Es gehört zum Wesen einer Sicherheitsfirma, dass man nicht nur Sicherheitslücken analysiert, sondern auch der Urheberschaft einzelner Angriffe nachspürt. Das ist den davon Betroffenen natürlich alles andere als recht, agieren sie doch lieber im Verborgen. Insofern ist es keine sonderliche Überraschung, dass solche Firmen zahlreiche Feinde haben – und bei einem Unternehmen scheinen diese nun umfassend gewütet zu haben.

Staatlicher Angriff

Der Sicherheitsdienstleister Fireeye informiert aktuell über einen Hackereinbruch in den eigenen Systemen. Und zwar nicht bloß irgendeinem: "Ausgehend von meinen 25 Jahren Erfahrung in der IT-Sicherheit gehe ich davon aus, dass wir eine Attacke eines Staates mit höchsten Fähigkeiten beobachten", findet Fireeye-Chef Kevin Mandia deutliche Worte. Die Attacke sei sehr fokussiert erfolgt, es seien hochprofessionell eine Vielzahl an unterschiedlichen Methoden und Techniken eingesetzt worden – einige davon habe man selbst noch nie gesehen.

Was die Angelegenheit für das Unternehmen besonders unerfreulich macht: Den Hackern ist es gelungen, diverse interne Tools von Fireeye zu erbeuten. Es geht dabei vor allem um Werkzeuge zum "Penetration Testing", mit denen also Computersysteme durch "freundliche" Angriffe auf ihre Sicherheit getestet werden. Für Hacker könnte es im Sinne der Verschleierung der eigenen Aktivitäten ein wichtiger Vorteil sein, genau zu wissen, wie ihre Gegner hier agieren.

Russische Täter?

Zusätzlich sollen sich die Hacker nach Informationen zu einzelnen Fireeye-Kunden umgesehen – zu denen zum Teil selbst wieder Nationalstaaten gehören. Das wirft natürlich die Frage auf, wer hinter dem Hack steht. So direkt will Fireeye das zwar nicht sagen, Berichte der "New York Times" und der "Washington Post" gehen aber mit Berufung auf Experteninformationen von einer russischen Urheberschaft aus. Konkret ist dabei vom russischen Auslandsnachrichtendienst die Rede, dessen Hackerabteilung unter Namen wie APT29 oder "Cozy Bear" bekannt ist.

US-Geheimdienste sind in diesem Zusammenhang unverdächtig, ist doch die CIA selbst an Fireeye beteiligt. Bisher geht man bei Fireeye übrigens davon aus, dass es den Hackern nicht gelungen ist, wirklich an Kundendaten zu kommen.

Ungewöhnlich ist in dem Zusammenhang noch ein anderer Vorgang, nämlich dass sich schon so früh die US-Bundesbehörde FBI zu Wort meldet. Von deren Seite bestätigt man die Behauptung, dass hinter dem Angriff ein Nationalstaat steht. Zumindest in einer Hinsicht versucht Fireeye zu beruhigen: Es seien keine Zero-Day-Exploits – und damit bislang unbekannte Sicherheitslücken – erbeutet worden.

Hintergrund

Es ist nicht das erste Mal, dass eine große Sicherheitsfirma Ziel einer solchen Attacke wird. So wurden etwa bei RSA im Jahr 2011 sensible Daten gestohlen, die zu einer Unterwanderung der Zwei-Faktor-Authentifizierungsdienste des Unternehmens hätten führen können. Im Jahr 2015 konnten sich Hacker mehrere Monate lang unbemerkt bei Kaspersky Labs einnisten – und zwar unter Nutzung eines Abkömmlings von Stuxnet, einer Schadsoftware, die zuvor von den USA und Israel gegen den Iran eingesetzt wurde. (apo, 9.12.2020)