Wie sich die USA und der Iran im Cyberspace bekämpfen

Der Hackerangriff gegen den Iran ist der jüngste Schlag eines jahrelangen digitalen Konflikts. In einem Bereich sind die USA besonders anfällig.

2009 gelang es den USA, die Schadsoftware Stuxnet zu platzieren: Atomanlage in Isfahan. Foto: Keystone

2009 gelang es den USA, die Schadsoftware Stuxnet zu platzieren: Atomanlage in Isfahan. Foto: Keystone

Die Flugzeuge waren bereits in der Luft, die Kriegsschiffe mit Lenkraketen in Stellung. Doch die Aussicht auf bis zu 150 Tote hielt Oberbefehlshaber Donald Trump in letzter Minute doch noch von einem Militärschlag gegen den Iran ab. So berichtete es die «New York Times» vor zehn Tagen unter Berufung auf namentlich nicht genannte Quellen in der Regierung. Der Präsident bestätigte die Meldung via Twitter.

Ein anderer, deutlich leiserer Angriff wurde vom US-Präsidenten hingegen nicht gestoppt. Einen Tag später berichtete die «Washington Post», dass die USA Cyberattacken auf Ziele im Iran durchgeführt hätten. Demnach seien mit dem gezielten Angriff Raketenkontrollsysteme der iranischen Armee lahmgelegt worden. Unter IT-Sicherheitsexperten entwickelte sich sogleich eine Debatte über Sinn und Unsinn eines Cyberangriffs auf den Iran. Diverse Kommentatoren warnten davor, dass die USA damit ihre Karten zu offen zeigten und sich damit die Möglichkeit nähmen, dieselben Sicherheitslücken in der Zukunft wieder auszunutzen.

Debatte über «verbrannte» Sicherheitslücken

Die Sorge ist nicht komplett unberechtigt. Staaten wissen häufig als Einzige von Sicherheitslücken in viel genutzten Systemen – sogenannte Zero-Day-Lücken –, um sich auch ohne Phishing-E-Mails oder infizierte USB-Sticks Zugang zu verschaffen. Einmal genutzt, ist das Wissen jedoch schnell «verbrannt», weil sich Gegner darauf einstellen und ihre Systeme schützen können.

Ryan Kalember, den Chef der Abteilung Cyberstrategie der IT-Sicherheitsfirma Proofpoint, überzeugt das Argument aber nicht. Es sei zum Beispiel nicht ausgemacht, dass das Cyber-Kommando der US-Armee überhaupt unbekannte Sicherheitslücken nutzen musste, um die Raketensysteme auszuschalten. «Das ist zwar Spekulation, aber tatsächlich sind viele dieser militärischen Systeme alt und werden nie upgedatet, die Netzwerke sind nicht gut voneinander getrennt.»

Die jüngste Cyberattacke der USA ist ein weiteres Kapitel eines lange schwelenden digitalen Konflikts zwischen den beiden Staaten. Nach Einschätzung von Jens Monrad, Europachef der Analyseeinheit der amerikanischen IT-Sicherheitsfirma Fireeye, habe dieser im Prinzip bereits 2009 begonnen. Damals gelang es den USA und Israel wohl, die hochkomplexe Schadsoftware Stuxnet in einer iranischen Anlage zur Anreicherung von Uran zu platzieren. Diese Software manipulierte die Zentrifugen, die das Uran schleudern, sodass sie kaputtgingen. Das iranische Atomprogramm wurde deutlich verlangsamt. Es war der erste gross angelegte Hack, bei dem Industrieanlagen physisch beschädigt wurden.

Vor allem im häufig kaum geschützten zivilen Bereich in den USA könnte der Iran eine Menge Schaden anrichten.

Stuxnet zeigte, welche Wirkung ein gut geplanter digitaler Angriff haben kann. 2016 wurde dann bekannt, dass das US-Militär für den Fall eines Scheiterns des Atomabkommens mit dem Iran vorgesorgt hatte. Etliche Millionen Dollar und die Arbeit Tausender Militärvertreter flossen in die Vorbereitung der Operation Nitro Zeus: Dahinter verbirgt sich ein ausgeklügelter Plan, der im Fall eines bewaffneten Konflikts die Luftabwehr des Iran sowie dessen Stromnetze und Kommunikationssysteme lahmlegen soll.

Der Angriff mit Stuxnet war zwar aus amerikanischer Sicht extrem erfolgreich, doch er wirkte auch als Katalysator für den Aufbau der iranischen Cyberkapazitäten. Vor Stuxnet, so sagt es Monrad, beschränkten sich die Iraner eher auf digitalen Vandalismus: Twitter-Konten oder Websites in verfeindeten Ländern hätten sie lahmgelegt oder sie übernommen und politische Botschaften auf ihnen platziert. Die Cybereinheiten des Iran ähnelten damals, übertragen auf die analoge Welt, eher einer marodierenden Jugendbande.

Das hat sich geändert. Mittlerweile hat die Firma Fireeye gleich drei «Advanced Persistent Threats» (APT) beobachtet, die sie der iranischen Regierung zuordnet, sagt Monrad. APT sind Hackergruppen, hinter denen nach Einschätzung von Fireeye aufgrund ihrer ausgeklügelten Strategien und Ressourcen nur ein Nationalstaat stehen könne. Sie sind so etwas wie die Eliteeinheiten des globalen Hackings. Dazu kommen noch Akteure, die Monrad als «freie Mitarbeiter» des iranischen Hackerwesens bezeichnet: Cyberkriminelle, die sich auf Zuruf an Hacking-Aktionen im Interesse der Regierung beteiligen. Manche sind durch Geld motiviert, andere wollen gute Patrioten sein.

Der Iran hat heute ein digitales Waffenarsenal

Im Jahr 2012 zeigte der Iran zum ersten Mal, wie es seine Fähigkeit zum Angriff verbessert hatte. Die Schadsoftware Shamoon zerlegte die komplette IT-Infrastruktur von Saudi Aramco, dem staatlichen Energieunternehmen Saudiarabiens. Mehrere Zehntausend Computer wurden damals von Angreifern unbrauchbar gemacht. «Wenn man sich die Shamoon-Attacke ansieht, wird deutlich, dass die Cyberfähigkeiten der Iraner zu diesem Zeitpunkt deutlich strukturierter abliefen. Sie hatten zum Beispiel begonnen, ihren eigene Schadsoftware zu entwickeln», sagt Monrad. Er geht auch davon aus, dass der Iran zu diesem Zeitpunkt die Rekrutierung für die eigenen Cyberstreitkräfte professionalisiert hatte.

Heute verfüge der Iran über ein gut entwickeltes digitales Waffenarsenal und fähige Hacker, um es einzusetzen. Zudem habe das Land auch die Liste der Ziele seiner Angriffe ausgeweitet. Zunächst wurden nur Ziele im Nahen Osten angegriffen, mittlerweile auch die USA und andere westliche Länder. 2011 griff eine iranische Gruppe etwa US-Banken mit massiven «DDoS»-Attacken an, Kunden hatten Schwierigkeiten, sich in ihre Bankkonten einzuloggen. Etwa zeitgleich versuchten iranische Hacker, die Kontrolle über einen Damm nahe New York City zu übernehmen.

Netzwerk-Absturz «keine Zauberei»

Ryan Kalember von Proofpoint sagt, man dürfe das Können der Iraner nicht überbewerten, aber die Angriffe seien deutlich besser geworden. Besonders die Hartnäckigkeit, mit der sie «Social-Engineering-Attacken» durchführten, sei bemerkenswert. So verschafften sich iranische Hacker durch «Phishing-Mails» Zugang zur Arbeit von US-Wissenschaftlern, die zu Atomwaffen oder andere für den Iran interessante Themen forschen. Fireeye zufolge gab es seit Juni deutlich mehr von diesen gezielten Phishing-Attacken auf Ziele in den USA. Monrad sagt, das könnten Vergeltungsaktionen der iranischen Cyberstreitkräfte gegen die neuen Sanktionen der USA sein.

Auch Kalember sagt, dass die Gefahr einer zerstörerischen iranischen Cyberattacke in den USA grundsätzlich besteht. Attacken, die ganze Netzwerke auslöschen könnten, «sind vom technischen Standpunkt her keine Zauberei». Vor allem im häufig kaum geschützten zivilen Bereich in den USA könnte der Iran damit eine Menge Schaden anrichten. Dass der Iran dazu grundsätzlich in der Lage ist, hätte das Land inzwischen unter Beweis gestellt. Offen ist nur, ob Teheran ein Interesse hat, den Konflikt mit den USA auf diese Weise zu eskalieren.

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt