Die Rechner von 200.000 Organisationen und Personen auf der halben Welt haben Hacker mit der "Wanna Cry"-Attacke lahm gelegt. Noch sind die Urheber nicht gefunden, doch eine Spur führt nach Nordkorea. Ist Kims Cyber-Armee so ein Angriff zuzutrauen?

Das Atomprogramm Nordkoreas ist in aller Munde. Regelmäßig demonstriert Machthaber Kim Jong Un mit Raketentests seine Macht. Mit einem Hacker-Heer aber prahlt der Alleinherrscher nicht.

Dennoch sind nach dem groß angelegten Hackerangriff mit der Erpressungssoftware "Wanny Cry" vom Wochenende Indizien aufgetaucht, die auf eine Beteiligung Pjöngjangs schließen lassen.

Laut "New York Times" legen dies digitale Schlüssel nahe, die schon einmal von nordkoreanischen Hackern verwendet worden sein sollen.

Begabte Jugendliche werden zu Hackern herangezüchtet

"Die nordkoreanische Volksarmee verfügt über sehr gute Mittel im sogenannten Cyberwar, also auch im Hacking", sagt Ronald Schulze, IT-Experte beim Bund Deutscher Kriminalbeamter, im Gespräch mit unserer Redaktion.

Bekannt ist, dass seit den 1980er Jahren nordkoreanische Kader in der elektronischen Kriegsführung ausgebildet werden. Organisiert sind die gut bezahlten Spezialisten im sogenannten "Büro 121".

Wie ein IT-Experte unwissentlich den weltweiten Angriff beendete.


Nach Angaben des südkoreanischen Militärgeheimdienstes aus dem Jahr 2015 sollen dort bis zu 6.000 Mitarbeiter beschäftigt sein, vorrangig mit dem Ziel, Ziele in Südkorea zu attackieren.

"Sie sind handverlesen", sagte der Informatik-Professor Kim Heung Kwang, der sich vor zwölf Jahren aus dem Norden nach Südkorea absetzte, der Nachrichtenagentur AP: "Für sie ist es eine große Ehre."

Wie die "New York Times" berichtet, nehmen die Beteiligten in Ländern wie China, Malaysia oder Indien normale Jobs an, häufig in der IT-Branche. Damit können sie ihre Identität verschleiern.

Kommt ein Befehl zu einer Cyberattacke, teilen sich die Schläferzellen in Gruppen von drei bis sechs Personen auf und wechseln ständig ihren Standort, um unentdeckt zu bleiben.

Für den Fall eines Angriffs auf ihr Heimatland sollen die Hacker nach ausgearbeiteten Plänen digitale Schwachpunkte des Gegners attackieren.

Schon hochbegabte 12- bis 13-Jährige werden laut dem Bericht angeworben und später zum Studium in eine Elite-Universität in Pjöngjang oder ins Ausland geschickt.

Sie sollen im Regierungsauftrag als Software-Entwickler, als Experten für die psychologische Online-Kriegsführung oder eben als Hacker arbeiten.

Mögliche Motive: Geld erbeuten, andere vorführen

Im Gegensatz zum Atom- und Raketenprogramm, das Pjöngjang als Drohkulisse benutzt, hat es sich zu seinen Cyber-Aktivitäten bisher nie geäußert.

Nach Jahrhundertraub in Paraguay: Das sind die spektakulärsten Beutezüge.


Auch deshalb kann über die Motive nur spekuliert werden. Der Vorteil der Cyber-Attacken liegt darin, dass mit verhältnismäßig wenig Aufwand viel Schaden angerichtet oder zumindest Unsicherheit erzeugt werden kann.

Vor knapp drei Jahren griffen Hacker der sogenannten "Lazarus-Gruppe", die mit Nordkorea in Verbindung stehen soll, als Reaktion auf einen kritischen Kinofilm den Sony-Konzern an.

Da das Regime in Nordkorea chronisch klamm ist, kommt auch Geld als Anreiz in Frage.

Im vergangenen Jahr erbeuteten Hacker Gelder der Zentralbank in Bangladesch, im Februar Reserven einer polnischen Bank. Im aktuellen Fall konnten rund 75.000 US-Dollar (rund 67.000 Euro) erpresst werden.

"Die Angreifer wollten Chaos erzeugen und erreichen, dass bestimmte Akteure wie die NSA bloßgestellt werden", weist Ronald Schulze auf ein weiteres mögliches Motiv hin.

Hacker könnte gezielt falsche Spur gelegt haben

Sollte sich herausstellen, dass Nordkorea tatsächlich Urheber der "Wanna Cry"-Attacke ist, wäre dies ein weiterer Beleg für den immer tiefer werdenden Riss zwischen Peking und Pjöngjang.

Denn unter den 150 leidtragenden Ländern war neben den USA und Deutschland auch der einst enge Verbündete China.

Für IT-Experte Schulze ist aber keineswegs gesichert, dass Kims Hacker hinter "Wanna Cry" stecken. "Es ist bekannt, dass Hacker mit Absicht Code-Schnipsel fremder Hacker-Gruppen bei sich einbauen, um eine falsche Spur zu legen."

Die Zuweisung solcher Codes sei "sehr schwierig" und häufig "politisch determiniert", erklärt er.

Wegen des Atomstreits könnte ein Akteur ein Interesse haben, dem Ansehen des Landes weiter zu schaden, beispielsweise um dessen Isolation zu verstärken. Genau so wäre es möglich, dass der Code beim Programmieren einfach kopiert wurde, um Arbeit zu sparen.

Gegen eine Beteiligung Nordkoreas spricht, dass Experten zwischenzeitlich einige Amateur-Fehler ausgemacht haben. Außerdem das vergleichsweise geringe Lösegeld.

"Kim Jong Un will Milliarden bewegen und sich nicht tröpfchenweise ernähren", gab der IT-Experte Christoph Fischer gegenüber der Deutschen Presseagentur zu bedenken.

Laut "New York Times" kann es noch Wochen oder gar Monate dauern, bis klar ist, wo auf der Welt sich gerade ein Hacker klammheimlich über seinen Coup freut - in Nordkorea oder anderswo.

Schon jetzt lässt sich aber sagen: Das Zeug zu einem weltweiten Angriff haben Kims Hacker höchstwahrscheinlich.