Baltimore: Mit NSA-Cyberwaffe lahmgelegt

Mit EternalBlue, das der NSA irgendwie aus den Händen kam, wurden bereits die massenhaften WannaCry- und NonPetya-Erpressungen ausgeführt, jetzt werden zunehmend US-Städte digitale Geiseln

Baltimore, eine Stadt mit 600.000 Einwohnern, ist durch einen Ransomware-Angriff zur Geisel von noch unbekannten Hackern geworden. Sie haben am 7. Mai Tausende von städtischen Computern durch Verschlüsselung unzugänglich gemacht, was zur Folge hat, dass die Angestellten keine Emails mehr senden und empfangen können ("The City of Baltimore is currently unable to send or receive email. If you need assistance, please call the department you wish to contact."), Zahlungen können nicht mehr online erfolgen oder Gebühren erhoben werden. Sicherheitshalber waren auch die meisten anderen Computern ausgestellt, damit sich das Schadprogramm nicht weiter ausbreiten kann.

Die Stadtverwaltung bemüht sich weiter darum, Notlösungen zu finden, eine Wiederherstellung des Computernetzwerkes dauert, währenddessen fordern die Hacker 13 Bitcoins (100.000 Euro) von der Stadt, um die Verschlüsselung aufzuheben. Angeblich will der Bürgermeister aber nicht zahlen, obwohl das eine kleine Summe gegenüber den Folgekosten ist (Baltimore: Eine Stadt in den Händen von Erpressern).

Den Erpressungen der digitalen Raubritter sind neben anderen Städten und Behörden auch Krankenhäuser oder Unternehmen anheimgefallen. Sie machen deutlich, was passieren könnte, wenn Cyberterroristen in großem Stil zuschlagen oder durch einen Cyberwar-Angriff womöglich ganze Regionen und Länder abgeschaltet werden.

Noch handelt es sich hier um Kriminelle, die auf diese Weise Geld erpressen wollen und sich Bitcoin bedienen, um durch den anonymen Transfer bei der Übergabe nicht erkannt und ergriffen werden zu können. Dummerweise lässt sich der Angriff bislang auch nicht auf russische, chinesische, iranische oder nordkoreanische Hacker zurückverfolgen, um wieder einmal eine Gefährdung durch ausländische Gegner zu beschwören, die für Instabilität oder Verunsicherung sorgen wollen.

Der US-Geheimdienst hielt die Türen für ihre Waffen offen

Es ist viel peinlicher, denn wieder einmal steckt der Geheimdienst NSA indirekt hinter dem Angriff. Das Programm, mit dem dieser erfolgt ist, stammt von diesem. Der Direktor der NSA ist auch weiterhin der Kommandeur des Cyberkommandos des Pentagon. Wie die New York Times aufgrund von Sicherheitsexperten berichtet, die über den Vorfall informiert wurden, handelt es sich um EternalBlue, das eine Lücke in Windows ausnutzt und von der Spezialeinheit "Tailored Access Operations" (T.A.O.) mit Steuergeldern entwickelt wurde.

Die NSA nutzte das Tool jahrelang selbst zum Hacken und gab die Sicherheitslücke deswegen nicht an Microsoft weiter (oder ließ Microsoft sie als Hintertür offen?) Jedenfalls gerieten die Cyberwaffen 2016 in die Hände einer Gruppe, die sich The Shadows Brokers nennt, erst daraufhin soll die NSA Anfang 2017 Microsoft darauf hingewiesen haben, das wiederum Patches auslieferte. Die aber hatten viele Benutzer nicht installiert, daher konnten im selben Jahr dank NSA weltweit auf der Grundlage von EternalBlue die Angriffswellen mit WannaCry und NotPetya Computer lahmlegen (Globaler Ransomware-Angriff liegt in der Verantwortung der Unsicherheitsdienste). Nach der US-Regierung soll für die WannaCry-Attacke Nordkorea und für NonPetya Russland verantwortlich gewesen sein, aber das ist umstritten und schwer zu beweisen.

Natürlich erfährt man nicht, wie EternalBlue in die Hände der Hackergruppe geraten ist. Begingen die NSA-Hacker einen Fehler, gab es einen Insider, der sie weitergab, wurde das Waffenarsenal von TAO gar gehackt? Angeblich steckt, so Shadow Brokers, die Equation Group hinter den Cyberwaffen. Das ist eine mit TAO verbundene Gruppe, die für die NSA Angriffe ausführt und auch für Stuxnet mitverantwortlich gewesen sein soll. Die Hackergruppe erklärte jedenfalls 2016, von der Equation Group Cyberwaffen entwendet zu haben, sie wollte diese an die Meistbietenden versteigern: "Wie viel wollte ihr für Cyberwaffen der Feinde zahlen?" Die Auktion hatte keinen Erfolg, auch Crowdfunding oder Verkäufe an Einzelne fanden keinen Widerhall, so dass die Gruppe nach mehreren Leaks schließlich die Programme veröffentlichten, was dann sehr schnell zur Ransomware-Angriffswelle führte.

Baltimore scheint nur das jüngste Beispiel zu sein

Die New York Times bettet den Angriff auf Baltimore mit EternalBlue wieder in das übliche Narrativ ein, das die Aktivitäten der amerikanischen Geheimdienste, spätestens bekannt geworden durch Snowden, auslässt. Zudem wird beschönigend gesagt, der Geheimdienst habe die Cyberwaffen "verloren": "Seit 2017, als die NSA das Tool verlor, wurde EternalBlue von staatlichen Hackern in Nordkorea, Russland und zuletzt China aufgegriffen, um einen Weg der Zerstörung durch die Welt zu schlagen und einen Schaden von Milliarden von Dollar zu hinterlassen. Aber seit dem letzten Jahr ist die Cyberwaffe als Boomerang zurückgekehrt und taucht im Hinterhof der NSA auf."

Es gehe keineswegs nur um Baltimore, die Angriffe, denen auch Allentown oder San Antonio zum Opfer gefallen seien, hätten eine Rekordhöhe erreicht, Cyberkriminelle greifen dank NSA "verwundbare Klein- und Großstädte von Pennsylvania bis Texas an, legen Verwaltungen lahm und treiben die Kosten in die Höhe". So verursacht der mit vielen Milliarden US-Dollar finanzierte Geheimdienst nicht nur wieder Kosten, die auch der Steuerzahler zu leisten hat, er fördert auch die Cyberkriminalität, indem er Sicherheitslücken und Hintertüren für eigene Zwecke offenhält oder eben gleich die Mittel zum Hacken zur Verfügung stellte. Nicht vergessen sollte man auch, wenn immer von feindlichen staatlichen Hackern die Rede ist, dass die NSA genau auf dieser Ebene operiert und weltweit Computernetze hackt, in sie eindringt, sie manipuliert, spioniert und für den Fall des Falles zero-day-exploits bereithält oder Bugs installiert.

Letztes Jahr hat der französische Präsident die Initiative Paris Call for Trust and Security in Cyberspace gestartet, um etwa Datendiebstahl, Hacks, die Verbreitung von Schadsoftware, die Manipulation von Wahlen zu verhindern, eine breite Kooperation für die Sicherheit zu bewerkstelligen und internationale Normen verantwortlichen Verhaltens sowie Maßnahmen zur Vertrauensbildung im Cyberspace zu entwickeln. Unterstützt wird ein "offener, stabiler, zugänglicher und friedlicher Cyberspace", während "bösartige Cyberaktivitäten in Friedenszeiten" verurteilt werden. Das würde auch das Hacken von Geheimdiensten betreffen.

Bis Mai 2019 haben 66 Länder, darunter alle EU-Mitgliedsstaaten, den Beschluss neben zahlreichen IT-Unternehmen unterzeichnet. Die USA haben dies nicht gemacht und sich damit in die Reihe der Staaten gestellt, auf die Washington immer mit dem Finger zeigt und für Hacks verantwortlich macht: China, Iran, Nordkorea und Russland. Israel will damit auch nichts zu tun haben, Saudi-Arabien auch nicht. Ob die Unterschriften das Papier wert sind, auf dem sie stehen, ist sowieso fraglich. Kaum vorstellbar, dass sich die französischen, britischen oder deutschen Geheimdienste deswegen sondlich zurückhalten oder ihre zero exploits, die sie auch von der Hackszene kaufen, an die entsprechenden IT-Konzerne weitergeben. (Florian Rötzer)