Durch eine Lupe ist auf der Internet-Seite von Wikileaks das Wort "Secret" zu sehen | Bildquelle: picture alliance / dpa

WikiLeaks-Enthüllung CIA betreibt offenbar Hacker-Einheit in Frankfurt

Stand: 07.03.2017 15:17 Uhr

Eine streng geheim operierende CIA-Einheit entwickelt in Frankfurt am Main maßgefertigte Computerviren. Das zeigen Dokumente, die die Plattform WikiLeaks veröffentlicht hat. Die Unterlagen deuten darauf hin, dass Frankfurt Ausgangspunkt ist für Hackerangriffe in Europa, China und dem Nahen Osten.

Von John Goetz und Jan Lukas Strozyk, NDR

Das amerikanische Generalkonsulat in der Gießener Straße in Frankfurt am Main gleicht einer Festung: Hohe Zäune und Betonpoller versperren den Weg, Überwachungskameras beobachten Passanten bei jedem Schritt. Was genau auf dem riesigen Areal gleich gegenüber des Frankfurter Zentralfriedhofs passiert, bleibt für Außenstehende unklar. Eine neue Enthüllung der Plattform WikiLeaks zeigt nun, dass hier offenbar Computerviren, Trojaner und andere Schadsoftware entwickelt werden.

WikiLeaks-Enthüllung nennt Frankfurt als CIA-Hackersitz
tagesthemen 22:15 Uhr, 07.03.2017, Svea Eckert/Jan Lukas Strozyk, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Ziele in Europa, Afrika und dem Nahen Osten

Die Central Intelligence Agency (CIA) hat demnach mitten in Deutschland eine spezialisierte Truppe von IT-Experten stationiert, um Computerangriffe gegen Ziele in Europa, Afrika und dem Nahen Osten vorzubereiten. Die Hacker-Gruppe in Frankfurt gehört laut der Unterlagen zu einer Einheit, die intern den Namen "Engineering Development Group" trägt, kurz: EDG.

Sie ist demnach Teil einer insgesamt rund 5000 Mitarbeiter starken CIA-Abteilung namens "Center for Cyber Intelligence" mit Hauptsitz in Langley, Virginia. Die nun veröffentlichten Dokumente sind laut WikiLeaks Teil eines digitalen Handbuchs, rund 16.000 Seiten stark und abrufbar nur in einem besonders gesicherten Intranet namens DEVLAN. Die Dokumente sind demnach nur innerhalb der CIA abrufbar, die Server sind aus Sicherheitsgründen nicht an das Internet angeschlossen. Die Einträge stammen aus den vergangenen Jahren, die aktuellsten aus 2016.

Das digitale Handbuch ist aufgebaut wie ein sogenanntes Wiki, also eine verzweigte Webseite mit Kapiteln und Unterkapiteln zu verschiedenen Themen. Daraus geht hervor: Zu den Zielen der Gruppe gehören offenbar neben Computern und Servern auch Steuergeräte für intelligente Heimgeräte.

WikiLeaks @wikileaks
U.S. Consulate in Frankfurt is a covert CIA hacker base
https://t.co/K7wFTdlC82 https://t.co/oqjtcVb56E

Fernseher werden zur Wanze

Einer der Einträge beschreibt zum Beispiel, wie die Hacker eine Software entwickelt haben, mit der sich eine bestimmte Serie von Samsung Smart-TVs in Wanzen verwandeln lassen. Die Geräte mit der Typenbezeichnung F-8000 wurden demnach mit einem Programm namens "Weeping Angel" angegriffen und haben danach alle Gespräche im Raum an einen CIA-Server übermittelt. Der Fernseher erweckt dabei den Anschein, als sei er ausgeschaltet. Einzig eine winzige blaue LED-Leuchte auf der Rückseite weist darauf hin, dass das Gerät aktiv ist.

Hauptzweck der IT-Experten der EDG ist es laut der Dokumente, für die CIA Zugriff auf Passwörter, Dateien, Webcams und Mikrophone, aber auch Ortungsdaten und Angaben zu den Lebensumständen von Zielpersonen zu erlangen. Auch das gezielte Vernichten von Informationen auf Zielcomputern gehört zum Repertoire.

Bürokratische Struktur

Die Gruppe agiert wie ein Dienstleister innerhalb der CIA - und geht dabei zum Teil recht bürokratisch vor. Für jeden Angriff, der vorbereitet werden soll, muss ein Mitarbeiter offenbar einen Fragebogen ausfüllen. So legt es die WikiLeaks-Veröffentlichung nahe. Unter anderem wird abgeprüft, ob das Ziel "eine Regierungsbehörde" ist, "ein ausländischer Geheimdienst" oder ob es sich um allgemeine "ausländische Informationsbeschaffung" handelt.

Auch wo die gewünschten Informationen mutmaßlich gespeichert sind - auf einer Festplatte, einer CD oder einem Server etwa - wird abgefragt. Offenbar entwickelt die Gruppe auch Anwendungen für den Fall, dass CIA-Agenten physischen Zugriff auf Zielsysteme haben: Ein Punkt im Fragebogen beschäftigt sich damit, wie viel Zeit zur Verfügung steht, um das Gerät zu manipulieren und Software aufzuspielen. Ein Teil der Gruppe ist den Unterlagen zufolge allein dafür abgestellt, dafür zu sorgen, dass die entwickelte Schadsoftware nicht von Anti-Viren-Programmen erkannt werden kann. Eine andere Abteilung beschäftigt sich mit Angriffen auf Mobilgeräte.

Konkrete Anweisungen

Die Dokumente lassen keine Rückschlüsse auf konkrete Ziele zu, allerdings zeigen sie, dass die Gruppe eine Testumgebung eingerichtet hat, um die digitalen Angriffswerkzeuge zu testen. Der Aufbau dieser Testumgebung simuliert offenbar Angriffe gegen Computer in Großbritannien, China, Iran, Saudi-Arabien, aber auch in den USA.

Neben konkreten Entwicklungen lassen sich aus den Unterlagen auch Rückschlüsse auf die Arbeitsweise der in Frankfurt stationierten CIA-Programmierer ziehen. In einem Kapitel etwa rät der Geheimdienst, mit Lufthansa zu fliegen, wenn man nach Frankfurt versetzt wird, denn dann sei der Alkohol an Bord gratis. Für Übernachtungen in Frankfurt sind nur bestimmte Hotels zugelassen, die offenbar zuvor einem Sicherheitscheck unterzogen worden sind. Geldabhebungen dürfen nur an Automaten der Deutschen Bank durchgeführt werden und die Agenten sollen sämtliche elektronischen Geräte jederzeit bei sich tragen, wenn sie das Hotel verlassen. Zum Konsulat sollen sie stets mit der U-Bahn-Linie 5 fahren und jederzeit darauf achten, dass die Tarnung "lebensnotwendig im Auslandseinsatz" sei.

WikiLeaks hat eine Pressemitteilung veröffentlicht, in der es heißt, die CIA habe "kürzlich die Kontrolle über den Großteil ihres Hacking-Arsenals" verloren. In diesem Kontext seien der Organisation mehr als 8.700 Dateien aus Kreisen ehemaliger US-Regierungs-Hacker beziehungsweise sogenannter Contractors, also im Sicherheitsapparat angestellter Mitarbeiter von Privatfirmen, zugespielt worden.

Eine "eigene NSA" entwickelt

Es ist laut WikiLeaks die größte Veröffentlichung von CIA-Dokumenten aller Zeiten. Die CIA habe ihre "eigene NSA" entwickelt, nur mit noch weniger Regularien.

Die Quelle der Dokumente, so WikiLeaks weiter, möchte eine Debatte um die Operationen der CIA anstoßen - und vor allem über die Frage, ob diese von geltenden Gesetzen noch gedeckt sein können. Es sei wichtig, öffentlich und demokratisch über die Nutzung von Cyber-Waffen zu diskutieren. WikiLeaks kündigte eine Reihe weiterer Veröffentlichungen aus dem Fundus an.

Der Norddeutsche Rundfunk hat nach der WikiLeaks-Veröffentlichungen kurzfristige Anfragen an CIA, die Bundesregierung und Samsung verschickt. Die Bundesregierung liess mitteilen, sie äußere sich "zu nachrichtendienstlichen Angelegenheiten grundsätzlich nur gegenüber den zuständigen, geheim tagenden Gremien des Deutschen Bundestages." Auch das amerikanische Außenministerium lehnt eine Stellungnahme ab.

Über dieses Thema berichtete tagesschau24 am 07. März 2017 um 15:00 Uhr.

Autor

John Goetz, NDR / Hörfunk Logo NDR

John Goetz, NDR

Autor

Jan-Lukas Strozyk Logo NDR

Jan Lukas Strozyk, NDR

Darstellung: