In diesen Tagen können Regierungen, Militärs und Industriekonzerne aus aller Welt etwas von Nordkorea lernen. Die Demokratische Volksrepublik lässt nämlich seit etlichen Jahren ein eigenes, nationales Betriebssystem für Personal Computer entwickeln, das »Red Star OS«, in dem die Zeitrechnung mit dem Geburtstag des Ewigen Führers Kim Il Sung beginnt, in dem der Internetbrowser »Mein Land« genannt wird und überhaupt nur wenig so funktioniert wie auf Computern in der freien Welt. Wenn Red Star eines Tages flächendeckend eingesetzt wird, erlangt Nordkorea einen entscheidenden Vorteil gegenüber dem Westen: Cyberspione haben es dann besonders schwer, in die Computersysteme des Landes einzudringen.

Und Cyberspionage ist inzwischen nicht mehr nur der Stoff für Krimis und James-Bond-Filme, sie ist eine reale und äußerst ernste Gefahr geworden. Das wurde zuletzt deutlich, als die russische Computersicherheitsfirma Kaspersky bekanntgab, dass sie die »Operation Roter Oktober« aufgedeckt hat: ein System aus raffiniert programmierten Computerschädlingen und einer professionell betriebenen Infrastruktur für den Datenklau, die sich seit 2007 in den Tiefen des Internets verbarg.

Über die Jahre sind die unbekannten Täter immer wieder in die Rechner und Mobiltelefone von Botschaften, Ministerien, Militärs und Energiekonzernen in 39 Ländern eingebrochen und haben dort etwas mitgehen lassen: Dokumente, Tabellendaten, E-Mails, Kalendereinträge. Weder die IT-Experten dieser Einrichtungen noch die Virenschutzprogramme haben etwas davon gemerkt. Unter anderem suchten die Täter nach Dateien, die besonders geheim gehalten werden sollen: Unterlagen etwa, die mit einem bei der Nato und bei der EU üblichen Verschlüsselungsprogramm codiert wurden, oder solche, die der Computerbenutzer extra gelöscht hatte.

Persönlich zugeschnittene E-Mails

Es wird schwer sein, zu ermitteln, wer dahinter steckt. Die Art der ausgewählten Ziele deutet auf das Interesse eines Nachrichtendienstes hin, aber genauso gut könnte es auch eine Bande krimineller Hacker sein, die Informationen gegen Geld beschafft. Im Programmcode finden sich Hinweise auf russische Programmierer, aber viele Hacker machen sich einen Spaß daraus, so etwas zu fälschen. Andere Programmbestandteile stammen aus China, was ebenso wenig besagt: China hat eine große Hackerszene, und viele ihrer Mitglieder bieten Waren zum Verkauf an. Einige Rechner, die beim »Roten Oktober« zum Einsatz kamen, sind sogar in Deutschland registriert.

Aufschlussreich ist jedoch, wie die Spionageprogramme auf die Computer der Opfer gelangten: ganz und gar unspektakulär. Die betroffenen Beamten, Konzernangestellten oder Soldaten erhielten eine E-Mail, die offenbar persönlich auf sie zugeschnitten war (»Diplomatenfahrzeug günstig zu verkaufen«). Wer auf diese E-Mail klickte, wurde zum Opfer. Eine Schädlings-Software infizierte seinen Computer und brachte ihn unbemerkt unter die Kontrolle der Täter.

Dass dieser Trick funktionierte, lag wiederum an Sicherheitslücken in Computerprogrammen, die sich heute auf fast jedem Rechner finden: den Betriebssystemen und Büroprogrammen der Firma Microsoft etwa, dem Leseprogramm Acrobat Reader und so weiter. In solchen Programmen tauchen ständig neue Sicherheitslücken auf, schon weil Scharen von Hackern laufend nach ihnen suchen. Manche verkaufen sie dann gegen Bares im Untergrund.

"Sieben ernste Hackerangriffe pro Tag" auf die Bundesregierung

Genau das ist also ein Teil des Problems: dass alle Welt die gleichen Computer mit den gleichen Programmen einsetzt. Sie bieten ein gefundenes Fressen für Schädlinge aller Art, ganz ähnlich wie bei einer Monokultur in der Landwirtschaft. Die Hersteller solcher Standardprogramme verspüren auch nur wenig Anreize, allzu viel über Sicherheitsfragen nachzudenken: Weder haften sie für Hackerangriffe bei ihren Kunden, noch müssen sie hohe Sicherheitsstandards gegenüber Behörden garantieren. 

Aus Bequemlichkeits- und Kostengründen werden ihre Programme trotzdem eingesetzt, und zwar nicht nur in Büros, in denen geheime Dokumente entstehen, sondern zunehmend auch in Steueranlagen für Einrichtungen in der Industrie, in Krankenhäusern oder im Militär. Gerade erst warnte die amerikanische Computersicherheitsbehörde US-CERT, dass ungewöhnlich viele Schadprogramme in Kraftwerken und großen Industrieanlagen gefunden würden. 2011 wurden sogar in den Steuersystemen amerikanischer militärischer Drohnen Computerviren entdeckt, die üblicherweise Büro-PCs befallen.

Also doch von Nordkorea lernen und lieber eigene Computer konstruieren, eigene Programme für Regierungen und sensible Einrichtungen schreiben? »Auch bei den Computern der Bundesregierung gibt es inzwischen im Durchschnitt sieben ernste Hackerangriffe pro Tag«, sagt Sandro Gaycken, ein Computerwissenschaftler an der FU Berlin und Exhacker beim Chaos Computer Club, der das Auswärtige Amt berät. Vergleichsweise sicher seien eigentlich bloß handgeschriebene Zettel – und Datenverarbeitungssysteme, die ganz auf Hochsicherheit getrimmt sind.

Die Letzteren, sagt Gaycken, müsse man aber erst noch erfinden. Er will der Bundesregierung jetzt vorschlagen, genau das zu tun. Auch Deutschland brauche ein eigenes, neues Betriebssystem und neue Programme für sensible Einsätze. »Wir fangen an, den Computer noch mal völlig neu zu entwickeln«, kündigt der ehemalige Hacker bereits an. Und wenn er so redet, klingt es fast wie in Nordkorea.