Reichlich verstimmt dürften einige Topkader in Peking gewesen sein, als die New York Times vergangenes Jahr einfach die Vermögensverhältnisse von ihresgleichen freilegte. Im Oktober hatte der Shanghaier Times-Bürochef David Barboza über den immensen Reichtum der Familie des seinerzeitigen Noch-Premier Wen Jiabao berichtet — immerhin die Nr. 2 im Staat. Und auch andere Medien wie das Wall Street Journal und Bloomberg sind zuletzt mit einer Reihe von Recherchen der Nomenklatura in Peking gehörig auf die Nerven gegangen.

Am spektakulärsten waren mit Sicherheit der Fall über die Verwandten Wen Jiabaos und zuvor am 29. Juni bei Bloomberg jene über die Vermögen der Familie von Xi Jinping, damals noch Vizepräsident, heute Parteichef und damit die Nr. 1 in China. Daher ist es wahrscheinlich kein Zufall, dass chinesische Hacker Rechner der New York Times infiltriert haben und zuvor auch die Rechner von Bloomberg-Mitarbeitern. Die Times hat nun einen recht offenen Bericht über die Rechner-Attacken der vergangenen Monate veröffentlicht. Dass diese Hacks politisch motiviert waren, zeigt die Tatsache, dass laut Times nur nach Informationen im Zusammenhang mit dem Wen-Bericht gesucht wurde, Nutzerdaten seien nicht abgezogen worden.

Begonnen habe der Rechnerangriff laut New York Times bereits Mitte September, also rund sechs Wochen vor der Veröffentlichung des Artikels. Auftragshacker hätten zu diesem Zeitpunkt Schadsoftware auf den Computern von mehreren Redakteuren platziert und diese ausspioniert. Wie sie das genau geschafft hatten, ist noch nicht bekannt.

Zwei Wochen ungestört im Netzwerk der Zeitung

Wahrscheinlich hätten sie eine Methode angewandt, heißt es im Artikel der Times, die man als spear phishing bezeichnet: Einzelne Redakteure haben offenbar E-Mails bekommen, die sehr genau auf ihre Interessen zugeschnitten waren. In den Anhängen dieser E-Mails war Schadsoftware versteckt. Über sie wurde wiederum Spähsoftware nachgeladen, die von Screenshots bis zu Tastatureingaben so ziemlich alles aufnehmen und zum Server der Angreifer schicken kann.

Mithilfe der Spähsoftware richteten sich die Angreifer mehrere Hintertüren zu den Computern der Redakteure ein. Die abgefangenen Passwörter und andere Hinweise reichten aus, um sich zwei Wochen lang im Netzwerk der Zeitung umzusehen. Dabei entdeckten die Angreifer den sogenannten Domain Controller, das ist der zentrale Rechner, über den sich alle Mitarbeiter eines Firmennetzes anmelden.

Der Domain Controller enthält die Benutzernamen und die zugehörigen Passwörter, Letztere in Form einer Prüfsumme, auch Hash-Wert genannt. Über Massenabfragen könne solche Hashes wieder entschlüsselt werden, sodass die Passwörter im Klartext vorlagen. Um diese Angriffe zu verschleiern, nutzten die Hacker kompromittierte Server mehrerer US-Universitäten. Dieses Vorgehen kennen Sicherheitsspezialisten schon von früheren Hacks, die sie einer chinesischen Gruppe mit Verbindungen zum Militär zuschreiben.

Antivirussoftware hatte nur ein Spionageprogramm entdeckt

Auf diesem Wege bekamen die Angreifer Zugang zu 53 Computern von Times-Angestellten. Für die Rechner des Bürochefs in Shanghai und den des Südostasien-Bürochefs schrieben sie spezielle Spionagesoftware, um den E-Mail-Verkehr der beiden mitlesen zu können. So wollten die Angreifer offenbar herausfinden, wer die Quellen für den Wen-Bericht waren. Insgesamt wurden 45 solcher Programme auf den Computern der Times gefunden, die hauseigene Antivirussoftware der Firma Symantec hatte davon nur eines entdeckt.

Die Zeitung bekam von dem Ganzen deshalb zunächst nichts mit. Erst, als sie von chinesischen Regierungsbeamten erfuhr, dass ihre Recherche zu den Reichtümern der Familie von Wen "Konsequenzen haben" würde, reagierte sie: Am Tag vor der Veröffentlichung des Artikels bat die Times ihren Provider AT&T, nach ungewöhnlichen Aktivitäten im Netzwerk der Zeitung zu suchen.

Es gab viele Gründe, nach Maulwürfen zu suchen

Am Tag der Veröffentlichung meldete AT&T bestimmte Aktivitäten, wie sie bereits von anderen Angriffen bekannt waren, die wahrscheinlich vom chinesischen Militär verübt wurden. Die Times und AT&T versuchten dann, die Eindringlinge wieder aus ihrem Netzwerk zu bekommen, ohne dabei aber das Ausmaß des Angriffs zu erkennen. Als knapp zwei Wochen später klar war, dass die Angreifer weiterhin im System waren, beauftragte das Medienhaus die Firma Mandiant mit der Abwehr. Die halfen dabei, die Machart der Attacke zu verstehen und das Netzwerk gegen weitere derartige Angriffe abzusichern. Gänzlich sicher kann so ein System aber nicht sein, so lange die Benutzer verseuchte E-Mails öffnen.

Was aber soll der ganze Aufwand? Ein Angriff auf die freie Presse ist nicht nur schlecht fürs Image. Er birgt auch die Gefahr diplomatischer Verwicklungen zwischen Washington und Peking. Ein Grund für die Attacken dürfte daher im Zeitpunkt der Veröffentlichungen liegen, denn 2012 wechselte die Parteielite ihre Führung aus. Es war die Zeit, als in der Nomenklatura ein unübersehbarer Machtkampf herrschte.

Beide Politiker, Wen Jiabao und Xi Jinping, über deren Familien berichtet wurde, haben den Ruf, integre Menschen zu sein. Wen Jiabao stammt zudem aus einfachen Verhältnissen, er hat in seiner Amtszeit regelmäßig Sozialreformen angemahnt und die Korruptionsbekämpfung hoch auf die Agenda gesetzt, beispielsweise während des Nationalen Volkskongresses 2007. Eine Veröffentlichung über die Anhäufung riesiger Vermögen von Parteifamilien untergräbt solche Ansagen.

2012 stürzte Politbürokandiat Bo Xilai

Zudem hatte Times-Autor David Barboza in seinem Artikel zwar weder Wens Familie, noch ihn selbst irgendwelcher illegaler Aktivitäten bezichtigt. Dennoch stellt das Verhalten der Wen-Familie ein Problem dar, wie es Donald C. Clarke, Experte für chinesisches Recht, darlegt: Wen hat Regeln der inneren Parteidisziplin verletzt, wonach er hätte verhindern müssen, dass Verwandte von ihm sich in Geschäftsbereichen engagieren, die seiner Aufsicht unterstehen. Als Premier Chinas dürften das aber praktisch alle Geschäftsfelder sein.

Ein Verstoß gegen die Parteidisziplin wiederum kann in China Karrieren zerstören und im politischen Machtgerangel gegen einen verwendet werden. Und genau ein solcher durchzog eben die Parteiführung 2012, als ausgekungelt wurde, welche Fraktionen welche Posten im neuen Politbüro und darunterliegenden Parteigremien besetzten dürfen. Der Sturz des prominenten Politbürokandiaten und Populisten Bo Xilai in der Megastadt Chongqing war nur die augenfällige Spitze dieser Auseinandersetzungen. Bo und seine Frau hatten gigantische Vermögen angehäuft, die mit normalen Mitteln aus ihren Posten und Berufen nicht möglich waren.

Aus Sicht der Parteiführung gab es also viele Gründe, nach Maulwürfen zu suchen, die Informationen an die freie Presse im Westen weitergeben. Obwohl NYT-Autor Barboza sagt, er hätte für die Recherche nur öffentlich zugängliche Dokumente verwendet, kann man davon ausgehen, dass er auch interne Informationen aus der chinesischen Nomenklatura zugesteckt bekommt.

Weil in China die soziale Gerechtigkeit mit den kapitalistischen Reformen abgenommen hat und gleichzeitig massive Korruption die Bürger bedrängt, sorgen Veröffentlichungen wie jene der Times in der Pekinger Führung für Nervosität. Auch Chinas Mikroblogs sind heute voll von Berichten über Korruption von meist lokalen Kadern, manche Berichte werden zensiert, andere nicht. Auf die chinesischen Teile der Digitalnetze haben die Pekinger Behörden eben noch Zugriff. Auf die außerhalb des Landes muss im Zweifel auf Hacker zurückgegriffen werden.