Fast alles an dieser Geschichte schreit "Hoax". Aber selbst wenn es nur ein Täuschungsmanöver sein sollte, dann zumindest ein ziemlich unterhaltsames: Unbekannte behaupten – in klischeehaft gebrochenem Englisch – an verschiedenen Stellen im Internet, eine der NSA nahestehende Hackergruppe gehackt zu haben. Nun versteigern sie ihre angebliche Beute, die Angriffswerkzeuge der Elitehacker. Wenn sie eine Million Bitcoin bekommen, wollen sie einen Teil der Dateien veröffentlichen. Nach derzeitigem Kurs wären das umgerechnet 511 Millionen Euro.

Es klingt, als ob die Drehbuchautoren der Austin-Powers-Filme zu lange auf 4chan waren. Wenn da nicht die Kostproben wären.

Die Unbekannten, die sich The Shadow Brokers nennen (ein Begriff aus dem Computerspiel Mass Effect), haben einige der angeblich erbeuteten Dateien ins Netz gestellt. Und mehrere Sicherheitsforscher halten sie für echt. 

Wenn das ein Hoax ist, dann ein extrem aufwändiger

Echt soll in diesem Zusammenhang heißen: Die Dateien enthalten nach ersten Analysen dieser Firma und dieses Sicherheitsforschers wirklich mehrere Exploits, also Schadcode, mit dem bestimmte Router und Firewalls angegriffen und somit ganze Netzwerke überwacht werden können. Dazu gibt es detaillierte Anleitungen und Informationen zur Konfiguration von Command-and-Control-Servern. Solche Server nutzen Angreifer zum Beispiel, um heimlich Daten von ihren Opfern abzugreifen oder neue Malware nachzuladen. Gleichzeitig dienen sie dazu, die Spur zu den Angreifern zu verwischen.

Auch Linus Neumann, Sicherheitsforscher und einer der Sprecher des Chaos Computer Clubs, sagt nach einem ersten Blick auf die Dateien: "Die geschilderten Angriffspfade sind denkbar und realistisch. Die Anleitungen enthalten Hinweise auf häufige Fehler und Details, die Nutzer beachten müssen. Auch das vermittelt den Eindruck, dass sie einem tatsächlichen Einsatz entstammen." Sein vorläufiges Fazit: "Wenn es sich um einen Fake handelt, dann hat sich jemand sehr viel Mühe gegeben, ihn sowohl technisch als auch als Gesamtpaket glaubwürdig zu gestalten."

Die Equation Group wird mit der NSA in Verbindung gebracht

Wenn es also kein Scherz ist, lautet die nächste Frage, woher der Code stammt, den die Shadow Brokers versteigern. Sie selbst behaupten, sie hätten die Equation Group gehackt. Nach Angaben des russischen IT-Sicherheitsunternehmens Kaspersky ist die Equation Group "wahrscheinlich eine der raffiniertesten Cyberangriffsgruppen der Welt und die am weitesten entwickelte Bedrohung, die wir je gesehen haben." 2015 hatte Kaspersky die Gruppe und ihre extrem ausgefeilten Spionagewerkzeuge entdeckt, sie Equation Group getauft und mehrere Indizien aufgezeigt, die darauf hinweisen, dass die Gruppe mit der NSA mindestens zusammengearbeitet hat. Unter anderem konnte Kaspersky aufzeigen, dass die Malware der Equation Group einige jener Tricks beherrschte, die zu den Kernfunktionen der NSA-Waffen Stuxnet und Regin gehören.

In den Worten der Shadow Brokers: "We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons."

Codenamen aus den Snowden-Dokumenten

Laut Motherboard vermuten Experten nun, dass die Shadow Brokers schlicht einen Command-and-Control-Server entdeckt haben, auf dem mehr Daten lagen als nötig. Und es sei durchaus möglich, teilte ein Sicherheitsforscher Ars Technica mit, dass es ein Server war, den die Equation Group genutzt hat.

Beweise dafür gibt es nicht. Einige Dateinamen in den veröffentlichten Kostproben enthalten allerdings Codenamen wie Bananaglee, die auch in den Snowden-Dokumenten auftauchen. Und diese Dateien sind – sofern die Angaben nicht manipuliert sind – älter als die ersten Snowden-Berichte. Das spräche dafür, dass die Dateien echt sind und aus dem NSA-Umfeld stammen.

Was genau wird eigentlich versteigert? – "Is secret"

Wie brisant und wertvoll jene Dateien sind, die jetzt zur Versteigerung stehen, weiß niemand. "Is secret", schreiben die Shadow Brokers. "We want Equation Group to bid so we keep secret. You bid against Equation Group, win and find out or bid pump price up, piss them off, everyone wins."

Die Argumentation überzeugt nicht viele. Bisher (Stand: Dienstag, 12 Uhr mittags) liegt das Höchstgebot bei 0,12 Bitcoin, umgerechnet etwa 60 Euro. Sollte es bedeutend mehr werden, sagt Neumann, stünden die Shadow Brokers vor einem Problem: Alle Welt, und erst recht die NSA, werde jede Transaktion von ihrer Bitcoit-Wallet sehr genau verfolgen. Das Risiko, beim Versuch aufzufliegen, die Bitcoin umzutauschen oder zu verkaufen, sei enorm hoch. Was wiederum dafür spricht, dass die Unbekannten es nicht wirklich auf größere Summen abgesehen haben, sondern einzig auf die Aufmerksamkeit für einen vermeintlichen Hack gegen die NSA-Elitehacker.

Auf dem Twitteraccount der Shadow Brokers jedenfalls passiert seit dem 13. August nichts mehr, die Gruppe scheint sich erst einmal zurückgezogen zu haben. Schade eigentlich. Man hätte sich mehr ihrer Lebensweisheiten gewünscht, wie etwa die Antwort aus ihrem FAQ zur Frage, warum man ihnen trauen sollte: "No trust, risk. You like reward, you take risk, maybe win, maybe not, no guarantees. There could be hack, steal, jail, dead, or war tomorrow."