Staatliche Hacker aus China stehlen Daten von Versicherungen, Behörden oder Hotels. Wozu?

Wenn ein westlicher Bürger für China ein Visum beantragt, können die Sicherheitsdienste die über ihn gesammelten Daten konsultieren: das chinesische Konsulat in Auckland, Neuseeland. ; Jason Oxenham / AP

Der Cyberangriff hatte in Grossbritannien grosse Beunruhigung ausgelöst: Hacker konnten von Servern der britischen Wahlkommission die persönlichen Informationen aller Wähler entwenden. Die Wahlkommission wacht als unabhängiges Gremium über die Wahlen und kontrolliert die Parteienfinanzierung. Der Angriff zielte ins Herz der britischen Demokratie.

Noch beunruhigender ist, dass hinter dem Angriff keine Kriminellen stehen, sondern ein Staat. Ende März hatte die britische Regierung die Cyberattacke einer Gruppe zugeordnet, welche mit dem chinesischen Staat verbunden sei. Nun steht die Befürchtung im Raum, dass das chinesische Regime versuchen könnte, Wahlen in Grossbritannien zu beeinflussen. Peking hat in den letzten Jahren seine Aktivitäten zur Einflussnahme auf die Politik im Ausland verstärkt.

Doch vermutlich geht es China beim Datendiebstahl nicht um Wahlbeeinflussung, sondern um Spionage. Davon ist Tom Uren überzeugt. Er kennt die Welt der Geheimdienste gut. Uren war selbst 15 Jahre für einen australischen Nachrichtendienst tätig und publiziert heute zu Technologiethemen und Cybersicherheit, unter anderem für die Denkfabrik Australian Strategic Policy Institute (Aspi).

China sammle Personendaten, um sie zur Spionage und zur Spionageabwehr zu nutzen, sagt Uren. Der Cyberangriff auf die britische Wahlkommission sei in einem grösseren Zusammenhang zu sehen. «Es geht vor allem darum, die Informationen mit anderen Datensätzen zu kombinieren», sagt Uren. Da die Angreifer die Namen und Adressen aller Britinnen und Briten erbeutet haben, die sich zwischen 2014 und 2022 als Wähler registriert hatten, besitzen sie nun eine Art Adressbuch Grossbritanniens.

China steckt hinter mehreren grossen Datendiebstählen

Mutmasslich staatlich engagierte Hacker aus China haben schon mehrfach grosse Datensätze gestohlen, oft in den USA, mit persönlichen Informationen über Millionen von Menschen. Einige dieser Aktionen zählen zu den grössten Datendiebstählen überhaupt.

2015 gelangten chinesische Angreifer beim amerikanischen Gesundheitsversicherer Anthem an persönliche Daten von 78,8 Millionen Menschen. Neben Adresse, Telefonnummer und Geburtsdatum umfassten diese auch die Sozialversicherungsnummer sowie Informationen zum Arbeitgeber und zum Einkommen.

2017 stahlen chinesische Angreifer beim Finanzdienstleister Equifax die Daten von ungefähr 145 Millionen Amerikanern. Equifax bietet Wirtschaftsauskünfte an und speichert deshalb in grossem Umfang Konsumentendaten, die zum Beispiel zur Beurteilung der Kreditwürdigkeit einer Person dienen.

2018 flossen bei der Hotelkette Marriott Informationen über bis zu 500 Millionen Gäste aus einem Reservationssystem ab. Auch dieser Angriff geht vermutlich auf China zurück. Von einem Teil der Gäste erbeuteten die Hacker auch die Passnummer und den Verlauf ihrer Hotelbuchungen seit 2014.

Der aufsehenerregendste Angriff fand 2015 statt, als staatlich engagierte chinesische Angreifer über Monate hinweg Zugriff auf Daten des Personalamts der amerikanischen Bundesbehörden, des United States Office of Personnel Management (OPM), hatten. Insgesamt soll China an Informationen von 22,1 Millionen Personen gelangt sein, darunter auch mehrere Millionen Fingerabdrücke von Angestellten.

Betroffen waren insbesondere Antragsformulare von Mitarbeitern und Zulieferern für Sicherheitsfreigaben. Diese enthalten besonders heikle Informationen wie Angaben über Familienmitglieder, frühere Arbeitgeber, allfällige finanzielle Probleme, psychiatrische Behandlungen oder Drogenmissbrauch.

Mit Daten lassen sich Schattenlebensläufe erstellen

Solche Datensätze entfalten ihren eigentlichen Nutzen erst, wenn sie miteinander kombiniert werden. «Die Daten decken verschiedene Aspekte im Leben einer Person ab: Reisen, Finanzen, Gesundheit oder Sicherheitsüberprüfungen», sagt Uren. Es entsteht eine Art Schattenlebenslauf, welcher China nützlich sein kann – besonders für die Spionage oder bei der Spionageabwehr.

Um gegnerische Spione zu erkennen, können Personendaten nach gewissen Auffälligkeiten abgesucht werden. Das kann ein früherer Arbeitgeber oder ein bestimmtes Reiseverhalten sein, zum Beispiel häufige Hotelbuchungen in der Nähe von amerikanischen Botschaften. Die Daten von Marriott sind diesbezüglich besonders interessant, ist die Hotelkette laut der «New York Times» doch der wichtigste Hotelanbieter für amerikanische Regierungsmitarbeiter und Militärpersonal.

Uren erklärt, wie die Daten konkret genutzt werden könnten: «Wenn ein Amerikaner auf der Botschaft erscheint, um ein Visum zu beantragen, können die chinesischen Behörden schauen, welche Informationen sie über diese Person haben.» Peking könne mit den Daten auch analysieren, bei welchen Amerikanern in China es Auffälligkeiten gebe. So lasse sich, sagt Uren, eine Gruppe von verdächtigen Personen identifizieren, welche die Behörden dann verstärkt überwachen könnten.

Seien die Angaben bereits einige Jahre alt, sei das kein Problem. Zwar hätte China sicher gerne eine aktualisierte Version der Daten des amerikanischen Personalamts OPM, sagt Uren. Aber hilfreich seien die gestohlenen Informationen auch noch viele Jahre nach dem Hack: «Die Datenbank ist so lange nützlich, bis alle Personen darin pensioniert oder tot sind.»

Die Schwächen von möglichen Spionen lassen sich erkennen

Persönliche Informationen sind auch hilfreich für die Anwerbung von Spionen. Für den ersten Schritt reicht oft das Linkedin-Profil. Damit lassen sich interessante Personen finden, welche beim Spionageziel arbeiten – zum Beispiel beim Verteidigungsministerium oder bei einer Pharmafirma.

In einem zweiten Schritt können private Informationen helfen, eine geeignete Zielperson auszusuchen. Lebt jemand getrennt, ist die Person vermutlich empfänglicher für romantische Avancen. Wer finanzielle Probleme hat, kann eventuell mit Geld zum Spionieren animiert werden. Heikle Details aus der Vergangenheit können dazu dienen, die angeworbene Person später unter Druck zu setzen.

Schliesslich nützen Details aus dem Leben der Zielperson auch bei der Kontaktaufnahme. Spricht ein Agent die ausgewählte Person vermeintlich zufällig im Park an, ist das zusätzliche Wissen ein guter Ausgangspunkt für die Unterhaltung. Uren nennt ein Beispiel: «Wenn die Agentin beiläufig erwähnt, sie habe einmal eine Krebserkrankung durchgemacht, wie die Zielperson auch, kann das rasch eine Verbindung schaffen.»

Das ist nicht die einzige Einsatzmöglichkeit der gestohlenen Daten. Mit ihnen können Angreifer auch personalisierte E-Mails mit betrügerischem Inhalt, sogenannte Spear-Phishing-E-Mails, überzeugender gestalten. Die Zielperson soll dazu gebracht werden, eine Schadsoftware zu installieren oder auf einer gefälschten Seite ein Passwort einzugeben – als Ausgangspunkt für einen neuen Cyberangriff. Auch um Dissidenten, Exilchinesen oder China-kritische Politiker einzuschüchtern oder zu bedrohen, können private Informationen genutzt werden.

Auch westliche Nachrichtendienste sammeln Daten

Das nachrichtendienstliche Handwerk funktioniert auch ohne Hackerangriffe zum Datenklau. Aber die zusätzlichen Informationen seien nützlich, sagt Uren. «Die Daten können die Arbeit der Nachrichtendienste effizienter und wirksamer machen.» Das gilt auch für Geheimdienste anderer Länder.

Dass vor allem China bei Datendiebstählen erwischt wird, ist für Uren kein Zufall. «China hat eine lange Tradition der Überwachung und sammelt auch Informationen über die eigene Bevölkerung», sagt er. Da sei es nur logisch, wenn das gleiche Vorgehen auch bei Ausländern angewandt werde. In Russland hingegen seien die Geheimdienste wenig auf grossangelegte Überwachungen ausgerichtet.

Und was ist mit westlichen Nachrichtendiensten? «Daten zu sammeln, ergibt für jeden Sinn», sagt Uren. Die Dienste im Westen seien aber stärker an rechtliche Vorgaben gebunden. Ins Detail geht Uren nicht, obwohl er als früherer Mitarbeiter die Praxis der westlichen Geheimdienste kennt. Australien gehört zusammen mit den USA, Grossbritannien, Kanada und Neuseeland zur nachrichtendienstlichen Allianz der «Five Eyes».

Dass die USA und ihre Partner grosse Datenmengen sammeln, etwa durch die Überwachung des Internetverkehrs, ist bekannt. Dass auch Cyberangriffe genutzt werden, um an grössere Datensätze zu gelangen, ist nicht ausgeschlossen. Von den Niederlanden ist diese Praxis zum Beispiel bekannt.

Möglich ist auch der Kauf von privaten Informationen. 2021 wurde publik, dass ein amerikanischer Nachrichtendienst von einem kommerziellen Anbieter Bewegungsdaten gekauft hatte. Diese stammten von Smartphone-Apps und wurden weiterverkauft. Solche Informationen sind ebenfalls nützlich im Bereich Spionage – ohne dass es dafür einen Hackerangriff braucht.