Hacker oder Insider? NSA hat noch immer keine Erkenntnisse über Shadow Brokers

NSA-Zentrale. Bild: NSA

Der Gruppe war das gesamte Set der NSA-Hackerabteilung in die Hände gefallen, was etwa zur Ausbreitung des Erpressertrojaners Wannacry geführt hat

Es war eine für die US-Geheimdienste peinliche Nachricht, dass einige der von der NSA entwickelten Cyberwaffen im August 2016 geleakt wurden, um dann mit Wannacry in diesem Jahr als verheerender Erpressungstrojaner verwendet zu werden (WannaCry: Globaler Ransomware-Angriff liegt in der Verantwortung der Unsicherheitsdienste). Dahinter stand eine ominöse Hackergruppe namens Shadow Brokers, die allerdings - welch Erstaunen - bislang nicht mit Russland in Verbindung gebracht werden kann, obgleich dies wieder einmal vermutet wird.

Anzeige

Möglicherweise wollte die Gruppe mit der Freigabe einiger Programme nur Werbung für deren Wirksamkeit erzeugen, um dann ein Abo-Angebot für weitere NSA-Programme in einem "Monthly Dump Service" zu erstellen. In schlechtem Englisch schrieben sie zuletzt: "Only theshadowbrokers is having TheData. Having TheData is risk. Having TheData is valuable. If wanting TheData, then paying theshadowbrokers. "

Ob aus der Zeile: "Russian security peoples is becoming Russian hackeres at nights, but only full moons" herausgelesen werden kann, dass eine Verbindung zu russischen Hackern besteht, ist Ansichtssache. Schließlich hat sich die Gruppe auch an Donald Trump gewandt und ihn ermahnt, seine Basis nicht zu vergessen. Jedenfalls scheint die Gruppe oder wer sich auch immer hinter dem Namen verbirgt, neben vielen anderen Dokumenten die gesamte Einbruchswerkzeugkiste der NSA-Abteilung Tailored Access Operations an sich gebracht zu haben.

Dummerweise haben die Hacker herausgebracht, wie die New York Times berichtet, dass ein ehemaliger NSA-Mitarbeiter in der Geheimdiensthackergruppe Tailored Access Operations(TAO) tätig war und dort unter hoher Geheimhaltung Hackeraktionen gegen ausländische Staaten ausgeführt hat. Das war ein zusätzlicher Beweis, dass die NSA, die man wegen ihrer Geheimhaltung auch schon mal No Such Agency nannte, nicht besonders sicher und auch nicht mehr sonderlich geheim ist.

Eine interne Untersuchung der NSA-Abteilung Q Group und des FBI hat offenbar zu keinem Ergebnis geführt, was zusätzlich peinlich ist, zumal der Geheimdienst damit gar nicht mehr so mächtig zu sein scheint und nicht einmal die eigenen Angestellten und Contractors überwachen kann. Weiterhin scheint unklar zu sein, ob der Geheimdienst selbst gehackt wurde, was natürlich sein Ansehen gravierend beschädigen würde, oder ob es sich um die Tat eines Insiders handelt.

Dafür würde sprechen, dass nach Edward Snowden drei Angestellte seit 2016 verhaftet wurden, weil sie als geheim klassifizierte Daten mitgenommen haben. Aber es könnte weitere geben. Die Zahl der Angestellten ist geheim, nach Schätzungen sind es 30.000-40.000 Menschen. Dazu kommt eine große Zahl von "Contractors" (Auftragnehmer), die auch Zugriff auf geheime Daten haben, wie der Fall Snowden zeigte. Auch die CIA wurde durch einen ebenfalls noch nicht aufgeklärten Leak von Geheimdokumenten blamiert, die WikiLeaks an die Öffentlichkeit brachte (WikiLeaks stellt CIA wegen umfangreicher Hackprogramme an den Pranger). Vor ein paar Tagen ist der Quellcode eines weiteren Tools von WikiLeaks veröffentlicht worden.

2016 wurde bei Hal Martin, einem weiteren Contractor von Booz Allen, entdeckt, dass er 70 Terabytes an Daten mitgenommen hatte, darunter auch Hackwerkzeuge des NSA-Teams Tailored Access Operations. 2015 war angeblich ein namentlich nicht bekannter Contractor aufgeflogen, wie WSJ berichtete, der neben geheimen Daten auch Software entwendet hatte, die die NSA zum Hacken nutzt, aber auch Informationen darüber, wie der Geheimdienst Systeme vor Hackern zu schützen sucht. Über Kaspersky-Programme hätten dann Hacker im Auftrag der russischen Regierung Einblick in die Angriffs- und Verteidigungsmethoden der NSA erhalten. Ob die Geschichte stimmt, ist nicht zu überprüfen (Russische Hacker sollen NSA-Dateien gestohlen haben ).

Die Verbreitung der NSA-Hackerwerkzeuge, mit denen dann Millionen Computer mit der daraus entwickelten Ransomware lahmgelegt und zahlreiche Unternehmen, darunter auch Krankenhäuser, erpresst wurden, machte nach den Snowden-Enthüllungen noch einmal klar, welches Ausmaß die NSA-Aktivitäten haben und wie gefährlich solche Cyberwaffen der Geheimdienste und Militärs sind, wenn sie in die Hände von Kriminellen oder Gegnern fallen.

Anzeige

In der NSA herrscht seitdem Misstrauen, berichtet die New York Times. Angestellte wurden auf der Jagd nach Komplizen von Shadow Brokers mit Lügendetektoren traktiert oder außer Dienst gestellt, die Moral sei eingebrochen, Angestellte würden den Geheimdienst in Scharen verlassen, hieß es bereits Ende des letzten Jahres, erfahrene Spezialisten gehen vom Geheimdienst zu Sicherheitsfirmen, die Computer vor Hacks mit den NSA-Werkzeugen schützen.

Auf Anfrage der NYT erklärte NSA-Sprecher Michael Halbig, der Geheimdienst könne nichts zu Shadow Brokers sagen. Dem Ansehen soll es aber nicht geschadet haben: "Die NSA wird weiterhin als toller Arbeitsplatz angesehen. Wir erhalten jedes Jahr mehr als 140.000 Bewerbungen."

Weiter wird, so die NYT, dem Verdacht nachgegangen, dass es sich bei den Shadow Brokers um eine russische Operation handele. Dafür würde sprechen, dass die Dokumente nach und nach herausgegeben werden, wie das auch der Fall bei den entwendeten Emails der Demokraten gewesen war. Allerdings gibt es auch hier nur Vermutungen, die Richtung Russland zeigen, auch wenn die Geheimdienste nach wie vor dieser Überzeugung sind. Wenn nun aber von einem "Schattenkrieg" zwischen Russland und den USA gesprochen wird, muss man davon ausgehen, dass hinter Schuldzuweisungen auch immer Interessen stehen. (Florian Rötzer)

Anzeige