilte Attacken lassen sich kaum...Foto: picture alliance / dpa / Marijan Murat

Eine persönliche E-Mail, adressiert an den Herrn Professor: „Sie haben sich zu dieser Tagung angemeldet, es gibt eine Änderung im Ablauf, Details dazu finden Sie auf folgender Webseite.“ Der Forscher klickt auf den Link – und der Angriff beginnt. Unbemerkt installiert sich schädliche Software auf seinem Rechner, sammelt Daten aus dem Netzwerk des Instituts und schickt sie nach draußen. Dieses Beispiel ist eine von vielen Methoden, mit denen Hacker deutsche Forschungseinrichtungen attackieren. Die Angriffe gehen weit über das Niveau der üblichen Phishing-Mails heraus, die auch Privatleute zuhauf erhalten. Sie sind eher die Regel als eine Ausnahme, wobei Experten zufolge die Spur immer wieder auch zu Geheimdiensten führt.

Filter greifen nicht

„Die Angriffe laufen kontinuierlich, und zwar aus allen Himmelsrichtungen“, sagt Hans-Joachim Popp, Chief Information Officer am Deutschen Zentrum für Luft- und Raumfahrt (DLR). Damit seien nicht die tausendfachen Versuche mit E-Mail-Anhängen gemeint, bei denen beispielsweise versucht wird, Passwort-Logger zu installieren. „Das betrachten wir als Grundrauschen, das haben wir mit entsprechenden Detektoren und Filtern im Griff.“ Popp spricht von Spionageangriffen, die so ausgefeilt sind, dass Filter nicht greifen. Zum Beispiel das beschriebene Szenario, bei dem ein Wissenschaftler gezielt ausgeforscht wird, welche Vorträge er hält und welche Konferenz er besucht. Wo eigens für die Zielperson eine täuschend echte Webseite programmiert wird, um ihn dorthin zu locken.

Sobald die Verbindung steht, schlüpft die Schadsoftware ins DLR-Netzwerk, wobei diese von den Angreifern ähnlich einem biologischen Virus immer wieder variiert wird und dadurch kaum aufzuspüren ist, erläutert Popp. Der Eindringling versucht dann, zunächst Inhaltsverzeichnisse, später die eigentlichen Daten zu sammeln und nach draußen zu schaffen. Innerhalb des DLR, das neben Luft- und Raumfahrt auch zu Energie, Verkehr und Sicherheit forscht, ließen sich eindeutig bevorzugte Ziele erkennen, sagt der IT-Experte. Im Interesse der Betroffenen und um die Angreifer so wenig wie möglich zu informieren, will er die Schwerpunkte aber nicht nennen. Ob es zu einem Datenklau gekommen ist, sei nicht eindeutig belegt, sagt Popp. „Aber wir haben den Nachweis, dass bei uns Softwarekomponenten installiert wurden, mit denen Daten hätten kopiert werden können.“

Spuren zu westlichen Geheimdiensten

Wer die Angriffe ausführt, lässt sich selten exakt aufklären. Das DLR arbeitet dazu mit dem Bundesamt für Sicherheit in der Informationstechnik sowie dem Bundeskriminalamt und dem Verfassungsschutz zusammen. „Die Fachleute sind sich einig, dass es geheimdienstliche Organisationen sind“, sagt Popp. Nicht immer arbeiten die Dienste selbst, teilweise beauftragen sie private Organisationen. Mitunter werde die Grenze zur organisierten Kriminalität überschritten, sagt Popp. Vor allem aber tarnen sich die Angreifer, versuchen einander zu imitieren. Das macht eine genaue Zuordnung sehr schwierig. „Wenn ich – ganz hypothetisch – als westlicher Geheimdienst eine Attacke ausführen will, würde ich zuallererst meine Software auf einem chinesischen Betriebssystem kompilieren, damit eventuell aufgespürte Software chinesisch aussieht“, erläutert er ein mögliches Vorgehen. „Oft haben wir einen Verdacht zur Identität der Angreifer, wobei die Spuren auch zu westlichen Geheimdiensten führen“, sagt Popp. „Aber wir haben keine Belege. Deshalb sagen wir: Angriffe aus allen Himmelsrichtungen. Und praktisch ohne Pause.“

Auch Politikwissenschaftler und Ökonomen sind ein lohnendes Ziel

Auch Rainer Gerling, IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft, berichtet von zahlreichen ausgefeilten Cyber-Attacken. Auch er hat das Tarnen und Täuschen beobachtet, etwa wenn ein Angriff scheinbar aus Südkorea geführt wird, tatsächlich aber bis zu Hackern in den Niederlanden verfolgt werden kann. Doch eine endgültige Aufklärung ist selten, die Unsicherheitsfaktoren sind zahlreich, deshalb macht der IT-Sicherheitsspezialist keine genauen Angaben zu den Angreifern.

Gerling zufolge haben es Spione längst nicht nur auf Hightechfelder wie Raumfahrt oder Materialforschung abgesehen. „Wissenschaftler, die politische und ökonomische Zusammenhänge erforschen und womöglich in diesem Umfeld auch Beratungen machen, sind eindeutige Ziele. Da gibt es nachweislich Angriffe“, sagt er. „Wenn etwa Sozialstrukturen von Minderheiten in bestimmten Ländern erforscht werden, dann gibt es Interesse daran, diese Informationen zu bekommen.“ Ebenso interessant seien Forschungen zu politischen Strukturen in Afrika, denn der Kontinent ist für viele andere Staaten eine wichtige Quelle für Rohstoffe und Nahrungsmittel. „Man muss sich von dem Gedanken verabschieden, dass Politikspionage nur in Regierungen passiert“, sagt er. „Die Geheimdienste oder von ihnen beauftragte Organisationen gehen dorthin, wo die Analysen erstellt werden.“ Auch bei der Max-Planck-Gesellschaft konnte bisher nicht eindeutig nachgewiesen werden, dass sensible Daten tatsächlich kopiert worden sind. Der Verdacht liegt aber nahe.