Gesuchter CIA-Leaker womöglich schon in Haft

Ein im Februar wegen Datendiebstahls von insgesamt 50 Terabyte angeklagter NSA-Consultant wird auch des Diebstahls von CIA-Datenbanken beschuldigt.

Apple hat nach eigenen Angaben bereits Lücken geschlossen, die in den von Wikileaks veröffentlichten CIA-Dokumenten beschrieben werden, und auch andere Konzerne arbeiten daran. Was da veröffentlicht wurde, sind Teile von internen CIA-Wikis zur Entwicklung von Schadsoftware und Angriffsmethoden für operative Einsätze der CIA. Wie es für Wiki-Datenbanken typisch ist, sind nämliche auch alle historischen Versionen samt Metadaten - wer hat wann welches Thema angelegt etc. - im Leak enthalten.

Diese historischen Strukturen erinnern frappant an das NSA-Leak der sogenannten "Shadow Brokers" vom Sommer 2016. Auch da wurden neben aktuellen Cisco-Exploits etwa auch alle alten Versionen für längst verschrottete Firewalls der frühen 2000er Jahre mitgeliefert. Diesmal vermuten US-Offizielle jedoch nicht "die Russen" dahinter, man hat vielmehr erklärtermaßen Mitarbeiter von Vertragsfirmen im Visier. Dabei ist es durchaus möglich, dass die ursprüngliche Quelle beider Leaks bereits seit Sommer 2016 verhaftet ist.

Public Domain

Schon wieder Booz Allen

Das Leak deckt nicht nur eine bisher unbekannte Organisationsstruktur für Schadsoftware auf, sondern bestätigt auch, dass die NSA hinter der ominösen "Equation Group" steckt.

Ende August wurde eine Mann namens Harold T. Martin im US-Bundesstaat Maryland verhaftet, der zuletzt für die wohl bekannteste NSA-Vertragsfirma, nämlich Booz Allen Hamilton im US-Geheimdienstkomplex tätig war. Auch Edward Snowden war bekanntlich zuletzt für diese Firma tätig gewesen. Martin hatte bis Ende 2015 nicht nur für die NSA gearbeitet, er war sogar mehrere Monate im Office of Tailored Access (TAO) der NSA beschägtigt. Diese Spezialeinheit produziert digitales Einbruchswerkzeug für "maßgeschneiderte" Angriffe auf Informationen, die nicht mit den herkömmlichen SIGINT-Methoden der NSA etwa von Glasfasern abzugreifen sind.

Dazu auf ORF.at In Europa soll sich das CIA-Zentrum für Schadsoftware im Gebäudekomplex des US-Generalkonsulats in Frankfurt befinden - mehr dazu auf news.ORF.at.

Martin wird in der Anklage beschuldigt, die Anfang Februar erhoben wurde, neben Datenbanken der NSA und des "National Reconnaissance Office" auch aus CIA-Datenbanken große Mengen an Dokumenten abgezogen zu haben. Die Anklage beziffert das Gesamtvolumen des Datendiebstahls auf unglaubliche 50 Terabyte, die über lange Jahre unentdeckt aus dem Zentrum des US-Geheimdienstkomplexes abhanden kamen. Angeblich reichen die Delikte bis in die späten 90er Jahre zurück, aus dieser Zeit stammen auch die ältesten Exploits für Cіsco Firewalls im Archiv der "Shadow Brokers".

CIA

Die CIA-Abteilungen im Leak

Eine ganz ähnliche Rolle wie das TAO für die NSA dürfte der bis jetzt unbekannte "Operational Support Branch" (OSB) in der CIA spielen. Beide Abteilungen haben weitgehend dieselben Aufgaben, nämlich die Entwicklung und Bereitstellung von Angriffstools für operative Einsätze, die für die Angriffsbedürfnisse der jeweiligen Agency maßgeschneidert sind. Dem OSB übergeordnet sind die CIA-Abteilung für "Angewandtes Engineering", die wiederum dem "Center for Cyber Intelligence" (CCI) untersteht, das im Direktorat für "Digitale Information" angesiedelt ist.

Die Einleitung von Herausgeber Julian Assange über "waffentaugliche" Software ist inhaltlich absolut empfehlenswert.

Allein schon diese tief verschachtelte Hierarchie zeigt, dass die CIA mittlerweile über eigene, spezialisierte Entwicklungsabteilungen und weit mehr eigenes technisches Know-How im Bereich der sogenannten "Cyber"-Waffen verfügt, als bisher angenommen wurde. In diesen Wikis sind nämlich weite Teile der Organisationsstruktur indirekt abgebildet, da es sich durchwegs um bisher unbekannte CIA-Abteilungen handelt und erst ein Prozent des Materials aufgearbeitet ist, steht das Re-Engineering der betreffenden Organisationsstruktur durch Wikileaks noch ganz am Anfang.

Diebstahl von 50 Terabyte an Daten

Am 8. Februar stand Martin erstmals vor Gericht und bekannte sich nicht schuldig. Vorgeworfen wird ihm unautorisierte Aneignung und Diebstahl von vertraulichen Dokumenten, Martin wird jedoch nicht beschuldigt, die Daten weitergegeben oder im Dienst einer fremden Macht gehandelt zu haben. Einer der am Verfahren beteiligten Strafverfolger sprach von insgesamt 50 Terabyte an Daten, die bei Martin gefunden wurden. Die Datenträger aber auch große Mengen ausgedruckter geheimer Dokumente wurden in einem völlig ungesicherten Schuppen bei Martins Wohnhaus und in seinem Wagen gefunden.

Public Domain

Zwei Contractors, verschiedene Vorgangsweisen

Martins gesamte Vorgangsweise unterscheidet sich diametral von einem anderen ehemaligen Angestellten von Booz Allen, nämlich Edward Snowden. Martin hatte die Dokumente bei seinen diversen Engagements im Geheimdienstkomplex offenbar über lange Jahre systematisch abgezogen, er nahm dabei nicht ausgewählte Dokumente, sondern gleich ganze Datenbanken mit. Darunter fallen natürlich auch Wikis, die strukturell nichts anderes als relativ einfach gebaute Datenbanksysteme mit typischerweise vielen schreibberechtigten Benutzern sind.

Snowden hatte erst in den letzten Monaten seiner Tätigkeit im US-Geheimdienstkomplex aus den Datenbanken der NSA handverlesene Dokumente abgezogen, die besonders gut geeignet waren, der Öffentlichkeit die rücksichtslosen Spionagemethoden der NSA auch in Daten von US-Bürgern zu demonstrieren. Deswegen wählte Snowden vor allem Folien von internen Präsentationen aus oder kurze aber typische Auszüge aus Datenbanken, immer mit Schwerpunkt auf ihrem didaktischem Wert. Software hatte Snowden hingegen nicht angerührt. Dem stehen das Paket der "Shadow Brokers" gegenüber, eine umfassende Sammlung von historischen Cisco-Exploits über zwanzig Jahre und das aktuelle CIA-Leak, das ebenfalls klar enzyklopädischen Charakter hat.

Martin vor Gericht

Von Martins Anwälten hieß es vor Gericht, dass die psychische Prädisposition ihres Mandanten in Kombination mit Medikamenten Zwangshandlungen wie das Horten von Daten ausgelöst habe. Bei dem Beschuldigten handelt es sich auch nicht um einen beliebigen Mitarbeiter von Booz Allen, denn Martin hatte nicht nur Zugriff auf "Top Secret" klassifizierte Dokumente, er verfügte auch über die nötige "Clearance" der obersten Sichereitskategorie für "Secure Compartmented Information" (SCI). So eingestufte Dokumente und Informationen dürfen nicht einmal so einfach innerhalb derselben Agency und schon gar nicht an andere Teile des Geheimdienstapparats weitergegeben werden.

Public Domain

Warum Martin ein solches Risiko ohne irgendeine erkennbare Absicht dahinter eingegangen ist - auf jedes der zwanzig Delikte, die ihm vorgeworfen werden, stehen zehn Jahre Haft - ist unbekannt und vom derzeitigen Wissensstand aus nicht rational zu erklären. Als er verhaftet wurde, war Martin (53) mitten in seiner Dissertation zum nicht eben unkomplexen Thema "Virtuelle Interfaces zur Erforschung von heterogenen und Cloud-Computing Architekturen" mit dem Schwerpunkt "auf neuen Methoden zur Fernanalyse von aktuellen und künftige Netzwerkarchitekturen".

Vorläufiges Fazit

Hier soll nun keinewswegs behauptet werden, dass eine direkte Verbindung zwischen Martin sowie den eindeutig staatlich gelenkten, unbekannten "Shadow Brokers" und Wikileaks besteht. Es ist nur so, dass diese beiden kapitalen Leaks vor allem durch ihren umfassenden enzyklopädischen Charakter in der Geschichte der US-Geheimdienste ebenso einzigartig sind, wie der Fall Martin. Dass diese drei strukturell so ähnlichen Fälle allesamt binnen eines Halbjahrs aufgeflogen waren, macht es wenig wahrscheinlich, dass auch diese zeitliche Korrelation reiner Zufall ist. Auszuschließen ist die Möglichkeit, dass ein weiterer noch unbekannter Mitarbeiter einer Vertragsfirma ebenfalls große Mengen an Dokumenten abgezogen hat, beim derzeitigen Wissensstand natürlich nicht.