Am Wochenende haben Unbekannte mehrere Dateien veröffentlicht, die einen mächtigen Schadcode enthalten sollen. Die Gruppe nennt sich "Shadow Brokers", eine Reminiszenz an das Computerspiel Mass Effect. Die geleakte Software war offensichtlich dafür geeignet, Schutzmaßnahmen wie Firewalls zu überwinden und in fremde Netzwerke einzudringen. Dabei werden konkrete Hersteller genannt, deren Produkte angreifbar sein sollen, unter anderem Cisco und Juniper. Die Firmen haben sich bislang nicht dazu geäußert. Die Shadow Brokers behaupten, dass diese Programme von der Equation Group stammen, einem Hacker-Kollektiv, das mit der NSA in Verbindung gebracht wird.

Das klingt abenteuerlich, scheint aber zuzutreffen. Mehrere renommierte Sicherheitsforscher halten die Behauptung für glaubwürdig; unter anderem schreiben Experten von Kaspersky, also jener Firma, die vergangenes Jahr die Existenz der Equation Group aufdeckte: "Aufgrund der Ähnlichkeiten im Code sind wir uns sicher, dass die Werkzeuge der Shadow Brokers mit der Malware der Equation Group zusammenhängen."

"Hochentwickelte und authentische Hacking-Werkzeuge"

Ehemalige NSA-Angestellte stützen den Verdacht, dass es sich bei der veröffentlichten Software allem Anschein nach um mächtige Spionagewerkzeuge des US-amerikanischen Geheimdienstes handele. Die Washington Post zitiert anonym zwei Ex-Mitarbeiter der NSA, die "keine Zweifel" haben, dass der Hack echt sei. Die Programme mit Namen wie Epicbanana, Buzzdirection und Egregiousblunder seien die "Schlüssel zum Königreich" und gefährdeten die Sicherheit zahlreicher großer Netzwerke von Regierungen und Unternehmen. "Es ist klar, dass es sich um hochentwickelte und authentische Hacking-Werkzeuge handelt", sagte auch Oren Falkowitz, früher bei der NSA, heute Chef der Sicherheitsfirma Area 1 Security.

Nicholas Weaver, Sicherheitsforscher in Berkeley, hat das Material analysiert. Die Gruppe Shadow Broker hat mehrere Dateien hochgeladen. Ein Teil davon dient als Kostprobe, um die IT-Sicherheitsforscher von der Echtheit zu überzeugen. Der Rest ist verschlüsselt, das zugehörige Passwort wird versteigert. Der unverschlüsselte Datensatz stammt Weaver zufolge vermutlich aus dem Jahr 2013 und beinhalte Malware, die selbst mächtige Firewalls von großen Sicherheitsanbietern wie Cisco oder Fortinet aushebeln könne. Er geht mit "ziemlich großer Sicherheit davon aus, dass diese Dateien echtes NSA-Material enthalten".

Snowden macht Russland verantwortlich

An diese Feststellung schließen sich zahlreiche Fragen an: Wer steckt hinter den Shadow Brokers? Woher stammt der Code? Warum haben die Unbekannten den Datensatz ausgerechnet jetzt veröffentlicht, obwohl er anscheinend bereits vor drei Jahren abgegriffen wurde?

Darauf gibt es bislang keine gesicherten Antworten, wohl aber Mutmaßungen. Eine besonders bemerkenswerte stammt von Edward Snowden, der 2013 selbst massenhaft geheime Unterlagen der NSA veröffentlich hatte. In einer Serie aus insgesamt 17 Tweets stellte er zunächst klar, dass keineswegs die ganze NSA gehackt worden sei, sondern lediglich ein Server, auf dem die NSA Späh-Software platziert hatte - Snowden zufolge ein übliches Vorgehen von Geheimdiensten, um die Gegenseite auszuspionieren. Eigentlich hätten NSA-Mitarbeiter diese Spuren nach Abschluss einer Operation verwischen sollen, doch Menschen seien eben bisweilen faul und unachtsam.

Tatsächlich komme es häufiger vor, dass solche Malware-Server gehackt würden, sowohl von der NSA als auch von deren Gegnern. Neu sei aber, dass sich jemand öffentlich damit brüste. Dahinter stecke "mehr Diplomatie als Geheimdienstarbeit", mutmaßt Snowden. Der Whistleblower im Moskauer Exil hält es für wahrscheinlich, dass Russland den Leak initiiert hat. Es könnte sich um eine Warnung für die USA handeln: Wer Zugriff auf einen Malware-Server der NSA hatte, weiß, welche Angriffe von diesem Server ausgingen - möglicherweise auch gegen Verbündete der USA. Diese Informationen hätten schwerwiegende außenpolitische Konsequenzen, falls sie ebenfalls veröffentlicht werden sollten.

Sendet der Kreml eine Botschaft an die USA?

Viele US-amerikanische Politiker vermuten den Kreml hinter dem Hack der Demokratischen Partei, in dessen Folge die interne Kommunikation der Parteispitze öffentlich geworden war. Damit habe Russland Einfluss auf den US-Wahlkampf nehmen wollen. Snowden schreibt, die Veröffentlichung des NSA-Materials könnte der Versuch sein, die USA von allzu scharfen Reaktionen abzuhalten. "Zusammengefasst: Dieser Leak sieht so aus, als würde jemand eine Nachricht senden wollen, dass das 'Attribution Game' (also eindeutige Schuldzuweisungen für Cyber-Attacken) schnell schmutzig werden könnte."

Snowdens Fingerzeig auf Russland deckt sich erstaunlich exakt mit der Einschätzung von Bruce Schneier. Der bekannte Sicherheitsexperte schreibt auf seinem Blog, dass eigentlich nur zwei Regierungen als Verantwortliche in Frage kämen: Russland und China. Wenn er wetten müsste, würde er auf Russland setzen, und darauf, dass es eine Botschaft an die Obama-Regierung sei: "Bevor ihr auch nur darüber nachdenkt, uns für den DNC-Hack zu bestrafen, solltet ihr wissen, wo wir gewesen sind und was wir euch antun können."