Washington stellt Länder wie Russland oder China für ihre Cyberangriffe an den Pranger. Peking hat dieses politische Mittel nun auch entdeckt – und schreibt amerikanische Geheimdienstmitarbeiter zur Verhaftung aus.
Öffentliche Beschuldigungen als politisches Mittel: China macht vermehrt amerikanische Cyberangriffe publik, wie das umgekehrt die USA bereits seit Jahren tun.
Die chinesischen Behörden gehen in die Offensive. Vor wenigen Tagen haben sie die USA der Cyberspionage beschuldigt. Ab Juli 2022 seien amerikanische Geheimdienste in die IT-Systeme eines wichtigen Rüstungsunternehmens eingedrungen und hätten unter anderem Konstruktionspläne entwendet, schreibt die chinesische Cybersicherheitsstelle CN Cert. Im zweiten Fall sei 2024 eine Firma im Bereich Kommunikation und Satelliteninternet ausspioniert worden.
Dass die USA mit Cyberoperationen chinesische Behörden oder Rüstungsfirmen ausspionieren, hatte wohl niemand bezweifelt. Bemerkenswert ist aber, dass China solche Angriffe zunehmend öffentlich macht – und mit dem Finger klar auf die USA zeigt.
Dass Behörden Cyberangriffe öffentlich einem anderen Staat zuschreiben, «public attribution» genannt, kommt weltweit nur selten vor. Dafür gibt es verschiedene Gründe. Oft geht es um Spionage, die das Opfer gar nicht publik machen möchte. Auch lässt sich nicht immer zweifelsfrei klären, wer tatsächlich hinter einer Cyberoperation steht. Und manchmal verzichtet der angegriffene Staat darauf, den Angreifer öffentlich an den Pranger zu stellen, weil er eine Eskalation vermeiden will.
Privater Bericht zeigt mit Finger auf Chinas Volksarmee
Die USA hingegen setzen seit Jahren auf das öffentliche Anprangern von Cyberangriffen. Begonnen hat diese Praxis im Februar 2013, als die private Firma Mandiant ihren Bericht zur Gruppe APT 1 veröffentlichte. Mandiant kam zu dem Schluss, dass hinter 140 Angriffen weltweit höchstwahrscheinlich die Einheit 61398 der chinesischen Volksarmee in Schanghai stehe.
Zwar stammt der «APT 1»-Bericht von einer privaten Firma. Doch es gibt die Vermutung, dass die amerikanische Regierung diesen Weg gewählt hatte, um Peking nicht selbst beschuldigen zu müssen. Zumindest hatten amerikanische Beamte laut dem Magazin «Fortune» keine Einwände gegen die Publikation. Ins Bild passt auch, dass der damalige Präsident Barack Obama nur wenige Tage vor der Veröffentlichung in einer Ansprache ein härteres Vorgehen gegen Cyberangriffe ankündigte.
Ein Jahr später erhob die amerikanische Justiz Anklage gegen fünf «militärische Hacker», die dieser Einheit 61398 der chinesischen Volksarmee angehören sollten. Seither gehen die amerikanischen Behörden immer wieder juristisch mit Beschuldigungen und Sanktionen gegen Firmen und Einzelpersonen vor, hauptsächlich aus China, Russland, Iran und Nordkorea. Auch die EU und andere westliche Staaten haben seit einigen Jahren diese Praxis übernommen.
Wenn Behörden und Firmen zum Mittel der «public attribution» greifen, kann das verschiedene Gründe haben. Die Firma Mandiant zum Beispiel argumentierte 2013 damit, das Bewusstsein für die Bedrohung durch staatliche Cyberaktionen stärken zu wollen. Die Publikation von technischen Details kann zudem weitere Angriffe verhindern und den Aufwand für die Angreifer erhöhen, weil diese zum Beispiel neue Server für ihre Angriffe einrichten müssen. Eine abschreckende Wirkung hat dies jedoch kaum.
Für staatliche Stellen ist die öffentliche Anschuldigung meist ein politisches Instrument. Es sendet ein Zeichen der Stärke und signalisiert gegen aussen, dass solche Cyberaktionen erkannt und nicht toleriert werden. Wer öffentliche Anschuldigungen erhebt, stellt sein Verhalten über dasjenige des Angreifers – obwohl die USA selbst auch Cyberoperationen gegen andere Staaten durchführen. Heute geschehen solche Verurteilungen oft auch international koordiniert, was die eigene Legitimität erhöht.
China geht stärker gegen Cyberangriffe der USA vor
China hat sich mit dem öffentlichen Benennen von Angreifern lange zurückgehalten. Spätestens ab 2019 gibt es Attributionen durch private chinesische IT-Sicherheitsfirmen, die Angriffe der amerikanischen Geheimdienste CIA und NSA beschreiben. Die erste offizielle Attribution stammt von September 2022. Allerdings gab der damalige Bericht einige Rätsel auf, weil viele Angaben sehr alt waren. Auch der Bericht von 2023, in dem es um Spionage gegen den Tech-Konzern Huawei ging, beschrieb eine Aktion, die bereits 2009 begann.
In den letzten Monaten hat China nun sein Vorgehen gegenüber den USA verstärkt. Peking scheint die öffentliche Zuschreibung von Cyberangriffen als politisches Mittel entdeckt zu haben. Die Berichte betreffen aktuellere Cyberangriffe, wie auf die Winter-Asienspiele 2025 im Februar in Harbin oder auf die erwähnten Rüstungsfirmen in den Jahren 2022 bis 2024.
Die chinesische Polizei hat zudem im April drei Personen zur Verhaftung ausgeschrieben, die bei der NSA arbeiten und an Angriffen auf die Winter-Asienspiele in Harbin beteiligt gewesen sein sollen. Dies ist das erste Mal, dass chinesische Behörden konkrete Personen hinter amerikanischen Cyberaktionen identifiziert haben. Es dürfte kein Einzelfall bleiben.
Ein Hinweis darauf ist das Vorgehen gegenüber Taiwan. China hat seit vergangenem Herbst dreimal Taipeh für Cyberangriffe verantwortlich gemacht. Die Behörden haben jeweils auch konkrete Personen, die an den Aktionen beteiligt gewesen sein sollen, identifiziert und zur Verhaftung ausgeschrieben.
Der IT-Sicherheitsexperte Ben Read kommt in einer Analyse in Bezug auf Taiwan zu dem Schluss, dass die Zahl der Attributionen vermutlich zunehmen wird. Dass verschiedene chinesische Behörden, auch auf lokaler Ebene, zusammen mit privaten Firmen daran beteiligt sind, wertet er als Zeichen, dass der Sicherheitsapparat solche Zuschreibungen fördert. Das dürfte nicht nur für Taiwan gelten.
Mit den öffentlichen Anschuldigungen zieht Peking mit den USA und anderen westlichen Staaten gleich. Warum das Regime nicht schon früher zu diesem Mittel gegriffen hat, lässt sich nicht eindeutig beantworten. Ben Read verweist im Gespräch darauf, dass die amerikanischen Geheimdienste einen sehr grossen Aufwand betreiben würden, um unentdeckt zu bleiben.
Jede Veröffentlichung ist zudem auch eine Warnung an den Angreifer. Dieser kann sich zurückziehen und sein Vorgehen ändern, um weiterhin unentdeckt zu bleiben. Bei Chinas Attributionen fällt denn auch auf, dass die Behörden meist kaum technische Details des Angriffs publizieren. Möglicherweise tun sie dies, um den USA nicht zu verraten, welche Teile der Operation tatsächlich aufgeflogen sind.
Gleichzeitig fehlen damit zumindest öffentlich auch technische Details, die anderen Organisationen – zum Beispiel auch im westlichen Ausland – dabei helfen könnten, amerikanische Angriffe abzuwehren. Der Schutz vor den Cyberangriffen fällt damit als Grund für die neue chinesische Praxis weg.
Peking spielt den Spionagevorwurf an Washington zurück
Für China dürften politische Motive im Vordergrund stehen. Die USA äussern seit mehreren Jahren laute Sicherheitsbedenken, wenn es um Technologien und Produkte aus China geht. Dazu gehören nicht nur die Anschuldigungen im Bereich Cyberspionage, sondern auch der Vorwurf, dass chinesische Technologien wie Mobilfunkkomponenten, Elektroautos oder Hafenkräne geheime Zugänge, sogenannte Hintertüren, enthalten würden, die der Spionage oder Sabotage dienen könnten.
Nun schlägt China zurück, indem es die gleichen Vorwürfe gegenüber den USA erhebt. So erwähnen die chinesischen Behörden in ihren Veröffentlichungen immer wieder mögliche Hintertüren in amerikanischen Produkten, zum Beispiel in Software von Microsoft. Jüngst hat China den gleichen Vorwurf auch gegenüber dem amerikanischen Chiphersteller Nvidia erhoben.
Mit seinen Anschuldigungen an die Adresse Washingtons formt das Regime in Peking ein Gegennarrativ zur amerikanischen Erzählung von den unsicheren chinesischen Produkten. Das kann insbesondere in Entwicklungs- und Schwellenländern eine Wirkung entfalten, wo chinesische Technologien und IT-Produkte noch stärker verbreitet sind als im Westen.
Die öffentlichen Beschuldigungen können zudem handfeste Folgen haben. Anfang Juli haben die italienischen Behörden auf Ersuchen der USA einen Chinesen verhaftet, der ab 2020 an Cyberspionage beteiligt gewesen sein soll. Der 33-Jährige arbeitete für eine IT-Firma in Schanghai und soll Cyberangriffe im Auftrag chinesischer Nachrichtendienste ausgeführt haben.
Ein analoges Szenario ist auch bei amerikanischen Staatsbürgern denkbar. Zum Beispiel könnte der Mitarbeiter einer privaten Partnerfirma der amerikanischen Geheimdienste verhaftet werden, wenn er in ein Land reist, das mit der chinesischen Justiz kooperiert. Dass China begonnen hat, amerikanische Geheimdienstmitarbeiter zur Verhaftung auszuschreiben, ist deshalb ein entscheidender Schritt. Der Konflikt zwischen den USA und China kann auf diesem Feld weiter eskalieren.
