Erschienen in der SonntagsZeitung vom 22. September 2013

Von Catherine Boss und Florian Imbach

Es ist Sonntag, 26. Februar 2012, 2 Uhr nachts. Im Bauernhaus im Val Lumnezia ist es still. Das laute Klingeln seines Handys reisst den Zürcher Informatikfachmann Guido Rudolphi aus tiefstem Schlaf. Er macht Ferien mit der Familie. «Ein Angriff! Die Server laufen heiss», ruft ein Kollege aus Zürich aufgeregt ins Telefon.

Die Attacke begann um genau 1.46.37 Uhr, seither sind die Server des Unternehmens für IT-Sicherheit innert Minuten 100 000-mal angefragt worden, 400 Angriffe pro Sekunde. Die Server seien überlastet, berichtet der Mitarbeiter. Rudolphi ist sofort hellwach. Er zündet sich eine erste Zigarette an. Ihm schwant Böses.

Fünf Stunden, zwei Kannen Kaffee und ein Päckchen Zigaretten später die Gewissheit: «Sie versuchen Beweise zu zerstören.» Der IT-Forensiker ist seit Wochen auf der Fährte von Hackern, die eine der grössten Cyberattacken weltweit lanciert haben. Eine Offensive gegen militärische und zivile Ziele. Gegen einen Telekommunikationskonzern in Norwegen, gegen den Autohersteller Porsche, einen internationalen Flughafen in Indien und politische Gruppierungen in Pakistan. Und gegen Ziele in der Schweiz – darunter der Luxusgüterhersteller L.* und die Beratungsfirma K.*, die auch prominente Schweizer Politiker vertritt. Zum Schutz der Firmen werden sie hier nicht mit Namen genannt.

Die Spur führt zu mysteriösem Auftraggeber in den USA

Die Angreifer sind mit ihrer Cyberattacke unentdeckt bis ins Innerste der Firmen vorgedrungen, haben dort Zugriff auf alles gehabt, was es an Geheimem zu sehen gibt. Das haben Analysen forensischer Spezialisten in den USA, in Norwegen, Indien und in der Schweiz mittlerweile ergeben. Erstmals kann ein solcher Angriff auf Schweizer Unternehmen detailliert nachgezeichnet werden. Die Hintergründe der Angriffe bleiben jedoch bis heute rätselhaft. Die Spur führt zu einer Sicherheitsfirma in Indien und einem mysteriösen Auftraggeber in den USA.

Der Fall ist exemplarisch. Er zeigt eine neue Eskalationsstufe in diesem Krieg im Netz und verdeutlicht, wie wenig die Schweizer Behörden solchen Angriffen entgegenzusetzen haben. Um das zu ändern, rüstet die Zürcher Staatsanwaltschaft ihre Cyberabteilung jetzt auf. Die Bundesanwaltschaft will ebenfalls ausbauen.

Es begann alles scheinbar harmlos im September 2011. Die Mitarbeiter der betroffenen Schweizer Firmen L. und K. bekamen wie immer E-Mails von Kunden und Geschäftspartnern. Hätten die Chefs und die Angestellten genauer hingeschaut, hätten sie erkannt, dass die Absenderadressen in einigen Fällen minim abwichen – zum Beispiel ein Buchstabe zu wenig. So öffneten die Sekretärin, der Kundenberater, aber auch die Direktoren der angegriffenen Firmen ahnungslos die angehängten Dokumente. Ein spezielles Schadprogramm, Trojaner genannt, setzte sich auf den Computern fest und begann sofort alle Dokumente zusammenzutragen, die es finden konnte. Vertragsdokumente, Pläne, Kundendaten – einfach alles. Das gesamte gespeicherte Wissen der Firmen lag für den Angreifer offen – über mehrere Wochen, bis die Informatiker stutzig wurden. Sie stellten eine unüblich hohe Internetaktivität der Firma fest und fanden im Dezember 2011 die Trojaner auf den Computern.

Die Beratungsfirma kam dem Datenklau einen Monat früher auf die Schliche. Eine aufmerksame Mitarbeiterin schlug Alarm, als sie eine E-Mail von einem Kunden bekam, von dem sie wusste, dass er abwesend war. Die Firma K. engagierte einen Spezialisten für solche Fälle, den erfahrenen IT-Forensiker Rudolphi.

Noch vor Weihnachten 2011 macht er sich auf eine zweimonatige Jagd nach dem Aggressor. Schnell wird klar: Der Angreifer wusste sehr viel über seine Schweizer Opfer. Er formulierte E-Mails täuschend echt. Er musste sich gründlich vorbereitet haben, Zeitungsartikel über die Firmen gelesen und die Firmenseiten studiert haben. Selbst die privaten Social-Media-Konten mehrerer Mitarbeiter hat er gehackt. Dieses ausgeklügelte Vorgehen ist der neue Trend. So werde der Cyberwar heute geführt, sagen Spezialisten.

Rudolphis Ermittlung gestaltet sich schwierig. Die Spur der geklauten Daten bringt ihn nicht weiter, Server in Frankreich und Holland sind lediglich Zwischenspeicher, danach ist die Fährte kalt. Nach tagelanger Suche dann endlich die erste heisse Spur: Rudolphi findet heraus, dass ein Teil der gefälschten E-Mails über Server in Zürich verschickt wurde. Der Angreifer hat diese beim Anbieter Cloudsigma gemietet. Was Rudolphi auf dem Zürcher Server findet, lässt ihm das Blut in den Adern gefrieren: eine Liste der Kreditkartendaten zahlreicher Visa-Kunden in Argentinien, vertrauliche Unterlagen über die ungarische Börse und ein verschlüsseltes Dokument mit dem Namen GHIAL_VAPT.zip.

Sicherheitsunterlagen eines Airports auf Schweizer Server

Dem Forensiker gelingt es ohne grossen Aufwand, die Datei zu öffnen. Sie enthält streng geheime Sicherheitsunterlagen des Flughafens Hyderabad in Indien, detaillierte Angaben, welche Schwachstellen auf welchem Computer zu finden sind und wie man ins Flughafenleitsystem eindringen kann. «Mehr als genug, um den Flughafen lahmzulegen und sicherheitstechnisch kritische Manipulationen vorzunehmen», ist Rudolphi überzeugt. Alles frei verfügbar für Geheimdienste, Terroristen oder Wirtschaftsspione. Ein Super-GAU für jeden Flughafen. Cloudsigma will den konkreten Fall nicht kommentieren. Die Firma sagt: «Wir halten uns an Schweizer Recht und kooperieren mit den Schweizer Behörden.»

Rudolphi beginnt zu begreifen, dass hinter dem Angriff in der Schweiz weit mehr steckt als eine ausgeklügelte Spionageaktion. Umgehend informiert er am 25. Februar 2012 den Sicherheitschef des indischen Flughafens und erzählt ihm von seinem Fund. Der fällt aus allen Wolken. Er liefert den ersten konkreten Verdacht, wer hinter den Angriffen auf den indischen Flughafen und die Ziele in der Schweiz stecken könnte.

Der Schweizer Trojaner wird auch in Norwegen eingesetzt

Mit zittriger Stimme nennt der indische Sicherheitschef den Namen Appin Security Group. Er habe dieser Firma den Auftrag gegeben, systematisch die IT-Schwachstellen des Flughafens zu testen. Nur sie könne das geheime Material auf den Schweizer Server geladen haben. Appin ist eine grosse indische IT-Sicherheitsfirma, die auch für das indische Militär und den Premier arbeitet. Stunden nach diesem Gespräch beginnt der Angriff mitten in der Nacht gegen Rudolphis Firma. Er vermutet Appin dahinter. Gegenüber der SonntagsZeitung bestreitet Appin jegliche Beteiligung (siehe Box rechts).

Die Schweizer Beratungsfirma konfrontiert Appin. In mehreren Telefongesprächen und E-Mails erklärt ein Jurist von Appin schlussendlich, ihre Infrastruktur sei in diesem Fall tatsächlich benutzt worden. Er spricht zuerst von einem Missverständnis, dann von einem fehlbaren Mitarbeiter. Zuletzt liefert er in einer E-Mail vom 8. Mai 2012 den Namen und die Bankverbindung eines angeblichen Auftraggebers. «Steven S.*, Bank: Wells Fargo, Account No: 20120106000772169».

Damit verlagert sich im Sommer 2012 die Suche in die USA. Die Schweizer Beratungsfirma engagiert zwei US-Detektivbüros. Sie sollen herausfinden, wer Steven S. ist und für wen er arbeitet. Doch Telefonnummer und Adressen führen ins Leere. Die Detektive postieren sich vor seinem Haus, doch er taucht nicht auf. Seine Profile im Internet sind gelöscht. Nur eine einzige Spur findet sich: In der digitalen Bibliothek des Department of Homeland Security der US-Regierung existiert ein Aufsatz von ihm über Gefahren der Terrorismusfinanzierung. Doch die Arbeit ist nicht mehr abrufbar. Ist Steven S. eine erfundene Person? Oder agiert er verdeckt? Die Detektive geben auf.

Die Angriffe aber gehen international weiter. Im Frühling 2013 untersucht in Oslo ein IT-Forensiker der Sicherheitsfirma Norman einen Cyberangriff auf den norwegischen Telecomkonzern Telenor. Auch hier taucht mehrmals der Name Appin auf. Snorre Fagerland und sein Team finden innert zweier Monate mehr als 600 weitere Spionageopfer. Politische, militärische und wirtschaftliche Ziele. «Wir fanden eine riesige Spionageinfrastruktur, die bereits Jahre im Einsatz ist», sagt er heute. Die Angreifer benutzten die gleichen Trojaner, wie sie Rudolphi in der Schweiz gefunden hat.

Zur gleichen Zeit untersucht auch Adam Meyers, IT-Koryphäe in den USA, den Fall. Auch er ist überzeugt: «Es ist sehr wahrscheinlich, dass Appin dahintersteckt.» Der Angriff gegen die Schweizer PR-Firma sei brisant: «Eine Firma, die Politiker berät, ist für einen gezielten Hackerangriff sehr interessant, denn damit kann der Angreifer heikle Informationen über wichtige Personen beschaffen, die öffentlich nicht zugänglich sind», sagt Meyers.

Schweizer Cyberabwehr kommt nicht vom Fleck

Christof Dornbierer, Geschäftsführer des IT-Dienstleisters Adnovum, hört sich die Schilderung des Spionageangriffs aufmerksam an und sagt dann: «Dieser Fall zeigt eine neue Eskalationsstufe.» Professionelle, private Hackerfirmen, die komplette Spionagedienstleistungen anbieten würden, das sei eine Gefahr für die Schweiz.

Auf diese Art von Attacken ist die Schweiz schlecht vorbereitet. «Wir leben im ‹Heidiland›», sagt ein auf Cybercrime spezialisierter Ermittler. Ein komplettes Lagebild habe hierzulande niemand, sagen mehrere Insider. Seit Jahren müsste das VBS eine Abwehr aufbauen, doch das Projekt kam nicht vom Fleck. Kürzlich ist es dem Finanzdepartement übertragen worden. «Weder die Armee noch der Nachrichtendienst betreiben wirklich eine Abwehr gegen Cyberangriffe», sagt Sicherheitsspezialist Sandro Arcioni. Er berät unter anderem den bundeseigenen Rüstungsbetrieb Armasuisse.

So fällt die Abwehr faktisch den Strafverfolgern zu. Doch ihnen sind meist die Hände gebunden. In 90 Prozent der Fälle kämen die Angriffe aus einem politisch motivierten Umfeld, sagt ein Staatsanwalt. Und er fügt an: «Wir können einen fremden Staat via Rechtshilfe schwerlich darum bitten, uns zu helfen, Hacker vor Gericht zu bringen, die für diesen Staat gearbeitet haben.»

Aus Angst um den Ruf keine Anzeigen von Unternehmen

Dazu kommt, dass Opfer selten Anzeige erstatten. Vertrauen ist das Kerngeschäft vieler Firmen. Dasselbe gilt für Betreiber heikler Ziele wie Flughäfen, AKW oder Stromnetze. Ihr zentrales Image fusst darauf, dass ihre Daten sicher sind. Ein Hackerangriff, der publik wird, ruiniert das Ansehen. Zudem sind die Strafverfolger in diesem Kampf personell hoffnungslos untervertreten (siehe Interview unten).

Der mysteriöse Spionageangriff aus Indien ist noch längst nicht aufgeklärt. Die beiden Schweizer Firmen haben Strafanzeige eingereicht – die Staatsanwaltschaft II in Zürich ermittelt. Auch in Norwegen läuft seit der Anzeige von Telenor eine Untersuchung der Kriminalpolizei. Experten vermuten weitere Opfer in der Schweiz.

Rudolphi hat seine Arbeit abgeschlossen. Er will den Journalisten noch zeigen, wie die Trojaner aussehen. Er öffnet eine kryptische Datei. Plötzlich verselbstständigt sich das Schadprogramm und infiziert den isolierten Rechner. Der Prozessor rattert, das System stürzt ab. Rudolphi verwirft die Hände und zündet sich eine weitere Zigarette an.