6.000 Computer des öffentlich-rechtlichen Fernsehsenders KBS lahmgelegt, Daten eines Atomkraftwerks geklaut und versucht, die Regierungswebsite zu hacken: drei Beispiele für Cyberangriffe auf Südkorea in den vergangenen Jahren. Alle tragen die Handschrift des kommunistischen Nachbarlandes.
Kwon Hun-Yeong ist Jurist und Direktor für Cybersicherheit an der Korea-Universität in Seoul. Hier werden Spezialisten ausgebildet, die später im Militär oder in der Regierung arbeiten und Angriffe von außen abwehren sollen.
"Unsere Analysen haben ergeben, dass die Hälfte aller Angriffe aus Nordkorea kommt. Da gibt es bestimmte Muster und Methoden, die diesen Rückschluss zulassen. Und meistens lässt sich das nach China zurückverfolgen, das ist typisch für die Angriffe aus Nordkorea."
"Daraus ist organisierte Kriminalität geworden"
Die Art der Angriffe habe sich dabei in der Vergangenheit deutlich verändert, oder genauer gesagt das Ziel der Angreifer, wie Kwon im Gespräch mit dem ARD-Hörfunk sagt:
"Früher ging es den Hackern vor allem darum, Institutionen lahmzulegen, um einerseits deren Schwäche zu zeigen und andererseits ihr eigenes Können unter Beweis zu stellen. Inzwischen ist daraus organisierte Kriminalität geworden. Terrorgruppen oder ein Land selbst im Netz bedrohen andere. Die Bedrohung nimmt dauernd zu, und wir müssen darauf entsprechend reagieren."
Kwon geht von bis zu 5.000 solcher Attacken pro Jahr aus, genaue Statistiken gebe es nicht. Aus seiner Sicht will Nordkorea so vor allem an Geld kommen.
Es geht um Geld - und um Daten
Nicht nur, sagt Nils Weisensee. Er lebt in Seoul und ist bei der Mediengruppe Korea Risk Group Nachrichtenchef und beschäftigt sich seit Jahren mit Hacking. Er sagt: Es gehe mehr und mehr auch um Daten.
"Datendiebstahl als Teil von Spionageangriffen, wo diese Gruppen versuchen, so viele sensible Daten wie möglich zu bekommen. Zum Teil, weil der nordkoreanische Geheimdienst damit direkt etwas anfangen kann. Zum anderen aber auch, weil diese Daten dann wiederum verwendet werden können, um neue Attacken zu planen."
Dabei beweisen die Nordkoreaner durchaus Chuzpe, geben sich schon mal als hochrangige Mitarbeiter von Institutionen aus, erschleichen sich Vertrauen und bitten dann scheinheilig um das Herunterladen einer Datei.
"Diese Attacken sind oft viel günstiger, weil sich über zwischenmenschliche Trickserei viel schneller Menschen reinlegen und Sicherheitslücken erzeugen lassen."
Cyberattacken statt Raketen
Der 40-Jährige rechnet in der Zukunft mit mehr Hackerangriffen, schon deshalb weil jeder Einzelne mit immer mehr Geräten im Netz sei und so Angriffsfläche biete. Und nicht nur das:
"Ich kann mir vorstellen, dass wir vielleicht in zehn oder 20 Jahren an einem Punkt sind, an dem wir uns über Cyberattacken auf Nuklearkraftwerke viel mehr Sorgen machen werden als über Raketen auf Nuklearkraftwerke."
Nordkorea, das ist inzwischen bekannt, hat hervorragend ausgebildete Computerspezialisten. Früher, so sagt der südkoreanische Experte Kwon, seien junge Nordkoreaner zunächst im Land selbst ausgebildet worden.
"Dann schickten sie die Besten nach China, die gründeten dort Scheinfirmen. Die Hacker wurden dabei nur mit dem Nötigsten versorgt, also so was wie Reis und Kimchi. Und von dort aus versuchten sie, andere Länder zu infiltrieren, vor allem Südkorea. Gelang ihnen das und die Medien berichteten darüber, erhielten sie eine Prämie."
Komplizen in Osteuropa und Südostasien
Wie ein UN-Bericht aus diesem Jahr auflistet, arbeitet das Kim-Regime inzwischen mit Gruppen aus osteuropäischen Ländern zusammen und ist stärker in Südostasien aktiv.
Den Hackern auf die Schliche zu kommen, gleicht einem Puzzlespiel, und es sei wichtig, dafür Computer- und landeskundige Experten geschickt miteinander zu vernetzen, sagt Nils Weisensee von der Korea Risk Group, der nach eigener Aussage auch mit Geheimdienstlern in Kontakt steht.
"Hin und wieder gibt es Textbruchstücke in der Schadsoftware, die entdeckt werden. Jetzt ist die Frage: Ist das ein südkoreanisches Wort, ist es eine südkoreanische Phrase, ist es etwas, das in Nordkorea verwendet werden könnte? Und das zu analysieren zum Beispiel, ist nicht ganz einfach."
Und dabei zu erkennen: Haben Hackergruppen möglicherweise absichtlich eine falsche Fährte gelegt? Und: Warum passiert ein Angriff gerade jetzt auf diese oder jene Institution? Das kann manchmal auch geopolitische Gründe haben.
Was passiert, wenn Pjöngjang die Kontrolle verliert?
Ob Nordkorea durch die Coronakrise wirtschaftlich noch stärker unter Druck geraten ist als ohnehin schon durch die Sanktionen, und deshalb noch mehr Hackerangriffe unternehmen könnte, sei schwer zu sagen, meint Weisensee. Seine größte Sorge:
"Dass wir eine Situation haben könnten, in der die Kontrolle, die Pjöngjang ausübt, was diese Computerspezialisten und Computerkriminellen machen dürfen und machen können für das Regime, dass diese Kontrolle möglicherweise mal wegfällt."
Und die gut ausgebildeten nordkoreanischen Hacker dann nur noch im Eigeninteresse arbeiten. Mit einem solchen Szenario hat sich der Computerspezialist gerade erst beschäftigt – als Nordkoreas Machthaber Kim Jong-un wochenlang verschwunden war.