Das Internet ist sicher und effektiv - Teil 1 (Manipulation)

b.e.richter, Sunday, 01.02.2026, 04:55 (vor 4 Stunden, 1 Minuten) @ b.e.richter

DAS UMGEKEHRTE PANOPTIKUM
Peking nutzt die Abhörinfrastruktur des Westens als Waffe, um den größten Spionagecoup seit den Cambridge Five durchzuführen.

Shanaka Anslem Perera

Die vier Billionen Dollar an institutionellem Kapital, die für stabile Beziehungen zwischen Großbritannien und China bereitgestellt wurden, beruhen auf einer Annahme, die irgendwann um 2019 in einem Serverraum in Chengdu ihre Gültigkeit verlor. Diese Annahme lautet, dass Spionage zwischen Großmächten nur innerhalb festgelegter Grenzen stattfindet, dass die Telekommunikationsinfrastruktur zwar umkämpft, aber nicht kompromittiert wird und dass die Überwachungssysteme, die westliche Regierungen zur Überwachung ihrer Bürger eingerichtet haben, nicht dazu verwendet werden sollten, diese zu überwachen. Diese Annahme hat sich als falsch erwiesen. Im Folgenden wird der gesamte Mechanismus beschrieben, mit dem das chinesische Ministerium für Staatssicherheit dauerhaften Zugriff auf die privaten Kommunikationen der engsten Berater von drei britischen Premierministern, die Telefone eines designierten US-Präsidenten und die Abhörsysteme erhielt, die eigentlich dazu gedacht waren, sie selbst dabei zu erwischen. Die Auswirkungen auf die Positionierung sind unmittelbar. Der Rahmen ist dauerhaft.

Am 26. Januar 2026 enthüllte 'The Telegraph', dass chinesische Hacker direkt ins Herz der Downing Street eingedrungen waren und die Mobilfunkkommunikation hochrangiger Beamter der Regierungen Johnson, Truss und Sunak kompromittiert hatten. Die Geschichte wurde auf Seite sieben begraben und als technologische Kuriosität behandelt. Tatsächlich handelt es sich um einen Solvenzfall für das westliche Geheimdienstbündnis. Nicht weil Telefone gehackt wurden, was immer wieder vorkommt, sondern wegen der Art und Weise, wie sie gehackt wurden: indem genau die Überwachungsinfrastruktur als Waffe eingesetzt wird, die westliche Regierungen für ihre eigenen Geheimdienste vorgeschrieben haben. Der Communications Assistance for Law Enforcement Act in den Vereinigten Staaten und der Investigatory Powers Act im Vereinigten Königreich verpflichten Telekommunikationsanbieter, Hintertüren in ihre Netzwerke einzubauen, um gerichtliche Abhörmaßnahmen zu ermöglichen. Chinesische staatliche Hacker fanden diese Hintertüren. Und nutzen diese.

Der Wert dieser Informationen kann gar nicht hoch genug eingeschätzt werden. Rund vier Jahre lang hatten Mitarbeiter des MSS-Büros in Chengdu nicht nur Einblick in die Telefonate britischer Beamter, sondern auch in die Ermittlungen des FBI, die Überwachung chinesischer Agenten, die Erkenntnisse der USA über die Aktivitäten Pekings und die Aktivitäten der Spionageabwehr. Sie können Millionen von Personen geolokalisieren und Telefonate nach Belieben aufzeichnen. Sie kompromittieren die Überwachung ihrer eigenen Überwacher und erreichten damit das Äquivalent zur Spionageabwehr, indem sie das Spielbuch der anderen Seite während des laufenden Spiels lesen können.

Was folgt, ist das institutionelle Spielbuch. Die Positionen werden bereits aufgebaut.

Die Hintertür, die in beide Richtungen schwingt

Die Geschichte von Salt Typhoon handelt im Grunde genommen nicht vom Hacking. Es ist eine Geschichte über Architektur. Genauer gesagt handelt es sich um eine Geschichte darüber, was passiert, wenn Regierungen vorschreiben, dass ihre Überwachungssysteme einzelne Schwachstellen enthalten müssen, und dann davon ausgehen, dass diese Schwachstellen nur zu ihren Gunsten genutzt werden können.

Im Jahr 1994 verabschiedete der Kongress der Vereinigten Staaten den Communications Assistance for Law Enforcement Act, der Telekommunikationsanbieter dazu verpflichtet, ihre Netzwerke mit integrierten Funktionen für die staatliche Überwachung auszustatten. Das Gesetz entstand aus der Sorge des FBI, dass die digitale Vermittlungstechnik die traditionelle Überwachung unmöglich machen würde. Die Lösung des CALEA war in ihrer Naivität elegant: Alle Anbieter wurden gezwungen, eine standardisierte Schnittstelle zu entwickeln, über die die Strafverfolgungsbehörden auf gerichtliche Anordnung hin auf die Kommunikation zugreifen konnten. Die Schnittstelle sollte sicher sein, da sie geheim war, durch Zugriffskontrollen geschützt und durch Compliance-Regeln überprüft wurde. Kein Gegner dürfte sie finden, da kein Gegner wissen würde, wo er suchen musste.

Zweiundzwanzig Jahre später verabschiedete das Vereinigte Königreich den Investigatory Powers Act 2016, umgangssprachlich auch als „Snooper's Charter“ bekannt. Dieser ging noch weiter als der CALEA und verpflichtete Technologieunternehmen dazu, Kommunikationsdaten zu speichern und den Geheimdiensten Zugriffsmöglichkeiten zu gewähren. Die Architektur war dieselbe: zentralisierte Zugangspunkte für autorisierte Benutzer, geschützt durch die Annahme, dass nur autorisierte Benutzer diese nutzen würden.

Salt Typhoon war der konfrontative Test, bei der das System versagt hat.

Die chinesischen Betreiber mussten keine einzelnen Telefone hacken, was laut und leicht zu entdecken gewesen wäre. Sie mussten auch keine laufenden Kommunikationen abfangen, was das Knacken der Verschlüsselung erfordert hätte. Sie hackten das Abhörsystem selbst. Nachdem sie sich Zugang zur CALEA-Infrastruktur bei AT&T, Verizon und Lumen Technologies verschafft hatten, hatten sie Zugriff auf alles, worauf auch das FBI Zugriff hat: Anruf-Metadaten, aus denen hervorgeht, wer wann wen kontaktiert hat, Geolokalisierungsdaten, die aus der Triangulation von Mobilfunkmasten abgeleitet werden, den tatsächlichen Inhalt unverschlüsselter Anrufe und Textnachrichten und, was am verheerendsten war, die Datenbank mit aktiven Überwachungsanfragen. Sie können sehen, wen die US-Regierung beobachtet. Sie können sehen, ob sie selbst beobachtet werden.

Die Schwachstelle ist kein Fehler in der Architektur. Sie ist die Architektur selbst.

Seit Jahrzehnten warnen Kryptographen und Datenschützer davor, dass es keine Hintertüren gibt, die nur von den Guten genutzt werden können. Eine Schwachstelle ist eine Schwachstelle. Wenn sie existiert, wird ein ausreichend motivierter und mit den entsprechenden Ressourcen ausgestatteter Gegner sie finden. Die NSA, das GCHQ und das FBI taten diese Warnungen als theoretisch, akademisch und realitätsfern ab. Die Zugangsbedürfnisse der Strafverfolgungsbehörden sind legitim. Aber Salt Typhoon zeigt empirisch, dass die Risiken von vorgeschriebenen Hintertüren alle betreffen, auch die Regierungen, die sie vorgeschrieben haben.

Die Ironie grenzt an Unerträglichkeit. Als Salt Typhoon Ende 2024 entdeckt wurde, übte die britische Regierung Druck auf Apple aus, die iMessage-Verschlüsselung im Rahmen des Investigatory Powers Act zu schwächen. Das Argument war das gleiche, das auch zur CALEA geführt hatte: Strafverfolgungsbehörden brauchen Zugriff, und sorgfältig kontrollierter Zugriff kann sicher gehalten werden. Apple hat Berichten zufolge bestimmte Funktionen für britische Nutzer deaktiviert, anstatt sich zu fügen. Genau zur gleichen Zeit, wie The Telegraph später enthüllte, lasen chinesische Betreiber die Kommunikation aus dem Herzen von Downing Street über die von der britischen Regierung vorgeschriebenen Zugangspunkte.

Die Fachwelt hat dafür einen Namen: das Sicherheitsparadoxon. Systeme, die zur Überwachung entwickelt werden, werden selbst zum Ziel der Überwachung durch Gegner. Je mehr Zugangspunkte sie für Ihre eigenen Behörden schaffen, desto mehr Angriffsfläche bieten sie ausländischen Behörden. Die Debatte zwischen Sicherheit und Privatsphäre war schon immer eine falsche Dichotomie. Der eigentliche Kompromiss bestand zwischen der Überwachbarkeit durch die Regierung und der Überwachbarkeit durch die Regierungen aller.

Salt Typhoon hat diesen Kompromiss zu einem einzigen verheerenden Datenpunkt zusammenfallen lassen.

Die Kill Chain, die nicht zerstört werden kann

Um zu verstehen, was passiert ist, muss man wissen, wie Telekommunikationsnetze tatsächlich funktionieren, und nicht, wie sie in politischen Dokumenten dargestellt werden.

Ein modernes Telekommunikationsnetzwerk ist kein monolithisches System, sondern eine mehrschichtige Architektur, die Edge-Geräte, die mit dem öffentlichen Internet verbunden sind, die Kernrouting-Infrastruktur, die Pakete zwischen Netzwerken transportiert, Verwaltungssysteme, die Konfigurationen und Zugriffe verwalten, Abrechnungs- und Kundendatenplattformen sowie legale Abhörsysteme, die Überwachungsanfragen bearbeiten, umfasst. Jede einzelne Schicht hat ihre eigene Angriffsfläche. Salt Typhoon zielte auf die wichtigste Schicht ab: die Edge-Geräte, die alles andere steuern.

Der primäre Angriffsvektor waren zwei Schwachstellen in Cisco IOS XE, dem Betriebssystem, das weltweit auf Millionen von Unternehmensroutern und -switches läuft. CVE-2023-20198 mit einem perfekten CVSS-Schweregrad von 10,0 ermöglichte es einem nicht authentifizierten Angreifer aus der Ferne, ein Administratorkonto mit Level-15-Rechten zu erstellen, der höchsten Zugriffsebene auf Cisco-Geräten. CVE-2023-20273 ermöglichte eine Befehlsinjektion, die diese Berechtigungen auf Root-Zugriff auf das zugrunde liegende Linux-Betriebssystem erhöhte. Durch die Verkettung dieser beiden Schwachstellen kann ein Angreifer ein God-Mode-Konto auf jedem exponierten Cisco-Gerät erstellen und dann beliebigen Code mit vollständiger Systemkontrolle ausführen.

Die Schwachstellen wurden im Oktober 2023 bekannt gegeben. Cisco veröffentlichte Patches. Viele Telekommunikationsbetreiber verzögerten die Installation der Patches aufgrund betrieblicher Einschränkungen, die eine schnelle Behebung nahezu unmöglich machten.

Diese Dynamik ist keine Inkompetenz, auch wenn es so aussieht. Telekommunikationsinfrastrukturen stehen unter einem Druck, der zu strukturellen Verzögerungen bei Patches führt. Diese Netzwerke laufen 24 Stunden am Tag, 365 Tage im Jahr. Ausfallzeiten werden in Form von Umsatzverlusten und behördlichen Strafen gemessen. Das Patchen eines Core-Routers erfordert die Planung von Wartungsfenstern, das Testen von Updates in Laborumgebungen, die Koordination mit verbundenen Netzbetreibern und die Akzeptanz des Risikos, dass der Patch selbst zu Instabilität führt. Für viele Betreiber lautet die Rechnung: bekannte theoretische Schwachstelle versus sichere Betriebsunterbrechung. Sie entschieden sich für die theoretische Schwachstelle. Salt Typhoon wählte dies aus.

Die Insikt Group von Recorded Future dokumentierte die Kampagne, bei der zwischen Dezember 2024 und Januar 2025 weltweit über tausend Cisco-Geräte ausgenutzt wurden. Die wirklich alarmierende Erkenntnis ist jedoch, dass die Angreifer auch CVE-2018-0171 ausnutzten, eine Schwachstelle in Cisco Smart Install, die bereits sieben Jahre zuvor gepatcht worden war. Einige Geräte in kritischen Telekommunikationsinfrastrukturen waren seit 2018 nicht mehr aktualisiert worden. Die Angriffsfläche war nicht die Grenze der Zero-Day-Ausnutzung. Es war die angesammelte technische Schuld einer Branche, die Sicherheit als Kostenfaktor betrachtet.

Einmal im System, setzte Salt Typhoon einen ausgeklügelten Persistenzmechanismus ein, der genau darauf ausgelegt ist, die Abhilfemaßnahmen zu überstehen, die Carrier letztendlich ergreifen würden. Der primäre Implantat, von Trend Micro-Forschern unter dem Namen GhostSpider dokumentiert, arbeitet vollständig im Speicher, ohne die Festplatte zu berühren, und umgeht so herkömmliche Antivirenprogramme, die nach schädlichen Dateien suchen. Es nutzt DLL-Hijacking, um im Kontext legitimer Prozesse ausgeführt zu werden und umgeht so die Whitelist der Anwendung. Die Kommunikation mit den Command-and-Control-Servern ist verschlüsselt und als normaler HTTPS-Datenverkehr getarnt, sodass sie sich in die legitimen Webaktivitäten einfügt.

Die tiefere Persistenz wurde durch Demodex erreicht, ein Kernel-Mode-Rootkit, welches das Windows-Betriebssystem auf seiner untersten Ebene modifiziert. Demodex greift in Systemaufrufe ein, um seine eigenen Prozesse, Netzwerkverbindungen und Registrierungseinträge vor Administratoren zu verbergen, die Diagnosebefehle ausführen. Ein Operator, der ein kompromittiertes System untersucht, würde nichts Ungewöhnliches feststellen, da das Rootkit die sichtbaren Informationen filtert. Die Malware erreicht das, was die Cybersicherheitsbranche als „God-Mode-Persistenz“ bezeichnet: eine so vollständige Unsichtbarkeit, dass die einzige sichere Abhilfe der physische Austausch der Hardware ist.

Insbesondere auf Cisco-Geräten nutzen die Angreifer die Guest Shell aus, eine Linux-Containerumgebung, die für die Ausführung legitimer Verwaltungsskripte entwickelt wurde. Durch das Einschleusen von Schadcode in diesen vertrauenswürdigen Container erreichen sie eine Persistenz, die selbst Standard-Neustarts und sogar die Neuinstallation des Betriebssystems übersteht. Die Infektion befindet sich unterhalb der Ebene, auf die normale Administratoren Zugriff haben. Sie versteckt sich nicht im Haus. Sie ist Teil des Fundaments geworden.

Die operative Raffinesse erstreckt sich auch auf die Exfiltration. Salt Typhoon setzt ein spezielles Tool namens JumbledPath ein, das die Erfassung von Paketen über mehrere Netzwerk-Hops hinweg ermöglicht und gleichzeitig die Protokolle löscht und die Protokollierung entlang des Erfassungspfads deaktiviert. So können sie den Datenverkehr abfangen, ohne forensische Spuren der Abfangaktion zu hinterlassen. Sie ändern die Zugriffskontrolllisten auf kompromittierten Switches, um ihre Command-and-Control-IP-Adressen ausdrücklich zuzulassen, und stellen so sicher, dass ihre Hintertüren auch dann erreichbar bleiben, wenn die Sicherheitsteams die Firewall-Regeln aktualisieren. Sie erstellen Generic Routing Encapsulation-Tunnel, um gestohlene Daten über die kompromittierte Infrastruktur weiterzuleiten, sodass die Exfiltration als legitimer Netzwerkverkehr erscheint.

Laut einer Analyse von Cisco Talos betrug die durchschnittliche Verweildauer vor der Entdeckung 393 Tage. In einer Umgebung waren die Angreifer über drei Jahre lang präsent. Drei Jahre lang hatten sie Zugriff auf die Telekommunikationsinfrastruktur, über die die Kommunikation von Regierungen, Unternehmen und Privatpersonen läuft. Drei Jahre lang beobachteten sie die Beobachter.

Einblick in den Marktplatz für Hacker-Dienstleistungen in Chengdu

Die Zuordnung von Cyberoperationen ist bekanntermaßen schwierig. Angreifer nutzen kompromittierte Infrastrukturen in mehreren Ländern, verwenden handelsübliche Malware, die für jeden Käufer erhältlich ist, und platzieren absichtlich falsche Hinweise, die auf unterschiedliche nationale Ursprünge hindeuten. Die Geheimdienste haben aus voreiligen Zuordnungen bittere Lehren gezogen.

Die Zuordnung von Salt Typhoon ist von solchen Unklarheiten nicht betroffen. Es handelt sich um einen der am gründlichsten dokumentierten Fälle staatlich geförderter Cyberoperationen in der öffentlichen Aufzeichnung.

Das US-Finanzministerium verhängte am 17. Januar 2025 Sanktionen gegen Sichuan Juxinhe Network Technology Co. Ltd. und identifizierte das Unternehmen als ein in Chengdu ansässiges Cybersicherheitsunternehmen, das direkt an der Cybergruppe Salt Typhoon beteiligt ist. Die Formulierung ist für eine Sanktionsverhängung ungewöhnlich konkret, da hier normalerweise vorsichtigere Formulierungen verwendet werden. Das Finanzministerium erklärte, dass das Ministerium für Staatssicherheit enge Beziehungen zu mehreren Unternehmen unterhält, die sich mit der Ausnutzung von Computernetzwerken befassen, darunter auch Sichuan Juxinhe. Die Schlussfolgerung ist eindeutig: Es handelt sich nicht um einen einzelnen Akteur, der nur am Rande mit dem chinesischen Geheimdienst in Verbindung steht. Es handelt sich um eine Operation des MSS, die über die Infrastruktur eines Auftragnehmers durchgeführt wurde.

Chengdu hat sich zum wichtigsten Zentrum des chinesischen Ökosystems für offensive Cyber-Auftragnehmer entwickelt, eine Auszeichnung, die keine andere chinesische Stadt in gleichem Maße für sich beanspruchen kann. Die Gründe dafür sind struktureller Natur. Die Sichuan-Universität und die Chengdu-Universität für Informationstechnologie bringen regelmäßig Informatikabsolventen hervor, die über die für offensive Operationen erforderlichen technischen Fähigkeiten verfügen. Die Provinzregierung bietet Steueranreize für Hightech-Unternehmen, die Cybersicherheitsfirmen anziehen. Das Büro des MSS in Chengdu rekrutiert seit jeher aggressiv lokale Talente und nimmt diese unter Vertrag. Das Ergebnis ist eine geografische Konzentration von Fähigkeiten, die von den Geheimdiensten seit über einem Jahrzehnt verfolgt wird.

Sichuan Juxinhe ist keine isolierte Einheit, sondern Teil eines miteinander verbundenen Ökosystems. In der Benennung des Finanzministeriums werden auch Beijing Huanyu Tianqiong Information Technology Co. Ltd. und Sichuan Zhixin Ruijie Network Technology Co. Ltd. als verbundene Unternehmen genannt. Diese Firmen weisen ähnliche Muster bei der Unternehmensregistrierung, Überschneidungen beim Personal und bei der technischen Infrastruktur auf, was eher auf eine koordinierte als auf eine unabhängige Tätigkeit hindeutet.

Das Ökosystem wurde im Februar 2024 dramatisch sichtbar, als über fünfhundert interne Dokumente von i-SOON (Sichuan Anxun Information Technology Co., Ltd.) auf GitHub auftauchten – einer der bedeutendsten Lecks chinesischer Cyberoperationen, die jemals registriert wurden. Die Dokumente enthüllen einen Marktplatz für Hacker, auf dem private Firmen auf Regierungsaufträge bieten, um bestimmte Ziele zu kompromittieren. Preislisten zeigen die Kosten für verschiedene Zugriffsebenen. In Marketingmaterialien werden Tools zum Hacken von Twitter, Gmail, WeChat und Telegram beworben. Auf den Ziellisten stehen Regierungen in Indien, Thailand, Vietnam, Südkorea und NATO-Mitgliedstaaten. Das operative Bild ist unmissverständlich: Chinas Cyberspionageapparat arbeitet in erheblichem Maße über private Auftragnehmer, die um Aufträge des MSS und der PLA konkurrieren.

Die i-SOON-Enthüllungen liefern einen Rosetta-Stein zum Verständnis der Funktionsweise von Salt Typhoon. Die von i-SOON verwendeten Muster zur Domain-Registrierung stimmen mit denen überein, die in der Infrastruktur von Salt Typhoon beobachtet wurden. Malware-Familien überschneiten sich. Die Unternehmensbeziehungen zwischen i-SOON und anderen Firmen in Chengdu erklären, wie Fähigkeiten und Zielinformationen zwischen scheinbar getrennten Einheiten fließen können.

Die britische Regierung kam zu dem gleichen Schluss. Am 9. Dezember 2025 kündigte Außenministerin Yvette Cooper Sanktionen gegen die Integrity Technology Group und Sichuan Anxun Information Technology (i-SOON) wegen Aktivitäten gegen Großbritannien und seine Verbündeten an, die unsere kollektive Sicherheit beeinträchtigen. Die im August 2025 veröffentlichte gemeinsame Erklärung von 13 Nationen, die von Behörden aus den Vereinigten Staaten, dem Vereinigten Königreich, Australien, Kanada, Neuseeland, Deutschland, Japan und fünf weiteren Nationen unterzeichnet wurde, schrieb die Kampagne ausdrücklich privaten Auftragnehmern zu, die mit dem MSS in Verbindung stehen.

Die Beweise für diese Zuschreibung sind erdrückend: übereinstimmende technische Indikatoren mehrerer Geheimdienste, Angriffsmuster, die eher den Prioritäten des MSS als finanziellen Motiven entsprechen, Sanktionen zweier G7-Regierungen gegen bestimmte Unternehmen, ein durchgesickertes Dokument, das operative Details offenlegt, und ein multinationaler Konsens der Geheimdienste, die keinen Anreiz haben, falsche Zuschreibungen zu koordinieren.

Der Sprecher des chinesischen Außenministeriums, Guo Jiakun, wies die Vorwürfe als unbegründet und unverantwortliche Verleumdungen sowie Diffamierungen zurück und behauptete, China lehne Hacking ab und bekämpfe solche Aktivitäten im Einklang mit dem Gesetz. Die chinesischen Staatsmedien verbreiteten die Gegendarstellung, dass die Vorwürfe von Salt Typhoon eher den Bemühungen der USA dienen, sich Mittel aus dem Kongress zu sichern, als echten Geheimdienst Erkenntnissen entsprechen. Die Global Times bezeichnete die Vorwürfe als Farce der US-Verleumdungstaktik gegen China.

Diese Dementis sind diplomatische Notwendigkeiten. Sie halten keiner Überprüfung anhand der dokumentierten Beweise stand.

Die Kronjuwelen: Die inneren Kreise von drei Premierministern bloßgestellt

Das Zielprofil von Salt Typhoon offenbart strategische Absichten, die weit über herkömmliche Spionage hinausgehen.

In den Vereinigten Staaten wurde bestätigt, dass neun Telekommunikationsanbieter kompromittiert wurden: Verizon, AT&T, T-Mobile, Lumen Technologies, Spectrum (Charter Communications), Consolidated Communications, Windstream, Viasat und mindestens ein weiterer, nicht namentlich genannter Anbieter. Senator Mark Warner, Vorsitzender des Geheimdienstausschusses des Senats, bezeichnete dies als den schlimmsten Hackerangriff auf die Telekommunikation in der Geschichte unseres Landes. Der Vergleich des Ausmaßes ist aufschlussreich. SolarWinds, die im Dezember 2020 entdeckte Kompromittierung der russischen Lieferkette, betraf etwa 18.000 Organisationen mit einer tiefen Penetration von etwa 100. Salt Typhoon kompromittierte über 200 Unternehmen in 80 Ländern.

Die abgerufenen Daten lassen sich in zwei Kategorien mit sehr unterschiedlichen strategischen Auswirkungen einteilen.

Die erste Kategorie umfasst Metadaten in großen Mengen: Anrufdetailaufzeichnungen, aus denen hervorgeht, wer wann und wie lange mit wem Kontakt hatte, sowie Geolokalisierungsdaten, die aus Mobilfunkverbindungen abgeleitet wurden. Die ehemalige stellvertretende nationale Sicherheitsberaterin Anne Neuberger bestätigte, dass Angreifer die Möglichkeit erhielten, Millionen von Personen zu geolokalisieren. Metadaten offenbaren Muster, die allein anhand des Inhalts nicht erkennbar sind. Wenn ein hochrangiger Beamter des Finanzministeriums einen bestimmten BP-Manager in einer Nacht vor einer Ankündigung zur Ölförderung in der Nordsee dreimal anruft, weiß Peking schon vor dem Kabinett von der politischen Kursänderung. Die Kartierung von Kommunikationsnetzwerken offenbart die tatsächliche Entscheidungsstruktur von Regierungen, die sich oft erheblich von Organigrammen unterscheidet.

Die zweite Kategorie ist das gezielte Abfangen von Inhalten. Weniger als 100 Personen waren tatsächlich von der Kompromittierung von Anruf- und Textnachrichten betroffen, darunter jedoch Donald Trump, JD Vance und leitende Mitarbeiter der Harris-Kampagne während der Präsidentschaftswahlen 2024. Laut der Financial Times wurden im Dezember 2025 Mitarbeiter des China-Ausschusses, des Ausschusses für auswärtige Angelegenheiten, des Ausschusses für Streitkräfte und des Geheimdienstausschusses des Repräsentantenhauses Opfer von Datenverstößen. Die Auswahl der Ziele erfolgte nicht zufällig, sondern präzise.

Die vom Telegraph am 26. Januar 2026 aufgedeckte Infiltration des Vereinigten Königreichs reicht bis ins Herz der Downing Street. Das National Cyber Security Centre bestätigte, dass es seit 2021 eine Reihe von Aktivitäten beobachtet hatte, die auf die Infrastruktur des Vereinigten Königreichs abzielten. Die Kommunikation der Berater von Premierminister Boris Johnson, Liz Truss und Rishi Sunak war über einen Zeitraum von drei Jahren kompromittiert, in dem unter anderem die COVID-19-Pandemie bekämpft wurde, der Krieg in der Ukraine eskalierte und wichtige Handelsverhandlungen zwischen dem Vereinigten Königreich und China stattfanden.

Ob die persönlichen Geräte der Premierminister direkt kompromittiert wurden, ist öffentlich nicht bekannt. Der Unterschied ist möglicherweise weniger bedeutend, als es scheint. Bei einem Angriff auf ein Telekommunikationsnetzwerk müssen Angreifer nicht einzelne Geräte kompromittieren. Sie kompromittieren das Netzwerk selbst und fangen die Kommunikation ab, während sie die Infrastruktur des Netzbetreibers durchläuft. Das Telefon des Premierministers war möglicherweise vollkommen sicher. Die damit getätigten Anrufe waren es aber nicht.

Der strategische Zeitpunkt verschlimmert den Schaden noch. Im Zeitraum 2021 bis 2024 standen Entscheidungen über die Rolle von Huawei in der britischen 5G-Infrastruktur, die Bildung des AUKUS-Sicherheitspakts, die Sanktionspolitik gegenüber Hongkong und bilaterale Handelsverhandlungen mit Peking an. Der chinesische Geheimdienst hatte während der Diskussionen, bei denen die Interessen Chinas direkt auf dem Spiel standen, Echtzeit-Einblick in die britische Entscheidungsfindung. Die Informationsasymmetrie ist erschütternd.

Australien war ebenfalls betroffen. ASIO-Generaldirektor Mike Burgess bestätigte im November 2025, dass Salt Typhoon versucht habe, auf kritische Infrastrukturen Australiens, darunter Telekommunikationsnetze, zuzugreifen. In Kanada kam es im Februar 2025 zu einem bestätigten Einbruch bei mindestens einem nicht genannten Telekommunikationsunternehmen. Die Kampagne erstreckte sich über den Kern der Five Eyes hinaus: Ein südafrikanischer Anbieter wurde Berichten zufolge über Cisco-Plattformen kompromittiert, südostasiatische Telekommunikationsunternehmen entdeckten neue Malware-Varianten, und europäische Telekommunikationsorganisationen identifizierten noch im Oktober 2025 Einbruchsversuche.

Die Auswirkungen auf die Spionageabwehr sind der schädlichste Aspekt, werden jedoch in der Öffentlichkeit praktisch nicht diskutiert.

Durch den Zugriff auf CALEA-Systeme konnten die Betreiber von Salt Typhoon die Datenbank mit aktiven Abhöranträgen einsehen. Sie wussten, gegen wen das FBI ermittelte. Wenn MSS-Agenten in den Vereinigten Staaten überwacht wurden, konnte Peking sie vor ihrer Verhaftung abziehen. Wenn FBI-Ermittlungen sich sensiblen chinesischen Vermögenswerten näherten, konnte Peking sie warnen. Wenn Spionageabwehrmaßnahmen Fälle gegen chinesische Technologieunternehmen oder Einflussoperationen aufbauten, konnte Peking die sich ansammelnden Beweise einsehen.

Das ist der Albtraum der Spionageabwehr: Ihr Überwachungsapparat wird zur Informationsquelle des Gegners. Das FBI versäumte es nicht nur, chinesische Spione zu fassen. Es zeigte China auch genau, wo es seine enttarnten Spione finden konnte, bevor es diese fassen konnte.

Die verborgene Korrelation, die Risikomodelle nie erkannt haben

Systeme, die sich kritischen Übergängen nähern, weisen ein charakteristisches Merkmal auf, das Finanzrisikomodelle systematisch übersehen. Die Oberflächenkennzahlen bleiben stabil, während sich der zugrunde liegende Druck aufbaut. Die Korrelationen erscheinen harmlos, gerade weil sich der Stress gleichmäßig über alle verbundenen Komponenten verteilt. Dann erfolgt der Übergang nicht schrittweise, sondern auf einmal, in einer Kaskade, die sich schneller ausbreitet, als die Reaktionsmechanismen aktiviert werden können.

Die Physik der Phasenübergänge beschreibt dieses Phänomen präzise. Wasser bleibt beim Abkühlen flüssig, die Moleküle verlangsamen sich allmählich, die Temperatur sinkt vorhersehbar. Bei genau null Grad Celsius reorganisiert sich das System dann augenblicklich zu einer kristallinen Struktur. Der Übergang ist diskontinuierlich. Nichts in der allmählichen Abkühlung deutet auf die plötzliche Umstrukturierung hin.

Die Ausbreitung von Salt Typhoon über globale Telekommunikationsnetze folgte diesem Muster. Die Global Cyber Alliance dokumentierte zwischen August 2023 und August 2025 72 Millionen Angriffsversuche von IP-Adressen mit Ursprung in China auf Telekommunikationsinfrastrukturen weltweit. Die Zahl ist dabei nicht das Wichtigste, sondern die Verteilung. Anstatt sich auf wenige hochwertige Ziele zu konzentrieren, untersuchte die Kampagne systematisch die gesamte mit dem Internet verbundene Oberfläche von Telekommunikationsnetzen in 80 Ländern. Wenn ein Vektor versagte, waren andere erfolgreich. Der Angriff drang durch das Netzwerk der Netzwerke vor und fand Wege des geringsten Widerstands durch nicht gepatchte Geräte, Altsysteme und angesammelte technische Altlasten.

Die Ausbreitung auf 80 Länder war kein Fehler oder Scope Creep. Es ist die Ausnutzung der Netzwerktopologie selbst. Telekommunikationsanbieter sind durch Peering-Beziehungen, gemeinsame Anbieter, übertragenes Vertrauen und eine gemeinsame Infrastruktur miteinander verbunden. Die Kompromittierung eines Anbieters schafft Dreh- und Angelpunkte für verbundene Anbieter. Die Angreifer mussten nicht 80 Länder unabhängig voneinander angreifen. Sie mussten nur genügend Knotenpunkte kompromittieren, damit die Kaskadendynamik die Kompromittierung weiter trug.

Finanzrisikomodelle, die auf historischen Korrelationen basieren, hatten in der Zeit vor der Offenlegung nichts Ungewöhnliches festgestellt. Telekommunikationsaktien bewegten sich mit normaler Volatilität. Die Ausgaben für Cybersicherheit folgten den typischen Budgetzyklen. Die Korrelationsstabilität, die Risikomanager als beruhigend empfanden, maß den gleichmäßig aufgebauten Druck und nicht die Wahrscheinlichkeit einer Freisetzung.

Die Parallele zu den Kreditmärkten vor 2008 ist aufschlussreich, wenn auch ungenau. Hypothekenbesicherte Wertpapiere zeigten stabile Korrelationen, da sie alle dem gleichen zugrunde liegenden Risiko ausgesetzt waren. Diese Stabilität allerdings war die Warnung, nicht die Beruhigung. Als sich die Immobilienpreise drehten, sprang die Korrelation auf eins und alles bewegte sich gemeinsam. Die Diversifizierung, die schützend wirkte, entpuppte sich als getarnte Konzentration.

Salt Typhoon deckt eine ähnliche versteckte Korrelation in kritischen Infrastrukturen auf. Man ging davon aus, dass ein Angriff auf Verizon keine Auswirkungen auf BT haben würde, dass amerikanische Schwachstellen amerikanische Probleme seien und dass europäische Telekommunikationsunternehmen einem separaten Risikoregime unterlägen. Diese Annahme erwies sich als falsch. Überall werden die gleichen Cisco-Geräte eingesetzt. Die gleiche CALEA-Architektur schafft überall dort, wo es analoge Systeme gibt, die gleiche Schwachstelle. Das gleiche Ökosystem von Auftragnehmern zielt mit den gleichen Werkzeugen auf alle ab. Die Diversifizierung über Netzbetreiber und Gerichtsbarkeiten hinweg ist illusorisch. Sie alle waren und sind Teil eines einzigen Netzwerks.