Wenn von großen Hacker-Angriffen die Rede ist, dann fallen schnell Namen wie China, Russland oder auch Nordkorea. Und tatsächlich sind diese Nationen, was entsprechende Operationen anbelangt, äußerst umtriebig. Das Ausmaß der öffentlichen Wahrnehmung hat allerdings auch viel damit zu tun, wer ihr Ziel bildet: Westliche Firmen und Regierungen. Denn natürlich haben auch die Geheimdienste von Ländern wie Großbritannien oder den USA äußerst versierte Hacker in ihren Reihen, die mit entsprechenden Mitteln Spionage betreiben.

Unterschiedliche Interessen

Eine ganz andere Rolle in diesem Spiel nehmen Sicherheitsforscher ein: Deren Aufgabe ist es eigentlich generell Lücken in beliebter Software zu finden, und dafür zu sorgen, dass diese geschlossen werden – unabhängig davon, wer sie für sich nutzt. Zwei der unumstritten besten Teams in dieser Hinsicht sind Googles Project Zero sowie die "Threat Analysis Group" desselben Unternehmens. Dass diese vor einigen Monaten unbeeindruckt von der Urheberfrage dem eigenen Auftrag nachgekommen sind, führt nun aber zu einer Kontroverse. Googles Sicherheitsforscher sollen mit ihren Aktivitäten nämlich eine damals bereits neun Monaten laufende Anti-Terror-Aktion westlicher Geheimdienste gestört haben. Dies behauptet zumindest ein aktueller Bericht von Technology Review.

Vorgeschichte

Hinter all dem steht ein Vorfall, der schon im Vorjahr für einiges Aufsehen unter Experten gesorgt hatte. Immerhin hatte Google nicht weniger als elf Zero-Day-Lücken einer einzelnen Gruppe offengelegt, einen Teil davon innerhalb weniger Tage. Bei solchen "Zero Days" handelt es sich um Sicherheitslücken, die zum betreffenden Zeitpunkt noch nicht öffentlich bekannt sind, und somit in Ruhe für gezielte Angriffe verwendet werden können. Insofern gehören sie zur Grundausstattung von Geheimdiensten, und werden in einschlägigen Kreisen oftmals für sechsstellige Beträge gehandelt. Ganze Ketten solcher Lücken, die dann zur kompletten Übernahme eines Gerät genutzt werden können, werden noch einmal teurer verkauft. Eine solche "Exploit Chain" für ein Android-Gerät wird derzeit etwa von der Firma Zerodium für 2,5 Millionen US-Dollar angekauft, für das Pendant bei iPhones werden immer noch 2 Millionen geboten.

Ungewöhnlich ist jedenfalls, dass mehrere solche Zero-Days innerhalb weniger Tage aufgedeckt werden. Dies ließ schon damals die Vermutung aufkommen, dass Google irgendwie an das Waffenarsenal einer Hacker-Gruppe gekommen ist. Dazu passte auch, dass die Lücken mehrere Betriebssysteme betrafen – von Windows über Android bis zu iOS. Bestätigt wurde dies schlussendlich durch einen Blogeintrag des Project Zero, der vor einigen Wochen weitere Details zu den Angriffen lieferte, und dabei von einer äußerst ausgeklügelten Kampagne unter Ausnutzung zuvor nicht bekannter Methoden sprach.

Reaktion

Wer konkret hinter diesen Attacken stand, erwähnte man hingegen nicht. Dass es sich dem Bericht zufolge um einen westlichen Geheimdienst gehandelt haben soll, scheint die Sicherheitsforscher aber nicht zu beeindrucken. In einer Stellungnahme von Google heißt es, dass es das Ziel der eigenen Aktivitäten sei, die Sicherheit aller im Internet zu stärken, und dazu gehöre sämtliche Lücken zu melden, egal wer sie ausnutze. Entsprechend nehme man generell im Rahmen dieser Forschung keine Zuordnung der Akteure vor und beziehe diesen Faktor auch nicht in die eigenen Überlegungen ein.

Genau diesen Blickwinkel teilt auch ein Großteil der Sicherheits-Community. Jeder Bug, der für vermeintlich gute Operationen offen gelassen werde, könne genauso von Kriminellen oder anderen Geheimdiensten ausgenutzt werden. Geradezu ein Paradebeispiel dafür liefert vor einiger Zeit der US-Geheimdienst NSA. Dieser hatte bereits vor längerem versucht eine Hintertür in Verschlüsselungsstandards einzubringen, war damit aber zu weiten Teilen gescheitert. Nur einzelne Firmen wie der Netzwerkhardwarehersteller Juniper übernahmen diese Schwächen dann doch, was prompt dazu führte, dass sich chinesische Hacker diesen Ansatzpunkt schnappten, um wesentliche Firmen auszuspionieren.

Behauptungen sind keine Tatsachen

Konkrete Details dazu, wer Ziel dieser angeblichen Anti-Terror-Operation war, und welche Konsequenzen das Einschreiten von Google damals hatte, bleibt der Bericht allerdings schuldig. Dies wäre alleine schon deswegen interessant, weil das Project Zero in seinem Bericht vor einigen Wochen darauf verwies, dass man wohl nur einen Teil der Zero Days dieser Gruppe abfangen konnte, da diese schnell bemerkten, dass sie aufgeflogen sind, und die zur Verbreitung genutzten Server infolge abschalteten. (Andreas Proschofsky, 4.4.2021)