Es ist eine dringende Warnung an Internetnutzer und Unternehmen, die das deutsche Bundesamt für Verfassungsschutz (BfV) an diesem Donnerstag veröffentlicht hat. Im sogenannten "Cyberbrief" warnt das BfV vor zwei Hackergruppen, die mutmaßlich für den chinesischen Staat arbeiten. Sie sollen eine ausgeklügelte Strategie entwickelt haben, um ihre Angriffe durchzuführen: Die Hacker verwenden einfach die Internetanschlüsse von Privatnutzern und mittelständischen Unternehmen, auch in Deutschland.

Ziel: Behörden und Thinktanks

Die Gruppen sind bekannt als APT15 und APT31 – das APT steht für "advanced persistent threat", also Hacker, die besonders versiert sind –, und ihr Fokus liege darauf, "staatliche und politische Stellen" auszuspionieren, wie das BfV schreibt.

Nach Informationen von ZDF-"Frontal", "Spiegel" und STANDARD ist es den Hackern von APT15 im Jahr 2021 gelungen, eine deutsche Behörde zu hacken: das Bundesamt für Kartographie und Geodäsie (BKG). Die Behörde gehört zum deutschen Innenministerium und erstellt unter anderem hochdetaillierte Karten und wertet Satellitenbilder aus. Auf Anfrage bestätigt das Amt den Vorfall, der bislang nicht öffentlich geworden war. Das Bundesamt für Sicherheit in der Informationstechnik habe die Behörde "frühzeitig" über den Angriff informiert, somit habe man "rechtzeitig geeignete Maßnahmen" ergreifen können. Allerdings habe man bei den anschließenden forensischen Untersuchungen "festgestellt, dass ein Netzbereich kompromittiert wurde". Mittlerweile sei der "Wiederaufbau des Netzwerks" erfolgt.

Chinesische Flagge 
Chinesische Hacker klinken sich in schlecht gesicherte Internetzugänge ein, wie Recherchen nahelegen.
REUTERS

Für solche Angriffe infiltrieren beide Hackergruppen schlecht gesicherte Endgeräte wie Router, internetfähige Drucker oder auch Smart-Home-Anwendungen. Über diese Geräte werden anschließend die eigentlichen Ziele ausspioniert.

In "großer Stückzahl" Geräte gehackt

Der Missbrauch solcher privater Endgeräte passiere in "großer Stückzahl", wie das BfV in seiner Warnung schreibt. Den Betroffenen falle es nicht auf, da "in der Regel weder Verbindungsabbrüche noch anderweitige Auffälligkeiten" aufträten. Das Internet funktioniert einwandfrei – und Hacker, die tausende Kilometer weit weg sitzen, surfen heimlich mit.

Aufgrund der Menge der befallenen Geräte können sich die Staatshacker im nächsten Schritt damit ein eigenes Verschleierungsnetzwerk aufbauen, eine Art Virtual Private Network (VPN), wie es für legitime Zwecke auch kommerziell angeboten wird. Sie können dann über zwei bis drei Zwischenschritte in die Netzwerke ihrer Opfer vordringen. Deren Abwehrsysteme erkennen nur IP-Adressen von scheinbar harmlosen inländischen Privathaushalten oder mittelständischen Unternehmen.

Die Inhaber der Geräte selbst scheinen für die Angreifer nicht weiter interessant zu sein, sie dienen lediglich als Sprungbrett zur Verdunkelung. Es seien derzeit keine Fälle bekannt, in denen sie selbst ausspioniert worden seien, heißt es im BfV-Bericht.

Mehrere Gruppen aus China verwenden Verschleierungsnetzwerk

Offenbar benutzt mehr als eine chinesische Cyberangriffstruppe die zweckentfremdeten Privatgeräte, um ihre Spuren zu verwischen. Neben APT15, das unter anderem diplomatische Ziele ins Visier nehme, erwähnt der Bericht auch die Gruppe APT31, die in den letzten Jahren vermehrt Ziele in westlichen Ländern angegriffen habe, darunter Ministerien, Behörden, politische Organisationen und Stiftungen.

"Es handelt sich um ein komplexes Verschleierungsnetzwerk, das von vielen chinesischen Hackergruppen verwendet wird", sagt Adrian Nish von der britischen IT-Sicherheitsfirma BAE Systems. Die Software zur Steuerung dieses Netzwerks werde kontinuierlich weiterentwickelt: Eine neue Funktion ermögliche zum Beispiel das automatische Eingeben von Passwörtern. Ist die Eingabe erfolgreich, ist das System gehackt.

Der Cyberbrief des deutschen Verfassungsschutzes enthält eine Reihe von Ratschlägen, wie Privatnutzer und Unternehmen verhindern können, dass ihre Geräte für staatliche Cyberangriffe verwendet werden: Das Risiko lasse sich unter anderem dadurch minimieren, die Geräte auf dem aktuellsten Stand zu halten und veraltete Geräte, die vom Hersteller nicht mehr unterstützt werden, durch neue auszutauschen. (Marcel Rosenbach (Spiegel), Hakan Tanriverdi, 31.8.2023)