Hacking-Vorwürfe: Viele Indizien gegen Russland, aber kaum Beweise

• Im Fall des Hacks gegen die Demokratische Partei und andere amerikanische Organisationen weisen Indizien nach Russland.
• Allerdings fordern Fachleute, dass die US-Regierung noch klarere Beweise vorlegen müsse.
• Der Fall macht grundsätzliche Probleme bei der Ermittlung digitaler Angreifer deutlich.

Zwei Atommächte gehen an diesem Freitag in die offene Konfrontation. Die US-Regierung verkündet, Russland sei für Hackerangriff auf die Demokraten verantwortlich und müsse bestraft werden. Präsident Obama verhängt Sanktionen, Russland folgt zunächst, Präsident Putin zieht die Ankündigung aber kurze Zeit wieder zurück. Vorerst.

Die USA erklären den Kreml zum Täter. Die Gruppe APT28, Hacker im russischen Staatsauftrag, soll während des US-Wahlkampfs verschiedene Ziele in den USA attackiert haben, darunter das Demokratische Wahlkampfkomitee. Solche Behauptungen erfordern hieb- und stichfeste Beweise. Bereits am 14. Dezember hatte die Regierung angekündigt, dass ausführliche Belege vorgelegt würden. Die Details, die FBI und Heimatschutz am Donnerstag veröffentlichten, genügen diesem Anspruch nicht.

Die Suche nach Tätern ist schwierig

Wenn ein Staat eine Rakete auf einen anderen abfeuert, dann kann man das anhand von Satellitenbildern rekonstruieren. Bei einem professionellen Hack, wie ihn die USA Russland vorwerfen, ist das anders. IT-Forensik - die Rekonstruktion digitaler Angriffe - ist eine komplizierte Spurensuche in Tausenden Zeilen Programmiercode der Software, die die Angreifer verwendet haben.

Diese Suche kann ergeben, wie es gemacht wurde, aber selten, wer es war. Die Fachleute interessieren sich nur für den Ablauf des Angriffs. Politiker wollen aber ein Ergebnis wie im Krimi: Einen Täter mit Blut an den Händen. Das kann IT-Forensik mit den wenigen bekannten Details in diesem Fall aber möglicherweise gar nicht liefern. Viele Fachleute verwahren sich auch gegen Vereinnahmung ihrer Arbeit durch die Politik.

Das Grundproblem bei der Zuordnung von Angriffen ist: Die technischen Mittel dafür haben nur Geheimdienste und hochspezialisierte Unternehmen. Die Dienste haben womöglich eine politische Agenda. Kommerzielle IT-Firmen sind dafür an Selbstvermarktung interessiert.

Erschwert wird die forensische Analyse dadurch, dass alle Details digital sind - und damit veränderbar. Der Politikwissenschaftler P. W. Singer und der Informatiker Allan Friedman weisen in ihrem Buch "Cybersecurity and Cyberwar" darauf hin, dass so auch Angriffe unter falscher Flagge denkbar seien: Hacker können von einem Drittland aus Server in einem als "Hacker-Staat" berüchtigten Land wie China oder Russland übernehmen und mit diesen ein Ziel angreifen. Zugleich verwischen sie ihre Spuren. Das funktioniert aber auch andersrum: Die Autoren geben zu bedenken, dass Regierungen mit dieser Logik immer abstreiten könnten, hinter Angriffen von Servern im eigenen Land aus zu stehen. Diese sogenannte "glaubhafte Abstreitbarkeit" ist essentiell für die Verschleierung von Geheimdienstoperationen.

Was spricht für einen russischen Angriff?

Es kann sein, dass die USA weitere Informationen haben, die sie zurückhalten. Einige Indizien, die öffentlich bekannt sind weisen in jedem Fall Richtung Russland, wenn auch nicht direkt zum Kreml: Eines der gestohlenen und dann veröffentlichten Dokumente verriet den russischen Spitznamen eines seiner Bearbeiter. Andere Einträge waren in kyrillischer Schrift. Die Zeiten, in denen die Angreifer aktiv waren, decken sich zudem mit Bürozeiten in russischen Zeitzonen.

Sicherheitsforscher fanden heraus, dass die verdächtigte Hackergruppe seit mehreren Jahren tätig ist. Sie verwendet spezifische Schadsoftware, die in den Systemen ihrer Opfer Spuren hinterlässt. So ließ sich eine Art digitaler Fingerabdruck erstellen. Die Sicherheitsfirma ESET fand heraus, dass viele der so ausgespähten Ziele in Russlands Interessenssphäre liegen: Politiker und Polizeichefs aus der Ukraine, Nato-Mitarbeiter, eine anonyme Gruppe, die E-Mails russischer Politiker veröffentlichte.

Der Sicherheitsforscher Thomas Rid fand heraus, dass die Demokraten von einer IP-Adresse aus angegriffen wurden, die auch nach dem Angriff auf den Bundestag 2015 gefunden wurde: Das sei " wie identische Fingerabdrücke in zwei Gebäuden, in die eingebrochen wurde". Es handele sich um dieselbe Gruppe. Um diese mit Russland in Verbindung zu bringen, verwies Rid auf Verfassungsschutz-Chef Hans-Georg Maaßen. Der macht Russland für den Bundestags-Hack verantwortlich.

Auch andere IT-Sicherheitsforscher bringen die Hacker in Verbindung mit dem russischen Staat. Laut Stefano Maccaglia, der selbst als krimineller Hacker arbeitete, hacke die APT-28-Gruppe das, was den Geheimdiensten strategisch passe - und werde dafür von ihnen vor Strafverfolgung geschützt. Eine Aussage, die sich nicht überprüfen lässt.

Flankierend zu den neuen Sanktionen veröffentlichten FBI und Heimatschutzministerium einen Bericht. Er gibt russischen Geheimdiensten die Schuld. Aber er beschreibt lediglich, wie die Gruppen operierten - nicht, worin ihre Verbindungen zu Russland bestehen. Robert M. Lee, Chef der Firma Dragos Security, hat für die US-Luftwaffe als Offizier gearbeitet. Er sagt: "Das ist auf keinen Fall ein Beweis. Die technischen Details liefern nur sehr schwache Indizien."

Dieser Aussage schließt sich Maarten van Dantzig an. Er arbeitet als Sicherheitsspezialist für die niederländische Firma Fox-IT und hat sich die Excel-Liste angesehen, die von den Behörden veröffentlicht wurde und die IP-Adressen auflistet, von denen aus die Hackergruppe ihre Angriffe ausübt. "Dort sind schon nützliche Informationen enthalten, aber viele der IP-Adressen gehören zu legitimen Web-Diensten wie Microsoft und Twitter". Ohne zu wissen, warum diese Internet-Adressen schädlich sein sollen, sei diese Aussage wertlos.

Ein deutscher Behördenmitarbeiter mit Expertise, der namentlich nicht genannt werden will, sagt: "Die Indikatoren sind von der Qualität ganz, ganz schlecht." Eine Beweisführung sei "absolut nicht abgedeckt".

Matt Suiche, dessen Start-up Comae sich auf Cybersicherheit spezialisiert, wünscht sich einen Bericht mit detaillierten technischen Beweisen. Denn es kann sein, dass die USA weitere Informationen haben, die sie zurückhalten.

Der Großteil der öffentlich bekannten Indizien kommt von der IT-Firma Crowdstrike. Sie aber wurde von den Demokraten nach dem Hack angeheuert - und lebt auch von der Angst vor möglichst bedrohlichen Szenarien, zum Beispiel dem einer hochprofessionellen Hackertruppe eines feindlichen Staates.

IT-Sicherheitsfirmen verfolgen Elite-Hacker seit Jahren. Sie veröffentlichen nur einen Bruchteil ihrer Informationen - aus kommerziellem Interesse. "Wir legen nicht kostenlos offen, was wir haben. Das wird ja für Geld verkauft und ist ein Mehrwert für unsere Kunden", sagt ein Mitarbeiter, der nicht namentlich zitiert werden will. Er sagt auch, dass die Unternehmen den Geheimdiensten nicht auf die Füße treten wollen, indem sie allzu detaillierte Berichte veröffentlichen, die Hacker für den noch laufenden Angriff nutzen könnten.

Was weiß die US-Regierung?

Das bleibt unklar, zumindest bis der umfassende Geheimdienst-Bericht fertig ist, den Barack Obama angeordnet hat. Die Chefs von FBI und Heimatschutzministerium sowie der Nationale Geheimdienst-Direktor der alle Spionagedienste koordiniert, bestätigten am Donnerstag, dass Russland hinter den Angriffen stecke - ohne zu erklären, wie genau sie zu dieser Einschätzung kommen. Sie verwiesen lediglich auf die Ergebnisse von Unternehmen wie Crowdstrike. Wenn die Behörden klare Beweise haben, dann nennen sie diese nicht.

Angesichts der Behauptungen der US-Dienste verweisen Kritiker auf deren Lügen vor dem Irakkrieg und in der NSA-Affäre. Möglicherweise halten die Dienste dieses Mal Informationen geheim, um ihre Quellen und Analysemethoden zu schützen. Doch so bleiben sie der Öffentlichkeit klare Beweise für eine russische Beteiligung am Hack gegen Hillary Clinton vorerst schuldig.