Der Rückgang chinesischer Cyberangriffe: Die Geschichte hinter den Zahlen





Letzten Sommer versammelte sich ein Publikum aus Regierungsbeamten, Militärangehörigen und ausländischen Botschaftern in Aspen, Colorado, um John Carlin, damals stellvertretender Generalstaatsanwalt, über Cyberangriffe sprechen zu hören. Das Aspen Security Forum, das jedes Jahr in einem atemberaubenden Ferienort in den Rocky Mountains stattfindet, ist die Art von Veranstaltung, bei der Nationale Sicherheitspolizisten in T-Shirts und Shorts wandern gehen und dann bei Zitronen-Himbeer-Wasser und Superfood-Bällchen Kriegsgeschichten austauschen . Die Nachricht vom Hack des Democratic National Committee war erst am Tag zuvor bekannt geworden, und viele hofften, dass Carlin, die die Untersuchung des Vorfalls leitete, offen darüber sprechen würde. Stattdessen berichtete er über die Anklage des Justizministeriums gegen fünf Hacker in der Einheit 61398 der chinesischen Volksbefreiungsarmee wegen Wirtschaftsspionage – damals im Jahr 2014 (siehe „Cyber-Spionage Nightmare“).

Carlin, ein knabenhafter, in Harvard ausgebildeter ehemaliger Staatsanwalt, beaufsichtigte die Bemühungen der Abteilung, Wirtschaftsspionage auszurotten, bevor er Anfang dieses Monats zurücktrat. Im Juni veröffentlichte das Cybersicherheitsunternehmen FireEye einen Bericht einen deutlichen Rückgang beschreiben seit Anfang 2013 in der Zahl der kommerziellen Angriffe aus China, das die größte Quelle solcher Angriffe ist. Die Firma zeichnete Angriffe auf Kunden auf der ganzen Welt durch 72 Gruppen auf, die entweder in China ansässig sind oder von denen angenommen wird, dass sie die Interessen des chinesischen Staates vertreten. Ab Mitte 2014 beobachteten die Analysten einen spürbaren Rückgang der Aktivität. Geheimdienstmitarbeiter haben diese Behauptung leise wiederholt.

Für einige in der Obama-Administration ist dies ein Beweis dafür, dass der Einsatz von Zuckerbrot und Peitsche zur Bekämpfung des chinesischen Diebstahls geistigen Eigentums – was Carlin einen All-Tools-Ansatz nannte – funktioniert. Anklagen und sogenanntes Naming and Shaming wurden von Wirtschaftssanktionen und diplomatischen Bemühungen begleitet, einschließlich einer Vereinbarung zwischen Präsident Obama und Xi Jinping vom September 2015, den Cyber-Diebstahl von geistigem Eigentum zu unterlassen oder zu unterstützen. Dieser Ansatz ist ein riesiges „Betreten verboten“-Schild, sagte Carlin. Es heißt „Runter von unserem Rasen.“



Aber andere sind sich nicht sicher, ob die US-Regierung so viel Kredit bekommen sollte. Der wahrgenommene Rückgang der Angriffe aus China wirft eine Frage auf: Warum? Ehemalige Regierungsbeamte und Cybersicherheitsexperten bieten jetzt eine Reihe von Theorien an – einschließlich einer provokanten, die in Frage stellt, inwieweit reine kommerzielle Cyberspionage im Gegensatz zu der gezielteren Spionage militärischer Technologien und Fähigkeiten, an der sich viele Nationen beteiligen, jemals existiert hat in erster Linie eine Priorität der chinesischen Zentralregierung.

Es besteht kaum ein Zweifel daran, dass die chinesische Regierung beträchtliche Energie investiert, um alles zu stehlen, von Plänen für US-Kampfflugzeuge bis hin zu den 22 Millionen Aufzeichnungen, die vom Office of Personnel Management aufbewahrt werden, oder dass sie wenig getan hat, um kommerzielle Spione zu verfolgen. Aber einige der eher kommerziell ausgerichteten Angriffe, die von Einheit 61398 durchgeführt wurden, könnten laut dieser Theorie Illusionen gewesen sein, während andere von Anfang an nie explizite Unterstützung von Peking erhalten haben.

Skeptiker gibt es zuhauf



Fünf Mitglieder der Einheit 61398 der Volksbefreiungsarmee Chinas wurden 2014 vom US-Justizministerium wegen Wirtschaftsspionage angeklagt.

Im Jahr 2013 forderte der ehemalige FBI-Direktor Robert Mueller umfassende Anstrengungen, um Cyber-Bedrohungen auszurotten und den warmen Körper hinter der Tastatur zu suchen. Am Tag nach der Enthüllung der Anklageschrift der Einheit 61398 sagte Carlin in der Brookings Institution, dass es dem FBI gelungen sei, diesem warmen Körper – oder vielmehr fünf von ihnen – ein Gesicht zu verpassen. Die Fahndungsfotos dieser Männer, die Spitznamen wie KandyGoo und UglyGorilla trugen, wurden über Poster gespritzt, auf denen stand: Wanted by the FBI.

Die Anklageschrift markierte einen Bruch mit der üblichen diplomatischen Praxis, aktive Militärs anderer Länder nicht strafrechtlich zu verfolgen, und wurde von vielen in Washington mit Skepsis aufgenommen. Einige bezweifelten, dass die Anklagen durchsetzbar wären, während andere darauf hinwiesen, dass die Haltung des Justizministeriums zur Wirtschaftsspionage – dass das Sammeln allgemeiner Wirtschaftsinformationen routinemäßige Staatskunst und daher akzeptabel ist, Spionage zugunsten bestimmter Unternehmen jedoch nicht – eine Besonderheit darstellt Länder anerkennen würden. Benjamin Wittes, Senior Fellow bei Brookings, fragte sich sogar, ob der Schritt des Justizministeriums nicht einfach eine sehr raffinierte Form der Rechts-PR sei.



Die Zweifel setzten sich im September 2015 fort, nachdem das Abkommen zwischen China und den USA angekündigt worden war. Vereinbarung. Einige glaubten, dass Xis Verpflichtung, kommerzielles Hacken nicht zu unterstützen, kaum mehr als ein Lippenbekenntnis sei. sagte der Direktor des Nationalen Geheimdienstes, James Clapper Verteidigungsnachrichten da bin ich persönlich eher skeptisch.

Aber im Laufe der Zeit bemerkten Cybersicherheitsanalysten eine merkwürdige Veränderung. FireEye begann mit seinem jüngsten Bericht im Februar 2013, dem Monat, in dem das Threat-Intelligence-Unternehmen Mandiant (jetzt im Besitz von FireEye) die Einheit 61398 öffentlich an ein streng bewachtes Gebäude in Shanghai verband. In den folgenden Jahren protokollierten FireEye-Analysten Angriffe auf Kunden in den USA, Japan und Europa. Die Angriffe erreichten im September 2013 mit knapp über 70 pro Monat ihren Höhepunkt. Bis Anfang September 2015, bevor Obama und Xi das Abkommen unterzeichneten, hatten sie sich auf 10 pro Monat verlangsamt, was das Abkommen wie eine bloße Fußnote in Chinas Kehrtwendung aussehen ließ.

Alle Anzeichen deuten darauf hin, dass China seine Politik und seinen Ansatz bereits angepasst hatte und dass die Vereinbarung für sie machbar war, weil sie bereits die Richtung geändert hatten, sagt Daniel McWhorter, Chief Intelligence Strategist und Vice President bei FireEye. Der Bericht beschränkt sich auf die Sichtbarkeit der Firma und ist verschwommen in Bezug auf Details wie die Dateien, die die Angreifer mitgenommen haben, aber im April sagte NSA-Direktor Michael Rogers aus, dass Hacking aus China zurückgegangen sei. In einem Vortrag auf dem Aspen-Forum wiederholte CIA-Chef John Brennan unterdessen, dass die Geheimdienste weniger Angriffe aus China aufdecken würden. Als FireEye im August ankündigte, rund 10 Prozent seiner Belegschaft zu entlassen, machten Führungskräfte den Rückgang der chinesischen Aktivitäten dafür verantwortlich.



'Staubsauger'-Spionage

Die Wanted-Poster und die Fanfare hinter der Anklage gegen Unit 61398 verstärkten das weit verbreitete Missverständnis, das durch Shows wie verewigt wurde Herr Roboter , dass chinesische Hacker in ihren Methoden und Werkzeugen hochgradig organisiert sind. Tatsächlich waren sie lange Zeit dafür bekannt, dezentralisiert und schlampig zu sein. Cybersicherheitsexperten wunderten sich einst darüber, mehrere chinesische Hackergruppen zu finden, die dasselbe Ziel durchdringen, scheinbar mit wenig oder gar keiner Koordination. Zuweilen machten solche Gruppen elementare Fehler. In dem Bericht von 2013 über Einheit 61398 oder APT1, der der Anklage des Justizministeriums vorausging, konnte Mandiant Angriffe teilweise der chinesischen Volksbefreiungsarmee (PLA) zuschreiben, weil die Hacker die Hacking-Infrastruktur der Armee, die außerhalb von Chinas Great Firewall liegt, nutzten auf ihre persönlichen Facebook- und Twitter-Konten zugreifen.

Viele glauben jetzt, dass solche Gruppen einfach einen Teil des Lärms reduziert haben, der sie leicht zu entdecken machte. Gleichzeitig hat China wahrscheinlich seinen Fokus von der „Staubsauger“-Spionage auf gezielteres Eindringen und Diebstahl verfeinert, sagt Greg Austin, Professor am EastWest Institute und Autor von Cyberpolitik in China. Früher hätten staatlich geförderte Hacker große Datenmengen aufgesaugt und später durchforstet, sagt er. Dies könnte die Zahl der kommerziellen Angriffe künstlich erhöht haben, da Hacker, die es auf Dual-Use-Technologien wie Solarmodule abgesehen haben, Preisinformationen zusammen mit Designspezifikationen gefegt haben. Eine Umstellung auf gezieltere Spionage im Zusammenhang mit der nationalen Sicherheit würde eine Verringerung der wahrgenommenen kommerziellen Cyberangriffe bedeuten.

In einigen Fällen haben unterdessen Leute wie UglyGorilla ohne die ausdrückliche Erlaubnis der Zentralregierung unter dem Tisch gearbeitet. Die Anklageschrift der Einheit 61398 behauptet beispielsweise, dass ein staatliches Unternehmen die Einheit beauftragt hat, eine „geheime“ Datenbank aufzubauen, um Unternehmens-„Geheimdienste“ zu speichern.

Ehemaliger stellvertretender Generalstaatsanwalt John Carlin.

Diese Erklärungen würden helfen, eine Reihe langjähriger Rätsel zu lösen. Während Peking den Erwerb ausländischer Technologien seit langem fördert und IP-Diebstahl unter chinesischen Unternehmen weit verbreitet ist, ist unklar, wie der Staat den Diebstahl durch Unternehmen genau unterstützen könnte. Die chinesische Regierung hat keine größeren Geheimdienst-Verbündeten und eine Reihe von Prioritäten bei der Sammlung von Informationen, darunter die Überwachung von Dissidenten, die Überwachung der Kontroverse um das Südchinesische Meer und die Verfolgung von Aktivisten in Tibet und Xinjiang. Es ist nicht bekannt, wo die kommerzielle Spionage zu diesen Prioritäten gehören würde – und wie die bei staatlich geförderten Angriffen gestohlenen Informationen systematisch verbreitet werden könnten.

Trotz enger Verbindungen zwischen der chinesischen Regierung und dem Privatsektor gibt es in vielen Bereichen keine offensichtliche Firma, die Geschäftsgeheimnisse erhalten könnte. Die Anklageschrift Unit 61398 beispielsweise wirft den Angeklagten vor, Tausende sensibler Dateien einer US-Tochtergesellschaft des deutschen Unternehmens SolarWorld AV gestohlen zu haben. Das Dokument impliziert, dass die Hacker die Dokumente dann an ein chinesisches Unternehmen oder Unternehmen weitergegeben haben, die Solarprodukte in die Vereinigten Staaten exportieren. Aber etwa 400 Firmen passen auf diese Beschreibung, bemerkt Austin.

Die Vorstellung, dass die PLA im Gegensatz zu einer anderen chinesischen Regierungsbehörde der designierte Schiedsrichter für Industriespionage im zivilen Sektor gewesen wäre, ist auf einer anderen Ebene rätselhaft. Die PLA hatte einst ihre Hände in schätzungsweise 20.000 Unternehmen, darunter alles von Pharmaunternehmen bis hin zu Bordellen. Aber seit den späten 1990er Jahren hat die chinesische Regierung beträchtliche Energie darauf verwendet, die Nebenprojekte der Armee zu reduzieren – mit dem Ziel, das Militärpersonal dazu zu bringen, über Operationen statt über Immobiliengeschäfte nachzudenken. Seit er 2012 an die Macht kam, ist Xi Jinping besonders hartnäckig in Bezug auf militärische Schwarzarbeit.

Xi hat auch eine Antikorruptionskampagne gestartet, die zwar politisch motiviert ist, aber das Ausmaß der militärischen Bestechung aufgedeckt hat. Im Januar 2015 wurden gegen 16 hochrangige Militäroffiziere Ermittlungen wegen Straftaten eingeleitet, darunter der Verkauf hochrangiger Positionen und Ränge an den Meistbietenden. Unter den Gesäuberten war auch Guo Boxiong, ehemaliger stellvertretender Vorsitzender der überaus wichtigen Zentralen Militärkommission. Die Antikorruptionsbemühungen innerhalb der PLA sind so extrem, dass Alkohol, eine Hauptstütze offizieller Bankette, von Militärempfängen verbannt wurde, in der Hoffnung, unappetitliche Geschäfte abzuwehren – wie zum Beispiel den Verkauf gehackter Geschäftsgeheimnisse.

Ein Wendepunkt

Vor diesem Hintergrund erscheint die chinesische Zusage vom vergangenen September, kommerzielle Angriffe zu unterlassen, weniger bedeutsam. Es ist nicht so, dass China sich an die Vereinbarung hält, weil sie sich an die Vereinbarung halten, sagt James A. Lewis vom Center for Strategic and International Studies in Washington, DC. Sie halten sich an die Vereinbarung, weil sie es versuchen Modernisierung der PLA und Verringerung der Korruption. Während ein Rückgang des kommerziellen Hackings kein signifikanter Verlust für China als Ganzes ist, fügt er hinzu, ist es ein riesig Verlust für einzelne Unternehmen und PLA-Einheiten.

Dennoch könnten US-Maßnahmen dazu beigetragen haben, dass die Angelegenheit einen Wendepunkt für die chinesische Führung erreicht hat, die möglicherweise von den verdeckten Angriffen wusste und sich entschied, in die andere Richtung zu schauen. Der frühere Sekretär des Heimatschutzministeriums, Michael Chertoff, jetzt Vorsitzender der Sicherheitsberatung Chertoff Group, sagte mir auf dem Aspen-Forum: „Es scheint mir nicht unwahrscheinlich, dass das Wort zurückging: ‚Leute, lasst das Hot-Rodding kalt. Wenn es etwas zu stehlen gibt, tun Sie es, aber tun Sie es auf eine Weise, die nicht so offensichtlich ist.“

Unabhängig vom Grund sollte der Rückgang offensichtlicher Angriffe gefeiert werden, sagt Jason Healey, ein Wissenschaftler an der School for International and Public Affairs der Columbia University, der sich mit Cyberkonflikten befasst. Selbst wenn China die PLA-Schwarzarbeit einfach zurückgefahren und seinen Umgang mit Cyberspionage verfeinert habe, sei sein derzeitiger Ansatz viel weniger eskalierend als zuvor, sagt er. Es ist eher wie das US-System: Sie koordinieren, Sie finden heraus, wer reinkommt. Jemand geht rein, und Sie teilen die Aufnahme. Es ist eher die Art und Weise, wie eine professionelle Geheimdienstorganisation arbeitet.

Laufende Gespräche bieten nun die Chance, den Druck aufrechtzuerhalten. Eine im Zuge der Vereinbarung von 2015 gebildete bilaterale Arbeitsgruppe trifft sich mehrmals im Jahr. Jedes Mal, wenn wir uns unterhalten, bekräftigen wir, wie wichtig es ist, sich an die Verpflichtung zur Cybersicherheit zu halten, sagt Suzanne Spaulding, die Unterstaatssekretärin des Heimatschutzministeriums, die im vergangenen Juni eine US-Delegation nach Peking führte. Wir machen unseren Gesprächspartnern in jedem Gespräch klar, dass wir dies genau beobachten und dass offen gesagt nicht viel öffentliches Vertrauen diesbezüglich besteht. Sie sind sich bewusst, dass die Jury noch aus ist.

Mara Hvistendahl ist Eric & Wendy Schmidt Fellow bei New America und Autorin von Unnatürliche Selektion: Die Wahl von Jungen gegenüber Mädchen und die Folgen einer Welt voller Männer . Acht Jahre lang deckte sie China ab Wissenschaft Magazin und andere Publikationen.

verbergen