Chinas Cyberarmee: Wuhan als Hacker-Hochburg

5.500.000.000.000 Euro. Auf diese Summe kamen im Jahr 2021 einer Schätzung der Europäischen Union zufolge die Kosten der Cyberangriffe weltweit. Auch die deutsche Wirtschaft hatte zu leiden: Sie brachte in jenem Jahr 223 Milliarden Euro zur Bewältigung der Schäden auf. Das sind sechs Prozent des deutschen Bruttoinlandsprodukts.

Wie viele dieser Kosten durch Hackerangriffe aus China verursacht sind, lasse sich eindeutig nicht sagen, heißt es in einer dieser Tage veröffentlichten Studie des Mercator Institute for China Studies (MERICS) zu chinesischen Cyberangriffen.

Die schwierige Zuordnung habe vor allem einen Grund, so die Studie: Seit mehreren Jahren arbeite China daran, seine Fähigkeiten geheim zu halten und die Spuren der Angriffe zu verwischen. Dennoch gebe es zahlreiche Beweise dafür, dass viele Angriffe aus dem Reich der Mitte kämen, Tendenz wachsend. Angaben des European Repository of Cyber Incidents (EuRepoC) zufolge war China zwischen den Jahren 2005 und 2023 das Land, das mit 240 Angriffen für die meisten Cyberangriffe weltweit verantwortlich war. An zweiter Stelle stehe Russland mit 158 Attacken.

"Angriffe haben erheblich zugenommen"

Auch deutsche Unternehmen sind zunehmend Angriffen aus China ausgesetzt. So gaben im Jahr 2021 30 Prozent der Unternehmen an, aus China angegriffen worden zu sein, heißt es in der Studie unter Berufung auf den Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom. Im Jahr 2022 hatten demnach bereits 43 Prozent der Unternehmen mit entsprechenden Attacken zu tun.

Aus Transparenzgründen habe die Studie nur öffentlich zugängliche Daten verwendet, sagt Antonia Hmaidi, Autorin der MERICS-Studie, im DW-Interview. "Die chinesischen Angriffe haben in den letzten Jahren erheblich zugenommen. Zu den Zielen gehören zum einen staatliche Institutionen, zum anderen aber auch Firmen und Wissenschaftsinstitutionen wie etwa Universitäten. In diesen Fällen geht es um Technologie- oder Wirtschaftsspionage. Aber auch Dissidenten oder Bürger aus Tibet werden ausspioniert."

Verflechtungen zwischen Staat und Hackerszene

Zwar hätten nicht alle chinesischen Bedrohungsakteure eindeutige Verbindungen zur chinesischen Regierung. Es gebe aber für viele von ihnen entsprechende Hinweise. "Das deutet auf ein gewisses Maß an staatlicher Zugehörigkeit und Unterstützung hin", sagt Hmaidi. Viele der chinesischen Bedrohungsakteure hätten zudem nachweislich direkte Verbindungen zur Volksbefreiungsarmee, zum Ministerium für Staatssicherheit oder in geringerem Maße zum Ministerium für öffentliche Sicherheit. "Es gibt auch stichhaltige Beweise dafür, dass die Regierung die Bedrohungsakteure finanziell unterstützt."

In mehreren Kampagnen habe sich China innerhalb der eigenen Grenzen für ein entkriminalisiertes Internet eingesetzt, sagt Hmaidi der DW. "Darüber sind dann viele kriminelle Hacker verschwunden, um einige Jahre später wieder in den Strukturen des Staatssicherheitsministeriums aufzutauchen."

Generell habe diese Auslagerung vor allem einen Grund. Es gehe der Regierung darum, die Zuordnung der Angriffe zu erschweren. Damit sei China kein Einzelfall: "Staaten verlassen sich bei Cyberangriffen seit langem auf Stellvertreter, um von deren Fachwissen zu profitieren", so die Studie.

Allerdings seien diese Stellvertreter nicht immer leicht zu kontrollieren. Aus diesem Grund versuche die Regierung nun eine große, der Kommunistischen Partei Chinas gegenüber loyale Cyber-Belegschaft auszubilden. Darum habe sie in Wuhan das National Cybersecurity Center eingerichtet. Dort soll entsprechendes Personal ausgebildet werden, auch soll ein günstiges Umfeld für Unternehmensgründungen geschaffen werden. Das färbe auch auf private Initiativen ab: "Inländische Hacking-Wettbewerbe haben stark zugenommen."

Wettlauf um technologische Vorherrschaft

Hintergrund der Spionage sei eine von Präsident Xi Jinping formulierte erweiterte Definition der nationalen Sicherheit. Diese umfasse nun auch wirtschaftliche und technologische Aspekte. So gehe es China darum, technologische Innovationen anzutreiben, sich Informationen für Fusionen und Übernahmen zu verschaffen, wie auch traditionelle Spionage gegen ausländische Regierungen zu betreiben. Dies alle geschehe im Wettlauf mit dem Westen um technologische Vorherrschaft, heißt es in der Studie auf eine von der Deutschen Gesellschaft für Auswärtige Politik (DGAP) verantworteten Forschungsarbeit.

Dies bedeute auch, dass China bei seinen Angriffen anders vorgehe als etwa Russland, sagt Hmaidi. "Im Unterschied zu Russland geht es China nicht darum, ein Netzwerk zu attackieren, um es offline zu stellen oder ein System auszuschalten. Das Ziel ist vielmehr, bestimmte Informationen abzufangen." Zwar habe es auch Fälle gegeben, in denen chinesische Hacker in kritische Infrastruktur eingedrungen seien und ein Skript hinterlassen hätten, um etwa ein Stromnetz ausschalten können. "Aber das Entscheidende ist: Sie haben dieses Skript noch nicht angewendet."

Allerdings könnten auf Versuche, langfristigen Zugriff auf fremde Systeme - etwa solche der Infrastruktur - Voraussetzungen schaffen, diese im Zweifel auch zu attackieren. "China hat Cyberbereiche zur Durchführung von Störungstests eingerichtet. Alle Anzeichen deuten darauf hin, dass das Land in Zukunft die Fähigkeit zur Störung aufbaut", heißt es in der Studie unter Berufung auf eine Analyse der George Town University in Washington.

Europa und EU: Komplexes Schutzprogramm nötig

Deutschland müsse sich schützen, lautet ein Fazit der Studie. Natürlich gelte es, die Cybersicherheit ganz allgemein zu verbessern, sagt Antonia Hmaidi. Darüber hinaus gebe es aber durchaus China-spezifische Maßnahmen. "Privatwirtschaftliche Unternehmen hingegen sollten die Teile identifizieren, deren Ausfall besonders schmerzhaft für sie wäre." Generell gelte es, langfristig relevante Sparten wie Technologie und Wissenschaft zu schützen, da sie zentrales Fundament des europäischen Wohlstands seien, so Hmaidi. "Aber in diese Richtung hat die EU bereits einen ersten guten Schritt getan."