Ihre Angriffe tragen die typischen Merkmale hochentwickelter militärisch-geheimdienstlicher Attacken: politisch oder wirtschaftlich besonders wichtige Ziele, ein hoher Entwicklungsstand, mehrstufige und in Phasen verlaufende Angriffe mit eigener oder zumindest weitgehend umgebauter Malware, gute Tarnung und ein Versagen fast aller Abwehrmechanismen. Eine Entwicklung, die wahrscheinlich durch die Aufdeckung der NSA-Methoden angestoßen und beschleunigt wurde. Die meisten dieser neuen Kampagnen wurden erst nach einiger Zeit entdeckt. Rechnet man dazu noch eine Entwicklungszeit von acht bis zwölf Monaten, wurden sie wahrscheinlich vor ein bis vier Jahren entwickelt — also in der Zeit zwischen Stuxnet und Snowden. Beide Ereignisse waren ziemlich gute Werbung für offensives Hacking.
Letzte Woche ist ein neuer Akteur hinzugekommen: der Iran. Die bislang eher unbekannte Sicherheitsfirma Cylance entdeckte „Operation Cleaver“. Einen Angriff mit vielen interessanten, hochentwickelten Elementen, zum Teil von Hackersöldnern zugekauft oder durch Alliierte beigesteuert, der jedoch eher schon existierende Angriffsmodule modifizierte als neue zu entwickeln. Für seine nach wie vor schlecht gesicherten Ziele war er trotzdem effizient genug.
Eine Vorbereitung für einen echten Angriff mit Flugzeugabstürzen und Gasunfällen? Möglich wär's.
Deswegen ist „Cleaver“ eine interessante und ungewöhnliche Kampagne. Die Angreifer haben es neben Regierungsdaten auf vor allem auf Informationen zur Steuerung von kritischen Infrastrukturen, Flugzeugen, Satelliten und Flughäfen abgesehen. Das kann Industriespionage sein, liefert aber auch das nötige Detailwissen für großformatige Sabotageangriffe auf solche Strukturen. Eine Vorbereitung für einen echten Angriff mit Flugzeugabstürzen und Gasunfällen? Möglich wär's.
Allerdings macht gerade das den Verdacht gegen den Iran fragwürdig. Die Indizien sind nicht sehr umfangreich und könnten zum Teil gefälscht sein. Einige davon sind außerdem allzu offensichtlich: iranische Namen wie „Team Zhopin“ etwa, oder Kommentare auf Persisch. Hinweise, die die Angreifer eigentlich vermeiden sollten, wenn sie tatsächlich aus dem Iran stammen.
Wird hier also nur eine ‚False Flag‘-Operation gegen den Iran gefahren, eine Provokation durch eine unbekannte dritte Macht?
„Shit happens“ und Schlamperei gilt aber natürlich auch bei Nachrichtendiensten (siehe NSA) und gerade Anfänger in diesem Feld machen oft Fehler. Trotzdem bleiben die Indizien zweifelhaft. Hinzu kommt der hohe Aggressionsgrad von „Operation Cleaver“: Die Beschaffung von Steuerungsinformationen kritischer Infrastrukturen aus dem Westen kann leicht als kriegerischer Akt gewertet werden. Sollten in nächster Zeit solche Strukturen sabotiert werden, wäre der Iran der Hauptverdächtige. Das passt so gar nicht zum sicherheitspolitisch eher vorsichtigen Taktieren des Landes. Wird hier also nur eine „False Flag“-Operation gegen den Iran gefahren, eine Provokation durch eine unbekannte dritte Macht? Allein im Nahen Osten gibt es genug Akteure, die ein Interesse daran und reichlich Geld für die nötigen Cyber-Söldner hätten.
Die Hinweise sind reichlich, fast schon zu reichlich vorhanden, aber kaum eindeutig. Wie immer bei diesen Kampagnen. Und bislang sind wir mit diesem Unwissen zurechtgekommen. Bei internationaler Industriespionage ist eine genaue Zurückverfolgung ohnehin eher uninteressant, da man politisch und juristisch kaum wehren kann. Wenn nun allerdings Aktivitäten zunehmen, die auf Sabotage zielen und zum handfesten Kriegsgrund werden können, sieht es anders aus. Wir müssen überall wesentlich bessere Sicherheitsvorkehrungen treffen und parallel definieren, wie Veranwtortung zugeschrieben und wann Konflikte eskaliert werden sollen. Dabei müssen wir extrem vorsichtig sein, um nicht überzureagieren.
