NSA-Report Teil 1

Wikileaks und die Folgen für die IT-Sicherheit in Deutschland

07.04.2017 von Florian  Oelmaier und Friedrich Wimmer
Welche konkreten Hinweise auf Wirtschaftsspionage durch die NSA ergeben sich aus den Snowden-Dokumenten und was bedeutet das für die IT-Sicherheit deutscher Unternehmen? Diese Frage beleuchtet die COMPUTERWOCHE in einer exklusiven dreiteiligen Serie.

Im NSA-Reportder Unternehmensberatung Corporate Trust wurden erstmalig die Dokumente der NSA-Whistleblower nicht vor einem gesellschaftspolitischen Hintergrund sondern auf ihre Aussagekraft für dieIT-Sicherheitslage in der deutschen Wirtschaft untersucht. Im ersten Teil dieser dreiteiligen Artikelserie beleuchten die Autoren des Reports die Spionageziele sowie die technische und organisatorische Vorgehensweise der NSA. Teil 2 bietet einen Ausblick auf die Zukunft, Teil 3 ordnet die Aktivitäten in einen internationalen Kontext ein.

Für den NSA-Report hat die Unternehmensberatung Corporate Trust die von Edward Snowden veröffentlichten NSA-Dokumente mit Blick auf die deutsche Wirtschaft ausgewertet.
Foto: Corporate Trust

"Es ist unsere Absicht, das volle Spektrum des Cyber-Potenzials auszuschöpfen, um unsere Politiker und Befehlshaber mit einer möglichst großen Bandbreite an Optionen zu versorgen, falls sie diese nutzen wollen." Dieses Zitat von NSA-Direktor Michael Rogers verdeutlicht das Selbstbild der Organisation: Man sieht sich als Werkzeug der Politik und des Militärs. Dazu gehört auch die Unterstützung bei Vertragsverhandlungen und internationalen Konferenzen. So bedankt sich im Jahr 2009 ein Mitarbeiter des US-Außenministeriums offiziell bei der NSA: "Die mehr als hundert Berichte, die wir von der NSA bekamen, haben uns einen tiefen Einblick in die Pläne und Zusammenhänge anderer Gipfelteilnehmer verschafft. Dies hat sichergestellt, dass unsere Diplomaten gut vorbereitet waren, um Präsident Obama und Ministerin Clinton bei umstrittenen Themen, wie zum Beispiel Kuba, und im Umgang mit schwierigen Gesprächspartnern, wie zum Beispiel dem venezolanischen Präsidenten Chávez, richtig zu beraten."

In den Händen eines US-Präsidenten, der solche Machtoptionen zu nutzen weiß, ist die NSA ein sehr mächtiges Instrument. Aber nicht nur die Politik gehört zu den Kunden der NSA, sondern auch US-Handelsvertretungen sowie das Finanz-, Handels- und Energieministerium (Grafik 1). Obwohl die NSA damit nicht direkt für amerikanische Unternehmen arbeitet, scheint dennoch klar, dass Ermittlungsaufträge von Unternehmen über Lobbygruppen und die entsprechenden Ministerialbürokratien beziehungsweise die US-Handelsvertretungen bei der NSA eingesteuert werden können.

Grafik 1: Die Kunden der NSA - Präsentationsfolie aus den Snowden-Unterlagen zu Kunden und internen Interessensgruppen der NSA. BEWERTUNG: Kunden der NSA haben in Teilen ein natives Interesse an ökonomischen Aspekten.
Foto: Corporate Trust

COMPUTERWOCHE Serie NSA-Report:

Teil 1: Wikileaks und die Folgen für die IT-Sicherheit in Deutschland

Teil 2: Wie die NSA zentrale IT-Systeme angreift - und wie Sie sich schützen!

Teil 3: Deutschland ist auf Cyber-Angriffe schlecht vorbereitet

Das problematische Selbstverständnis der NSA

Die NSA hat insgesamt 40.000 Mitarbeiter und ist im US-Bundesstaat Maryland einer der größten Arbeitgeber. Gleichzeitig ist die Mission der NSA schwierig. Die Snowden-Dokumente "SIGINT Strategy 2012-2016" und "SIGINT Mission Strategic Plan FY2008-2013" sowie die Präsentationsfolie "New Collection Posture" zeigen das Selbstverständnis: "Wir ermitteln Informationen und geben Antworten zu Staaten, Organisationen und Einzelpersonen und deren verborgenen Aktivitäten. Unser Anspruch gilt weltweit, DER Geheimdienst mit technischem Fokus zu sein, der globale Dominanz in allen Netzwerken hat. Dazu greifen wir alles ab, wissen wir alles, sammeln wir alles, bearbeiten wir alles und nutzen wir alles aus." Eine solche Aufgabenstellung erfordert eine wohldurchdachte Organisation.

NSA-Spionageabteilung: Organisiert wie ein Unternehmen

Die Spionageabteilung der NSA (Hauptabteilung S) ist organisiert wie ein Wirtschaftsunternehmen (Grafik 2). Es gibt eine Abteilung für Vertrieb und Kundenkommunikation (S1), die Kundenaufträge entgegennimmt und sich um die Verteilung der fertigen Produkte kümmert. Die Produktion (S2) übernimmt die Erstellung von Analysen in Form von "Produktlinien" - hier arbeiten Analysten auf den riesigen Datenbanken der NSA, zum Beispiel auch mit der durch den BND-Untersuchungsausschuss bekannt gewordenen Software XKeyscore. Das Ziel: die Informationswünsche der Kunden zufriedenstellen. Um die Befüllung der Datenbanken kümmert sich die Abteilung S3: Ihre Aufgabe ist es, stetig verbesserte Methoden zur Sammlung von Daten zu entwickeln.

Grafik 2: Organigramm der NSA-Spionageabteilung – Wer den Aufbau einer Organisation im Detail kennt, kann sich über ihre Fähigkeiten ein Bild machen. Durch die zahlreichen Veröffentlichungen von Edward Snowden und anderen Whistleblowern, aber auch durch Reden und Artikel von NSA-Mitarbeitern sowie Stellenausschreibungen auf dem NSA-Jobportal, ist dieses Bild über die Zeit immer präziser geworden. So werden Zusammenhänge sichtbar, die auch die Strukturen anderer Geheimdienste prägen – und auch nichtstaatliche Cybereinheiten werden an vielen Stellen denselben Prinzipien gehorchen. Ein intensiver Blick lohnt sich also. BEWERTUNG: Das gezielte Eindringen in Netzwerke und Systeme zur Datensammlung ist eine Aufgabe der NSA.
Foto: Corporate Trust

Dabei müssen nur in Ausnahmefällen die Abteilungen des Bereichs S32 "Gezieltes Eindringen" die Datensammlung ergänzen. Zwar sind auch in diesem Bereich die Fähigkeiten der NSA vielfältig und reichen vom klassischen Eindringen über Viren bis hin zur Veränderung von Server- oder Netzwerk-Hardware auf dem Postweg zum Kunden - doch der Schwerpunkt der NSA liegt auf dem Abhören aller Netzwerke. Im Gegensatz zu den direkten Hacking-Angriffen auf Firmen, die oft dem chinesischen oder russischen Geheimdienst zugerechnet werden, setzt die NSA ihren Fokus auf ein Netz weltweiter Abhörstationen.

NSA überwacht 90 Prozent der Internet-Kapazitäten

Betrachtet man die 90 größten Internetknoten und die 360 wichtigsten Unterseekabel, dann kann die NSA wohl mehr als 90 Prozent dieser Internetkapazitäten überwachen (Grafik 3). Selbst in Russland oder China gibt es größere Installationen von Abhörtechnologie. Auf der Weltkarte mit den Standorten wird klar, wie nah die NSA ihrem erklärten Ziel ist: "global network dominance" (Grafik 4). Ein gutes Beispiel für die Arbeitsweise der NSA ist die große XKeyscore-Installation am Ufer des Roten Meeres, in der Nähe der saudi-arabischen Hafenstadt Dschidda. Dass mitten in der Wüste eine solche Installation errichtet wird, leuchtet erst ein, wenn man den Verlauf der Unterseekabel bedenkt: Um die notwendigen Verstärkerstationen nicht immer unter Wasser bauen zu müssen, werden nahezu alle Unterseekabel, die von Europa nach Indien oder China führen, nahe Dschidda an Land geführt. Damit bietet sich dieser Punkt für einen zentralen Zugriff an.

Grafik 3: Abhörmöglichkeiten der NSA - Die NSA überwacht rund 92% der gesamten Strecke weltweiter Unterseekabel und 91% der weltweiten Kapazität aller Internet-Knoten. BEWERTUNG: Die Abhörmaßnahmen sind weltumspannend.
Foto: Corporate Trust

Damit die NSA an solchen Stellen Zugriff bekommt, werden Partnerschaften gepflegt - strikt nach dem Motto "Quid pro quo" ("Eine Hand wäscht die andere"). Den meisten Staaten stehen weit weniger technische Mittel zur Verfügung als der NSA. Und das Abhören von Glasfaserkabeln inklusive des Ausfilterns von Suchbegriffen in Echtzeit sowie deren indizierter Speicherung ist weder einfach noch billig zu haben. Die NSA bietet ihren Partnern all das kostenlos an: Jeder Partnerdienst erhält Technologien wie XKeyscore zur freien Verwendung, einschließlich Schulung und Einweisung, sodass er diese Installation an wichtigen Punkten im eigenen Land einbringen und mit eigenen Suchbegriffen den Verkehr abhören kann. Einzige Bedingung: Die NSA darf ebenfalls Suchbegriffe einspielen und alle gesammelten Daten wandern auch in ihre Datenbanken. Auf diese Weise ist allen geholfen: Die Partnerdienste erhalten günstig Zugriff auf fortgeschrittene Technologien und die NSA kann ihren Abhörbereich weiter ausbauen.

Grafik 4: Weltkarte der NSA-Stationen - Das Hauptinstrument der NSA zur elektronischen Massenüberwachung ist XKeyscore, eine spezielle Software zum Auswerten von Metadaten. Installationen von XKeyscore werden von der NSA und von Partnern betrieben. BEWERTUNG: An neuralgischen Punkten, sogar in Moskau, befinden sich XKeyscore-Installationen.
Foto: Corporate Trust

Deutsche Unternehmen im Visier der NSA

Auch bei der Informationsauswertung entwickelt sich die NSA weiter. Das Ziel für die Jahre 2012 bis 2016 lautete, eine grundlegende Änderung des Analyseansatzes umzusetzen: ein Umbau der Analyse weg von einem Produktions- und hin zu einem Entdeckungsansatz. Angereichert mit einer innovativen Kunden-/Partnereinbindung sollte die NSA gemeinsam mit den Kunden gesammelte Daten nach interessanten Erkenntnissen durchforsten und nicht mehr erst Aufklärungsziele festlegen und darauf aufbauend passende Daten sammeln müssen. Bis zur Umsetzung dieses Plans waren die Aufklärungsziele die wichtigsten Steuerungsdokumente der NSA.

Die Geschichte des Computer-Virus
1986: Brain
Mehr als ein Jahrzehnt, bevor Napster für irgendjemanden ein Begriff war, wurde der erste Computervirus entwickelt - um Softwarepiraterie zu bekämpfen. Der Autor, der das Wort "Cyber" in die Welt setzte, war William Gibson - genannt "Brain". Basit und Amjad Alvi entwickelten und vermarkteten medizinische Software im pakistanischen Lahore. Sie interessierten sich für zwei Dinge. Zuerst wollten sie die Multitasking-Funktionalität der neuen DOS-Betriebssysteme (sogenannte "TSR"-Systeme) testen. Zweitens wollten sie sehen, ob es im Vergleich zu anderen Betriebssystemen wie Unix Sicherheitslücken in DOS gibt.<br /><br />Als sie bemerkten, dass DOS recht anfällig war, hatten sie die Idee, ein Stück Software zu schreiben, das überwacht, wie die Software und die Disketten sich bewegen. Brain verbreitete sich viral über 3,25-Zoll-Disketten und innerhalb weniger Wochen mussten die Alvis ihre Telefonnummern ändern. Das hat Ihnen allerdings wenig genützt, denn 25 Jahre nach der Entwicklung des ersten PC-Virus machte sich Mikko Hypponen von F-Secure im Frühjahr 2011 auf die Reise nach Lahore. Sein Ziel: die Adresse, die im Code zu finden war. Tatsächlich fand er die Alvi-Brüder dort vor und bekam die Gelegenheit, mit ihnen das erste Video-Interview über Brain zu führen.
1987: Stoned
Erstellt durch einen Gymnasiasten in Neuseeland, wurde Stoned zunächst als harmlos angesehen. Zunächst machte er sich auch lediglich mit der Meldung "Your PC is now Stoned" bemerkbar. Doch als erster Virus, der den Bootsektor eines PCs infizierte, zeigte Stoned, dass Viren die Funktion eines Computers steuern können - und zwar von dem Moment an, in dem er eingeschaltet wird. Bob Dylan wäre stolz gewesen.
1990: Form
Form wurde zu einem der meistverbreiteten Viren überhaupt. Am 18. eines jeden Monats entlockte er den PC-Lautsprechern ein klickendes Geräusch - jedes Mal, wenn eine Taste gedrückt wurde. Das war zwar durchaus ärgerlich, aber harmlos.
1992: Michelangelo
Michelangelo wurde dazu genutzt, alle Daten auf einer Festplatte zu bestimmten Terminen zu überschreiben. Als eine Variante von Stoned - nur deutlich bösartiger - war Michelangelo wohl der erste Computervirus, der es auf internationaler Ebene in die Nachrichten geschafft hat.
1992: VCL
Das Virus Creation Laboratory (VCL) machte es kinderleicht, ein bösartiges kleines Programm zu basteln – durch die Automatisierung der Virenerstellung über eine einfache grafische Schnittstelle.
1993: Monkey
Monkey - ebenfalls ein entfernter Verwandter von Stoned - integrierte sich heimlich in Dateien und verbreitete sich anschließend nahtlos. Damit war Monkey ein früher Vorfahre des Rootkits: Ein selbstverbergendes Programm, das den Bootvorgang per Diskette verhindern konnte. Wenn es nicht korrekt entfernt wurde, verhinderte Monkey gar jegliche Art des Bootens.
1995: Concept
Als erster Virus, der Microsoft Word-Dateien infizierte, wurde Concept zu einem der häufigsten Computer-Schädlinge. Schließlich war er in der Lage, jedes Betriebssystem, das Word ausführen konnte, zu infizieren. Achja und: Wurde die Datei geteilt, wurde auch der Virus geteilt.
1999: Happy99
Happy99 war der erste E-Mail-Virus. Er begrüßte User mit den Worten "Happy New Year 1999" und verbreitete die frohe Botschaft per E-Mail auch gleich an alle Kontakte im Adressbuch. Wie die frühen PC-Viren richtete Happy99 keinen wirklichen Schaden an, schaffte es aber dennoch, sich auf Millionen von PCs auf der ganzen Welt auszubreiten.
1999: Melissa
Angeblich benannt nach einer exotischen Tänzerin, stellte Melissa eine Kombination aus klassischem Virus und E-Mail-Virus dar. Er (beziehungsweise sie) infizierte eine Word-Datei, verschickte sich dann selbst per E-Mail an alle Kontakte im Adressbuch und wurde so zum ersten Virus, der innerhalb weniger Stunden zu weltweiter Verbreitung brachte.<br />Melissa kombinierte das "Spaß-Motiv" der frühen Virenautoren mit der Zerstörungskraft der neuen Ära: Der Virus integrierte unter anderem Kommentare von "The Simpsons" in Dokumente der Benutzer, konnte aber auch vertrauliche Informationen verschicken, ohne dass Betroffene dies bemerkten. Nicht lange nach Melissa wurden Makroviren praktisch eliminiert, indem Microsoft die Arbeitsweise der Visual-Basic-Makro-Sprache in Office-Anwendungen änderte.
2000: Loveletter
Dieser Loveletter hat Millionen von Herzen gebrochen und gilt noch heute als einer der größten Ausbrüche aller Zeiten. Loveletter verbreitete sich via E-Mail-Anhang und überschrieb viele wichtige Dateien auf infizierten PCs. Gleichzeitig ist es einer der erfolgreichsten Social-Engineering-Attacken überhaupt. Millionen von Internet-Nutzern fielen dem Versprechen von der großen Liebe zum Opfer und öffneten den infizierten E-Mail-Anhang. Der geschätzte, weltweite Gesamtschaden betrug Schätzungen zufolge 5,5 Milliarden Dollar.
2001: Code Red
Der erste Wurm, der sich ohne jegliche Benutzerinteraktion innerhalb von Minuten verbreitete, trug den Namen Code Red. Er führte verschiedene Aktionen in einem Monatszyklus aus: An den Tagen eins bis 19 verbreitete er sich - von Tag 20 bis 27 startete er Denial-of-Service-Attacken auf diverse Webseiten - beispielsweise die des Weißen Hauses. Von Tag 28 bis zum Ende des Monats war übrigens auch bei Code Red Siesta angesagt.
2003: Slammer
Netzwerk-Würmer benötigen nur ein paar Zeilen Code und eine Schwachstelle - schon können sie für ernste Probleme sorgen. Slammer brachte auf diese Weise das Geldautomaten-Netz der Bank of America und die Notrufdienste in Seattle zum Absturz. Sogar das Flugverkehrskontrollsystem war nicht gegen den agilen Bösewicht immun.
2003: Fizzer
Fizzer war der erste Virus, der gezielt entwickelt wurde, um Geld zu verdienen. In Gestalt eines infizierten E-Mail-Anhangs kam er auf die Rechner seiner Opfer. Wurde die Datei geöffnet, übernahm Fizzer den Rechner und benutzte diesen, um Spam zu versenden.
2003: Cabir
Cabir war der erste Handy-Virus der IT-Geschichte und hatte es gezielt auf Nokia-Telefone mit Symbian OS abgesehen. Cabir wurde über Bluetooth verbreitet und bewies, dass der technologische Fortschritt alleine kein wirksames Mittel gegen Hacker und Cyberkriminelle ist.
2003: SDBot
SDBot war ein Trojanisches Pferd, das die üblichen Sicherheitsmaßnahmen eines PCs umging, um heimlich die Kontrolle zu übernehmen. Er erstellte eine Backdoor, die es dem Autor unter anderem ermöglichte, Passwörter und Registrierungscodes von Spielen wie "Half-Life" und "Need for Speed 2" auszuspionieren.
2003: Sobig
Sobig war eine Optimierung von Fizzer. Die Besonderheit: Einige Versionen warteten zunächst ein paar Tage nach der Infektion eines Rechners, bevor die betroffenen Rechner als E-Mail-Proxy-Server benutzt wurden. Das Ergebnis? Eine massive Spam-Attacke. Alleine AOL musste mehr als 20 Millionen infizierte Nachrichten pro Tag abfangen.
2004: Sasser
Sasser verschaffte sich über gefährdete Netzwerk-Ports Zugang zum System, verlangsamte dieses dramatisch oder brachte gleich ganze Netzwerke zum Absturz – von Australien über Hongkong bis nach Großbritannien.
2005: Haxdoor
Haxdoor war ein weiterer Trojaner, der nach Passwörtern und anderen privaten Daten schnüffelte. Spätere Varianten hatten zudem Rootkit-Fähigkeiten. Im Vergleich zu früheren Viren setzte Haxdoor weitaus komplexere Methoden ein, um seine Existenz auf dem System zu verschleiern. Ein modernes Rootkit kann einen Computer in einen Zombie-Computer verwandeln, der ohne das Wissen des Benutzers fremdgesteuert werden kann - unter Umständen jahrelang.
2005: Sony DRM Rootkit
Im Jahr 2005 hatte eine der größten Plattenfirmen der Welt die gleiche Idee, die schon die Alvi-Brüder im Jahr 1986 hatten: Ein Virus sollte Piraterie verhindern. Auf den betroffenen Audio-CDs war nicht nur eine Musik-Player-Software, sondern auch ein Rootkit enthalten. Dieses kontrollierte, wie der Besitzer auf die Audio-Tracks der Disc zugreift. Das Ergebnis: ein medialer Shitstorm und eine Sammelklage. Letzterer konnte sich Sony nur durch großzügige Vergleichszahlungen und kostenlose Downloads außergerichtlich erwehren.
2007: Storm Worm
Laut Machiavelli ist es besser, gefürchtet als geliebt zu werden. Sieben Jahre nach Loveletter, machte sich der Schädling Storm Worm unsere kollektive Angst vor Wetterkapriolen zu Nutze. Dazu benutzte er eine E-Mail mit der Betreffzeile "230 Tote durch Sturm in Europa". Sobald der Dateianhang geöffnet wurde, zwangen eine Trojaner- Backdoor und ein Rootkit den betroffenen Rechner, sich einem Botnetz anzuschließen. Botnetze sind Armeen von Zombie-Computern, die verwendet werden können, um unter anderem Tonnen von Spam zu verbreiten. Storm Worm kaperte zehn Millionen Rechner.
2008: Mebroot
Mebroot war ein Rootkit, dass gezielt konstruiert wurde, um die gerade aufkommenden Rootkit-Detektoren auszutricksen. Dabei war der Schädling so fortschrittlich, dass er einen Diagnosebericht an den Virenschreiber sendete, sobald er einen PC zum Absturz gebracht hatte.
2008: Conficker
Conficker verbreitete sich rasend schnell auf Millionen von Computern weltweit. Er nutzte sowohl Schwachstellen in Windows, als auch schwache Passwörter. Kombiniert mit einigen fortschrittlichen Techniken, konnte Conficker weitere Malware installieren. Eine - besonders fiese - Folge: die Benutzer wurden durch den Virus vom Besuch der Website der meisten Anbieter von Security-Software gehindert. Mehr als zwei Jahre nachdem Conficker erstmals gesichtet wurde, waren immer noch täglich mehr Rechner infiziert.
2010: 3D Anti Terrorist
Dieses "trojanisierte" Game zielte auf Windows-Telefone ab und wurde über Freeware-Websites verteilt. Einmal installiert, startete der Trojaner Anrufe zu besonders teuren Sondernummern und bescherte den Nutzern überaus saftige Rechnungen. Diese Strategie bei Apps ist immer noch neu - wird sich aber vermutlich zu einer der gängigsten Methoden entwickeln, mit denen Hacker und Cyberkriminelle künftig mobile Endgeräte angreifen.
2010: Stuxnet
Wie schon gesehen, haben Computer-Viren schon seit Jahrzehnten Auswirkungen auf die reale Welt - doch im Jahr 2010 hat ein Virus auch den Lauf der Geschichte verändert: Stuxnet. Als ungewöhnlich großer Windows-Wurm (Stuxnet ist mehr als 1000 Prozent größer als der typische Computerwurm) verbreitete sich Stuxnet wahrscheinlich über USB-Geräte. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet. Wenn Stuxnet eine Verbindung feststellte, veränderte er die Befehle, die der Windows-Rechner an die PLC/SPS-programmierbaren Logik-Controller sendet - also die Boxen zur Steuerung der Maschinen.<br /><br /> Läuft er auf PLC/SPS, sucht er nach einer bestimmten Fabrikumgebung. Wenn diese nicht gefunden wird, bleibt Stuxnet inaktiv. Nach Schätzungen der F-Secure Labs, kostete die Umsetzung von Stuxnet mehr als zehn Mannjahre Arbeit. Immerhin zeigt das, dass ein Virus, der offensichtlich eine Zentrifuge zur Urananreicherung manipulieren kann, nicht im Handumdrehen von Jedermann erschaffen werden kann. Die Komplexität von Stuxnet und die Tatsache, dass der Einsatz dieses Virus nicht auf finanziellen Interessen beruhte, legt den Verdacht nahe, dass Stuxnet im Auftrag einer Regierung entwickelt wurde.

Ein von Wikileaks veröffentlichter Spionageauftrag der NSA von 2012 gegen Frankreich zeigt ein breites Interesse an wirtschaftlichen Vorgängen, wie bevorstehende Auftragsvergaben, Machbarkeitsstudien oder Großprojekte im Allgemeinen. Bisher wurden noch nicht einmal 3 Prozent der Snowden-Dokumente veröffentlicht. Es wäre fahrlässig, zu glauben, die deutsche Wirtschaft sei von der NSA-Spionage nicht betroffen - vor allem, da eine strategische Liste von Spionagezielen im Januar 2007 Deutschland neben neun weiteren Ländern nennt, die allesamt "neu entstehende strategische Technologien" entwickeln und herstellen. Diese könnten "einen strategischen militärischen, wirtschaftlichen oder politischen Vorteil liefern", heißt es in dem NSA-Dokument. Es ist davon auszugehen, dass die Bedeutung der deutschen Wirtschaft seitdem global eher zu- als abgenommen hat und deutsche Firmen somit durchaus im Fokus der NSA stehen.

Aus den Snowden-Dokumenten wird klar, dass im Jahr 2007 Raumfahrt, Elektro-Optik, Nanotechnologie und energetische Materialien auf der strategischen Missionsliste der NSA standen. Die Fallpraxis der Corporate Trust hat dies bestätigt. Heute sind bei geheimdienstlichen Spionageangriffen zusätzlich die Bereiche Biotechnologie, Getriebetechnologien und alternative Antriebe betroffen.

Die NSA zieht außerdem E-Commerce, elektronische Wahlen sowie die netzwerkbasierte Steuerung von Industrieanlagen und Infrastrukturen als Ziele in Betracht. Während die russische oder chinesische Wirtschaft in vielen Bereichen das technische Know-how deutscher Unternehmen sucht, gehen die Interessen der Amerikaner in andere Richtungen: Hier liegt der Fokus oft auf Unternehmensstrategien, Zusammenschlüssen, Großaufträgen und anderen Managementinformationen. Zunehmend rücken auch juristisch verwertbare Informationen in den Vordergrund. Wie von US-Seite generell bestätigt wurde, gibt die NSA gewonnene Daten unter Einhaltung von Vorschriften auch an andere Behörden außerhalb des Geheimdienstkreises weiter, wenn Anhaltspunkte für strafbares Verhalten gefunden werden.

Durch den umfassenden Zugriff auf die Netzwerkstrukturen des Internets kann die NSA selbst den internen Datenverkehr zwischen einzelnen Firmenstandorten abhören. Teil 2 dieser Artikelserie behandelt dementsprechend die heutigen und künftigen technischen Fähigkeiten der NSA und eine Diskussion der Verteidigungsmöglichkeiten für deutsche Firmen. (wh)

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.