© JMiks / Shutterstock
verdeckten amerikanischen Cyberoperationen ans Licht gebracht.
Während die amerikanische Regierung weiterhin angebliche inländische »Computerverbrecher« verfolgt und aburteilt - und zwar einem solchen Ausmaß, dass erst vor Kurzem wieder eine Reform der entsprechenden Gesetzgebung (etwa des »Gesetzes zu Computerbetrug und Missbrauch«, Computer Fraud and Abuse Act, CFAA) angemahnt wurde - , geben, so Menn, die USA verdeckt Millionen dafür aus, bisher unbekannte Sicherheitslücken aufzuspüren und zu lokalisieren, um sie sich dann zunutze zu machen. Dabei verschafften sie sich oft uneingeschränkten Zugang zu den Computersystemen und -Netzwerken internationaler Ziele.
Als Folge dieser Aktivitäten wurden die USA zu einem der weltweit führenden Akteure, wenn es darum geht, im Internet verheerenden Schaden anzurichten - während gleichzeitig im Kongress die Forderungen nach einem schärferen Vorgehen gegen ausländische Hacker immer lauter werden.
Am Dienstag dieser Woche wurde im Kongress ein von Vertretern beider Parteien unterstützter Gesetzesvorschlag eingebracht, der insbesondere dazu beitragen soll, amerikanische Wirtschafts- und Unternehmerdaten vor ausländischen Hackerangriffen zu schützen. Aber wie Menn schreibt, begeht die amerikanische Regierung selbst die gleichen Cyberstraftaten wie die Länder, vor denen bei der Einführung des so genannten »Gesetzes zur Verhinderung von Cyberdiebstählen« gewarnt wird. »Während die amerikanische Regierung konkurrierende Mächte beschuldigt, über das Internet umfassende Spionage zu betreiben, wird sie in den USA auf dem wachsenden grauen Markt, auf dem Hacker in Sicherheitsunternehmen ihre Dienste bzw. Programme und andere Hilfsmittel anbieten, mit denen man in fremde Computer einbrechen kann, selbst zum größten Auftraggeber und Käufer«, schreibt er.
In seinem Artikel erläutert Menn, dass ein erheblicher Teil der gegenwärtigen Cyberaktivitäten in diesem Bereich sich nicht, wie man vielleicht vermuten würde, auf Verteidigungsmaßnahmen konzentriert, sondern stattdessen offensive Operationen entwickelt und durchführt, die darauf abzielen, den Computer- und Datennetzen von Konkurrenten und Widersachern Schaden zuzufügen. Nach seinen Worten geben die Konzerne, die als Vertragspartner des Pentagons tätig sind, »jedes Jahr mindestens einige zigmillionen Dollar« für Forschung und Entwicklung aus, deren konkrete Anwendung und Einsatz es den amerikanischen Geheimdiensten ermöglichen würde, ihre Augen und Ohren praktisch überall auf der Welt zu haben.
Auch wenn die USA diese verborgenen Aktivitäten offiziell bisher nicht eingeräumt haben, so ist doch, wie Menn bemerkt, eine der bekanntesten Operationen - der Stuxnet-Computervirus, der gegen iranische Nukleareinrichtungen eingesetzt wurde - nur ein Beispiel für die sich mehrenden Angriffe gegen ausländische Einrichtungen. »Computerexperten und -forscher aus dem öffentlichen wie dem privaten Sektor betonen, dass die amerikanische Regierung, die sich dabei im wesentlichen ihrer Vertragspartner aus dem Rüstungsbereich bedient, zu einem der führenden Akteure und damit zum Motor dieses im Verborgenen blühenden, aber bereits großen kommerziellen Marktes für Hilfsmittel, den so genannten ›Exploits‹, geworden ist, die auf das Aufspüren und Ausnutzen versteckter Sicherheitsprobleme der Soft- und Hardware spezialisiert sind. Im Allgemeinen handelt es sich bei Exploits um wichtige, aber austauschbare Komponenten komplexerer Programme. Diese Programme können die Zugangsdaten für Finanzkonten stehlen, ein iPhone in ein Abhörgerät verwandeln oder, wie im Falle von Stuxnet, eine Nukleareinrichtung sabotieren«, so Menn.
Er zitiert verschiedene Vertreter von Rüstungskonzernen, die eng mit der Regierung verbunden sind, und der Regierung selbst - von denen sich einige nur unter der Zusicherung von Anonymität äußerten - , die die zunehmend vorherrschende Rolle der amerikanischen Regierung bei der Forschungs- und Entwicklungsförderung im Zusammenhang mit diesen Exploits und ihrem Einsatz bei Cyberangriffen gegen konkurrierende Netzwerke bestätigten.
In seinem Artikel schreibt Menn weiter: »Reuters berichtet über einen Produktkatalog eines großen Konzerns, der der Nachrichtenagentur nur unter der Bedingung zugänglich gemacht wurde, dass ihre Quelle nicht genannt wurde. Zahlreiche Programme waren dort aufgelistet. Darunter befand sich eine Anwendung, mit der man ein iPhone in ein Abhörgerät für einen ganzen Raum verwandeln konnte. Ein anderes Exploit war ein System, mit dem man Spionageprogramme auf einem Drucker oder einem anderen Gerät installieren und diese Schadsoftware dann über Radiowellen auf einen in der Nähe befindlichen Computer übertragen konnte, selbst wenn diese Geräte mit keinem anderen Gerät verbunden waren.«
Diese Konzerne geben im Vorfeld oft 100.000 Dollar und mehr aus, um dann einzelne Verfahren per Lizenz an Regierungen, auch an die amerikanische, zu vermarkten. Als Folge hat sich im wesentlichen im Untergrund ein wachsender Wirtschaftszweig entwickelt, in dem Exploits gekauft und verkauft werden, bevor Programme, die so genannten »Patches«, entwickelt wurden, mit denen diese Sicherheitslücken geschlossen werden und damit Angriffe verhindert werden können. Diese »Zero-Day«-Exploits, die so genannt wurden, weil die Entwickler die diesen Exploits zugrunde liegenden Sicherheitslücken erst dann erkennen, wenn die Exploits eingesetzt wurden und es daher für Schutzmaßnahmen zu spät ist, bringen das große Geld von Konzernen, der Regierung und von Hackern. Und da die Nachfrage nach diesen Exploits wächst, nimmt auch die Zahl der Akteure zu. Als ein Beispiel nennt Menn das Unternehmen "Endgame Inc". aus Atlanta, in das der Risikokapitalfonds "Kleiner Perkins Caulfield & Byers" kürzlich 23 Millionen Dollar investierte. Aber bereits seit 2011 gerieten Endgame und andere vergleichbare Unternehmen ins Visier von Hacktivisten, die deren größtenteils im Verborgenen laufenden Geschäfte mit den Rüstungskonzernen ans Tageslicht bringen wollen.
Als das Hackerkollektiv "Anonymous" 2011 das Sicherheitsberatungsunternehmen "HBGary" unter die Lupe nahm, stieß es auf Teile eines komplexen Netzwerkes aus ehemaligen Mitarbeitern von Bundesbehörden und anderen Gestalten aus dem nachrichtendienstlichen Umfeld, die sehr gut dafür bezahlt wurden, der Regierung Exploits zur Verfügung zu stellen, die diese dann zu ihrem Vorteil einsetzen konnte. Die Internet-Denkfabrik "Project PM", die vom früheren Anonymous-Mitglied Barrett Brown ins Leben gerufen wurde, hat sich intensiv mit Endgame und seinen Partnern auseinandergesetzt.
In diesem Zusammenhang zitierte Brown auch aus einem Artikel der Wirtschaftszeitung Business Week:
»Endgame-Mitarbeiter besorgen sich Karten und Pläne von Flughäfen sowie Parlaments- und Unternehmensgebäuden. Dann listen sie alle Computer, die in den betreffenden Einrichtungen genutzt werden, die dort benutzten Computerprogramme und eine Vorauswahl möglicher Angriffsarten auf, die gegen diese Anlagen eingesetzt werden könnten. Endgames Waffenarsenal wird für bestimmte Großregionen - wie die Nahmittelostregion, Russland, Lateinamerika und China - mit speziellen Handbüchern, Testprogrammen und ›Dem-Anleitungen‹ maßgeschneidert. Man stellt sogar mögliche Ziele für demokratische Länder in Europa und andere amerikanische Verbündete zusammen.«Im vergangenen Jahr wurde Brown aufgrund anders gelagerter Vorwürfe festgenommen. Er befindet sich auch sechs Monate später immer noch in Haft, und es droht ihm ein Prozess. Die amerikanische Regierung hat in der Zwischenzeit im Zusammenhang mit Project PMauch gegen den Internet-Server-Anbieter "Cloudflare" eine Daten-Beschlagnahmeanordnung bewirkt und die Internetseite als kriminelles Unternehmen bezeichnet. »Project PM diente als Forum, in dem der Angeklagte Brown und andere Personen gemeinsame und einzelne Aktivitäten diskutierten, und im Internet kriminelle Handlungen vollzogen, dazu ermutigten oder beitrugen«, heißt es in der Erwiderung auf den Antrag der Project-PM-Leiters, diese Zwangsmaßnahmen zurückzunehmen.
Auch Brown wehrte sich aus dem Gefängnis heraus: »Diese Vorgehensweise verstärkt nur den Eindruck, dass diese Ermittlungen und Vorwürfe gegen mich im Zusammenhang mit unseren erfolgreichen Recherchen zu möglicherweise kriminellen Aktivitäten von Unternehmen stehen, die über enge Verbindungen zur Regierung verfügen.«
Sollte Brown in allen Anklagepunkten schuldig gesprochen werden - dazu gehören Anklagepunkte wie etwa, er habe mehr als zehn Mal einen Bundesbeamten bedroht und auf einen Internetlink hingewiesen - , droht ihm eine Gefängnisstrafe von 100 Jahren. »Es drängt sich unvermeidlich der Schluss auf«, schrieb Glenn Greenwald zu einem früheren Zeitpunkt dieses Jahres in der britischen Zeitung The Guardian, »dass die schon als obszön zu bezeichnende, ausufernde Anklageerhebung, der er [Brown] sich nun ausgesetzt sieht, mit seinen Recherchen und damit verbundenen Aktivitäten zusammenhängt«.
In der Zwischenzeit ziehen sich Akteure außerhalb der Regierung und der Rüstungskonzerne immer mehr insbesondere aus der Entwicklung von Exploits, mit denen Endgame teilweise geschäftlich sehr erfolgreich war, zurück. »Die meisten Unternehmen wie Microsoft, Apple und AdobeSystems bezahlen prinzipiell keine Forscher mehr, die Sicherheitslücken aufdecken, weil sie die Hacker nicht extra noch ermutigen wollen. Diejenigen, die weiterhin ein ›Kopfgeld‹ [für die Entdeckung von Schwachstellen] ausloben, wie Google und Facebook, begründen dies damit, dass sie unter hohem Druck stünden, in finanzieller Hinsicht mit den Ausgaben der Rüstungskonzerne Schritt halten zu müssen«, schreibt Menn.
Der 26-jährige unabhängige Sicherheitsexperte Andrew Auerheimer wurde vor Kurzem zu einer 41-monatigen Gefängnisstrafe verurteilt, weil er ein harmloses Exploit auf den Servern des Telekommunikationskonzerns "AT &T" entdeckte und veröffentlichte. Dieses Exploit ermöglichte es jemandem mit dem entsprechenden Wissen, in den Besitz der E-Mail-Adressen von Tausenden von Benutzern des Apple iPod zu gelangen. Nach seiner Verurteilung schrieb Auerheimer für das Internetportal "Wired", diese gezielte Strafverfolgung einiger mit Sicherheitsfragen befasster Fachleute werde zukünftige Hacker abschrecken, jemals Exploits offenzulegen, selbst dann nicht, wenn diese die nationale Sicherheit gefährdeten. »In Zeiten zügelloser Cyberspionage und des massiven Vorgehens gegen abweichende Meinungen besteht die einzig vertretbare moralische Vorgehensweise darin, einen Zero-Day-Exploit an jemanden weiterzugeben, der ihn im Interesse der sozialen Gerechtigkeit einsetzt. Und das sind nicht die Zwischenhändler, die Regierungen oder die Konzerne - sondern einzelne Personen. In einigen wenigen Fällen kann es sich dabei um einen Journalisten handeln, der in der Lage ist, einen Anwender von Internet-Applikationen öffentlich anzuprangern. Aber in vielen Fällen übersteigt der durch die Enthüllung gegenüber den den Cyberangriffen schutzlos ausgelieferten Massen entstehende Schaden (sowie die Tatsache, dass dieses Exploit dann nicht mehr als Hilfsmittel gegen repressive Regierungen zur Verfügung steht) bei weitem den Nutzen, der sich aus der Anprangerung der Entwickler oder Anwender ergibt. In diesen Fällen erscheint die Sicherheitsbedenken zurückstellende Einstellung als moralisch überlegen, und man sollte daher niemanden informieren.«
Kommentare von Lesern
für unseren Newsletter an