Die Geheimdienste NSA, GCHQ und CSEC (Kanada) verwenden Angriffsmethoden, die sonst im Internet von Kriminellen eingesetzt werden. Das geht aus streng geheimen Unterlagen des britischen Geheimdienstes GCHQ hervor, die heise online ausgewertet und teilweise veröffentlicht hat.

Im Rahmen des Programms Hacienda suchen sie mit sogenannten Portscans flächendeckend und systematisch nach verwundbaren Computersystemen, um diese zu infiltrieren und sich von dort Zugang zu weiteren Zielobjekten zu verschaffen. Portscans sind ein bekanntes Mittel, um Schwachstellen in einem Netzwerk zu finden. Administratoren setzen sie ebenso ein wie Kriminelle. Die Geheimdienste verwenden sogar eine bekannte Software dazu, sie heißt nmap. Dass solche Programme auch in der Lage sind, das gesamte Internet zu durchsuchen, ist nicht neu. Im Fall von NSA, GCHQ und CSEC ist das jedoch nur der erste Schritt.

Mit ihren Portscans finden die Dienste heraus, welche  Internetdienste – zum Beispiel http oder ftp – auf einem Server verfügbar sind, welche Ports also offen sind. Hinzu kommen einige weitere Details über das jeweilige System. In 27 Ländern (Stand 2009) haben sie alle Server auf diese Weise gescannt. Potenzielle Schwachstellen werden so kartiert, die Informationen darüber untereinander geteilt.

Im nächsten Schritt erfolgt bei Bedarf der gezielte Angriff auf einen dieser Server. Im Rahmen der Programme Landmark und Mugshot identifizieren und hacken sie solche Server, um sie als Ausgangspunkte zur Infiltration weiterer Systeme zu nutzen. Operational Relay Boxes (ORBs) heißen die als Brückenkopf genutzten Server dann. Es ist eine Verschleierungstaktik, damit die Geheimdienste als Urheber einer Attacke schwerer zu erkennen sind.

Gegenwehr ist in Teilen möglich

"Bisher gab es keine Belege dafür, dass Nachrichtendienste dermaßen massiv und flächendeckend Server auf der ganzen Welt angreifen", sagt Jürgen Kuri, stellvertretender Chefredakteur von heise online.

Zwei Wissenschaftler der TU München haben zusammen mit dem Hacker und Journalisten Jacob Appelbaum eine Methode namens TCP Stealth entwickelt, um die unerwünschten Portscans zumindest zu erschweren: Christian Grothoff, Nachwuchsgruppenleiter im renommierten Emmy-Noether-Programm der Deutschen Forschungsgemeinschaft, und der Master-Student Julian Kirsch stellen ihre Forschungsergebnisse auf der GNU-Hacker-Konferenz in Garching bei München vor. Sie richten sich an Netzwerkadministratoren, einige Details zur Implementierung nennt heise online in seinem Artikel.