Recherchen der Nachrichtenagentur Reuters zufolge unterhält Nordkoreas Auslandsgeheimdienst eine spezielle Cybergruppe, die wahrscheinlich für einige erfolgreiche Hackerangriffe des kommunistischen Landes verantwortlich ist.

Laut Einschätzungen von Experten aus anderen Ländern wird die sogenannte "Einheit 180" inzwischen vor allem eingesetzt, um Devisen für die Regierung zu beschaffen, heißt es. Der Washingtoner Nordkorea-Experte James Lewis etwa sagt, mit der Strategie sei Nordkorea genauso erfolgreich wie oder vielleicht sogar erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel.

Ähnlich äußert sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 in den Süden überlief. Die "Einheit 180" greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus - einerseits, um besser auf das Internet zugreifen zu können, andererseits, um keine Spuren zu hinterlassen. Wahrscheinlich tarnten sie sich als Mitarbeiter von Handelsfirmen, von Niederlassungen nordkoreanischer Firmen oder von Gemeinschaftsunternehmen in China oder anderen asiatischen Staaten.

Nordkorea sind in den vergangenen Jahren diverse größere Hackerangriffe vorgeworfen worden. Meistens ging es um Attacken auf Finanznetzwerke, etwa in den USA oder Südkorea. Sicherheitsexperten haben zudem zumindest einen ersten Hinweis darauf gefunden, dass die Regierung in Pjöngjang hinter dem "WannaCry"-Angriff rund um das vergangene Wochenende stehen könnte.

Diesen Verdacht hat ein Botschafter des Landes bereits als "lächerlich" zurückgewiesen. Der stellvertretende Uno-Botschafter von Nordkorea, Kim In Ryong, sagte, es sei typisch für "die USA und die feindlichen Mächte", eine lautstarke anti-nordkoreanische Kampagne zu starten, "wann immer etwas Seltsames passiert". Mit der Erpressersoftware "WannaCry" waren zuletzt weltweit Hunderttausende Computer angegriffen worden. Auf den befallenen Rechnern hatte die Software Dateien verschlüsselt, die Opfer wurden aufgefordert, Lösegeld in Bitcoin zu überweisen.

Verbindungen zur "Lazarus"-Gruppe

Experten der Firmen Symantec und Kaspersky Lab hatten in einer Vorgängerversion von "WannaCry" ein Stück Code identifiziert, das zuvor von der sogenannten "Lazarus"-Gruppe eingesetzt wurde. Diese Gruppe war zuvor zum Beispiel mit einem Cyber-Bankraub in Bangladesch und der Hackerattacke auf Sony Pictures in Verbindung gebracht worden. Beim Sony-Hack hatte unter anderem das FBI Nordkoreas Regierung offiziell für die Attacke verantwortlich gemacht. Nordkorea wies die Vorwürfe in beiden Fällen zurück.

US-Regierungskreisen zufolge gibt es bei "WannaCry" bislang keinen klaren Beweis dafür, dass Nordkorea für den Angriff verantwortlich ist. Das Land sei aber grundsätzlich eine reale Cyberbedrohung, sagt ein hochrangiger Regierungsmitarbeiter.

Auch Dmitri Alperovitch, Mitgründer der US-Sicherheitsfirma CrowdStrike, sagt: "Ihre Fähigkeiten sind im Laufe der Zeit stetig besser geworden." Man sehe in Nordkorea einen Akteur, der in der Lage sei, in den Netzwerken der US-Regierung oder von US-Unternehmen großen Schaden anzurichten.

In einem Bericht des US-Verteidigungsministeriums, der Anfang 2016 an den Kongress ging, hieß es, dass Nordkorea Cyberattacken wohl als eine Möglichkeit sehe, in Südkorea und anderen verfeindeten Ländern wie den USA Erkenntnisse zu sammeln und Unruhe zu schaffen. Cybermissionen hätten aus Sicht der Nordkoreaner wohl unter anderem den Vorteil, dass sie kosteneffizient seien.

Ein geringes Risiko digitaler Vergeltungsangriffe

Zudem sei das Risiko gering, durch einen digitalen Vergeltungsangriff zu Schaden zu kommen, weil Nordkoreas Netzwerke weitgehend vom klassischen Internet abgekoppelt sind. Es sei aber wahrscheinlich, dass Nordkorea "Internet-Infrastruktur dritter Staaten" nutzt, heißt es weiter.

Auch Ahn Chong-ghee, Südkoreas Vizeaußenminister, ist überzeugt, dass Nordkorea seine Cyberattacken über Drittstaaten ausführt - das schreibt er den Reuters-Journalisten in einer Stellungnahme.

Während Experten Nordkoreas Geheimdiensten durchaus gefährliche Cyberattacken zutrauen, ist es wohl eher unwahrscheinlich, dass kriminelle Hacker aus dem Land heraus operieren, ohne dass die Regierung davon weiß.

Ein Tablet und ein Betriebssystem aus Nordkorea

So ist es Berichten zufolge für Bürger Nordkoreas extrem schwierig, sich überhaupt mit dem offenen Internet zu verbinden. In der Diktatur setzen die Machthaber demnach vor allem auf ein eigenes Intranet mit einer begrenzten Anzahl an Websites, die staatlich kontrolliert werden.

Von Zeit zu Zeit gelangen ausländische Forscher auch an Software und Hardware aus Nordkorea. Auf der Hackerkonferenz 33C3 in Hamburg beispielsweise präsentierten zwei deutsche Sicherheitsexperten, Florian Grunow und Niklaus Schiess, was sie über ein Tablet aus Nordkorea herausfinden konnten. Ein Jahr zuvor, auf dem 32C3, hatten die beiden bereits ein Betriebssystem aus Nordkorea analysiert.

Südkorea als attraktives Ziel

Neben den USA gilt vor allem Südkorea als attraktives Ziel für Nordkoreas Cyberstreitkräfte. Im Juni 2016 hatte die südkoreanische Polizei berichtete, dass sich Hacker im Auftrag des Nordens in die Computer von 160 südkoreanischen Firmen und der Regierungsbehörde gehackt hätten. Mehr als 140.000 Rechner sollen damals betroffen gewesen sein.

Simon Choi, ein Forscher des Antivirensoftware-Herstellers Hauri aus Seoul, geht davon aus, dass der Angriff von einer Basis in China gestartet wurde. "Die arbeiten dort, damit sie chinesische IP-Adressen haben, egal, welches Projekt sie angehen", sagt Choi. Yoo Dong-ryul, der lange für Südkoreas Polizei arbeitete, sagte Reuters derweil, vermutlich sei auch Malaysia schon eine Basis für Nordkoreas Online-Operationen gewesen.

Michael Madden, ein US-Experte für Nordkorea, sagt, die Online-Streitkräfte des Landes hätten bei ihren Missionen eine gewisse Autonomie. Er meint, sie könnten etwa von Hotels in China oder Osteuropa aus operieren. Die "Einheit 180" sei nur eine von vielen Cyberkampftruppen der nordkoreanischen Geheimdienste.