Der kalte Cyberkrieg eskaliert – und auch Deutschland ist betroffen

Schon seit Jahren stehen sich die USA und China in einem kalten Cyberkrieg gegenüber. Die beiden Länder werfen sich gegenseitig vor, übers Internet Spionage zu betreiben und Angriffe vorzubereiten. Schon 2012 warnte der damalige US-Verteidigungsminister Leon Panetta vor einem „Cyber Pearl Harbor“.

Dieser Konflikt eskaliert erneut: Das US-Justizministerium hat am Donnerstag zwei chinesische Staatsbürger angeklagt, die als Teil einer Hackergruppe zwischen 2006 und 2018 bei Unternehmen und Behörden vertrauliche Informationen gestohlen haben sollen – und zwar in Zusammenarbeit mit der chinesischen Regierung.

Die Gruppe, in Fachkreisen APT 10 oder „Stone Panda“ genannt, nutzt eine perfide Angriffstaktik: Sie dringt in die Systeme von IT-Dienstleistern ein, um sich Zugang zu deren Kunden zu verschaffen. Nach Informationen der Nachrichtenagentur Reuters sind unter anderem IBM und Hewlett-Packard Enterprise betroffen.

Von einer Kampagne mit dem Namen „Cloudhopper“ sind nach Einschätzung der US-Regierung Unternehmen in mindestens zwölf Ländern betroffen, auch in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach Hinweisen von Behörden in den USA und Großbritannien in dieser Woche eine Warnung an mehrere Firmen verschickt. Das sei übliche Praxis, wenn es Erkenntnisse über Cyberangriffe gebe, erklärte die Behörde gegenüber dem Handelsblatt.

Die Vorwürfe der US-Justiz sind sehr konkret. Die beiden Hacker Zhu Hua und Zhang Shilong – zu ihren Pseudonymen zählen etwa Godkiller und Atreexp – sie sollen mindestens von 2006 bis 2018 an „globalen Kampagnen“ beteiligt gewesen sein, in denen sie vertrauliche Geschäftsinformationen und geistiges Eigentum stahlen.

Die beiden Angeklagten sollen sich gemeinsam mit weiteren Tätern der Gruppe APT 10 Zugang zu mehr als 45 Technologiefirmen und Regierungsbehörden verschafft haben, darunter ein Labor der Weltraumagentur Nasa und die Navy. Dabei hätten sie hunderte Gigabyte vertraulicher Daten gestohlen, erklärte das Justizministerium.

Auch im Ausland ist die Gruppe aktiv. Zwölf Länder benennt das Justizministerium, darunter Deutschland, Frankreich, Großbritannien und Japan. Unter den betroffenen Firmen seien eine „globale Finanzinstitution“, Telekommunikationsanbieter, Industriekonzerne, Beratungsfirmen sowie ein Autozulieferer – also strategisch wichtige Branchen für China.

„Gesunder Wettbewerb ist gut für die globale Wirtschaft, kriminelles Verhalten ist es nicht“, erklärte FBI-Direktor Christopher Wray. Kein Land dürfte sich über das Gesetz hinwegsetzen. „Wir müssen alle zusammenarbeiten, um unsere wirtschaftliche Sicherheit und unseren Lebensstil zu schützen, weil die Amerikaner nicht weniger verdienen.“

China hat mit scharfem Protest auf die Vorwürfe reagiert. Die Beschuldigungen der US-Behörden seien „aus der Luft gegriffen“ und eine „vorsätzliche Diffamierung“, teilte das chinesische Außenamt am Freitag mit. Die chinesische Regierung habe noch nie Geschäftsgeheimnisse gestohlen oder jemanden dabei unterstützt.

Die Schilderung der US-Regierung deckt sich indes mit der Einschätzung von IT-Sicherheitsexperten, dass APT 10 wahrscheinlich von China aus spioniert. Erste Aktivitäten sind mindestens seit 2009 bekannt. Die Angriffe galten zunächst der Rüstungsindustrie, zielen aber inzwischen auf zahlreiche Branchen in mehreren Ländern.

Einbruch über einen Umweg

Bei der Cloudhopper-Kampagne macht sich APT 10 zunutze, dass Unternehmen und Behörden zahlreiche Aufgaben an IT-Dienstleister übertragen, sogenannte Managed Services Provider (MSP). Diese betreiben über einen Fernzugang Server und Netzwerke oder kümmern sich um den Betrieb von Anwendungsprogrammen und den Kundenservice.

Dabei kommt häufig das Cloud Computing zum Einsatz – Unternehmen greifen also übers Internet auf Programme, Rechenleistung und Speicherplatz bei den Dienstleistern zu. Daher der Name Cloudhopper: Die Hacker hüpfen im übertragenen Sinne von den IT-Anbietern zu deren Kunden.

Der Angriff auf die IT-Dienstleister kommt nicht von ungefähr: Bei ihnen werde in der Regel eine große Menge von oft sensiblen Daten verschiedener Unternehmen und Institutionen verarbeitet, erklärt das BSI. Entsprechend attraktiv seien sie „für Angreifer aus dem Bereich der Cyber-Kriminalität sowie auch für Akteure mit entsprechenden Aufklärungs- bzw. Spionageinteressen.“

Anders gesagt: Das Gruppe handelt in etwa wie ein Einbrecher, der in das Büro das Hausmeisters eindringt und dort die Schlüssel stiehlt, um sich Zutritt zu den Wohnungen eines Hauses zu verschaffen.

Es sollen mehrere IT-Dienstleister betroffen sein. Hewlett Packard Enterprise wollte sich nicht zu den Details der Anklage äußern, verwies aber auf die Trennung vom MSP-Geschäft im Jahr 2017. IBM erklärte gegenüber dem Handelsblatt, man habe „weitreichende Maßnahmen“ gegen die Angriffe getroffen. Es gebe aber keine Hinweise für den Diebstahl vertraulicher Daten.

Jahrelanger Konflikt

Der Streit über Cyberspionage schwelt seit Jahren. China habe „sowohl einen großen geheimdienstlich-militärischen als auch einen privatwirtschaftlichen Sektor für offensive Angriffe ausgebildet“, schreiben die IT-Sicherheitsexperten Constanze Kurz und Frank Rieger im Buch „Cyberwar“.

Der damalige US-Präsident Barack Obama einigte sich 2015 mit dem chinesischen Staatschef Xi Jinping auf ein Abkommen, das wirtschaftliche Cyberspionage eindämmen sollte. Die chinesischen Aktivitäten gingen zwischenzeitlich deutlich zurück. China halte sich aber kaum noch an den Deal, erklärte der US-Sicherheitsberater Rob Joyce im „Wall Street Journal“.

Das Justizministerium veröffentlicht die Vorwürfe just zu dem Zeitpunkt, zu dem die USA die Handelsbeziehungen zu China auf eine neue Grundlage stellen will. US-Präsident Trump wirft dem Reich der Mitte unfaire Handelspraktiken und die Verletzung geistigen Eigentums vor. Wenn die Verhandlungen im Januar beginnen, gibt es nun noch einen Punkt mehr zu besprechen.