IT-Sicherheit:Die Detektive des Informationskrieges

Die Unternehmen analysieren mittlerweile auch öfter eine zweite Variante des digitalen Angriffs: den Informationskrieg. Neben Hacking-Operationen gibt es zunehmend Versuche getarnter Akteure, durch das Verbreiten falscher Informationen die Meinung der Öffentlichkeit zu beeinflussen, teilweise werden staatliche Hacks von solchen Kampagnen begleitet. Die berüchtigte Troll-Fabrik aus Russland erreichte während des US-Wahlkampfs zum Beispiel bis zu 126 Millionen Amerikaner mit Geschichten, die die Nation weiter spalten sollten.

Lee Foster leitet bei der IT-Sicherheitsfirma Fireeye ein Team von Analysten, das sich um influence operations kümmert - jene Kampagnen, die mit manipulativen Beiträgen in digitalen Medien die Meinung der Öffentlichkeit in einem bestimmten Land beeinflussen sollen. Das Team von Foster deckte ein Netz von Accounts auf, das im Bericht als "iranisch" beschrieben wird und das unter anderem in Lateinamerika, USA und im Nahen Osten aktiv gewesen sein soll. Foster betont, dass der iranische Staat im Bericht nicht beschuldigt wird. Die Analysten seien sich nicht sicher genug gewesen, um einen Staat direkt verantwortlich zu machen

"Zwei bis drei Analysten haben bei uns an diesem Bericht gearbeitet", erzählt Foster. Die Aufklärung solcher Kampagnen basiere auf Hinweisen und sei selten vollständig. "Man kann Berichte nicht nur dann herausbringen, wenn man sich absolut sicher ist. Dann gäbe es überhaupt keine Berichte." Die Unternehmen entscheiden für sich selbst, wann der richtige Moment gekommen ist, um zu veröffentlichen.

Fireeye hat den Bericht auch herausgebracht, damit andere Stellen die Analyse mit ihrer Expertise ergänzen können. Sowohl Google als auch Facebook veröffentlichten später weitergehende Berichte. Beide Konzerne gehen bei der sogenannten Attribution - dem Fingerzeig auf einen mutmaßlich Schuldigen - einen Schritt weiter: Ihnen liegen nach eigenen Angaben Informationen vor, die nahelegen, dass der iranische Staatsfunk für die Aktion verantwortlich ist. Google löschte 39 Kanäle auf seinem Portal Youtube, Facebook 652 Konten, Seiten und Gruppen, die mit der Aktion in Verbindung stehen sollen.

Ale Firmen benutzen die Berichte für PR

Doch natürlich geht es den Firmen nicht nur selbstlos darum, die Welt sicherer zu machen. "Alle benutzen das als Marketing", sagt ein IT-Sicherheitsexperte, der bei einem Dax-Konzern arbeitet. Um offen zu reden, baten er und andere Fachleute um Anonymität. "Jede Firma will zeigen, was sie auf dem Kasten hat. Das ist Teil des Spiels und legitim." Eindrucksvolle Berichte bringen den Firmen nicht nur Schlagzeilen, sondern auch neue Kunden. Fahrlässig geschriebene Berichte, deren Aussagen von anderen Firmen oder einzelnen unabhängigen Fachleuten widerlegt werden, lassen Firmen unseriös erscheinen und schrecken Kunden ab.

Die Kunden, meist Unternehmen, kaufen tiefergehende Analysen ein, die es als Abo nur gegen Bezahlung gibt. Die Sicherheitsfirmen haben zudem praktischerweise Firewalls und andere Produkte zur Erkennung von Angriffen im Angebot, die andere Unternehmen direkt bei ihnen kaufen können.

Der IT-Sicherheitsexperte aus dem Dax-Konzern sagt, ihm persönlich sei egal, wer hinter einem Angriff steckt. Er sagt über die Sicherheits-Berichte: "Für uns ist das Quatsch und unnötiger Spin. Es macht keinen Unterschied, ob ich einen Angreifer aus China, Russland oder den USA im Netz habe. Der muss da raus." Teilweise verheimliche er seinen Vorgesetzten solche Informationen sogar, sonst gebe es nur Irritationen: "Die fragen dann recht naiv, ob wir nicht in der Botschaft anrufen können, damit die aufhören."

Für die Sicherheitsunternehmen hingegen gehört zur Analyse auch die Frage, wer hinter einem Angriff steckt. "Dieser politische Aspekt existiert nun einmal. Wir wollen herausfinden, was die Motivation der Gruppe ist", sagt eine Person, die öfter an solchen Berichten mitschreibt.

Informeller Austausch zwischen Unternehmen und Staat

Für besonders sensible Berichte finde manchmal ein informeller Austausch zwischen Unternehmen und auch Sicherheitsbehörden statt, erzählen zwei IT-Sicherheitsexperten unabhängig voneinander. Viele Experten seien vernetzt, zum Beispiel, weil sie früher für den Staat gearbeitet haben, erzählt einer von ihnen. "Es gibt eine Art Prüfprozess, der über Jahre gehen kann. Informationen gelangen ins behördliche Umfeld, werden dort weiter verfolgt und dann wird unsere Einschätzung bestätigt oder eben nicht." Ein Mitarbeiter einer deutschen Sicherheitsbehörde bestätigte diesen Prozess.

Manche Firmen gehen so weit, dass sie einen ihrer Mitarbeiter an Behörden ausleihen, erzählen zwei Experten. Das passiere eher in westlichen, auch deutschsprachigen Ländern. Der Grund: Die Produkte von IT-Sicherheitsfirmen sind weltweit auf bis zu Hunderten Millionen von Rechnern installiert. Manche Firmen wissen deshalb sehr genau Bescheid, wie Hacker in der Fläche vorgehen und für welche Konzerne, Regionen und Behörden sie sich interessieren.

Nach einer Sicherheitsüberprüfung arbeiten diese Personen dann in der Behörde mit den Daten ihrer Firma, auf die der Staat keinen direkten Zugriff hat. Oder die Behörde gibt dem externen Forscher aufgespürte Trojaner zur Analyse mit. Vor diesen Trojanern werden dann alle Kunden seines Unternehmens gewarnt.

Öl im "lichterloh tobenden Feuer der diplomatischen Beziehungen"

Joe Slowik arbeitete für die US Navy auch an offensiven Cyberaktionen. Er warnt davor, die politischen Auswirkungen der Berichte zu unterschätzen. Momentan kümmert er sich bei der Firma Dragos um die IT-Sicherheit kritischer Infrastrukturen, zum Beispiel von Konzernen, die Stromnetze betreiben. Privatfirmen seien selten in einer Position, einen Angriff zuordnen zu können, sagt er. "Solche Zuweisungen können Öl in das ohnehin schon lichterloh tobende Feuer der diplomatischen Beziehungen gießen."

Einen Fall, in dem eine eindeutige Zuordnung möglich war, beschreibt der Mitarbeiter der deutschen Sicherheitsbehörde: Bei einem Angriff aus Iran haben die Hacker anscheinend selbst das Produkt eines Antiviren-Herstellers verwendet. Der Hersteller konnte deshalb den Angriff entdecken und ihn sowohl auf Opfer- als auch auf Hackerseite beobachten.

Problematisch ist es Slowik zufolge, wenn es eine öffentlich verfestigte Meinung gebe, ein bestimmtes Land stecke hinter einem Angriff. Das könne Analysten in Behörden unter Druck setzen, vielleicht auch nur unbewusst. "Das könnte die interne Analyse verzerren, wenn das Ergebnis an die Erwartungen angepasst wird."

"'Viel Glück' und nichts weiter"

Mehrere IT-Sicherheitsforscher äußerten Zweifel daran, dass sich Regierungen von den Berichten politisch beeinflussen ließen. "Die Leute bei den Unternehmen sind keine Politik-Experten. Wenn sie ihre Berichte abgeben, wird die US-Regierung nur 'Viel Glück' antworten und nichts weiter", sagt einer, der früher für US-Geheimdienste arbeitete. Viele Firmen würden alles tun, um genau so viele Details wie die US-Regierung über bestimmte Hacker-Gruppen zu kennen. Sicherheitsbeamte würden die Berichte also lediglich zur Kenntnis nehmen.

Der Großteil der weltweit bekannten 150 Gruppen, die im Auftrag von Staaten hacken sollen, kommt aus Russland, China und Iran. Dass es nur wenige Berichte über die Angriffe der USA und europäischer Staaten gebe, liege nicht daran, dass die nicht hacken würden. Ein Grund: "Wir sind besser als die", sagt der Ex-Geheimdienstler und meint damit, dass amerikanische Hacker ihre Spuren sorgfältiger verwischen würden. Den zweiten Grund führt Florian Egloff an, der Forscher aus Zürich: "Die Sichtbarkeit der verschiedenen Firmen ist abhängig von ihrem Kundenstamm."

Zwei der Berichte über amerikanische Hacking-Operationen kamen von der russischen Firma Kaspersky. Auch chinesische Firmen fingen nun an, Berichte zu veröffentlichen, sagt Egloff: "Noch gibt es wenig zu westlichen Operationen." Aber auch von denen dürfte die Öffentlichkeit noch erfahren.

© SZ.de/jab
Zur SZ-Startseite
Computer Hacker

Russische Hacker
:Der Spion, der aus dem Rechner kam

Kaum ein Land beherrscht die Kunst des Hackens so wie Russland. Dieser Wissensvorsprung hat eine Vorgeschichte, die in Deutschland beginnt.

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB