Cyberangriffe im US-Wahlkampf: Wer hackt denn da?

Es gibt einfache Antworten auf die Frage, wer hinter den Angriffen auf die US-Demokraten steckt. Doch nicht alle Fachleute sind damit zufrieden.

Wladimir Putin will die Attacken nicht veranlasst haben Foto: ap

BERLIN taz | Anfang Oktober machte die Obama-Administration es offiziell: Russland soll hinter dem Hack des Democratic National Commitees (DNC) im Frühjahr gesteckt haben, so NSA-Chef James Clapper und das US-Innenministerium. Aufgrund von Ausmaß und Sensibilität der Operation „glauben wir, dass nur Russlands höchste Offizielle diese Aktivitäten autorisiert haben können“.

Damals waren die Demokraten bereits seit Monaten wegen immer neuer geleakter E-Mails in Erklärungsnöten – Mails, die mutmaßlich bei dem Datenklau erbeutet wurden. Erst musste Parteivorsitzende Debbie Wasserman Schultz wegen der Veröffentlichungen zurücktreten. Dann veröffentlichte die Seite DCLeaks und die Whistleblowing-Plattform WikiLeaks immer mehr Bröckchen, von denen viele mitten im rüden Präsidentschaftwahlkampf von den Medien aufgegriffen wurden.

Detaillierte Angaben dazu, wie sie zu der Schlussfolgerung kamen, dass Moskau hinter den DNC-Angriffen steht, legten Clapper und das Innenministerium nicht vor. Doch ganz neu war die Verbindung nicht: Schon im ersten Medienbericht über den Hack Mitte Juni tauchte sie auf. Und diese Zuweisung war nicht aus der Luft gegriffen, sondern basierte auf Aussagen des IT-Sicherheitsunternehmens Crowdstrike, das die Demokraten mit der Untersuchung beauftragt hatten.

Von „zwei erfahrenen Gegnern“ ist in einer wenig später veröffentlichten Crowdstrike-Analyse die Rede. Gegnern, die Angriffsmuster verwenden, die der Firma von anderen Kunden bekannt seien: APT 28 und APT 29. Die Abkürzung steht für „Advanced Persistent Threat“ (fortgeschrittene andauernde Bedrohung). So werden im Branchenjargon Akteure genannt, die zielgerichtet und komplex auf IT-Infrastrukturen und vertrauliche Daten von Behörden und Unternehmen zuzugreifen versuchen. Sind die Angriffe komplex und treten ihre Muster wiederholt auf, steht dahinter mutmaßlich kein Einzeltäter, sondern eine Gruppe – so wie im Fall von APT 28, in Fachkreisen auch unter den Namen „Fancy Bear“ und „Sofacy Group“ bekannt. Auch andere IT-Sicherheitsfirmen aus den USA, darunter Mandiant und Fidelis, veröffentlichten Analysen mit dem gleichen Ergebnis.

Laut Crowdstrike haben die beiden Akteure nicht zusammengearbeitet. Und dass APT 28 anhand seiner Angriffsziele – „Verteidigungsministerien und andere militärische Ziele“ der USA, Westeuropas, Chinas und weiterer Länder – ein Profil aufweise, „das die strategischen Interessen der russischen Regierung“ spiegele – was auf eine Zugehörigkeit zu Moskauer Geheimdiensten hindeuten könne.

Manchen Beobachtern reicht das nicht

Trotzdem reichten diese Belege manchen Beobachtern nicht aus. So twitterte Ende Juli NSA-Whistleblower Edward Snowden: „Beweise, die öffentlich die Verantwortung für den DNC-Hack zuweisen könnten, existieren bestimmt in der NSA“ – doch die Geheimdienste würden sich weigern, sie publik zu machen. Das änderte sich auch nach Clappers Statement im Oktober nicht.

Auch die Einlassung von Russlands Präsident Wladimir Putin zum Thema sorgte nicht für Klarheit. Er dementierte zwar mehrfach eine Beteiligung seiner Regierung – aber in recht wolkiger Sprache. Anfang September etwa sagte Putin dem US-Nachrichtensender Bloomberg: „Ich weiß nichts darüber und auf staatlicher Ebene hat Russland das niemals getan“ – wies aber gleichzeitig darauf hin, dass die Frage, wer hinter den Hacks stecke, doch vielleicht gar nicht so bedeutend sei. Wichtiger sei doch, dass Inhalte publiziert worden seien, von denen man das öffentliche Interesse nicht ablenken solle. Eine deutliche Distanzierung klingt anders.

Thomas Rid, Professor für Sicherheitsstudien am King’s College in London, ist überzeugt, dass APT 28 hinter dem DNC-Angriff steckt – und dahinter ein russischer Geheimdienst. In mehreren Artikeln schrieb Rid ausführlich über den bunten Strauß an Belegen, die IT-Forensiker dafür gefunden haben. Sie reichten von versehentlich einsehbaren E-Mail-Dokumentationen über den verwendeten Linkkürzungsdienst Bit.ly, mehrfach verwendete Werkzeuge, Methoden und Infrastruktur bis hin zu einzigartigen kryptografischen Schlüsseln, die die Angreifer verwendet haben sollen.

Einer von vielen Fingerzeigen für den Zusammenhang zwischen DNC-Hack und russischen Geheimdiensten ist für Rid eine sogenannte Command-and-Control-Adresse. Das ist eine IP-Adresse – also eine Nummernfolge, die Geräten zugewiesen wird, damit sie übers Internet auffindbar sind –, die auf einen Server verweist, von der aus Schadsoftware auf infizierten Rechnern gesteuert wird. Jene nichtöffentliche IP-Adresse sei nicht nur beim DNC-Hack verwendet worden, sondern auch bei einem anderen Hacker-Angriff: dem auf den Deutschen Bundestag im April 2015.

Auch bei Letzterem ist Rid sicher: „Wir wissen ziemlich gut, dass es der russische Militärgeheimdienst war.“ Und auch mit dieser Einschätzung ist er nicht allein: Schon im Juli 2015 ordnete der ehemalige Chef des Bundesamts für Sicherheit in der Informationstechnologie den Angriff einem APT 28 zu. Das deckte sich mit einer Analyse eines Sicherheitsforschers, den die Bundestagsfraktion der Linkspartei mit der Analyse infizierter Rechner betraut hat. Und im Mai dieses Jahres hieß es auch aus dem Bundesamt für Verfassungsschutz, man führe die Angriffe auf russische Dienste zurück, womit entsprechende Medienberichte bestätigt wurden.

Arbeiten mit Wahrscheinlichkeiten

Aber: Ist die eindeutige Zuweisung derartiger Hacks nicht schwierig bis unmöglich? Nein, sagt Rid einerseits: „Heute ist etablierte Meinung, dass Angriffe auf Computernetzwerke im großen Stil, aber auch Computerkriminalität, auf die Täter zurückgeführt werden kann.“ Andererseits habe man es in diesem Bereich immer mit Wahrscheinlichkeiten zu tun.

Die entsprechende Zuweisung erfolgt laut Rid über zwei Achsen: die „horizontale Attribution“, bei der Sicherheitsforscher über die Analyse der Angriffswerkzeuge der Hacker, ihrer Kontrollinfrastruktur und anderer Anhaltspunkte Verbindungen zwischen mehreren Taten herstellen könnten. Das funktioniere ähnlich wie bei Verbrechen in der Offline-Welt: dieselbe Waffe, derselbe Fluchtwagen, derselbe Fingerabdruck.

„Die vertikale Zuweisung – also wer wirklich dahintersteckt – ist schwieriger“, so Rid weiter. „Da muss man nachrichtendienstliche Methoden anwenden und mit der horizontalen Zuweisung kombinieren.“ Dabei allerdings muss man sich auf die Nachrichtendienste verlassen – obwohl stark variiere, wie viele Belege diese tatsächlich öffentlich machten.

Die bekannt gewordenen Fälle in den USA und Deutschland sind nicht die einzigen: Angriffe auf Computernetze politischer Ziele sind längst Alltag. So wurde laut Bundesamt für Sicherheit in der Informationstechnik 2015 alle zwei Tage ein Angriff beobachtet, der einen nachrichtendienstlichen Hintergrund nahelege. „Alle möglichen Länder spionieren sich gegenseitig aus, ganz besonders politische Ziele. Das ist normal – auch wenn man nicht so viel darüber redet.“

Auch Rid sagt: „Die Amerikaner machen das, die Russen machen das. Neu ist in diesem Zusammenhang, dass man die Informationen, die man durch Spionage erlangt hat, veröffentlicht.“ Auf WikiLeaks etwa. Dafür gibt es sogar ein russisches Wort: „Kompromat“, Dreck, mit dem man den Gegner bewirft, wenn das opportun erscheint. Dafür dürfte auch das Material deutscher Abgeordneter interessant sein, sagt Rid.

Hier und da ist aber doch Skepsis an der eindeutigen Zuweisung Richtung Russland zu hören. Hartmut Pohl ist Professor für IT-Sicherheit und geschäftsführender Gesellschafter der deutschen IT-Sicherheitsfirma Softscheck. Schon dass die Angriffe gegen DNC und Bundestag dem Angreifer APT 28 zugeordnet werden, hält er für nicht gesichert. „Das mag sein, dahinter stehen ein paar Techniker, die arbeiten mal für diesen, mal für jenen Auftraggeber.“ Aber um das sicher sagen zu können, müsse man schon dort eine Quelle haben – oder im russischen Geheimdienst.

Kaffeesatzleserei ist nicht zielführend

„Den deutschen Sicherheitsbehörden sind 50 Unternehmen bekannt, die derartige Angriffe durchführen. Die machen das für Geld. Ob die nun im Einzelfall auch mal vom russischen Staat oder der NSA beauftragt sind – das mag sein, die finanziellen Ressourcen dafür wären da. Aber mit solchen Zuschreibungen sollte man äußerst vorsichtig sein.“ Generell sagt Pohl aber: „Ich halte diese Kaffeesatzleserei, wer es war, für nicht zielführend. Entscheidend ist, dass es geht.“

Rid hat für Skepsis angesichts der vorliegenden Beweise wenig Verständnis. „Wir nähern uns dem Punkt an, wo es nur zwei Gründe haben kann, warum man die Belege nicht akzeptiert. Erstens: Man kann sie nicht verstehen, weil man nicht den notwendigen technischen Hintergrund hat. Oder zweitens: Man will sie nicht verstehen.“

Der durch seine Enthüllungsgeschichten zum Fall Edward Snowden bekannte Journalist Glenn Greenwald dagegen meint: „Regierungen spionieren sich gegenseitig aus und versuchen so, Ergebnisse in anderen Ländern zu beeinflussen. Die US-Regierung hat eine sehr lange und erfolgreiche Geschichte, genau das zu tun.“