PyongyangSie stehlen Bares und Kryptowährungen und attackieren sogar Kryptobörsen wie die japanische Bit-Point, die im vergangenen Monat um 32 Millionen Dollar erleichtert wurde. Nordkoreanische Hacker greifen systematisch Banken, Industrie- und Rohstoffunternehmen an, um an deren Geld zu kommen. Auch hinter der bisher grössten Attacke auf die ­japanische ­Coincheck-Börse im letzten Jahr steckte gemäss dem südkoreanischen Geheimdienst die Cyberbrigade, die der nordkoreanische Diktator Kim Jong-un aufgebaut hat. Damals wurden digitale Münzen im Wert von rund 500 Millionen Dollar gestohlen.

Die nordkoreanischen Hacker sind sehr erfolgreich. Im Mai berichtete die SonntagsZeitung, dass auch Schweizer Banken von Nordkorea ausspioniert werden. Mithilfe von Mails, die als Bewerbungsschreiben getarnt wurden und eine Schadsoftware enthielten, griff die Hackergruppe Lazarus die Finanzhäuser an. Sie versuchte zudem, Bitcoin-Nutzer ausfindig zu machen.

Kims Cyberarmee bestehe aus mindestens 7000 Mitarbeitern, schätzt Motohiro Tsuchiya, Cyberexperte an der japanischen Keio-Universität in Tokio. Angelockt werden meist jugendliche Computertalente, die bereits im Alter von zehn Jahren in Schulklassen rekrutiert und durch privilegierte Behandlung auf ihre Aufgaben vorbereitet werden. Experten der US-Cybersicherheitsfirma Fire Eye berichteten im Oktober 2018, dass die nordkoreanische Hackergruppe APT38 im Auftrag der Regierung eine umfassende Cyberattacke gegen Banken und Institutionen in Asien und Südamerika gestartet und dabei über das internationale Zahlungsnetzwerk Swift mit betrügerischen Transfers rund 100 Millionen Dollar erbeutet hatte. Laut Fire Eye wurden seit 2014 mindestens 16 Organisationen in elf Ländern angegriffen, darunter Banken in Chile, Indien und Bangladesh. Die Far Eastern International Bank in Taiwan wurde 2017 um 70 Millionen Dollar erleichtert, die Banco Chile 2018 um 10 Millionen Dollar. Aus der Zentralbank von Bangladesh wurden mindestens 81 Millionen Dollar geraubt.

Dauerangriffe aus Nordkorea seit 15 Monaten

Ziel der Hacker ist, das von harten Sanktionen belegte Regime Kim Jong-uns durch Devisen über Wasser zu halten. US-Sicherheitsbehörden identifizierten den 38-jährigen Park Jin Hyok als den Top-Hacker. Mit seinem Team entwendete er seit 2015 mehr als eine Milliarde Dollar. Park ist sowohl für den Diebstahl in Bangladesh als auch für die Attacke von 2014 auf das Hollywood-Studio von Sony verantwortlich. Durch Hacking erzielt Nordkorea mittlerweile mehr Geld als mit dem auf 500 Millionen Dollar pro Jahr geschätzten Waffenhandel.

Immer stärker konzentrieren sich Kims Cyberkrieger auf Krypto­währungen und -börsen. Sie nutzen aus, dass die Sicherheitsvorkehrungen mässig, die Regulierung schwach und die Anonymität gross ist. Luke McNamara, Analyst von Fire Eye, beobachtet seit Monaten wiederkehrende Angriffe. Die Hacker seien «sehr aktiv, und das nonstop», berichtet Sicherheitsexperte Raj Samani von der US-Firma McAfee. Victor Cha vom Washingtoner Thinktank CSIS registriert seit 15 Monaten Dauerangriffe aus Nordkorea auf Infrastrukturziele sowie Öl- und Gasfirmen.

Milliardenhohe Schädendurch Angriffe aus Nordkorea

Laut der «New York Times» gingen sogar während des Gipfeltreffens von Kim Jong-un mit US-Präsident Donald Trump in Hanoi im Februar die Hackerattacken munter weiter; rund 100 Ziele wurden angegriffen. Namen sind nicht bekannt, doch waren Unternehmen in London, Rom, Madrid, New York, Houston, Tokio, Tel Aviv, Bangkok, Taipeh, Seoul und Hongkong betroffen.

Nordkoreanische Hacker seien geschickt, geduldig und hartnäckig, heisst es in Kreisen des US-Geheimdienstes NSA. Die Schweizer Melde- und Analysestelle Informationssicherung (Melani) will sich nicht dazu äussern. Der stellvertretende Leiter Max Klaus bestätigt aber allgemein Cyberangriffe auf E-Banking-Kunden auch in der Schweiz. Dagegen seien direkte Angriffe auf Bankensysteme vergleichsweise selten.

Melani untersucht zudem die jüngste Phishing-Attacke auf Kunden der Schweizer Mail-Plattform Protonmail. Diese wurde von ehemaligen Mitarbeitern des Genfer Kernforschungszentrums Cern gegründet, gilt als sehr sicher und wird häufig von investigativen Journalisten genutzt, die den russischen Militärgeheimdienst GRU untersuchen. Vermutlich stecken russische Hacker hinter dem Angriff. Protonmail wurde selber nicht infiltriert.

Die Verluste durch Cyberattacken gehen in die Milliarden. Der von Kims Cyberarmee eingesetzte Trojaner Wannacry hat im Jahr 2017 Schäden in Höhe von rund 4 Milliarden Dollar verursacht. Der weltgrösste Rückversicherer Münchner Rück deckelt daher Cyberversicherungen auf 100 Millionen Dollar. Und Christian Mumenthaler, der Chef des Schweizer Rückversicherers Swiss Re, sagt, Cyberrisiken seien «kaum beherrschbar».



