Mit der Tötung des iranischen Generals Soleimani durch einen US-Angriff steigt die Angst vor einem Krieg. Doch die USA und der Iran bekämpfen sich bereits seit Jahren im Nahen Osten – nicht nur mit Waffen, sondern auch im Internet.

Ghassem Soleimani war wohl der wichtigste General des Iran im Nahen Osten: sei es bei der Unterstützung für den syrischen Präsidenten Assad oder im Kampf gegen den IS und die US-Truppen. Soleimani galt als Strippenzieher hinter vielen Aktivitäten des Iran in der Region. Am frühen Freitagmorgen starb der General bei einem US-Raketenangriff nahe dem Bagdader Flughafen. Die Attacke erfolgte auf Befehl von US-Präsident Donald Trump.

Viele Menschen fürchten nun, dass sich der jahrzehntelange Konflikt zwischen den USA und dem Iran zu einem regionalen Krieg steigern könnte. Iran-Experte Adnan Tabatabai sagt im Interview, dass der laufende Konflikt «noch blutiger» werden könnte. Doch Tabatabai weist auch auf die Möglichkeit eines Cyberkrieges hin. Schon seit Langem attackieren die USA und der Iran per Hackerattacken gegenseitig ihre Infrastrukturen.

Der «Stuxnet-Schock» änderte alles

Dabei galt der Iran lange nicht als ernst zu nehmende Bedrohung in einem Cyberkrieg. So waren iranische Hacker vor vielen Jahren im besten Fall für «digitalen Vandalismus» bekannt, sagte Jens Monrad von der Sicherheitsfirma Fireeye der «Süddeutschen Zeitung» im Juli 2019. Das heisst: Der Iran beschränkte sich darauf, Twitter-Konten oder Websites verfeindeter Staaten zu attackieren und zu übernehmen.

Doch das änderte sich nach 2010: Damals attackierte der Computerwurm «Stuxnet» die iranischen Atomanlagen Natanz und Buschehr. Die aufwendig programmierte Schadsoftware soll bis zu 1'000 iranische Zentrifugen beschädigt haben. Urheber des Wurms sollen laut einem Bericht der «New York Times» die USA und Israel gewesen sein.

Als «Stuxnet-Schock» bezeichnet der deutsche Verfassungsschutz dieses Ereignis. Tatsächlich investierte der Iran von da an stark in seine Cyberfähigkeiten – mit Erfolg. Heute warnen Sicherheitsforscher vor Aktivitäten verschiedener iranischer Hacker – sogenannte APT-Gruppen. APT steht für «Advanced Persistent Threats» (fortgeschrittene, andauernde Bedrohung). Dabei handelt es sich um Hacker, die von einem Staat unterstützt oder beauftragt werden.

Die Sicherheitsfirma Fireeye nennt auf ihrer Website beispielsweise drei aktive iranische APT-Gruppen. Deutschland betont in einem Bericht von 2018 auch, dass sich das «Gefährdungspotenzial iranischer Cyberangriffe» in den vergangenen Jahren «signifikant erhöht» hat.

Diese Ziele attackierten staatliche, iranische Hackergruppen

Als Ziele iranischer Attacken nennt der deutsche Verfassungsschutz vor allem «ideologische Gegner» wie die USA, Israel oder Saudi-Arabien. Tatsächlich sollen iranische APT-Gruppen schon seit Jahren Angriffe gegen Infrastrukturen dieser Länder durchführen. Fireeye listet als regelmässige Ziele iranischer Hacker Finanzdienstleister und Militärindustrien in verschiedenen Regionen auf, darunter die USA.

So löschte ein Virus namens «Shamoon» 2012 Dateien auf 35'000 Rechnern des saudischen Öl-Giganten Saudi-Aramco und ersetzte sie durch brennende US-Flaggen. Zwei Wochen später kam es zu einer ähnlichen Attacke gegen RasGas in Katar. In beiden Fällen machten die USA den Iran für die Angriffe verantwortlich – auch, wenn Beweise fehlten. Die Gruppe hinter Shamoon soll laut Verfassungsschutz seit 2016 wieder im Nahen Osten aktiv sein.

Von 2012 bis 2013 kam es dann zu Attacken auf verschiedene grosse US-amerikanische Banken wie die «Bank of America». Online-Banking war so für einige Zeit unmöglich. Auch hier nannten die USA den Iran als Aggressor. Der Iran bestritt eine Beteiligung.

IT-Sicherheitsexperte Christian Lueg von ESET bestätigt, dass hinter gezielten Angriffen auf Regierungen und Unternehmen für gewöhnlich APT-Gruppen stecken. «Um erfolgreich zu sein, müssen solche Gruppen einen sehr langen Atem haben», sagt Lueg. «Diese Angreifer sind nicht auf schnelle finanzielle Gewinne aus wie bei Spam-Mails . Das ist ein ganz langsamer Prozess und dafür braucht man viel höhere Ressourcen als bei einer gewöhnlichen Spam-Mail-Kampagne.»

Als Beispiel dafür kann der Angriff 2014 auf das Sands Casino in Las Vegas dienen. Vermutlich iranische Hacker legten damals einen Grossteil der Server des Unternehmens lahm. Schaden: Um die 40 Millionen Dollar. Selbst schienen die Angreifer kein Geld gestohlen zu haben. Grund für den Angriff soll eine Aussage des Sands-CEO Sheldon Adelson gewesen sein: Der hatte im Zuge des Atomstreits mit dem Iran vorgeschlagen, eine Atombombe in der Wüste von Nevada detonieren zu lassen – als Warnung, was mit Teheran passieren könnte. Die Angreifer hinterliessen auf gehackten Rechnern dafür die Nachricht: «Zum Einsatz von Massenvernichtungswaffen zu ermutigen, ist unter jedweder Bedingung ein Verbrechen.»

Besonders kritisch für die USA wurde es 2013: Damals infiltrierten iranische Hacker das Kontrollsystem eines Damms 20 Meilen nördlich von New York. Die Attacke wurde erst zwei Jahre später bekannt. Einen aktuelleren Angriffsversuch meldete Microsoft im Oktober 2019. Laut dem Unternehmen sollen iranische Hacker Accounts von Microsoft-Kunden attackiert haben. Unter den Zielen waren neben Regierungsmitarbeitern und Journalisten auch Exil-Iraner und Mitglieder eines US-Wahlkampfteams. Laut «Reuters» sollen Hacker auch versucht haben, in die Kampagne zur Wiederwahl von US-Präsident Donald Trump einzudringen.

US-Attacken gegen den Iran

Auf der anderen Seite gab es ebenfalls Attacken gegen den Iran, für die die USA, manchmal auch Israel, beschuldigt wurden. So entdeckte im Mai 2012 die Sicherheitsfirma Kaspersky die Schadsoftware «Flame». Die hatte im grossen Stil Computer des iranischen Ölministeriums attackiert sowie Daten gestohlen und gelöscht. «Flame» soll mit «Stuxnet» verwandt sein.

Nachdem der Iran im Juni 2019 eine US-Drohne abschoss, sollen die USA Cyberattacken gegen den Iran durchgeführt haben. Besonders die Infrastruktur der Revolutionsgarden soll betroffen gewesen sein. Auch nach dem Drohnenangriff auf eine saudische Ölraffinerie im September 2019 haben die USA laut einem Bericht von «Reuters» Ziele im Iran attackiert.

Auch Bürger sind in einem Cyberkrieg gefährdet

Die genannten Attacken richteten sich vor allem gegen private Unternehmen oder Regierungsinstitutionen. Folgen für Bürger waren in der Regel gering. Dass es auch schlimmer kommen kann, zeigt der Dokumentarfilm «Nitro Zeus» von 2016. Demnach hatten die USA nach der Attacke durch «Stuxnet» geplant, im Falle eines Krieges zwischen dem Iran und Israel zivile Infrastruktur im Iran lahmzulegen – beispielsweise Kraftwerke, Telekommunikation oder Krankenhäuser .

Auch IT- Sicherheitsexperte Lueg warnt vor solchen Szenarien in einem Cyberkrieg: «Angreifer können Kraftwerke attackieren und lahmlegen. Auch Krankenhäuser oder Finanzinstitute sind gefährdet», sagt Lueg. «Im schlimmsten Fall können Kliniken keine Not-Operationen mehr durchführen. Und was glauben Sie, was passieren würde, wenn Menschen nicht mehr an ihr Geld kommen würden?»

Kiersten Todt, ein ehemaliger Cybersicherheitsberater in der Obama-Regierung sagt dazu dem «Business Insider»: «Ich bin mir vollkommen sicher, dass sie (der Iran, Anm. d. Red.) kritische Infrastruktur in unserer Heimat attackieren werden.» Allerdings sollen die USA laut Todt auch entsprechend darauf vorbereitet sein.

Iranische Hacker legten Atlantas Verwaltung lahm

Die grössten Schwachpunkte in Angriffsfällen sind laut IT-Experte Lueg aber Mitarbeiter von Behörden oder Unternehmen: «IT-Sicherheit muss vielmehr als ein ganzheitlicher Prozess verstanden werden. Ein mehrschichtiger Verteidigungsansatz ist entscheidend», sagt Lueg. «Hier muss man Mitarbeiter schulen, damit sie zum Beispiel verseuchte E-Mails nicht öffnen und damit schlimmstenfalls das ganze Netzwerk infizieren.»

Staatliche Hacker, sprich APT-Gruppen, nutzen bei Attacken nämlich oft sogenannte Spear-Phishing oder Waterhole-Attacken. Bei der ersten Angriffsmethode handelt es sich um E-Mail-Betrug: Angreifer versuchen, Nutzer durch eine vertrauenswürdig erscheinende Mail auf eine gefälschte Website locken, die mit einem Trojaner infiziert ist. Bei Waterhole-Attacken haben Angreifer eine Website infiziert, die die Zielperson für gewöhnlich besucht. Auch hier soll ein Trojaner auf den Rechner des Opfers geladen werden.

Die Associated Press schreibt zum Thema, dass vor allem private Unternehmen und Kommunen in der IT-Sicherheit hinterherhängen. So legte ein Trojaner 2018 Teile der Stadtverwaltung von Atlanta lahm, der Schaden ging in die Millionen. Als Verursacher wurden zwei iranische Hacker benannt, die aber nicht von der iranischen Regierung beauftragt sein sollen.

Nach dem Tod Soleimanis drohte der Iran mit «einer schweren Vergeltung». In der Nacht auf Mittwoch hat der Iran denn auch zwei Militärbasen im Irak angegriffen, die auch von den Amerikanern genutzt werden. Angaben über Opfer gibt es momentan nur unverifizierte. Das iranische Staatsfernsehen spricht von «80 toten amerikanischen Terroristen». Bisher wurden aber noch keine Cyberattacken auf kritische Infrastrukturen in den USA gemeldet. Das bisher einzige bekannte Opfer iranischer Hacker ist eine US-Regierungsseite: Sie zeigte am Samstagabend amerikanischer Zeit eine Faust mit dem Siegel der Iranischen Revolutionsgarden, die Donald Trump ins Gesicht schlägt.

