Cyber-Angriffe auf US-Konzerne Im Netz der China-Hacker

Die Spur führt nach Shanghai: Zahlreiche Hackerangriffe auf US-Firmen lassen sich nach China zurückverfolgen. Die Volksrepublik weist den Vorwurf der Spionage zurück, doch die Indizien lassen nur zwei Schlüsse zu: Entweder duldet das Regime die Cyber-Krieger - oder es unterstützt sie aktiv.

Von

Netzwerkangriff (Symbolbild): US-Experten vermuten hinter Angriffen chinesische Hacker
Corbis

Netzwerkangriff (Symbolbild): US-Experten vermuten hinter Angriffen chinesische Hacker


Hamburg - China hat ein Hacker-Problem. Das US-Sicherheitsunternehmen Mandiant - 2004 von einem Veteranen der US-Airforce gegründet - hat einen der bislang detailliertesten Berichte über Hackerangriffe aus China vorgelegt. Die Firma hat Hacker-Angriffe auf 141 Unternehmen und Organisationen weltweit über einen Zeitraum von sechs Jahren untersucht. Gesteuert wurden die Attacken in nahezu allen Fällen von Rechnern in einem bestimmten Stadtteil Shanghais.

Chinas Außenministerium reagiert auf den Bericht mit den üblichen Argumenten: Es sei "unprofessionell und unverantwortlich", den chinesischen Staat zu beschuldigen. Hacker-Angriffe seien "anonym und transnational", China sei selbst Opfer solcher Angriffe und beschuldige doch auch nicht die USA.

Doch die von Mandiant zusammengetragenen Indizien lassen Chinas Argumentation unglaubwürdig erscheinen. Wenn die Täter nicht für den chinesischen Staat arbeiten, dann ist das Regime zumindest unfähig, kriminelle Aktivitäten großen Ausmaßes im eigentlich streng überwachten IT-Sektor des Landes zu entdecken. Die Indizien im Überblick:

1. Netzwerkverkehr nach Shanghai

Bei den von Mandiant dokumentierten Angriffen loggten sich die Angreifer von chinesischen IP-Adressen aus auf ihren Angriffsrechnern ein. Der Netzwerkverkehr lief laut Mandiant in 98,2 Prozent der Fälle zu vier großen Blöcken von IP-Adressen in Shanghais Bezirk Pudong New Area. Ähnlich hoch war dieser Anteil bei beobachteten direkten Logins auf befallenen Computern. Die dokumentierten chinesischen IP-Adressen gehören zu China Unicom, einem der größten Internetprovider des Landes, einige der von den Angreifern genutzten IP-Adressen gehörten zu China Telecom. Beide Firmen sind Staatskonzerne.

2. Tastaturlayout

Die Rechner, von denen aus sich die Angreifer zur Steuerung ihrer Systeme einloggten, hatten bei den von Mandiant beobachteten Fällen zum größten Teil das einfache chinesische Tastaturlayout eingestellt.

3. Ausmaß und Breite der Angriffe

Die von Mandiant beobachteten Hacker verfügen über enorme technische Ressourcen. Etwa tausend Server gehören zu der bei den Attacken genutzten Infrastruktur. Die Angreifer haben genug Personal, um E-Mails passgenau auf einzelne Personen in Unternehmen zuzuschneiden. Die Angeschriebenen werden dann dazu gebracht, eine manipulierte Website aufzurufen. Ungewöhnlich ist, dass die Angreifer diese teure Infrastruktur über Jahre hinweg finanzieren. Sie müssen offenbar kein Geld verdienen, zumindest nutzen sie bei von Mandiant beobachteten Angriffen keinen der üblichen Wege, um mit gekaperten Rechnern Geld zu verdienen (Spam-Versand, Betrug, Erpressung, Vermietung an andere Kriminelle).

Die Angreifer picken sich auch nicht zielgerichtet einzelne Unternehmen heraus, was für lukrative Auftragsangriffe für Konkurrenzfirmen spräche. Stattdessen kopieren die Hacker in großem Umfang Hunderte von Terabyte Dokumente, Gerichtsakten und E-Mails bei IT-Firmen, Kanzleien, Energieunternehmen, Baufirmen. Diese Masse an Material ist nur wertvoll, wenn viele Experten sie sichten, analysieren und Informationen herausfiltern, die für mögliche Kunden bei Firmen und Regierungen wertvoll sein könnten.

4. Die chinesische NSA

Die dritte Abteilung des chinesischen Generalstabs ist China-Experten zufolge das Gegenstück zum US-Geheimdienst NSA: Sie ist verantwortlich für die technische Aufklärung, also unter anderem das Belauschen von Telefongesprächen und Internetverkehr.

Eine Einheit dieser chinesischen NSA sitzt in Shanghai, in der Pudong New Area. Schon 2011 haben China-Experten des US-Thinktanks Project 2049 diese Einheit 61398 als verantwortlich für die technische Aufklärung in den USA und Kanada ausgemacht. Mitarbeiter der Einheit 61398 publizieren in chinesischen Fachmagazinen Beiträge über Netzwerksicherheit.

Die überwiegende Mehrheit der von Mandiant beobachteten Angriffe ging von IP-Adressen in dem Bezirk Shanghais aus, wo die Einheit 61398 sitzt.

Fazit: Bezahlen Chinas Machthaber die Hacker?

Für die in dem 76-seitigen Bericht zusammengetragenen Indizien gibt es vier mögliche Erklärungen:

  • Mandiant hat den Bericht frei erfunden. Das ist unwahrscheinlich - die Firma hat einen Ruf zu verlieren, berät seit Jahren Firmen und Regierungen, zudem decken sich viele in dem Bericht genannten Fakten mit den Beobachtungen anderer Sicherheitsfirmen und Analysten.
  • Eine sehr große Hacker-Gruppe operiert jahrelang völlig ungehindert in einem Viertel Shanghais, in dem die Volksarmee eine starke Präsenz hat. Das ist möglich, setzt aber in einem totalitären Regime wie dem chinesischen zumindest die Duldung durch die Machthaber voraus.
  • Ausländische Hacker geben sich über Jahre hinweg als Chinesen aus, leiten sämtliche Kommunikation über Shanghai und haben dabei direkten Zugriff auf die Ressourcen eines der größten chinesischen Internetproviders. Das ist ohne die Duldung durch die Machthaber kaum vorstellbar. Chinesische Provider kontrollieren für den Staat sehr genau, wer welche Dienste wie nutzt.
  • Die von Mandiant beobachteten Hacker arbeiten im Auftrag von staatlichen chinesischen Stellen - das würde erklären, warum sie über derart große Ressourcen verfügen.

Die vierte Erklärung erscheint plausibel. Die von Mandiant beobachteten Täter sind keine gewöhnlichen Kriminellen, die mit Betrug, Erpressung oder Spam ihr Geld verdienen. Sie kopieren in großem Stil Informationsrohstoff - es gibt nur wenige Abnehmer, die derart breit gestreute Daten auswerten können. Zudem sind die Täter sehr lange Zeit aktiv, in einem Staat mit der am besten überwachten Internetinfrastruktur der Welt. Entweder sind Chinas Netzkontrolleure unfähig - oder sie haben das Treiben in Shanghai zumindest geduldet, wenn nicht sogar aktiv unterstützt.

Der Autor auf Facebook



Forum - Diskutieren Sie über diesen Artikel
insgesamt 68 Beiträge
Alle Kommentare öffnen
Seite 1
gaiusmuciusscaevola 19.02.2013
1. Na und?
Die USA bespitzeln den Rest der Welt seid der Erfindung des Telefons! Geschieht denen nur Recht, wenn es nun anders herum läuft! Die USA g=haben auch als einzige Nation die Atombombe benutzt - darf man nie vergessen! Die Zukunft Europas liegt in China!
flowpower22 19.02.2013
2.
Queen Elizabeth I. wollte ja von den Freibeutern auch nichts gewusst haben. Es ist nur zu hoffen, dass uns nicht ein Armada-Amaggedon bevorsteht.
dragon 19.02.2013
3.
...was den amerikanern nur recht ist, ist den chinesen nur billig....
deus-Lo-vult 19.02.2013
4. ...
Zitat von gaiusmuciusscaevolaDie USA bespitzeln den Rest der Welt seid der Erfindung des Telefons! Geschieht denen nur Recht, wenn es nun anders herum läuft! Die USA g=haben auch als einzige Nation die Atombombe benutzt - darf man nie vergessen! Die Zukunft Europas liegt in China!
Schonmal etwas "seit" gehört? Leitet sich nicht von "sein" ab. Ansonsten kann man den Inhalt mit der Rechtschreibung gleichsetzen. Wenn Sie einfach nur mal so Ihren Pawlowschen Reflex ausleben wollen, basteln Sie sich doch ein Schild, schreiben "Scheiß USA" drauf, und stellen sich damit an eine vielbefahrene Kreuzung. Hätte jedenfalls mehr Inhalt als Ihr Beitrag hier.
ProDe 19.02.2013
5. brauchen die das denn?
Die meisten Firmen lassen doch ohnehin schon in China produzieren - auch sensitive Technik. Damit haben die doch schon völlig legal Zugang zu allem was die wollen. Die USA sind da schlauer. Mit ihrem CIA und Justizsystem kommen die völlig legal - wenn auch Zweifelhaft - an alle Informationen heran, die sie brauchen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.