Die Fachwelt ist sich weitgehend einig: Die Superhacker von der NSA wurden gehackt. Unbekannte haben mindestens einen Rechner oder Server entdeckt, auf dem Angriffswerkzeuge und Anleitungen des US-Geheimdienstes abgelegt waren. Die Täter selbst behaupten, die Equation Group gehackt zu haben. So hatte Kaspersky eine extrem raffinierte Hackereinheit getauft, die das Sicherheitsunternehmen 2015 entdeckt und in die Nähe der NSA gerückt hatte. Ausgewählte Werkzeuge der Equation Group / NSA haben die Täter als Kostprobe ihres Könnens kostenlos veröffentlicht, den Rest wollen sie versteigern. So skurril die Aktion wirkt, so ernsthaft diskutieren Experten nun die Konsequenzen. Die wichtigsten Fragen und Antworten:

Was ist über die Täter bekannt?

Nicht viel. Sie nennen sich The Shadow Brokers. Ihr gebrochenes Englisch – nachzulesen hier – klingt so, wie man sich den Akzent russischer Schurken in schlechten Filmen vorstellt. Vermutlich ist das Absicht, um linguistische Analysen zu erschweren, die bei der Identifikation helfen könnten. Seit dem 13. August haben sich die Hacker nicht mehr öffentlich geäußert.

Was haben sie erbeutet?

Es gibt zwei Pakete. Eines ist die Kostprobe, entpackt rund 300 Megabyte groß, für die die Täter ein Zugangspasswort auf verschiedenen Websites veröffentlicht haben. Enthalten sind nach übereinstimmenden Expertenangaben mehrere funktionierende, allerdings mindestens drei Jahre alte Exploits gegen bestimmte Firewalls und Router unter anderem von Cisco, Juniper und Fortinet. Malware also, mit denen ganze Netzwerke infiltriert werden können. In den Dateien enthaltende Codewörter tauchen auch in den Snowden-Dokumenten und im ANT-Katalog auf, der Ende 2013 vom SPIEGEL veröffentlichten Liste von streng geheimen NSA-Angriffswerkzeugen. Dazu kommen Serverskripte und detaillierte Anleitungen. Alles in allem legt das Paket nahe, dass die Maschine, auf der diese Dateien lagen, für NSA-typische Angriffe gegen fremde Netzwerke genutzt wurde. 

Stellvertretend für die Analysen vieler Sicherheitsexperten sei die Einschätzung von Nicolas Weaver von der Universität Berkeley in Kalifornien genannt, einem renommierten Sicherheitsforscher und Geheimdienstkenner. Er schreibt: "Wegen ihrer schieren Größe und Qualität ist es höchstwahrscheinlich, dass die Daten authentisch sind. Und es sieht nicht so aus, als stammten sie von einem kompromittierten Zielsystem. Vielmehr deuten die Exploits, die mit Anmerkungen versehenen Binarys, Serverkonfiugurationsskripte, fünf verschiedene Versionen eines Frameworks für heimliche Netzwerkimplantate und alle möglichen anderen Details darauf hin, dass es sich um Codes für Analysten handelt – die Sorte, die wahrscheinlich niemals die NSA verlässt."

Auch zwei ehemalige Mitglieder der NSA-Elitehackertruppe TAO (Tailored Access Operations), die anonym bleiben wollen, sind sich sicher, dass die Dateien authentisch sind. Das sagten sie der Washington Post.

Das zweite Paket beziehungsweise das Passwort dazu wollen die Shadow Brokers versteigern. Was es enthält, ist völlig unklar. Vielleicht nichts, vielleicht noch viel mehr NSA-Angriffswerkzeuge. Das verschlüsselte Paket stand zunächst unter anderem auf Tumblr, Github und Mega zum Download bereit, am Mittwochvormittag war es nur noch auf Mega zu finden. (Da wir nicht wissen, was die entsprechende ZIP-Datei enthält, verlinken wir sie hier nicht.)

Was soll die Auktion?

Die Versteigerung ist wahrscheinlich nur Show, oder "Nonsens", wie Weaver schreibt. Die Ankündigung der Shadow Brokers, weitere Dateien zur freien Verfügung zu stellen, wenn jemand eine Million Bitcoin zahlt – umgerechnet mehr als 500 Millionen Euro – erinnert den Sicherheitsforscher in ihrer Absurdität an Dr. Evil aus den Austin-Powers-Komödien.

Snowden zeigt mit dem Finger auf Russland

Denn: Selbst wenn jemand das Passwort für sehr viel weniger ersteigern würde, wäre es für die Empfänger kaum möglich, die Bitcoin unbemerkt zu waschen. In den Worten von Weaver: "Die Auktion ist das Äquivalent zu einem Kriminellen, der verlangt, in neuen, markierten Geldscheinen bezahlt zu werden, deren Seriennummern aufeinanderfolgen."

Wenn es nicht um Geld geht, worum dann?

Zunächst einmal um die Wirkung. Da hat jemand die NSA gehörig blamiert. Die in der Kostprobe veröffentlichten Exploits dürften nicht zum Aufwändigsten gehören, was die Geheimdiensthacker an Werkzeugen zur Verfügung haben. Aber sie sind aus NSA-Sicht spätestens jetzt wertlos. Außerdem zeigt der Hack, dass auch NSA-Mitarbeiter oder -Auftragnehmer peinliche Fehler machen. Aus operativer Sicht hätten die Anleitungen und viele andere Dateien und Codebestandteile gar nicht erst auf einem Server gespeichert werden dürfen, der für Angriffe genutzt wurde – oder sie hätten so früh wie möglich wieder gelöscht werden müssen. Noch schlechter wäre es für die NSA, wenn die Shadow Brokers nicht nur irgendeinen von der NSA gekaperten Server im Internet, sondern eine direkt dem Geheimdienst gehörende Maschine gehackt haben sollten. Oder wenn es ein Insider war, ein NSA-Mitarbeiter.

Weaver und auch Edward Snowden spekulieren, der Hack solle die US-Regierung unter Druck setzen. Er sei eine Warnung, dass die Täter tatsächlich in der Lage wären, über den Server erfolgte NSA-Angriffe eindeutig den USA zuzuschreiben. Derart vorgeführt zu werden wäre für den Geheimdienst und die US-Regierung hochnotpeinlich – insbesondere, wenn jemand beweisen könnte, dass die USA einen Verbündeten angegriffen haben könnte.

Einen geeigneten Anlass gäbe es möglicherweise: Wie im Juni herauskam, hatten Unbekannte das Democratic National Comittee (DNC) gehackt, die oberste Organisation der US-Demokraten. Damals hieß es schnell, russische Täter oder sogar die russische Regierung würden dahintersteckten. Sollte die US-Regierung nun Vergeltungsmaßnahmen gegen Russland erwägen, so lautet Snowdens interessante (aber durch nichts belegte) Theorie, müsste sie einkalkulieren, dass Russland im Gegenzug sein Wissen über die Hacking-Aktivitäten der NSA als politisches Kapital einsetzt: Verhängt ihr Sanktionen gegen uns, verraten wir der Welt, wen ihr von eurem NSA-Server aus ausspioniert habt.