Die Fachwelt ist sich weitgehend einig: Die Superhacker von der NSA wurden gehackt. Unbekannte haben mindestens einen Rechner oder Server entdeckt, auf dem Angriffswerkzeuge und Anleitungen des US-Geheimdienstes abgelegt waren. Die Täter selbst behaupten, die Equation Group gehackt zu haben. So hatte Kaspersky eine extrem raffinierte Hackereinheit getauft, die das Sicherheitsunternehmen 2015 entdeckt und in die Nähe der NSA gerückt hatte. Ausgewählte Werkzeuge der Equation Group / NSA haben die Täter als Kostprobe ihres Könnens kostenlos veröffentlicht, den Rest wollen sie versteigern. So skurril die Aktion wirkt, so ernsthaft diskutieren Experten nun die Konsequenzen. Die wichtigsten Fragen und Antworten:

Was ist über die Täter bekannt?

Nicht viel. Sie nennen sich The Shadow Brokers. Ihr gebrochenes Englisch – nachzulesen hier – klingt so, wie man sich den Akzent russischer Schurken in schlechten Filmen vorstellt. Vermutlich ist das Absicht, um linguistische Analysen zu erschweren, die bei der Identifikation helfen könnten. Seit dem 13. August haben sich die Hacker nicht mehr öffentlich geäußert.

Was haben sie erbeutet?

Es gibt zwei Pakete. Eines ist die Kostprobe, entpackt rund 300 Megabyte groß, für die die Täter ein Zugangspasswort auf verschiedenen Websites veröffentlicht haben. Enthalten sind nach übereinstimmenden Expertenangaben mehrere funktionierende, allerdings mindestens drei Jahre alte Exploits gegen bestimmte Firewalls und Router unter anderem von Cisco, Juniper und Fortinet. Malware also, mit denen ganze Netzwerke infiltriert werden können. In den Dateien enthaltende Codewörter tauchen auch in den Snowden-Dokumenten und im ANT-Katalog auf, der Ende 2013 vom SPIEGEL veröffentlichten Liste von streng geheimen NSA-Angriffswerkzeugen. Dazu kommen Serverskripte und detaillierte Anleitungen. Alles in allem legt das Paket nahe, dass die Maschine, auf der diese Dateien lagen, für NSA-typische Angriffe gegen fremde Netzwerke genutzt wurde. 

Stellvertretend für die Analysen vieler Sicherheitsexperten sei die Einschätzung von Nicolas Weaver von der Universität Berkeley in Kalifornien genannt, einem renommierten Sicherheitsforscher und Geheimdienstkenner. Er schreibt: "Wegen ihrer schieren Größe und Qualität ist es höchstwahrscheinlich, dass die Daten authentisch sind. Und es sieht nicht so aus, als stammten sie von einem kompromittierten Zielsystem. Vielmehr deuten die Exploits, die mit Anmerkungen versehenen Binarys, Serverkonfiugurationsskripte, fünf verschiedene Versionen eines Frameworks für heimliche Netzwerkimplantate und alle möglichen anderen Details darauf hin, dass es sich um Codes für Analysten handelt – die Sorte, die wahrscheinlich niemals die NSA verlässt."

Auch zwei ehemalige Mitglieder der NSA-Elitehackertruppe TAO (Tailored Access Operations), die anonym bleiben wollen, sind sich sicher, dass die Dateien authentisch sind. Das sagten sie der Washington Post.

Das zweite Paket beziehungsweise das Passwort dazu wollen die Shadow Brokers versteigern. Was es enthält, ist völlig unklar. Vielleicht nichts, vielleicht noch viel mehr NSA-Angriffswerkzeuge. Das verschlüsselte Paket stand zunächst unter anderem auf Tumblr, Github und Mega zum Download bereit, am Mittwochvormittag war es nur noch auf Mega zu finden. (Da wir nicht wissen, was die entsprechende ZIP-Datei enthält, verlinken wir sie hier nicht.)

Was soll die Auktion?

Die Versteigerung ist wahrscheinlich nur Show, oder "Nonsens", wie Weaver schreibt. Die Ankündigung der Shadow Brokers, weitere Dateien zur freien Verfügung zu stellen, wenn jemand eine Million Bitcoin zahlt – umgerechnet mehr als 500 Millionen Euro – erinnert den Sicherheitsforscher in ihrer Absurdität an Dr. Evil aus den Austin-Powers-Komödien.