Cyberangriffe: Wie Hacker aus Nordkorea und China zu Interviews verhelfen
Tokio. Da ist wieder eine dieser E-Mails in der Inbox: „Lieber Herr Kölling, ich habe eine E-Mail unter Ihrem Namen erhalten“, beginnt ein Nordkorea-Experte in den USA sein Anschreiben. Er wolle prüfen, ob ich es wirklich sei, der hier um ein Interview bitte. Ich seufze. Dann gratuliere ich dem Schreiber zu seiner Vorsicht und nutze die Gunst der Stunde.
Nein, die E-Mail stamme nicht von mir. Aber an einem Interview wäre ich schon interessiert, schreibe ich zurück. Nach einem digitalen Handschlag und einer Terminabsprache bin ich mit dem Experten im Gespräch – und die Leserschaft des Handelsblatts ist um ein paar wertvolle Einsichten reicher.
Mein Fall ist kein Einzelfall. Ein Sicherheitsexperte informierte mich über etwas, das ich schon wusste: dass wahrscheinlich nordkoreanische und auch chinesische Staatshacker meinen Namen für Attacken nutzen. Dabei sagte er mir, dass dieser Missbrauch von Journalisten, Experten, Organisationen sowie Industrie- und Handelsverbänden weitverbreitet sei.
Tatsächlich wächst die Gefahr eines Schadens – und ungeplanter Kontakte, besonders wegen der zwei ostasiatischen Diktaturen.
Nordkorea unterhält ein wahres Hackerheer und ist seit Jahren der führende Krypto-Währungsräuber, während China bei Industriespionage brilliert. Das Cybersecurity-Unternehmen Crowdstrike berichtet, dass Chinas Cyberkrieger ihre Attacken 2024 insgesamt um 150 Prozent ausgedehnt haben. Dabei seien gezielte Angriffe auf Finanzdienstleister, Medien und Industrieunternehmen um bis zu 300 Prozent gestiegen.
Journalisten sind gern genutzte Vehikel
Die Angreifer wenden dabei oft eine Methode an, die selbst Hackerlehrlinge durchführen können: „Social Engineering“ für sogenannte „Phishing-Attacken“. Dabei geben sich die Schurken als legitime Personen aus und versuchen so, ihre Opfer zum Öffnen angehängter, infizierter Dateien und zum Klicken auf Links zu Seiten zu bewegen, um unter anderem Passwörter abzugreifen.
Als Journalist im geopolitischen Brennpunkt Ostasien bin ich ein häufig genutztes Vehikel. Tatsächlich wird mein Name schon seit Jahren für Angriffe auf Korea – und jüngst auch auf Sicherheitsexperten – genutzt, vermutlich seit ich einen Sicherheitsexperten einer amerikanischen Organisation in China um ein Interview gebeten habe. Wie ich darauf komme? Die Hacker verwendeten meine damalige Vorstellung sowie andere Teile der E-Mail.
Früher entlarvte die schräge Grammatik die Hacker allerdings oft. Mit der Verbreitung generativer Künstlicher Intelligenz (KI) ist die Sprache der E-Mails jedoch geschliffener, auch die Methoden wurden verfeinert: Da werden andere Experten als vorherige Gesprächspartner angegeben oder behauptet, ich sei gerade in Seoul oder Washington und wir könnten uns persönlich treffen.
Gleichzeitig werden mehr Adressen verwendet, vermutlich um Spamfilter zu umgehen. Eine Zeit lang nutzten die Hacker eine E-Mail-Adresse, die an den Handelsblatt-Partner „Neue Zürcher Zeitung“ (NZZ) angelehnt war: …@nzzlive.org. Derzeit sind offenbar E-Mails von den Domains hotmail.com und proton.me in Mode.
Cyber-Schulung schützt mit völkerverbindender Wirkung
Glücklicherweise sind inzwischen viele Experten gut geschult, ignorieren E-Mails von unbekannten Konten oder überprüfen im für mich positiven Fall die Echtheit des Absenders. LinkedIn ist ein Weg, andere sind die Homepage des Handelsblatts oder der NZZ. Auch der Umweg über gemeinsame Bekannte ist schon vorgekommen.
Die gemeinsame Betroffenheit entfaltet dabei eine völkerverbindende Wirkung – nicht nur bei mir. So berichtete mir ein Mitglied einer auf China ausgerichteten Bürgerrechtsgruppe in Japan, dass auch sie auf diese Weise schon wertvolle grenzüberschreitende Kontakte zu Journalisten erhalten und neue Freundschaften geschlossen habe.
Das Kernproblem bleibt jedoch: Wie viele meiner eigenen Interviewanfragen wurden von den Empfängern einfach gelöscht, weil sie eine Phishing-Attacke vermuteten? Und wie viele Unvorsichtige – oder für einen Moment Unaufmerksame – haben ihre Rechner und das System ihres Unternehmens oder ihrer Organisation unabsichtlich für die Hacker geöffnet?
Ein noch extremerer Fall ist mir zum Glück bisher erspart geblieben: Das Kapern meines E-Mail-Kontos. Eine derartige feindliche Übernahme habe ich jedoch bereits einmal erlebt und mich zum Glück dank meiner Vorsicht nicht infiziert.
Da mir die E-Mail des Chefs einer Organisation merkwürdig vorkam, schrieb ich den Absender persönlich an. Prompt kam die Antwort: „Alles ok, klicke ruhig.“ Aber die Anrede war komisch, daher fragte ich zusätzlich per Textnachricht nach – und erhielt dann eine Warnung. Aber dafür muss man die Handynummer des Absenders erst einmal kennen.
Selbst bei E-Mails aus dem eigenen Haus bin ich vorsichtig, wenn es darum geht, auf Links und Anhänge zu klicken. Im Zweifel frage ich über einen anderen Kommunikationskanal nach, ob alles rechtens ist. Doch die Probleme dürften noch wachsen, da KI inzwischen nicht nur Stimmen, sondern auch Gesichter klonen kann. Selbst der Videoanruf als Echtheitsbeweis hat damit vielleicht bald ausgedient. Der leidige Cyberkampf mit den Staatshackern geht in die nächste Runde.
Mehr: Drei Cybersecurity-Aktien, bei denen Strategen Potenzial sehen
