Hacking-Vorwürfe Viele Indizien gegen Russland, aber kaum Beweise

US-Präsident Obama weist wegen des Hacks 35 russische Diplomaten aus - die angedrohte Revanche dafür hat Putin vorerst abgesagt.

(Foto: AFP)
  • Im Fall des Hacks gegen die Demokratische Partei und andere amerikanische Organisationen weisen Indizien nach Russland.
  • Allerdings fordern Fachleute, dass die US-Regierung noch klarere Beweise vorlegen müsse.
  • Der Fall macht grundsätzliche Probleme bei der Ermittlung digitaler Angreifer deutlich.
Von Jannis Brühl und Hakan Tanriverdi

Zwei Atommächte gehen an diesem Freitag in die offene Konfrontation. Die US-Regierung verkündet, Russland sei für Hackerangriff auf die Demokraten verantwortlich und müsse bestraft werden. Präsident Obama verhängt Sanktionen, Russland folgt zunächst, Präsident Putin zieht die Ankündigung aber kurze Zeit wieder zurück. Vorerst.

Die USA erklären den Kreml zum Täter. Die Gruppe APT28, Hacker im russischen Staatsauftrag, soll während des US-Wahlkampfs verschiedene Ziele in den USA attackiert haben, darunter das Demokratische Wahlkampfkomitee. Solche Behauptungen erfordern hieb- und stichfeste Beweise. Bereits am 14. Dezember hatte die Regierung angekündigt, dass ausführliche Belege vorgelegt würden. Die Details, die FBI und Heimatschutz am Donnerstag veröffentlichten, genügen diesem Anspruch nicht.

Die Suche nach Tätern ist schwierig

Wenn ein Staat eine Rakete auf einen anderen abfeuert, dann kann man das anhand von Satellitenbildern rekonstruieren. Bei einem professionellen Hack, wie ihn die USA Russland vorwerfen, ist das anders. IT-Forensik - die Rekonstruktion digitaler Angriffe - ist eine komplizierte Spurensuche in Tausenden Zeilen Programmiercode der Software, die die Angreifer verwendet haben.

Diese Suche kann ergeben, wie es gemacht wurde, aber selten, wer es war. Die Fachleute interessieren sich nur für den Ablauf des Angriffs. Politiker wollen aber ein Ergebnis wie im Krimi: Einen Täter mit Blut an den Händen. Das kann IT-Forensik mit den wenigen bekannten Details in diesem Fall aber möglicherweise gar nicht liefern. Viele Fachleute verwahren sich auch gegen Vereinnahmung ihrer Arbeit durch die Politik.

Das Grundproblem bei der Zuordnung von Angriffen ist: Die technischen Mittel dafür haben nur Geheimdienste und hochspezialisierte Unternehmen. Die Dienste haben womöglich eine politische Agenda. Kommerzielle IT-Firmen sind dafür an Selbstvermarktung interessiert.

Erschwert wird die forensische Analyse dadurch, dass alle Details digital sind - und damit veränderbar. Der Politikwissenschaftler P. W. Singer und der Informatiker Allan Friedman weisen in ihrem Buch "Cybersecurity and Cyberwar" darauf hin, dass so auch Angriffe unter falscher Flagge denkbar seien: Hacker können von einem Drittland aus Server in einem als "Hacker-Staat" wie China oder Russland übernehmen und mit diesen ein Ziel angreifen. Zugleich verwischen sie ihre Spuren. Das funktioniert aber auch andersrum: Die Autoren geben zu bedenken, dass Regierungen mit dieser Logik immer abstreiten könnten, hinter Angriffen von Servern im eigenen Land aus zu stehen. Diese sogenannte "glaubhafte Abstreitbarkeit" ist essentiell für die Verschleierung von Geheimdienstoperationen.

Was spricht für einen russischen Angriff?

Es kann sein, dass die USA weitere Informationen haben, die sie zurückhalten. Einige Indizien, die öffentlich bekannt sind weisen in jedem Fall Richtung Russland, wenn auch nicht direkt zum Kreml: Eines der gestohlenen und dann veröffentlichten Dokumente verriet den russischen Spitznamen eines seiner Bearbeiter. Andere Einträge waren in kyrillischer Schrift. Die Zeiten, in denen die Angreifer aktiv waren, decken sich zudem mit russischen Zeitzonen.

Sicherheitsforscher fanden heraus, dass die verdächtigte Hackergruppe seit mehreren Jahren tätig ist. Sie verwendet spezifische Schadsoftware, die in den Systemen ihrer Opfer Spuren hinterlässt. So ließ sich eine Art digitaler Fingerabdruck erstellen. Die Sicherheitsfirma ESET fand heraus, dass viele der so ausgespähten Ziele in Russlands Interessenssphäre liegen: Politiker und Polizeichefs aus der Ukraine, Nato-Mitarbeiter, eine anonyme Gruppe, die E-Mails russischer Politiker veröffentlichte.

Putin: Werden US-Diplomaten nicht ausweisen

Am Morgen hat das russische Außenministerium dies als Reaktion auf eine US-Entscheidung angekündigt. Putin spricht außerdem eine überraschende Einladung an die Kinder der Diplomaten aus. mehr ...

Der Sicherheitsforscher Thomas Rid fand heraus, dass die Demokraten von einer IP-Adresse aus angegriffen wurden, die auch nach dem Angriff auf den Bundestag 2015 gefunden wurde: Das sei " wie identische Fingerabdrücke in zwei Gebäuden, in die eingebrochen wurde". Es handele sich um dieselbe Gruppe. Um diese mit Russland in Verbindung zu bringen, verwies Rid auf Verfassungsschutz-Chef Hans-Georg Maaßen. Der macht Russland für den Bundestags-Hack verantwortlich.

Auch andere IT-Sicherheitsforscher bringen die Hacker in Verbindung mit dem russischen Staat. Laut Stefano Maccaglia, der selbst als krimineller Hacker arbeitete, hacke die APT-28-Gruppe das, was den Geheimdiensten strategisch passe - und werde dafür von ihnen vor Strafverfolgung geschützt. Eine Aussage, die sich nicht überprüfen lässt.