Spionage, Hacker, Geheimdienste: Deutsche Forschungseinrichtungen werden ausgespäht

Eine persönliche E-Mail, adressiert an den Herrn Professor: „Sie haben sich zu dieser Tagung angemeldet, es gibt eine Änderung im Ablauf, Details dazu finden Sie auf folgender Webseite.“ Der Forscher klickt auf den Link – und der Angriff beginnt. Unbemerkt installiert sich schädliche Software auf seinem Rechner, sammelt Daten aus dem Netzwerk des Instituts und schickt sie nach draußen. Dieses Beispiel ist eine von vielen Methoden, mit denen Hacker deutsche Forschungseinrichtungen attackieren. Die Angriffe gehen weit über das Niveau der üblichen Phishing-Mails heraus, die auch Privatleute zuhauf erhalten. Sie sind eher die Regel als eine Ausnahme, wobei Experten zufolge die Spur immer wieder auch zu Geheimdiensten führt.

Filter greifen nicht

„Die Angriffe laufen kontinuierlich, und zwar aus allen Himmelsrichtungen“, sagt Hans-Joachim Popp, Chief Information Officer am Deutschen Zentrum für Luft- und Raumfahrt (DLR). Damit seien nicht die tausendfachen Versuche mit E-Mail-Anhängen gemeint, bei denen beispielsweise versucht wird, Passwort-Logger zu installieren. „Das betrachten wir als Grundrauschen, das haben wir mit entsprechenden Detektoren und Filtern im Griff.“ Popp spricht von Spionageangriffen, die so ausgefeilt sind, dass Filter nicht greifen. Zum Beispiel das beschriebene Szenario, bei dem ein Wissenschaftler gezielt ausgeforscht wird, welche Vorträge er hält und welche Konferenz er besucht. Wo eigens für die Zielperson eine täuschend echte Webseite programmiert wird, um ihn dorthin zu locken.

Sobald die Verbindung steht, schlüpft die Schadsoftware ins DLR-Netzwerk, wobei diese von den Angreifern ähnlich einem biologischen Virus immer wieder variiert wird und dadurch kaum aufzuspüren ist, erläutert Popp. Der Eindringling versucht dann, zunächst Inhaltsverzeichnisse, später die eigentlichen Daten zu sammeln und nach draußen zu schaffen. Innerhalb des DLR, das neben Luft- und Raumfahrt auch zu Energie, Verkehr und Sicherheit forscht, ließen sich eindeutig bevorzugte Ziele erkennen, sagt der IT-Experte. Im Interesse der Betroffenen und um die Angreifer so wenig wie möglich zu informieren, will er die Schwerpunkte aber nicht nennen. Ob es zu einem Datenklau gekommen ist, sei nicht eindeutig belegt, sagt Popp. „Aber wir haben den Nachweis, dass bei uns Softwarekomponenten installiert wurden, mit denen Daten hätten kopiert werden können.“

Spuren zu westlichen Geheimdiensten

Wer die Angriffe ausführt, lässt sich selten exakt aufklären. Das DLR arbeitet dazu mit dem Bundesamt für Sicherheit in der Informationstechnik sowie dem Bundeskriminalamt und dem Verfassungsschutz zusammen. „Die Fachleute sind sich einig, dass es geheimdienstliche Organisationen sind“, sagt Popp. Nicht immer arbeiten die Dienste selbst, teilweise beauftragen sie private Organisationen. Mitunter werde die Grenze zur organisierten Kriminalität überschritten, sagt Popp. Vor allem aber tarnen sich die Angreifer, versuchen einander zu imitieren. Das macht eine genaue Zuordnung sehr schwierig. „Wenn ich – ganz hypothetisch – als westlicher Geheimdienst eine Attacke ausführen will, würde ich zuallererst meine Software auf einem chinesischen Betriebssystem kompilieren, damit eventuell aufgespürte Software chinesisch aussieht“, erläutert er ein mögliches Vorgehen. „Oft haben wir einen Verdacht zur Identität der Angreifer, wobei die Spuren auch zu westlichen Geheimdiensten führen“, sagt Popp. „Aber wir haben keine Belege. Deshalb sagen wir: Angriffe aus allen Himmelsrichtungen. Und praktisch ohne Pause.“

Auch Politikwissenschaftler und Ökonomen sind ein lohnendes Ziel

Auch Rainer Gerling, IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft, berichtet von zahlreichen ausgefeilten Cyber-Attacken. Auch er hat das Tarnen und Täuschen beobachtet, etwa wenn ein Angriff scheinbar aus Südkorea geführt wird, tatsächlich aber bis zu Hackern in den Niederlanden verfolgt werden kann. Doch eine endgültige Aufklärung ist selten, die Unsicherheitsfaktoren sind zahlreich, deshalb macht der IT-Sicherheitsspezialist keine genauen Angaben zu den Angreifern.

Gerling zufolge haben es Spione längst nicht nur auf Hightechfelder wie Raumfahrt oder Materialforschung abgesehen. „Wissenschaftler, die politische und ökonomische Zusammenhänge erforschen und womöglich in diesem Umfeld auch Beratungen machen, sind eindeutige Ziele. Da gibt es nachweislich Angriffe“, sagt er. „Wenn etwa Sozialstrukturen von Minderheiten in bestimmten Ländern erforscht werden, dann gibt es Interesse daran, diese Informationen zu bekommen.“ Ebenso interessant seien Forschungen zu politischen Strukturen in Afrika, denn der Kontinent ist für viele andere Staaten eine wichtige Quelle für Rohstoffe und Nahrungsmittel. „Man muss sich von dem Gedanken verabschieden, dass Politikspionage nur in Regierungen passiert“, sagt er. „Die Geheimdienste oder von ihnen beauftragte Organisationen gehen dorthin, wo die Analysen erstellt werden.“ Auch bei der Max-Planck-Gesellschaft konnte bisher nicht eindeutig nachgewiesen werden, dass sensible Daten tatsächlich kopiert worden sind. Der Verdacht liegt aber nahe.

Attraktive Infrastruktur: Die Rechner werden gekapert und tausende Spam-Mails verschickt

Neben dem gezielten Ausspähen von Forschungsdaten sind die Einrichtungen auch wegen ihrer Infrastruktur ein beliebtes Ziel von Angreifern. Und zwar für solche, die mittels Spam-Mails Kasse machen wollen: Über gehackte E-Mail-Konten von Forschern werden dann mal flugs tausende Mitteilungen in alle Welt geschleudert. Dazu muss ein Mitarbeiter jedoch eine der typischen Mails vom Typ „Ihren Bank bittet Bestätigung“ öffnen. Oft ist der Nepp bereits am schlechten Deutsch erkennbar, aber nicht für alle. „Wir haben viele Mitarbeiter, deren Muttersprache nicht Deutsch ist“, sagt Gerling. „Die erkennen den zweifelhaften Inhalt nicht ohne Weiteres.“ Unterdessen hat seine Institution eine einfache Lösung gefunden: Von jeder Mail-Adresse dürfen pro Tag maximal 500 Nachrichten verschickt werden.

Computer werden für Botnetze okkupiert

Von ähnlichen Angriffen berichtet Carsten Porthun, verantwortlich für die IT-Sicherheit beim Forschungszentrum Desy in Hamburg. Demnach versuchen Kriminelle regelmäßig Rechner zu kapern, um diese in Botnetze einzubinden. Damit werden Netzwerke bezeichnet, in denen zahlreiche „Zombierechner“ von außen gesteuert werden, um Spam-Mails zu verschicken oder Phishing zu betreiben – das Versenden gefälschter Nachrichten, um persönliche Daten wie Passwörter oder Logins für Online-Banking zu erhalten. „Wir erkennen das aber relativ schnell und unterbinden das“, sagt er. Für spezialisierte Angriffe, bei denen es um den Diebstahl sensibler Daten aus dem Desy geht, gibt es laut Porthun bisher jedoch „keinerlei Anzeichen“.

Solchen Attacken ist – sofern sie überhaupt bemerkt werden – wesentlich schwerer beizukommen. Dann informieren sich die IT-Spezialisten der Forschungseinrichtungen gegenseitig über Details der Angriffe, damit ihre Kollegen rasch ihre Sicherungen verbessern können. Auch in der Industrie gibt es solche Austauschplattformen, wo man einander diskret informiert. So hat der Bundesverband der IT-Anwender, Voice e.V,. ein Kompetenzzentrum für Cybersicherheit eingerichtet, wo regelmäßig Informationen weitergegeben werden. Denn in der Zeitung wollen die Konzernlenker von den Attacken nichts lesen.

Schutz der Rechnersysteme kostet Millionen

Manche Leitungen von Forschungseinrichtungen und Unis wohl auch nicht. Anfragen des Tagesspiegels blieben ergebnislos oder wurden ausweichend mit „Derartiges ist uns bisher nicht zu Ohren gekommen“ beantwortet. Unter Fachleuten ist es jedoch ein offenes Geheimnis, dass ausgefeilte Angriffe weitverbreitet sind.

Ist die Spähsoftware erst ins System gelangt, versucht sie, Verbindung zu einem „Command-and-Control-Server“ irgendwo im Internet aufzunehmen, um die erbeuteten Daten dorthin zu übertragen, erläutert der DLR-Experte Popp. „Diese Server werden gezielt in Farmen von Hostingpartnern versteckt, wo beispielsweise auch Webshops angesiedelt sind.“ Es sei kaum möglich, bei Verdacht eine ganze Farm zu sperren, dann gebe es Protest von tausenden Internetnutzern. „Es braucht eine spezielle Analyse, um herauszufinden, wo genau der Datenverkehr hingeht, damit man die Verbindung kappen kann.“ Das ist teuer. Laut Popp gibt das DLR jährlich eine siebenstellige Summe für den Schutz seiner Rechnersysteme aus.

Es gibt aber auch Momente, da spielt Geld fast keine Rolle. Zum Beispiel vor einem Jahr, als das Zentrum – mutmaßlich aus China – attackiert wurde. „Ich möchte nicht sagen, dass es um die Existenz ging, aber doch um sehr, sehr viel“, erinnert sich der IT-Chef. „Da haben wir nicht über die Finanzierung von Spezialisten geredet.“ Weil es viele Dinge gab, die wichtiger waren. Popp: „Zur Not hätten wir auch einen Kredit aufgenommen, um die Attacke zu stoppen.“