bedeckt München
vgwortpixel

Crowdstrike und Donald Trump:"Ich möchte, dass Sie uns einen Gefallen tun"

  • Neben dem Thema Joe Biden sprach Donald Trump mit dem ukrainischen Präsidenten Selenskij auch über das amerikanische IT-Sicherheitsnunternehmen Crowdstrike.
  • Trump bittet Selenskij dabei um einen "Gefallen". Dieser solle dem Thema "auf den Grund gehen".
  • Crowdstrike untersuchte 2016 den Hacker-Angriff auf das Wahlkampfkomitee der Demokraten und machte Russland verantwortlich.

Die Dokumentation des Telefonats von US-Präsident Trump mit dem ukrainischen Präsidenten Wolodimir Selenskij, die das Weiße Haus vorlegte, verärgert die Demokraten. Der Grund ist vor allem, dass sie in dem Telefonat einen Versuch Trumps sehen, Ermittlungen gegen seinen möglichen Wahlkampfgegner Joe Biden durch die Ukraine anzustoßen. Wer sich mit IT-Sicherheit oder der mutmaßlichen Einmischung Russlands in den Wahlkampf 2016 auskennt, den ließ eine andere Passage aufhorchen. Trump nennt den Namen "Crowdstrike". So heißt ein Unternehmen, das sich auf die Analyse von Hacking-Angriffen spezialisiert hat.

Dass Trump Crowdstrike ins Spiel bringe, sei "einfach schockierend", schrieb Michael McFaul, der unter Barack Obama Botschafter in Moskau war. Was hat es mit der Firma auf sich? Warum taucht sie in dem Telefonat auf?

Die Passage, in der Trump Crowdstrike anspricht, liest sich kryptisch, was auch an möglichen Auslassungen liegen könnte - das Dokument ist keine wörtliche Abschrift des Telefonats. Es wurde aus Erinnerungen und Notizen von Mitarbeitern im Weißen Haus und des Nationalen Sicherheitsrates erstellt.

"Ich möchte, dass Sie uns einen Gefallen tun, denn unser Land hat einiges durchgemacht und die Ukraine weiß viel darüber. Ich möchte, dass Sie herausfinden, was mit dieser ganzen Situation mit der Ukraine passiert ist, sie sagen, dass Crowdstrike ... Ich denke, sie haben einen von euren reichen Leuten ... Der Server, sie sagen, die Ukraine hat ihn."

Die Punkte nach den Worten "Crowdstrike" und "reichen Leuten" könnten darauf hindeuten, dass an den Stellen Wörter fehlen.

Dann konkretisiert Trump den "Gefallen": "Ich möchte, dass Sie dem auf den Grund gehen. Wie Sie gestern gesehen haben, endete dieser ganze Nonsens mit einer armseligen Vorstellung eines Mannes namens Robert Mueller." (Das Telefonat fand am Tag nach den Aussagen von Sonderermittler Mueller vor dem Kongress statt)

Was ist Crowdstrike?

Crowdstrike ist ein Cybersicherheitsunternehmen, das 2011 gegründet wurde und in Sunnyvale, Kalifornien, sitzt. Im Juni dieses Jahres ging es an die Börse. Das Unternehmen spielte eine zentrale Rolle bei den Ermittlungen, wer 2016 die Systeme des Demokratischen Wahlkampfkomitees (DNC) gehackt hatte.

Später im Wahlkampf veröffentlichte Wikileaks die E-Mails demokratischer Wahlkämpfer, die die Hacker abgesaugt hatten. Sie ließen die demokratische Kandidatin Hillary Clinton schlecht dastehen. Trump gewann die Wahl und wurde Präsident.

Womöglich ist Trump nach wie vor der falschen Überzeugung, dass Crowdstrike ein ukrainisches Unternehmen ist - das Unternehmen sitzt allerdings in den USA. In einem AP-Interview bezeichnete er Crowdstrike 2017 als "in der Ukraine ansässig". Und weiter: "Ich habe gehört, es gehört einem sehr reichen Ukrainer." Crowdstrike antwortete damals, Trump verwechsle womöglich etwas: Er meine vielleicht den Mitgründer und Technikchef Dmitri Alperovitch - der sei allerdings US-Amerikaner russischer Abstammung.

Crowdstrikes Glaubwürdigkeit zu beschädigen, könnte Trump nützen. Denn die Analyse des Unternehmens ist fundamental für einen der Lieblingsvorwürfe der Demokraten gegen Trump: dass er die Wahl 2016 nur gewinnen konnte, weil Hacker aus Russland ihm halfen. Der Bericht von Sonderermittler Mueller zitiert Crowdstrikes Analyse des DNC-Hacks mehrfach.

Das DNC rief Crowdstrike zu Hilfe, als im Frühjahr 2016 klar wurde, dass sich Angreifer Zugang zu seinen Systemen verschafft hatten. Analysten des Unternehmens säuberten die Systeme von der Schadsoftware der Hacker, analysierten die digital-forensischen Spuren und versuchten, das System gegen weitere Angriffe zu schützen. Erst später zogen sie das FBI hinzu. Der New York Times zufolge erklärte Crowdstrike schon nach einem Tag, dass Russland verantwortlich sei.

Die Auswertung des FBI basierte dann auch auf der Analyse von Crowdstrike. Dem damaligen FBI-Chef James Comey zufolge waren allerdings auch andere IT-Sicherheitsunternehmen beteiligt.

Auf die Passage in der Telefonmitschrift angesprochen, sagte ein Crowdstrike-Sprecher der SZ: "Wir haben dem FBI sämtliches forensisches Beweismaterial und unsere Analysen zur Verfügung gestellt. Wie bereits erklärt, stehen wir weiterhin zu unseren Erkenntnissen und den Schlussfolgerungen, die im Übrigen von der US-Nachrichtendienst-Gemeinde gestützt wurden."

Was meint Trump mit "dem Server"?

Seit den FBI-Ermittlungen zum DNC-Hack kursiert in den USA eine von rechten Anhängern der Republikaner, Trump-Vertrauten und Trump selbst immer wieder gestreute Verschwörungstheorie: Die Demokratische Partei habe dem FBI wichtiges Beweismaterial vorenthalten. Zentral soll dabei ein "Server" gewesen sein, also ein Computer, über den die Netzwerkverbindungen der Partei liefen. Was genau sich auf dem Server befunden haben soll, beziehungsweise was Trump sich Jahre später von dessen Inhalt erhofft, ist unklar. Auch Anhänger der Theorie führten das nie genauer aus. Die Daten, die sich auf den diversen Servern der Demokratischen Partei befanden, dürften jedoch mit hoher Wahrscheinlichkeit schon im Besitz des FBI sein.

Einen physischen Computer braucht das FBI für die Analyse gar nicht. Das Magazin Vice machte sich Ende 2018 die Mühe, die Verschwörungstheorie seinen Lesern zu erklären. Es hat dabei unter anderem die Experten Thomas Rid und Lesley Carhart befragt. Denen zufolge sei es seit Jahrzehnten Standard, mit digitalen Kopien von Daten zu arbeiten, sogenannten Images. So müsse man nicht umständlich physische Server von A nach B transportieren. Davon abgesehen sei es irreführend, von einem einzigen entscheidenden Server zu sprechen, wenn es um die Zuschreibung des Hacks gehe. Dazu sei es etwa genauso wichtig, die - irgendwo in der Welt stehenden - Server zu untersuchen, von denen aus die Hacker ihre Angriffswerkzeuge losschickten, wie die Server der Partei selbst. Ebenfalls potenziell relevant sei ein Server, den die Hacker in Arizona angemietet hatten, um die gestohlenen Daten weiterzuleiten.

In der Klageschrift der Demokratischen Partei, die die Trump-Kampagne wegen des Hacks verklagte, heißt es, sie habe wegen des Angriffs 140 Server abschalten und 180 weitere Computer neu aufsetzen müssen.

IT-Forensik wird politisch

Die meisten Fachleute akzeptieren Crowdstrikes Theorie von den russischen Hackergruppen, auch nachdem das Unternehmen 2017 einen offiziellen Bericht über den Hack überarbeiten musste. Darin stand ursprünglich, dieselben russischen Hacker hätten eine App angegriffen, die die ukrainische Artillerie verwendete, und seien deshalb für schwere Verluste verantwortlich. Das stellte sich als falsch heraus.

Die Zuweisung von Hacking-Angriffen ist oft schwierig. Viele Analysten scheuen davor zurück, Staaten namentlich verantwortlich zu machen. Sie sehen sich als rein technische Analysten. Doch der Fall Crowdstrike zeigt, wie so ein Unternehmen zwischen politische Fronten geraten kann.

IT-Sicherheit "30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst"

Cybersicherheit

"30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst"

Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma Crowdstrike, über die Frage, warum russische Hacker die schnellsten sind, was an Nordkorea innovativ ist und warum KI seine Firma nie ersetzen wird.   Interview von Max Muth