Warum die USA hyperaktive iranische Hacker fürchten

Staatliche Hacker des Iran haben neue Ziele in Amerika im Visier. Ein Szenario beschäftigt Verteidigungspolitiker dabei besonders.

Die Zahl der proiranischen Hackerangriffe auf US-Ziele ist nach der Tötung General Soleimanis in die Höhe geschnellt. Symbolbild: Keystone

Die Zahl der proiranischen Hackerangriffe auf US-Ziele ist nach der Tötung General Soleimanis in die Höhe geschnellt. Symbolbild: Keystone

(Bild: Keystone)

Vorerst ist der Schaden nur ein ästhetischer. Am Samstag tauchte auf einer Website, die US-Regierungsdokumente frei veröffentlicht, eine Fotomontage in Billig-Optik auf. US-Präsident Donald Trump, aus dem Mund blutend, kassiert von einem in Grün gewandeten Arm einen Faustschlag. Darüber winkt der Oberste Führer des Iran, Ayatollah Ali Khamenei. Auf der Website des texanischen Landwirtschaftsministeriums tauchte ein Bild des Generals Qassim Soleimani auf. Hacker hatten amerikanische Regierungswebseiten übernommen, um proiranische Propaganda zu verbreiten. Fachleute waren sich rasch einig: Hier waren Vandalen am Werk – in der Szene abfällig «Script Kiddies» genannt –, aber keine gefährlichen Elite-Hacker der Revolutionsgarden. Würde die iranische Regierung digital Ernst machen, sie könnte deutlich mehr Schaden anrichten.

Nachdem US-Streitkräfte Soleimani getötet hatten, begann ein Dauerfeuer aus iranischen Netzen auf US-Regierungswebseiten. Die Zahl der Attacken, die von iranischen IP-Adressen ausgingen, habe sich verdreifacht, sagte Matthew Prince CNN am Donnerstag. Als Chef des Unternehmens Cloudflare, das einen Grossteil der Infrastruktur des Internets betreibt, hat er einen guten Überblick.

Wie die Kaperungen der Websites sind auch diese Angriffe Störmanöver, es handelt sich Prince zufolge vor allem um die weit verbreiteten DDoS-Attacken (Distributed Denial of Service): Der Angreifer versucht, Websites mit so vielen künstlich erzeugten «Besuchen» zu überlasten, bis sie zusammenbrechen. Angriffe eindeutig einem Angreifer zuzuordnen, ist allerdings schwierig. Hacker aus anderen Staaten könnten iranische Herkunft vortäuschen, indem sie iranische IP-Adressen für ihre Angriffe nutzen.

«Einzigartige Form der Hebelwirkung»

Der Iran ist eine Cybermacht der zweiten Liga, die erste bilden die USA, China, Russland und Israel. Das Land verfügt aber über erfahrene Hacker, denen immer wieder grössere Coups gelingen. So 2012, als mutmasslich iranische Angreifer mehre US-amerikanische Grossbanken lahmlegten. Der Iran dementierte, dahinterzustecken.

Hackerangriffe erlauben es militärisch unterlegenen Staaten, starke Gegner aus der Ferne anzugreifen. Von einer «einzigartigen Form der Hebelwirkung» spricht Sherrod DeGrippo, Expertin bei der IT-Sicherheitsfirma Proofpoint. Schliesslich hat der Iran keine Truppen in den Nachbarstaaten der USA stationiert und kann physisch eigentlich nur innerhalb der Reichweite der eigenen Raketen zurückschlagen.

Ein Szenario treibt westliche Fachleute und Verteidigungspolitiker besonders um: ein Hack der Infrastruktur. Im Herbst verfassten Analysten von Microsoft einen Bericht, der sich wie eine Warnung liest. Sie hatten eine Auffälligkeit bemerkt. APT33, eine der Hackergruppen des Iran, bemühe sich verstärkt um Zugang zu Unternehmen, die industrielle Kontrollsysteme herstellen, verkaufen oder warten. Wer die kontrolliert, kann Kraftwerke, Stromnetze und Produktionsanlagen manipulieren und im schlimmsten Fall herunterfahren. Das ist so etwas wie grosse Preis für Hacker, die einem Land wirklich schaden wollen, und nicht nur spionieren oder provozieren. Auch das US-Heimatschutzministerium warnt: Der Iran sei fähig, «zeitweise Störeffekte in kritischer Infrastruktur» herbeizuführen.

Daten stehlen, Computer lahmlegen, Websites kapern – das passiert jeden Tag. Aber Industrieanlagen und Infrastruktur beschädigen – und damit womöglich Menschen gefährden, die auf diese angewiesen sind: Das ist praktisch ein Kriegsakt. Der Iran hat amerikanische Infrastruktur schon länger im Auge. 2016 klagte das US-Justizministerium sieben Iraner an, weil sie Kontrollsysteme eines Damms im Bundesstaat New York übernommen haben sollen. Physischer Schaden an Anlagen des Gegners ist aber nicht nur das Ziel Teherans. Im Herbst rühmte sich auch ein US-Offizieller, man habe Hardware im Iran bei einem Hack beschädigt.

John Hultquist von der IT-Sicherheitsfirma Fireeye sagt: «Wir sind besorgt, dass die Versuche iranischer Akteure, Zugang zu Anbietern industrieller Steuerungssystemsoftware zu erhalten, dazu genutzt werden könnten, gleichzeitig einen breiten Zugang zu kritischen Infrastrukturen zu bekommen.» Dazu zählt insbesondere das Stromnetz. Die grosse Angst gilt einem Hack, der das ganze Landstriche ins Chaos stürzt. Russische Hacker haben dies nach Ansicht vieler Experten 2015 in Teilen der Ukraine in die Realität umgesetzt.

Ziel eines historischen Hacks

Der Iran steht unter Verdacht, hinter einem gefährlichen Angriff auf eine Energieanlage zu stecken. 2017 hackten sich Angreifer in einer Raffinerie in Saudiarabien, dem Erzfeind des Iran am Golf. Ihr Ziel waren Kontrollsysteme, die Hitze und Druck in der Ölanlage kontrollieren. Fachleuten zufolge hätten sie eine Explosion verursachen können, ein Programmierfehler der Hacker verhinderte wohl Schlimmeres.

Ein wirklich verheerender Angriff auf US-Einrichtungen wäre aber aufwendig, erklärt DeGrippo: «Wenn der Iran als Reaktion auf die aktuelle Situation mit Cyber-Angriffen antworten will, dürfte es einige Zeit dauern, bis die Voraussetzungen erfüllt sind. Der Iran muss dafür erst seine Infrastruktur vorbereiten, die Ziele heraussuchen, digitale Köder auslegen und das Personal bereitstellen.»

Hacks gegen Industrieanlagen kennt der Iran aus eigener Erfahrung – als Ziel eines historischen Hacks. 2009 gelang es einer fremden Macht, mit dem Wurm Stuxnet das iranische Atomprogramm zu sabotieren: Die raffiniert gebaute Schadsoftware wurde in die Atomanlage in Natans eingeschleust und brachte dort massenweise Zentrifugen dazu, sich so schnell zu drehen, dass sie kaputt gingen. Die Hauptverdächtigen: Israel und die USA. Stuxnet gilt heute als der erste Schuss in einem Cyberkrieg zwischen Teheran und Washington.

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt