Nordkorea: Willkommen in hackerland

Die Nordkorea zugeschriebenen Cyberattacken haben in den letzten 20 Jahren zu erheblichen diplomatischen Auswirkungen geführt, das Image des Landes als »digitaler Pariastaat« gefestigt und Allianzen zur Cyberabwehr zwischen mehreren Ländern gestärkt.

Nach dem Angriff auf Sony Pictures im Jahr 2014 versprach Präsident Barack Obama eine »verhältnismäßige« Reaktion und teilte mit, dass es inakzeptabel sei, einem Diktator zu erlauben, in den Vereinigten Staaten Zensur auszuüben (Laughland & Rushe, 2014). Im Januar 2015 verhängten die USA gezielte Wirtschaftssanktionen gegen staatliche Stellen und zehn Beamte in Nordkorea, wobei sie den Cyberangriff auf Sony direkt als Grund anführten und bekräftigten, dass dies das erste Mal war, dass die USA mit Sanktionen auf einen solchen Cyberangriff reagierten (Roberts, 2015; Miller, 2015).

Nordkorea seinerseits bestritt jegliche Beteiligung, beschuldigte die USA, eine feindliche Politik zu fördern, und drohte mit »erbarmungslosen Gegenmaßnahmen«, falls die Provokationen fortgesetzt würden (Edwards & Lange, 2015). Diese Spannungen waren in einen breiteren Kontext der internationalen Isolation eingebettet, in dem die nordkoreanischen Cyberoperationen als Teil der staatlichen Überlebensstrategie angesehen wurden (Vereinte Nationen, 2019).

Im Fall der Ransomware WannaCry im Jahr 2017 fiel die internationale Reaktion heftig aus. Am 19. Dezember 2017 schrieben die Vereinigten Staaten und ihre Verbündeten den Angriff öffentlich Nordkorea zu und betonten, dass die Anschuldigung durch technische Beweise gestützt werden könne (Bossert, 2017). Das Vereinigte Königreich verurteilte den Angriff durch seinen Außenminister, der betonte, dass die internationale Gemeinschaft böswillige nordkoreanische Cyberaktivitäten nicht dulden werde und dass WannaCry ein Mittel zur Umgehung internationaler Sanktionen sei (Ahmad, 2017). Auch Japan schloss sich dieser Haltung an, unterstützte die Erklärungen der USA und verurteilte die Nutzung des Cyberspace als Angriffsinstrument (Maruyama, 2017).

Technologieunternehmen spielten eine Schlüsselrolle bei der Eindämmung des WannaCry-Angriffs. Microsoft arbeitete aktiv mit, indem es Konten deaktivierte, die mit nordkoreanischen Operationen in Verbindung standen und Sicherheits-Patches auf die betroffenen Systeme spielte, während Facebook (Meta) gefälschte Profile sperrte, die von der Lazarus-Gruppe verwendet wurden, um die Malware zu verbreiten und neue Angriffe vorzubereiten (Volz, 2017).

Diese Angriffe bestärkten das Narrativ, dass das Land den Cyberspace als hybride Waffe nutzt, um illegale Einnahmen zu erzielen und UN-Sanktionen zu umgehen (UN, 2019). Ein Expertengremium der Vereinten Nationen hat dokumentiert, wie Nordkorea durch Cyberoperationen in der Lage ist, durch Angriffe auf Finanzinstitute und Gateways für Kryptowährungen schwer auffindbare Gelder zu generieren, gegen Finanzembargos zu verstoßen und zur Finanzierung des nationalen Atomwaffenprogramms beizutragen (UN, 2019).

Daraufhin wurden die multilateralen Sanktionen verschärft. Das US-Finanzministerium verhängte 2018 im Rahmen einer Durchführungsverordnung Sanktionen gegen den Softwareentwickler Park Jin Hyok und die Scheinfirma Korea Expo Joint Venture (KEJV), denen bösartige Cyberaktivitäten vorgeworfen wurden, darunter die Beteiligung am Sony-Angriff, an WannaCry und am Raubüberfall auf die Bangladesh Bank (Mnuchin, 2018).

In einem beispiellosen Schritt verhängte die Europäische Union im Jahr 2020 gezielte Sanktionen für Cyberangriffe, indem sie Vermögenswerte einfror und Reiseverbote für Personen und Einrichtungen verhängte, die mit Operationen wie WannaCry, NotPetya und Cloud Hopper in Verbindung gebracht wurden, und ihre Cybersicherheitspolitik mit aktiven rechtlichen Instrumenten zur Abschreckung künftiger Angriffe verstärkte (Rat der Europäischen Union, 2020; Cerulus & Braun, 2020).

Der Dialog im Bereich der Cyberverteidigung zwischen Japan und den USA bekräftigte die Bedeutung der öffentlich-privaten Zusammenarbeit bei der Abwehr von Bedrohungen wie Nordkorea (Bossert, 2017).

Im politisch-diplomatischen Bereich haben die Operationen Nordkoreas die Isolation des Landes weiter erschwert und die Schaffung neuer regulatorischer und politischer Rahmenbedingungen sowie die Verabschiedung von Cybersicherheitsmaßnahmen in mehreren Ländern veranlasst (Ahmad, 2017). Westliche Regierungen haben bekräftigt, dass im Cyberspace internationales Recht gelte und dass solche Angriffe gemeinsame Reaktionen zum Schutz kritischer Infrastrukturen und der internationalen Stabilität erforderten (Rat der Europäischen Union, 2020). Unterdessen verteidigt Pjöngjang seine Cyberoffensive als Teil der nationalen Sicherheits- und Überlebensstrategie, wohingegen die internationale Gemeinschaft sie als Instrument der Nötigung und Teil einer Strategie der hybriden Kriegsführung betrachtet, zu der auch Desinformation und Spionage gehören (UN, 2019).