Timo Steffens analysiert Cyberangriffe auf Unternehmen und Behörden. In seinem Buch "Auf der Spur der Hacker" beschreibt er sehr nachvollziehbar, wie moderne Hacking-Angriffe ablaufen und wie komplex sie mitunter sein können. Für Experten wie ihn ist das von Vorteil: denn dadurch sei es deutlich einfacher geworden, Hacker zu enttarnen.
Herr Steffens, haben Cyberattacken von staatlich beauftragten Hackern in den vergangenen Jahren zugenommen?
Timo Steffens: Das ist schwer zu beantworten, weil nicht alle Angriffe erkannt werden und weil manche Länder ihre Aktivität deutlich heruntergefahren haben. Zum Beispiel nimmt die Zahl beobachteter Aktivitäten von Gruppen, die Sicherheitsforscher China zuordnen, ab dem Jahr 2015 ab. Interessanterweise nachdem ein Cyber-Abkommen mit den USA geschlossen wurde. Aber man kann auf jeden Fall sagen, dass deutlich mehr Länder ihre Angriffsfähigkeiten ausbauen. Für Schwellenländer haben staatliche offensive Fähigkeiten ein gutes Risiko-Nutzen-Verhältnis, und sie können sogar als Nachweis für technologische Fortschrittlichkeit genutzt werden.
Immer mehr Staaten bauen ihre Cyber-Fähigkeiten aus. Hacker gehen immer ausgefeilter vor bei ihren Attacken, gleichzeitig wird es dadurch auch einfacher, Cyber-Angriffe zu enttarnen.
In Ihrem Buch schreiben Sie, dass die Täter enorme Fortschritte gemacht haben. Inwiefern?
Früher sind Hacker sehr banal vorgegangen. Sie haben Passwörter erraten und sich über ein Modem in das System eingehackt. Man konnte sie ausschließlich über die Telefonverbindung zurückverfolgen. Diese Vorstellung wird noch oft in Filmen verwendet.
Mittlerweile ist es so, dass die Täter nicht nur einen einzelnen Angriff durchführen, sondern viele Ziele gleichzeitig angreifen, die von strategischem Interesse sind. Die Schadsoftware und die Infrastruktur, über die diese Angriffe ablaufen, verwenden die Hacker über mehrere Kampagnen hinweg. Dadurch ist es möglich, die Vorgehensweise der Täter zu verfolgen.
Also kann man heutzutage alle Hacker erwischen?
Es ist paradox: Sehr schlechte und sehr gute Angreifer sind nicht so gut zu attributieren. Die einen verwenden öffentlich verfügbare Schadsoftware und sind daher kaum von anderen Tätern abzugrenzen. Die anderen sind talentiert oder gut organisiert und verwischen ihre Spuren von Anfang an. In beiden Fällen ist es schwer, die Täter zu benennen.
Zwischen diesen Polen gibt es aber Angreifer, die ihre eigenen charakteristischen Werkzeuge entwickeln, dabei aber je nach Professionalität gelegentlich oder sogar systematisch Fehler machen. Beispielsweise lässt sich dann nachvollziehen, welchen Login-Namen der Entwickler hatte oder welche Spracheinstellungen er auf seinem Entwicklungsrechner verwendet. Sobald man diese Werkzeuge findet, kann man die Gruppe über verschiedene Kampagnen hinweg identifizieren.
Was sind Entwicklungsrechner?
Das sind Rechner, auf dem die Schadsoftware-Entwickler Programme schreiben. Sobald der Code kompiliert, also in ein ausführbares Programm umgewandelt wird, gibt es bestimmte Voreinstellungen. Um nur ein Beispiel zu nennen: Wenn die Spracheinstellung des Rechners englisch ist, dann werden bestimmte Programmabschnitte für Fensterüberschriften und andere Knöpfe und Oberflächen automatisch in dieser Sprache erzeugt, unabhängig davon, ob die Schadsoftware solche Knöpfe überhaupt anzeigt.
Aber gehört es nicht zum Einmaleins der Hacker, so etwas zu wissen?
Für die Entwicklung von Schadsoftware gibt es in vielen Ländern keine formalisierte Ausbildung und nur selten vordefinierte Qualitätsanforderungen vom Arbeitgeber oder Auftraggeber. Die Entwickler sind meist Autodidakten, die Fehler machen und aus ihnen lernen. Ein Ansatzpunkt meines Buches ist, zu zeigen, dass Cyber-Spionage nicht nur aus Technik besteht, sondern auch durch die Gewohnheiten und Eigenheiten der Täter bestimmt wird. Genau dort setzen viele Attributionsmethoden an.
Gilt das auch für westliche Staaten?
Nein, dort geben Auftraggeber oder Nachrichtendienste Richtlinien vor. Das hat man zuletzt bei den "Vault 7"-Dokumenten der CIA gesehen, die Wikileaks veröffentlichte. Dort stand sehr detailliert, worauf Mitarbeiter achten mussten: Zeitstempel modifizieren, die verwendeten Algorithmen für die Verschlüsselung variieren zum Beispiel.
Die Liste ist sehr lang.
Man muss annehmen, dass die Entwickler diese Richtlinien nicht alle im Kopf behalten müssen. Aus den CIA-Dokumenten lässt sich ableiten, dass viele verräterische Spuren automatisch entfernt werden, bevor die Spionagewerkzeuge eingesetzt werden. Falls iranische oder chinesische Auftraggeber anders arbeiten sollten, gibt es aber in der Tat viele Dinge zu bedenken.
Ab wann ist eine Attribution denn ernstzunehmen?
Wenn man Spuren aus verschiedenen Aspekten eines Angriffs finden kann. Einmal Spuren aus der Schadsoftware, die für den Angriff genutzt wird. Über die Spracheinstellungen haben wir schon gesprochen, aber es gibt noch eine Fülle weiterer möglicher Spuren. Dann die Server, über die der Angriff gesteuert wird. Hat der Täter bei der Registrierung Fehler gemacht? Hinzu kommt außerdem noch eine geopolitische Analyse. Wer wird angegriffen - und wer könnte daran ein Interesse haben? Wenn all diese Spuren konsistent auf einen Akteur hindeuten, teilweise über Jahre hinweg, dann kann eine Attribution überzeugend sein.
Aber digitale Spuren lassen sich fälschen.
Es gibt immer die Restmöglichkeit, ja. Man muss abwägen: Wie aufwendig ist es, solche Spuren zu fälschen und wie plausibel ist es, wenn man sich die sonstigen Fähigkeiten anschaut? Wenn die Schadsoftware total primitiv ist, dann ist es schlicht nicht glaubwürdig, dass diese Gruppe extrem aufwendige falsche Fährten legen könnte.
Wieso verwenden Hacker nicht einfach pro Angriff komplett neue Angriffsmethoden?
Es gibt Gruppen, die jedesmal eine neue Infrastruktur aufziehen. Aber pro Aktion eine eigene Schadsoftware zu verwenden, das kann sich selbst die NSA oder GCHQ, der britische Geheimdienst, nicht leisten. In öffentlichen Berichten konnte man nachlesen, dass die britischen Hacker unterschiedliche Ziele mit derselben Schadsoftware angegriffen haben.
Als deren Schadsoftware, Regin genannt, öffentlich bekannt wurde, ist diese Variante der Schadsoftware nirgends mehr gefunden worden. Auch die Gruppe APT29 - auch sie haben die US-Demokraten gehackt - ist in der Versenkung verschwunden.
Nun reden wir ja von Gruppen, die eigentlich geheimdienstlich unterwegs sind. Aber trotzdem können wir uns über sie unterhalten. Viel ist öffentlich bekannt.
Im Gegensatz zur klassischen Spionage betreffen Cyberangriffe auch sehr stark Unternehmen, manchmal auch Privatpersonen. Es gibt einen Markt für IT-Sicherheitsfirmen, die bei der Aufklärung unterstützen. Sie sind nicht an Geheimhaltungsstufen gebunden. Zu deren Strategie kann es gehören, über Erkenntnisse zu reden. Das bringt schließlich Öffentlichkeit. Zudem haben Betroffene ein legitimes Interesse, die Hintergründe der Täter zu erfahren.
Außerdem haben Sicherheits-Firmen Millionen ihrer Produkte auf Rechnern installiert. Das sind lauter Sensoren. Die NSA kann von so einer Informationsflut von Endsystemen - Laptops, Tablets, Desktop-Rechnern - nur träumen. Deshalb haben diese Firmen ganz andere Daten und können teilweise auch Dinge, die Nachrichtendienste nicht können.
Was genau bringt Attribution überhaupt?
Der Mythos vom anonymen Hacken wankt. Auch wenn es manchmal Jahre dauert, kann man in manchen Fällen starke Hinweise finden, wer für Angriffe verantwortlich ist. Das kann helfen, die Zielrichtung der Täter und dadurch die Gefährdung von Unternehmen und Organisationen abzuschätzen. Ich denke, diese Fortschritte in der Attribution sollte man sowohl diplomatisch als auch für die Strafverfolgung nutzen.
