Die Cyber-Bankräuber des Kim Jong-un

Die Spur ist schwach, nur von Experten zu erkennen und liefert doch bemerkenswerte Hinweise. Ein Teil des Computercodes, der beim Hacker-Großangriff der Vorwoche Banken, Krankenhäuser und Bahnzentralen weltweit lahmlegte, weist ein bekanntes Muster auf. Er gleicht den Codes, mit denen eine der inzwischen berüchtigtsten Hacker-Brigaden seit Jahren ihre Attacken rund um den Globus startet. "Lazarus" nennt sich die Gruppe, die vor allem Banken und Finanzinstitute im Visier hat. Institute von der Weltbank bis zu polnischen Großbanken waren in den vergangenen Jahren Opfer ihrer Hacker-Angriffe.

Das eigentliche Ziel, die auf Konten der Banken lagernden Millionen zu rauben, hat die Truppe aber erst im Vorjahr erreicht: Aus einer Bank in Bangladesch verschwanden 81 Millionen Dollar. Nur ein Bruchteil der Milliarde, die "Lazarus" tatsächlich stehlen wollte und nur von ein paar Detailfehlern bei der Programmierung gehindert wurde.

"Lazarus" denkt und agiert im großen Maßstab, denn bei diesen Operationen geht es nicht um die kriminelle Energie einer Handvoll Computerfreaks, sondern um das Überleben eines Regimes: der international isolierten Diktatur Nordkorea. Schon vor einem Jahr hat der damalige Chef aller US-Geheimdienste, James Clapper, klar gemacht, wer hinter "Lazarus" steckt: Nordkoreas Auslandsgeheimdienst RGB und dessen auf Cyberkrieg spezialisierte Abteilung "Büro 121".

Zentrale in Pjöngjang

Die Zentrale dieser Einheit liegt in der Hauptstadt Pjöngjang und ist von Kim Jong-un, seit 2011 Herrscher über das Land, massiv ausgebaut worden. "Riesentalente, brillante Köpfe" habe er ausgebildet, erzählt ein nach Südkorea geflohener Computerwissenschaftler der britischen BBC über seine Arbeit an einer Hochschule für Informatik, die von Nordkoreas Armee kontrolliert worden sei. Die besten seiner Studenten habe man schließlich abgezogen und in geheimen Computerlaboratorien für ihre zukünftige Aufgabe ausgebildet: Cyberkrieg für das Kim-Regime.

Der Plan Nordkoreas, sich nicht nur mit einem wachsenden Arsenal von Atomwaffen und Raketen, sondern auch im Internet für den Krieg zu rüsten, stammt ursprünglich schon von Kim Jong-uns Großvater, Kim Il-sung, dem Gründer der Diktatur. Der ließ schon Ende der 1980er-Jahre 25 Computerspezialisten aus der damaligen Sowjetunion holen, um eine eigene, im damals noch winzigen Internet agierende, Truppe auszubilden.

Erstes Ziel Südkorea

Von da an wurden Ausbildung und Training konsequent ausgebaut, bis man 2009 mit den ersten internationalen Operationen startete. Bei der "Operation Troja" brachen die Hacker in die Zentralrechner im Hauptquartier der südkoreanischen Armee ein und gelangten so an militärische Geheimnisse. 2011 folgte die Operation "Zehn Tage Regen", bei der militärische Einrichtungen der USA in Südkorea überfallen wurden.

Mit dem Amtsantritt von Kim Jong-un bekam die Hacker-Truppe weit größere Bedeutung und auch ganz neue Aufgaben: Geldbeschaffung für das durch internationale Wirtschaftssanktionen finanziell ausgehungerte Regime und dessen sündteures Atomwaffen- und Raketenprogramm. Der junge Kim ist zwar ideologisch ein Hardliner, doch wirtschaftspolitisch ein Pragmatiker. Also sucht er neue Einnahmequellen. So wurde die Einrichtung privater Märkte, auf denen Bauern ihre eigene Ware verkaufen können, vorangetrieben. Auch der Handel mit China wurde ausgebaut. So werden in Nordkorea Billigtextilien für den chinesischen Markt produziert. Cyberkriminalität ist da nichts anderes als ein Teil eines Geldbeschaffungsprogramms.

Etwa 1500 Computerprogrammierer und 5000 weitere Helfer soll die Truppe inzwischen umfassen, und sie operiert nicht nur von Nordkorea aus, dessen Verbindung zu weltweiten Computernetzwerken ohnehin schlecht ist. Die besten Hacker werden aus dem Land geschleust, sollen inzwischen von Japan, Europa, vor allem aber von China aus operieren. Eine Recherche der Computerfirma HP hat ein Hotel in der chinesischen Stadt Shenjang ausgemacht, von dem aus viele Hackerangriffe geführt worden sein sollen. Es sei, so der Bericht, luxuriös und im nordkoreanischen Stil eingerichtet – und es habe "eine erstklassige Internetverbindung."