Seit Jahren herrschen Spannungen zwischen den USA und dem Iran. Die Ermordung des iranischen Generals Qasem Soleimani durch Drohnen, von dem allgemein angenommen wird, dass er die zweitmächtigste Person im Iran ist, hat die Spannungen gefährlich eskaliert. Die Welt wartet jetzt auf die Antwort des Iran, der wahrscheinlich ein Instrument, das das Land bereits seit Jahren einsetzt, neu nutzt: seine Brigaden von Militärhackern.
Nach dem Streik am Donnerstag warnen Militär- und Cybersecurity-Analysten, dass die Reaktion des Iran unter anderem eine Welle von störenden Cyberangriffen beinhalten könnte. Das Land hat jahrelang daran gearbeitet, nicht nur die Massenvernichtung von Computern durchzuführen, sondern potenziell fortgeschrittenere - wenn auch weitaus weniger wahrscheinliche - Angriffe auf westliche kritische Infrastrukturen wie Stromnetze und Wassersysteme.
"Cyber ist sicherlich eine Option, und es ist eine tragfähige und wahrscheinliche Option für den Iran", sagt Ariane Tabatabai, Politikwissenschaftlerin bei der RAND-Denkfabrik, die sich auf den Iran konzentriert. Tabatabai weist auf die Asymmetrie eines Konflikts zwischen dem Iran und den USA hin: Die militärischen Ressourcen des Iran seien erschöpft, und es gebe weder Atomwaffen noch mächtige staatliche Verbündete. Das heißt, es wird höchstwahrscheinlich auf die Waffen zurückgreifen, mit denen schwache Akteure in der Regel starke wie nichtstaatliche Terroristen und Milizen bekämpfen - und hacken. "Wenn es in der Lage sein soll, mit den USA mithalten zu können und mit ihnen zu konkurrieren und sie davon abzuhalten, muss es in einem Bereich geschehen, der gleichwertiger und Cyber ist."
"Sie können ernsthaften Schaden anrichten."
Peter Singer, New America Foundation
Der Iran hat seine Cyberkriegsfähigkeiten ausgebaut, seit eine gemeinsame US-israelische Geheimdienstoperation 2007 die als Stuxnet bekannte Malware in der Urananreicherungsanlage von Natanz einsetzte, Zentrifugen zerstörte und die nuklearen Anstrengungen des Landes lahmlegte. Der Iran hat seitdem ernsthafte Ressourcen in die Weiterentwicklung seines eigenen Hackings gesteckt, obwohl er sie eher für Spionage und Massenunterbrechungen einsetzt als für Stuxnet-ähnliche chirurgische Eingriffe.
"Nach Stuxnet bauten sie mehrere Einheiten auf, darunter die von Soleimani geleiteten Quds", sagt Peter Singer, ein auf Cybersicherheit fokussierter Stratege bei der New America Foundation. Singer argumentiert, dass die iranischen Hacker zuvor durch das Bedürfnis nach Tarnkappe oder Verleugnung zurückgehalten wurden, nun aber versuchen könnten, eine sehr öffentliche Botschaft zu senden. "Diese Streitkräfte sind sicherlich nicht mit denen der USA vergleichbar, aber sie können schwerwiegenden Schaden anrichten, insbesondere wenn sie sich keine Gedanken über die Zuschreibung machen, die sie möglicherweise jetzt wollen."
Die wahrscheinlichste Form des Cyberangriffs, die vom Iran erwartet wird, ist die, die er in den letzten Jahren wiederholt gegen seine Nachbarn gestartet hat: sogenannte Wiper-Malware, die so viele Computer wie möglich in Zielnetzwerken zerstören soll. Der Iran hat mit Scheibenwischern wie Shamoon und Stone Drill Wellen von Störungen in den Nachbarländern des Nahen Ostens ausgelöst. 2012 wurden 30.000 saudi-arabische Aramco-Computer angegriffen. 2014 schlugen iranische Hacker mit einem Scheibenwischer auf die Las Vegas Sands Corporation ein, nachdem Eigentümer Sheldon Adelson einen Atomschlag gegen das Land vorgeschlagen hatte. In jüngerer Zeit haben die Hacker des Iran Ziele des Privatsektors in benachbarten Golfstaaten wie den Vereinigten Arabischen Emiraten, Katar und Kuwait sowie Saipem, eine italienische Ölfirma, für die Saudi Aramco ein Hauptkunde ist, getroffen.
"Nach dem, was wir bisher über ihre Fähigkeiten wissen, konzentrieren sie sich immer noch auf IT-gesteuerte Wischtücher." sagt Joe Slowik, Analyst bei Dragos, einem Unternehmen für industrielle Cybersicherheit, das zuvor das Team für Computersicherheit und Reaktion auf Vorfälle im US-Energieministerium leitete.
Abgesehen von dem Zwischenfall mit Sands hat sich der Iran weitgehend davon abgehalten, diese Wischerangriffe auf die USA selbst zu starten. Aber die Ermordung der Soleimani könnte diesen Kalkül ändern. "Der Iran zögerte, Amerikanern und verbündeten US-Streitkräften wie Australien oder der NATO nachzuschlagen", sagt Tabatabai von RAND. "Angesichts des Ausmaßes der Angriffe der letzten Nacht wäre ich nicht überrascht, wenn sich das ändern würde."
Obwohl Wischer die wahrscheinlichste Form eines Angriffs sind, sind sie nicht die einzige potenzielle Bedrohung. Dragos und andere Cybersicherheitsunternehmen wie FireEye und CrowdStrike haben kürzlich iranische Hacking-Gruppen wie APT33, auch bekannt als Magnallium oder Refined Kitten, auf der Suche nach Angriffspunkten für potenzielle Ziele in den USA, einschließlich des Energieministeriums und der US National Labs. Diese versuchten Einbrüche waren möglicherweise für Spionagezwecke gedacht, könnten aber auch für Störungen verwendet werden. "Wir sind uns nicht sicher, ob es sich um eine Nachrichtensammlung handelt, um das Sammeln von Informationen über den Konflikt oder um die schlimmste Sorge, die wir bisher hatten, um die Vorbereitung eines Angriffs", sagte John Hultquist, Director of Threat Intelligence bei FireEye im Juni gegenüber WIRED.
"Einen Anführer wie Soleimani auszuschalten, ist eine so schwerwiegende Tat, dass es eine sehr öffentliche Reaktion erfordert."
Chris Meserole, Brookings Institution
Einige Sicherheitsforscher haben auch gewarnt, dass der Iran offenbar Hacking-Fähigkeiten entwickelt, die direkt auf industrielle Kontrollsysteme abzielen könnten, anstatt nur Computer anzugreifen und physische Systeme zu stören, wie es Stuxnet in Natanz getan hat. Microsoft stellte im November fest, dass APT33 versucht hatte, Zugang zu den Netzwerken von Anbietern industrieller Steuerungssysteme zu erhalten, ein möglicher erster Schritt in einem Angriff auf die Lieferkette, der für Sabotageakte genutzt werden könnte. "Sie haben an vielen Stellen versucht, ihren Fuß in die Tür zu bekommen", sagt Joe Slowik von Dragos.
Slowik weist auch auf ein Durchsickern iranischer Dokumente hin, die von mysteriösen Hackern ausgeführt wurden und den Versuch offenbarten, Malware für industrielle Steuerungssysteme in Stromnetzen und Wassersystemen zu erstellen, obwohl das Projekt offenbar zurückgestellt wurde.
Trotz der Signale, die der Iran hat, industrielle Kontrollsysteme ins Visier zu nehmen, argumentiert Slowik, dass sie wahrscheinlich immer noch nicht bereit sind, Angriffe dieser Art auszuführen. "Es wäre eine erhebliche Eskalation in Bezug auf Geduld, Fähigkeit und langfristige Ausrichtung", sagt Slowik. Das macht einfachere, aber dennoch sehr störende Wischerangriffe weitaus wahrscheinlicher.
