Staatliche Hacker aus China stehlen Daten von Versicherungen, Behörden oder Hotels. Wozu?
China sammelt persönliche Informationen über Amerikaner und andere Ausländer. Damit entstehe ein Art Adressbuch mit Millionen von Einträgen, sagt ein Experte. Das hilft den Geheimdiensten bei ihrer Arbeit.
Der Cyberangriff hatte in Grossbritannien große Beunruhigung ausgelöst: Hacker konnten von Servern der britischen Wahlkommission die persönlichen Informationen aller Wähler entwenden. Die Wahlkommission wacht als unabhängiges Gremium über die Wahlen und kontrolliert die Parteienfinanzierung. Der Angriff lodere ins Herz der britischen Demokratie.
Noch beunruhigender ist, dass hinter dem Angriff keine Kriminellen stehen, sondern ein Staat. Ende März hatte die britische Regierung die Cyberattacke einer Gruppe zugeordnet, die mit dem chinesischen Staat verbunden sei. Nun steht die Befürchtung im Raum, dass das chinesische Regime versuchen könnte, Wahlen in Großbritannien zu beeinflussen. Peking hat in den letzten Jahren seine Aktivitäten zur Einflussnahme auf die Politik im Ausland verstärkt.
Doch vermutlich geht es China beim Datendiebstahl nicht um Wahlbeeinflussung, sondern um Spionage. Davon ist Tom Uren überzeugt. Er kennt die Welt der Geheimdienste gut. Uren war selbst 15 Jahre für einen australischen Nachrichtendienst tätig und publiziert heute zu Technologiethemen und Cybersicherheit, unter anderem für die Denkfabrik Australian Strategic Policy Institute (Aspi).
China sammle Personendaten, um sie zur Spionage und zur Spionageabwehr zu nutzen, sagt Uren. Der Cyberangriff auf die britische Wahlkommission ist in einem größeren Zusammenhang zu sehen. „Es geht vor allem darum, die Informationen mit anderen Datensätzen zu kombinieren“, sagt Uren. Da die Angreifer die Namen und Adressen aller Britinnen und Briten erbeutet haben, die sich zwischen 2014 und 2022 als Wähler registriert hatten, besitzen sie nun ein Art Adressbuch Grossbritanniens.
China steckt hinter mehreren großen Datendiebstählen
Mutmasslich staatlich engagierte Hacker aus China haben schon mehrfach große Datensätze gestohlen, oft in den USA, mit persönlichen Informationen über Millionen von Menschen. Einige dieser Aktionen zählen zu den größten Datendiebstählen überhaupt.
2015 gelangte ein chinesischer Angreifer beim amerikanischen Gesundheitsversicherer Anthem an persönliche Daten von 78,8 Millionen Menschen. Neben Adresse, Telefonnummer und Geburtsdatum umfasst diese auch die Sozialversicherungsnummer sowie Informationen zum Arbeitgeber und zum Einkommen.
2017 stahlen chinesische Angreifer beim Finanzdienstleister Equifax die Daten von ungefähr 145 Millionen Amerikanern. Equifax bietet Wirtschaftsauskünfte an und speichert daher in großem Umfang Konsumentendaten, die zum Beispiel zur Beurteilung der Kreditwürdigkeit einer Person dienen.
2018 flossen bei der Hotelkette Marriott Informationen über bis zu 500 Millionen Gäste aus einem Reservierungssystem ab. Auch dieser Angriff geht vermutlich auf China zurück. Von einem Teil der Gäste erbeuteten die Hacker auch die Passnummer und den Verlauf ihrer Hotelbuchungen seit 2014.
Der aufsehenerregendste Angriff fand 2015 statt, als staatlich engagierte chinesische Angreifer über Monate hinweg Zugriff auf Daten des Personalamts der amerikanischen Bundesbehörden, des United States Office of Personnel Management (OPM), hatten. Insgesamt soll China an Informationen von 22,1 Millionen Personen gelangt sein, darunter auch mehrere Millionen Fingerabdrücke von Angestellten.
Betroffen waren insbesondere Antragsformulare von Mitarbeitern und Zulieferern für Sicherheitsfreigaben. Diese enthalten besonders wichtige Informationen wie Angaben über Familienmitglieder, frühere Arbeitgeber, allfällige finanzielle Probleme, psychiatrische Behandlungen oder Drogenmissbrauch.
Mit Daten lassen sich Schattenlebensläufe erstellen
Solche Datensätze entfalten ihren eigentlichen Nutzen erst, wenn sie miteinander kombiniert werden. „Die Daten decken verschiedene Aspekte im Leben einer Person ab: Reisen, Finanzen, Gesundheit oder Sicherheitsüberprüfungen“, sagt Uren. Es entsteht ein Art Schattenlebenslauf, welcher China nützlich sein kann – besonders für die Spionage oder bei der Spionageabwehr.
Um gegnerische Spione zu erkennen, können Personendaten nach gewissen Auffälligkeiten abgesucht werden. Das kann ein früherer Arbeitgeber oder ein bestimmtes Reiseverhalten sein, zum Beispiel häufige Hotelbuchungen in der Nähe amerikanischer Botschaften. Die Daten von Marriott sind in dieser Hinsicht besonders interessant, ist die Hotelkette laut der «New York Times» doch der wichtigste Hotelanbieter für amerikanische Regierungsmitarbeiter und Militärpersonal.
Uren erklärt, wie die Daten konkret genutzt werden könnten: «Wenn ein Amerikaner auf der Botschaft erscheint, um ein Visum zu beantragen, können die chinesischen Behörden schauen, welche Informationen sie über diese Person haben.» Peking könnte mit den Daten auch analysieren, bei welchen Amerikanern in China es Auffälligkeiten geben kann. So lasse sich, sagt Uren, eine Gruppe von verdächtigen Personen identifizieren, welche die Behörden dann verstärkt überwachen könnten.
Seien die Angaben bereits einige Jahre alt, sei das kein Problem. Zwar hätte China sicher gerne eine aktualisierte Version der Daten des amerikanischen Personalamts OPM, sagt Uren. Aber hilfreich waren die gestohlenen Informationen auch noch viele Jahre nach dem Hack: «Die Datenbank ist so lange nützlich, bis alle Personen darin pensioniert oder tot sind.»
Die Schwäche möglicher Spionen lässt sich erkennen
Persönliche Informationen sind auch hilfreich für die Bewerbung von Spionen. Für den ersten Schritt reicht oft das Linkedin-Profil. Damit lassen sich interessante Personen finden, welche beim Spionageziel arbeiten – zum Beispiel beim Verteidigungsministerium oder bei einer Pharmafirma.
In einem zweiten Schritt können private Informationen helfen, eine geeignete Zielperson auszusuchen. Lebt jemand getrennt, ist die Person vermutlich empfänglicher für romantische Avancen. Wer finanzielle Probleme hat, kann eventuell mit Geld zum Spionieren animiert werden. Heikle Details aus der Vergangenheit können dazu dienen, die angeworbene Person später unter Druck zu setzen.
Schliesslich nützen Details aus dem Leben der Zielperson auch bei der Kontaktaufnahme. Spricht ein Agent die ausgewählte Person zufällig im Park an, ist das zusätzliche Wissen ein guter Ausgangspunkt für die Unterhaltung. Uren nennt ein Beispiel: „Wenn die Agentin beiläufig erwähnt, sie habe einmal eine Krebserkrankung durchgemacht, wie die Zielperson auch, kann das schnell eine Verbindung schaffen.“
Das ist nicht die einzige Einsatzmöglichkeit der gestohlenen Daten. Mit ihnen können Angreifer auch personalisierte E-Mails mit betrügerischem Inhalt, sogenannte Spear-Phishing-E-Mails, überzeugender gestalten. Die Zielperson soll dazu werden, eine Schadsoftware zu installieren oder auf einer gefälschten Seite ein Passwort einzugeben – als Ausgangspunkt für einen neuen Cyberangriff. Auch um Dissidenten, Exilchinesen oder China-kritische Politiker einzuschüchtern oder zu bedrohen, können private Informationen genutzt werden.
Auch westliche Nachrichtendienste sammeln Daten
Das nachrichtendienstliche Handwerk funktioniert auch ohne Hackerangriffe zum Datenklau. Aber die zusätzlichen Informationen seien nützlich, sagt Uren. «Die Daten können die Arbeit der Nachrichtendienste effizienter und effektiver machen.» Das gilt auch für Geheimdienste anderer Länder.
Dass vor allem China bei Datendiebstählen erwischt wird, ist für Uren kein Zufall. „China hat eine lange Tradition der Überwachung und sammelt auch Informationen über die eigene Bevölkerung“, sagt er. Da sei es nur logisch, wenn das gleiche Vorgehen auch bei Ausländern angewendet werde. In Russland sind die Geheimdienste jedoch wenig auf großangelegte Überwachungen ausgerichtet.
Und was ist mit westlichen Nachrichtendiensten? „Daten zu sammeln, ergibt für jeden Sinn“, sagt Uren. Die Dienste im Westen sind aber strenger an rechtliche Vorgaben gebunden. Ins Detail geht Uren nicht, obwohl er als früherer Mitarbeiter die Praxis der westlichen Geheimdienste kennt. Australien gehört zusammen mit den USA, Großbritannien, Kanada und Neuseeland zur nachrichtendienstlichen Allianz der «Five Eyes».
Dass die USA und ihre Partner große Datenmengen sammeln, etwa durch die Überwachung des Internetverkehrs, ist bekannt. Dass auch Cyberangriffe genutzt werden, um an größere Datensätze zu gelangen, ist nicht ausgeschlossen. Von den Niederlanden ist diese Praxis zum Beispiel bekannt.
Möglich ist auch der Kauf von privaten Informationen. 2021 wurde öffentlich, dass ein amerikanischer Nachrichtendienst von einem kommerziellen Anbieter Bewegungsdaten gekauft hatte. Diese stammen von Smartphone-Apps und wurden weiterverkauft. Solche Informationen sind ebenfalls nützlich im Bereich Spionage – ohne dass es dafür einen Hackerangriff braucht.