Autoproduktionen wurden angehalten, Paketlieferungen verzögerten sich, Krankenhäuser mussten Patienten abweisen: Die Ransomware Petya gilt als eine der schlimmsten Cyberattacken der letzten Jahre.

Die digitale Waffe stammte aber nicht aus dem Arsenal der üblichen Verdächtigen. Hacker aus dem Dunstkreis der chinesischen, russischen oder nordkoreanischen Staatsmacht hatten mit ihrer Entwicklung ebenso wenig zu tun wie türkische Netzaktivisten. Pety war ein Werkzeug der NSA – und der US-Geheimdienst musste mitansehen, wie es gegen das eigene Land und Verbündete gerichtet wurde.

Es war eine Gruppe namens "Shadow Brokers", der es gelang, in die "Waffenkammer" der Organisation einzubrechen. 15 Monate nach Beginn der Ermittlungen ist vieles immer noch im Unklaren, berichtet die "New York Times".

Gefährlicher als die Snowden-Leaks

Während der Whistleblower Edward Snowden Pläne, Operationen und Entwicklungen der NSA und ihrer Partner öffentlich gemacht hat, lieferten die Shadow Brokers gleich direkt die Waffen an Bestbieter im Darknet. Mittlerweile soll ein breiter Konsens darüber bestehen, dass diese Leaks für die US-Sicherheit wesentlich gefährlicher waren als Snowdens Veröffentlichungen.

"Tailored Access Operations", kurz "TAO", heißt die NSA-Abteilung, die sich mit neuesten Software-Schwachstellen und deren Ausnutzung beschäftigt und als Speerspitze im Cyberbereich gilt. Sie wird dafür kritisiert, ihre Funde geheim zu halten und somit mutwillig Nutzer der betroffenen Systeme und Programme zu gefährden.

Dem hält man entgegen, dass man mehr 90 Prozent der Lücken sehr wohl den Herstellern melde. Den Rest nutzt man für eigene Zwecke, eben auch zur Entwicklung von Cyberwaffen für Angriffe und Abhörmanöver. Der geglückte Einbruch dort wiegt schwer.

Erodiertes Vertrauen, abgedrehte Projekte

Drei Mitarbeiter wurden seit dem Beginn der Ermittlungen festgenommen. Sie hatten ohne Autorisierung auf klassifiziertes Material zugegriffen. Dennoch fürchtet man nach wie vor, dass ein Insider an Bord sein könnte, der zukünftig wieder geheime Informationen preisgibt. Jeder, der Zugriff auf wichtigen Code hat, ist nun potenziell verdächtig, das Vertrauen untereinander erodiere.

Snowden habe zwar "die Moral ruiniert", aber zumindest kenne man ihn, zitiert die Times einen Analysten der TAO-Abteilung. "Nun haben wir eine Situation, in der Leute hinterfragt werden, die 100 Prozent "missions-orientiert" seien. Eine Folge davon: Immer mehr Mitarbeiter, darunter auch langjährige Veteranen, liebäugeln mit einem Wechsel in die Privatwirtschaft.

Die Veröffentlichungen der Shadow Brokers haben auch zum abrupten Ende für einige Projekte geführt, weil wichtige technische Grundlagen plötzlich öffentlich waren. Köpferollen gab es bis in oberste Ebenen. Auch NSA-Chef Michael Rogers hätte fast abtreten müssen. Doch entgegen dem Rat seines nationalen Sicherheitsberaters James Clapper und Verteidigungsminister Ashton Carter entschied sich der damalige US-Präsident Barack Obama, Rogers im Amt zu lassen. Auch, weil dieser mit den Ermittlungen zu möglichem russischen Einfluss auf den Präsidentschaftswahlkampf 2016 befasst war.

Bis ins Mark erschüttert

Es wird erwartet, dass die Leaks den Geheimdienst noch über Jahre beschäftigen werden. Nach wie vor ist nicht klar, ob der Zugriff auf das TAO-Repertoire von außen geglückt ist, oder ein untreuer Mitarbeiter die Daten einfach auf einem USB-Stick hinausgeschleust hat. Klar ist jedenfalls: Die interne Sicherheit muss frisch aufgestellt und viele Cyberwaffen müssen neu entwickelt werden. Die Organisation wurde bis ins Mark erschüttert.

Die Shadow Brokers werden verdächtigt, eine staatlich gesponserte Hackergruppe aus Russland zu sein. Möglicherweise seien sie die Antwort auf verscheiden Veröffentlichungen von US-Sicherheitsunternehmen seit 2014, die über russische Aktivitäten berichteten.

Wie lange die Leaks weitergehen werden, ist unklar. Die Ermittlungen laufen freilich weiter. Doch selbst, wenn man die Hintermänner fassen kann, droht weiteres Ungemach. Denn diese könnten einen sogenannten "Dead Man’s Switch" entwickelt haben, über den bei einer unmittelbar bevorstehenden Festnahme quasi per Knopfdruck der gesamte, erbeutete Datenbestand veröffentlicht wird. (red, 13.11.2017)