Ein Bericht des NASA Office of Inspector General (OIG) legt eine jahrelange Cyberoperation offen, in der sich ein chinesischer Staatsangehoeriger als US-Forscher ausgab. Unter dem Deckmantel wissenschaftlicher Zusammenarbeit erlangte er Zugriff auf sensible Modelliersoftware und Quellcode aus Luft- und Raumfahrt sowie Verteidigung – und umging damit zentrale Vorgaben der US-Exportkontrolle.
Spear-Phishing gegen NASA und Ruestungsprojekte: Taktik und Ziele
Nach Erkenntnissen des OIG waren zahlreiche Mitarbeitende von NASA, US-Streitkraeften, der Federal Aviation Administration (FAA), Universitaeten und Hightech-Unternehmen davon ueberzeugt, mit amerikanischen Kolleginnen und Kollegen zu kommunizieren. Tatsächlich lieferten sie Software und Forschungsdaten an einen chinesischen Angreifer, der Identitaeten realer US-Wissenschaftler missbrauchte.
Das US-Justizministerium erhob im September 2024 Anklage gegen den mutmaßlichen Drahtzieher Song WuSimulations- und Modelliersoftware fuer aerodynamische Berechnungen und Waffensysteme.
Laut Anklageschrift arbeitete Song Wu als Ingenieur bei der staatlichen Aviation Industry Corporation of China (AVIC). Er und seine Mittaeter analysierten systematisch Fachpublikationen, Konferenzprogramme und Online-Profile, um geeignete Zielpersonen zu identifizieren. Auf dieser Basis setzten sie hochgradig personalisierte Spear-Phishing-Mails auf, die Sprache, Fachterminologie und typische Kommunikationsmuster aus der Forschung nachahmten.
Im Unterschied zu klassischem Massenphishing ist Spear-Phishing auf einzelne Personen oder sehr kleine Gruppen zugeschnitten. Die Nachrichten wirken wie echte Anfragen aus dem eigenen Netzwerk, was die Erfolgswahrscheinlichkeit deutlich erhoeht. Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass Social-Engineering-Angriffe eines der Haupteinfallstore fuer Cyberspionage sind – selbst in hochsensiblen Umgebungen.
Rechtliche Dimension: Verstoss gegen Exportkontrolle und Identitaetsdiebstahl
Der NASA-OIG betont, dass die Kampagne in mehreren Faellen erfolgreich war: Forschende und Ingenieure uebermittelten lizenzpflichtige Software und Quellcodes an vom Taeter kontrollierte Adressen. Vielen war dabei nicht bewusst, dass sie moeglicherweise gegen US-Exportkontrollrecht verstossen, das die Weitergabe bestimmter Dual-Use-Technologien an auslaendische Personen streng reguliert.
Song Wu wird unter anderem wire fraud (Betrug unter Nutzung elektronischer Kommunikationsmittel) in einem Fall und 14 Faelle von «aggravated identity theft» (schwerer Identitaetsdiebstahl) vorgeworfen. Auf jeden Tatbestand des wire fraud stehen in den USA bis zu 20 Jahre Freiheitsstrafe; fuer jeden Fall von Identitaetsdiebstahl kommt ein zusaetzlicher zweijaehriger Haftzeitraum hinzu, der nacheinander zu verbuessen ist. Nach Angaben der Behoerden ist der 40-Jaehrige weiterhin fluechtig und vom FBI zur Fahndung ausgeschrieben.
Die entwendete Spezialsoftware kann laut den Ermittlungsbehoerden sowohl in der zivilen Luftfahrtindustrie als auch fuer militaerische Zwecke eingesetzt werden – etwa zur Entwicklung hochpraeziser taktischer Raketen und zur aerodynamischen Optimierung von Waffensystemen. Der Fall reiht sich damit in eine Serie von Operationen ein, bei denen staatlich unterstuetzte Akteure systematisch Forschungs- und Entwicklungsdaten aus westlichen Institutionen abziehen, um eigene Programme zu beschleunigen und Kosten zu sparen.
Lehren fuer Cybersicherheit in Forschung und Verteidigung
Warnsignale fuer Spear-Phishing und Exportbetrug
Der OIG-Bericht macht deutlich, dass selbst gut vorbereitete Kampagnen erkennbare Auffaelligkeiten hinterlassen. Im vorliegenden Fall haetten unter anderem folgende Punkte Misstrauen wecken koennen:
Wiederholte Anfragen nach derselben Software von leicht unterschiedlichen E-Mail-Adressen oder scheinbar derselben Person, ohne stichhaltige Begruendung fuer eine erneute Uebermittlung.
Ungewoehnliche oder intransparente Zahlungswege, etwa kurzfristige Wechsel des Zahlerkreises, der Einsatz von Strohmaennern oder Firmenkonstrukten sowie Vorschlaege, «informelle» Bankkanaele zu nutzen.
Abweichungen von etablierten Bereitstellungskanaelen: Bitte um Versand von Software, Lizenzen oder Aktivierungsschluesseln an private Postfaecher oder ueber atypische File-Sharing-Dienste, statt ueber offizielle Systeme der Organisation.
Technische und organisatorische Schutzmassnahmen
Der Vorfall zeigt, dass technologische Exzellenz allein nicht ausreicht. Entscheidend ist, Sicherheits- und Exportkontrollprozesse konsequent in den Forschungsalltag zu integrieren. Organisationen sollten daher:
Formalisierte Freigabeprozesse fuer Software und Quellcode etablieren. Jede Herausgabe sensibler Komponenten sollte nur ueber definierte Kanaele erfolgen, mit dokumentiertem Empfaenger, Nutzungszweck und Freigabe durch Verantwortliche fuer Informationssicherheit und Exportkontrolle.
Identitaeten zwingend ueber einen zweiten Kanal pruefen. E-Mail-Absender und Signaturen duerfen nicht als alleinige Vertrauensbasis dienen. Rueckverifikation ueber offizielle Telefonnummern, Videokonferenzen oder zentrale Kontaktstellen der jeweiligen Institution reduziert das Risiko erfolgreicher Identitaetstaeuschung deutlich.
Sicherheitsbewusstsein in wissenschaftlichen Teams systematisch staerken. Forschende und Doktoranden sind haeufig direkter Angriffspunkt, aber nicht immer entsprechend geschult. Regelmaessige Trainings zu Spear-Phishing, Umgang mit vertraulichen Daten und relevanten Exportlisten sind ein kritischer Baustein moderner Forschungssicherheit.
Zugriffe nach dem Prinzip «Need to know» begrenzen. Nur Personen, die Modelliersoftware oder Quellcode fuer ihre konkrete Arbeit benoetigen, sollten Zugriff erhalten. Mehrfaktorauthentifizierung, fein granulare Berechtigungen und Audit-Logs helfen, unautorisierte Transfers schnell zu erkennen.
Exportkontrolle in IT-Prozesse integrieren. Technische Loesungen wie Data Loss Prevention (DLP) koennen ausgehende Datenstroeme gegen Sanktions-, Kunden- und Partnerlisten pruefen. So sinkt die Wahrscheinlichkeit, dass kontrollierte Software versehentlich an nicht autorisierte, auslaendische Empfaenger geschickt wird.
Die Causa Song Wu verdeutlicht, dass Spear-Phishing gegen Forschende und Ingenieure zu einem zentralen Werkzeug moderner Cyberspionage geworden ist. Institutionen, die mit Hochtechnologie, Luft- und Raumfahrt oder sicherheitsrelevanter Forschung arbeiten, sollten jede externe Anfrage nach Simulationssoftware, Quellcode oder Testdaten als potenzielles Risiko bewerten. Wer seine Schutzkonzepte nicht nur auf Firewalls und Verschluesselung, sondern auch auf Menschen, Prozesse und Exportkontrolle ausrichtet, erschwert Angreifern den Erfolg erheblich und reduziert langfristig das strategische Risiko fuer Forschung und nationale Sicherheit.
