Am Ende war es ein Schreibfehler, der den Plan zunichtemachte. Unbekannte versuchten im Februar 2016, von einem Konto der bangladeshischen Zentralbank eine Milliarde Dollar abzuheben. Die Hacker jedoch schrieben «Fandation» statt «Foundation» in ein digitales Formular, und das weckte Misstrauen. Eilends blockierten die beteiligten Banken die in Auftrag gegebenen Zahlungen.

«Aber da waren 81 Millionen Dollar schon weg», sagt Moonbeom Park. Der 38-jährige Südkoreaner hat Hunderte solcher Angriffe aus nächster Nähe miterlebt. Seit zwölf Jahren kämpft er in Seoul gegen die staatliche Cyberarmee des Nordens.

Ende Februar ist er in die Schweiz gereist, um an den Swiss Cyber Security Days in Freiburg einen Vortrag zu halten. An der neu lancierten Konferenz treffen Schweizer Politik, Militär und IT-Industrie aufeinander – morgens weibelt ein Oberst für den neuen Cyberlehrgang der Armee, mittags knacken Hacker live ein Auto, abends tischen die Organisatoren Käsefondue für die über 1000 Teilnehmer auf, während der Gesang des eingeladenen Jodelchors im Networking-Geplapper untergeht.

Park – Nike-Turnschuhe, feines Brillengestell, Bubengesicht – spaziert nach seiner Präsentation zwischen den Hunderten von Anzugträgern umher, um schliesslich seinen Laptop in der Kantine aufzuklappen. «Just call me Park – or Daniel, that's my Western name!», sagt er jedem, der ihn anspricht.

«Pass auf, wenn du abends nach Hause gehst»

Er bittet zu Beginn darum, den Namen seines Arbeitgebers nicht öffentlich zu nennen. Das hat seine Gründe: Park weiss auswendig, in welchem Gebäude in der Hauptstadt Pyongyang welche Hackergruppe stationiert ist. Wie viele Spezialisten dort ungefähr arbeiten. Wann Bürozeiten sind. Von manchem Gegner kennt er gar den Namen. Bisweilen erreichen ihn in seinem Büro virenverseuchte Scherz-E-Mails aus dem Norden: «Park, pass auf, wenn du heute nach der Arbeit nach Hause gehst!»

Im Fall der Zentralbank von Bangladesh war bald klar: Hinter dem Angriff steckten Kim Jong-uns Hackertruppen. Die Aktion markierte einen Wendepunkt. Damals begann die Weltöffentlichkeit zu verstehen, dass die längst isolierte Diktatur Nordkorea angefangen hatte, das globale Finanzsystem im grossen Stil zu attackieren. Ein britischer Ex-Geheimdienstler sagte der «New York Times», er rechne damit, dass nordkoreanische Hacker jährlich bis zu eine Milliarde Dollar erbeuteten.

Fachleute wissen schon länger um die Gefahr, die von nordkoreanischen Hackern ausgeht, spätestens seit dem Angriff auf Sony Pictures im Herbst 2014. Das Filmstudio wollte damals die Satire «The Interview» in die Kinos bringen, in dem zwei US-Journalisten den nordkoreanischen Diktator töten. Kurz vor dem Kinostart leakten Hacker einen Berg an Sony-internen E-Mails und Dokumenten – und zerstörten nebenbei mehr als die Hälfte aller Sony-Pictures-Computer und -Laptops. Für Park und die meisten anderen Experten gibt es keine Zweifel: Der Angriff kam aus Pyongyang. (Nordkorea bestreitet jeweils, mit einer Attacke etwas zu tun zu haben.)

Nordkorea nutzt nur rund 1000 IP-Adressen

Moonbeom Parks Erzählung von Nordkoreas Cyberarmee beginnt aber viel früher, vor 25 bis 30 Jahren, als russische Instruktoren nach Pyongyang reisten und anfingen, an einer staatlichen Universität zu unterrichten.

In Nordkorea diente das Internet schon immer hauptsächlich militärischen Zwecken; die Bevölkerung hat keinen Zugang zum Netz. Der Staat nutzt nur rund 1000 IP-Adressen – in der Schweiz sind es mehr als zwanzig Millionen. Das bringt Nordkorea einen strategischen Vorteil: Man bietet selbst kaum Angriffsfläche, hat aber jede Menge Ziele rund um den Globus zur Auswahl.

«Nordkorea hackt aus drei Gründen», sagt Park. Erstens: um Informationen zu sammeln. So gelang es einer der Hackergruppen im Jahr 2014, Schemata eines südkoreanischen Kernkraftwerks zu erbeuten. Zweitens: um Abtrünnige zu jagen. Im Dezember 2018 stahl der Norden die Namen von rund 1000 Überläufern. Die Angreifer hatten in einem südkoreanischen Betreuungszentrum für politische Flüchtlinge einen Rechner ausgeweidet.

«Die Sanktionen haben dazu geführt, dass der Norden Banken angreift, um Geld zu erbeuten.»

Moonbeom Park, Südkoreanischer Hacker

Der dritte Grund: Geld. Das habe viel mit dem internationalen Sanktionsregime zu tun, sagt Moonbeom Park. Als die Vereinten Nationen und die USA Nordkorea 2016 mehr und mehr vom internationalen Handel abschnitten, geriet das Regime immer stärker in Finanznot. Eine Abteilung, die für die Einnahmen der nordkoreanischen Einheitspartei zuständig ist, sei deshalb in eine eigentliche Hackereinheit umgewandelt worden – und habe seither den Auftrag, via Internet an flüssige Mittel zu kommen.

Park rattert eine ganze Liste von Angriffen herunter: geknackte Bancomaten in Südkorea, geplünderte Banken in mehr als einem Dutzend Ländern, leer geräumte Onlinecasinos in Osteuropa. Und, neuerdings: Börsen für Kryptowährungen. Im Dezember 2017 plünderten nordkoreanische Hacker die südkoreanische Bitcoin-Börse Youbit, die danach Bankrott machte.

Studenten, die übungshalber Rechner infizieren

Parks Job ist meist die Leichenschau. Er analysiert nach einer Attacke die gehackten Rechner, um herauszufinden, was genau passiert ist. Manchmal ist das Puzzle simpel, weil die Angreifer panisch geflohen sind, ohne ihre Spuren zu verwischen. Und manchmal ist es unlösbar, weil ganze Netzwerke ausgelöscht worden sind.

Trotz des riesigen Schadens, den der Norden im Süden anrichtet, sieht Park eine positive Seite: «Wir haben deswegen viele Schwachstellen in unseren Systemen gefunden und ausgemerzt.» Manche der Attacken seien ohnehin harmlos, manchmal seien es «nur» nordkoreanische Studenten, die übungshalber einen Rechner infizierten – Hausaufgaben gewissermassen. Er selbst lernte das Metier ganz ähnlich: durch Ausprobieren. Er sei auf dem Land aufgewachsen, die Eltern waren Bauern, die Reis anbauten und Honigbienen züchteten. Die ersten Cyber-­Lektionen erhielt er von seinen Brüdern und Freunden. Als 19-Jähriger hackte er einen Internetanbieter, weil er kein Geld hatte, um für ein regelmässiges Abonnement zu bezahlen. Sein zweiter Angriff galt dem Zentralrechner einer Polizeistation, deren Website er verunstaltete, um den Behörden zu beweisen: Ich war hier!

Diese Aktion habe ihm eine Verhaftung eingebracht, die nur deshalb ohne Konsequenzen geblieben sei, weil in Südkorea im Jahr 1999 das Eindringen in Computersysteme noch nicht unter Strafe gestellt war. Aber statt in die Kriminalität abzudriften, studierte Park in Seoul Computerwissenschaften. Noch an der Universität wurde er angefragt, sein Wissen künftig anders einzusetzen: im Kampf gegen den Feind im Norden.

Es hört nicht auf, trotz des Friedensprozesses

Ein Ende dieses Kampfs ist nicht absehbar. Bevor Park seinen Laptop zusammenpackt, sagt er noch, er glaube zwar an die langfristige Wiedervereinigung der beiden Korea – «wir essen dasselbe Kimchi». Aber so schnell, wie manche Optimisten glaubten, werde es nicht gehen. Und selbst wenn der Friedensprozess vorankomme: Die Cyberangriffe würden weitergehen. Zu wichtig und zu profitabel seien sie für Kims Regime.

Park hofft trotzdem, dass er eines Tages seinen Gegnern aus dem Norden gegenübersitzen wird – und sei es nur, um ihnen seine Angriffsrapporte zu zeigen und zu fragen: «Und, hatte ich recht?»

Fehler gefunden?Jetzt melden.