Der islamische Staat ist längst nicht mehr so stark wie zu seiner Hochzeit. Neben Niederlagen auf dem Schlachtfeld liegt das auch daran, dass die Kommunikation der Terrororganisation massiv eingeschränkt wurde. "NPR" erklärt, wie die USA dafür den IS im November 2016 gehackt und empfindlich geschwächt hat. Sie gehört zu den längsten und größten Cyber-Operationen der US-Geschichte. Der Bericht beruht auf Interviews mit sechs direkt beteiligten Einsatzkräften.

Zehn Server

Im Fokus steht eine gemeinsame Operation des Geheimdienstes NSA und der militärischen Behörde "US Cyber Command". Ihre gemeinsame Organisation Ares, benannt nach dem griechischen Kriegsgott, hatte seit August 2015 daran gearbeitet, die Schwachstellen des IS-Kommunikationsnetzwerks herauszufinden, um an Tag X zuzuschlagen. Die wichtigste Erkenntnis dabei: Die Schlüsselpersonen der Terrorgruppe nutzten immer dieselben zehn Server, egal ob es um Emails, Finanztransaktionen, Online-Shopping, Propaganda-Videos oder File-Sharing ging.

Monatelange Vorbereitungen

Das Ziel sei daher klar gewesen: Wenn man diese zehn Server angreift, würde das Online-Kartenhaus der Terrorgruppe einstürzen. Und so wurde der Angriff darauf vorbereitet. Die Methoden dafür sind mittlerweile durchaus aus dem Alltag bekannt. So wurden etwa Phishing Mails verwendet. Diese werden an das gewünschte Opfer geschickt und sollen es dazu verleiten, eine verseuchte Datei oder einen infizierten Link anzuklicken. Sobald es dies macht, hat der Angreifer Zugriff auf dessen Computer. Der Vorteil: Damit konnten sich die US-Streitkräfte getarnt als normale IS-Mitglieder im Netzwerk bewegen. Nachdem sich die Hacker Administratorenrechte verschafft hatten, ging das sogar umso besser.

Sie begannen, sich im IS-Netzwerk umzusehen, um Informationen für den geplanten Generalangriff zu sammeln. So wurde etwa ausgeforscht, welche Kontakte die einzelnen IS-Mitglieder zueinander hatten, ob sie alle Mails im Posteingang öffneten oder welche Apps sie auf dem Smartphone installiert hatten. Propaganda-Videos, die hochgeladen wurden, wurden bis zur Quelle zurückverfolgt. Es wurde angesehen, welche Ordner frei zugänglich waren und welche nicht. Weitere Malware wurde platziert.

Nach monatelangen Untersuchungen hatte Ares eine zwei Meter lange Liste mit potentiellen Zielen zusammen. Zu jeder darauf aufgeführten Person waren auch nützliche Informationen zu finden, wie etwa Online-Decknamen oder IP-Adressen.

Der Angriff

Im November 2016 versammelten sich also rund 80 Leute im Fort Meade, einer Einrichtung der US-Streitkräfte in Maryland. Darunter waren diverse Analysten, Übersetzer, Terrorexperten, die den Aufstieg des IS jahrelang verfolgt hatten, und natürlich die Computerspezialisten. Letztere hatten je vier Bildschirme vor sich und gingen schließlich auf die Login-Seiten der IS-Kämpfer. Auf das Kommando "Fire" starteten sie die Offensive namens "Glowing Symphony", um den IS mehr oder weniger aus dem Internet zu werfen.

Doch gleich zu Beginn herrschte ein kurzer Schockmoment. Eine Sicherheitsfrage tauchte auf, die herkömmliche Nutzer kennen. Etwa welchen Name das Haustier hat oder welches Tier das High School Maskottchen war? Schweigen im Einsatzraum. Darauf waren die Fachleute nicht gefasst – bis einer davon aufstand und 1-2-5-7 vorschlug. Begründung: Er hatte die Zielperson über Monate verfolgt und sie hätte für alle Konten dasselbe Passwort verwendet. Und tatsächlich – es klappte. Die US-Streitkräfte waren im IS-Netzwerk drinnen.

Methoden

Es sollte so viel Verwirrung wie möglich gestiftet werden. Passwörter wurden verändert, der IS-Videomacher aus seinem eigenen Konto geworfen. Mehr und mehr Namen und damit Missionsziele wurden von der Liste gestrichen. Server wurden zum Einsturz gebracht, Netzwerkeinstellungen geändert und Inhalte gelöscht, darunter berüchtigte Online-Magazine der Terrorgruppe oder Homepages.

Es ging darum, das IS-Kommunikationsnetzwerk dauerhaft wirksam zu beeinträchtigen und den Druck aufrechtzuerhalten. In weiterer Folge wurde es daher etwa dahingehend manipuliert, dass die Download-Geschwindigkeit drastisch runtergedrosselt wurde, Verbindungsabbrüche heraufbeschworen, Bugs in Programme geschleust und nicht vorgesehene Bilder in die Propaganda-Videos reingeschummelt wurden .

Kurzum: Die IS-Mitglieder sollten völlig entnervt werden. Beispiel: Jemand war die ganze Nacht aufgeblieben, um ein IS-Video zu schneiden und bat danach einen Kollegen, dieses hochzuladen. Ares verhinderte dies, woraufhin sich der Produzent bei seinem Kollegen beschwerte.

Die Folgen

Sechs Monate nach der Operation sei das IS-Kommunikationsnetzwerk nur noch ein Schatten seiner selbst gewesen, sagen drei Einsatzkräfte von damals. Es hätte Schwierigkeiten gehabt, die Server wieder zum Laufen zu bringen. Das Online-Magazin "Dabiq" hätte Deadlines verpasst. Websites und eine mobile News-App der Terrorgruppe verschwanden.

Ares laufe weiterhin beziehungsweise sei jederzeit einsatzbereit, sagt einer der Einsatzteilnehmer. Denn diese Lehre hätte die Gruppe aus den vergangenen Jahren gezogen: Man hätte erst gar nicht zulassen dürfen, dass sich das IS-Kommunikationsnetzwerk dermaßen ausbreiten würde.

Dass die US-Streitkräfte offen über Cyberangriffe referieren, zeige laut Bericht, dass Cyberangriffe mittlerweile als normal gelten. Und klarerweise gehe es dabei auch darum, potentiellen Gegnern die eigene Macht zu demonstrieren. Allerdings können Cyberangriffe freilich auch für nicht so edle Zwecke eingesetzt werden, etwa bei der in der saudischen Botschaft in der Türkei durchgeführten Ermordung des Journalisten Jamal Khasoggi. Dieser soll zuvor mit NSO-Tools ausspioniert worden sein. (red, 5.10.2019)