Tillmann Werner zeigt auf ein Bild, das den Namen "Waterloo Bridge" trägt. "Na, wer hat das gemalt?", fragt der IT-Sicherheitsforscher auf einer Fachkonferenz. Und gibt auch gleich die Antwort: Das Bild stammt aus der Sammlung Gurlitt, gemalt hat es Monet.
Doch Werner geht es nicht um den Künstler. Es geht ihm um die Experten, die das Werk analysiert haben, um herauszufinden, ob es echt oder gefälscht ist. "Die Öffentlichkeit zweifelt dieses Expertenurteil nicht an", sagt Werner. Das Expertenurteil, das Menschen wie er abgeben, wird dagegen konstant hinterfragt.
Werner arbeitet für die IT-Sicherheitsfirma Crowdstrike und legt in seiner Freizeit mit Ermittlern des FBI kriminelle Botnetze lahm. Einer seiner Crowdstrike-Kollegen war der Erste, der erkannte, dass zwei Hackergruppen sich in den Netzwerken der US-Demokraten befanden. Da beginnt das Problem: Crowdstrike geht davon aus, dass beide Gruppen - genannt werden sie APT28 und APT29 - im Auftrag des russischen Staates handelten.
APT28, die am besten erforschte Hackergruppe
Mit diesem Urteil ist Crowdstrike nicht allein. Auch andere IT-Sicherheitsfirmen teilen diese Sicht, zum Beispiel Fireeye, Symantec und Kaspersky. Google und Facebook kommen ebenfalls zu diesem Schluss, genau wie Geheimdienste aus Deutschland und den USA. APT28 dürfte die am besten erforschte Hackergruppe sein, die mutmaßlich im staatlichen Auftrag unterwegs ist.
Doch weite Teile der Öffentlichkeit, gerade auch in Deutschland, misstrauen diesen Einschätzungen. Das Satire-Magazin Der Postillon scherzte kürzlich, dass der "Glaube an allmächtige russische Hacker als Religion anerkannt" worden sei.
Die Aussagen der Experten nach Hacker-Angriffen sind oft Anlass für Sanktionen und Einreiseverbote. Entsprechend hoch sind die Erwartungen, die an Geheimdienste und IT-Sicherheitsforscher gestellt werden. Doch gerade die Forscher liefern praktisch nie hieb- und stichfeste Beweise, die auch vor einem Richter standhalten würden. Sie konzentrieren sich darauf, basierend auf Dutzenden von Indizien, die sie teilweise über Jahre hinweg gesammelt haben, Hypothesen aufzustellen und diesen eine Wahrscheinlichkeit zuzuordnen.
Werner will zeigen, wie Attribution funktioniert
Auch deshalb steht Werner hier. Er will anhand der Erpressersoftware Wannacry zeigen, wie diese Attribution funktioniert, also die Frage beantworten: "Na, wer hat hier gehackt?" Werner ist ein reverse engineer, er nimmt Schadsoftware auseinander und prüft Schritt für Schritt, wie sie funktioniert, mit welchen Servern sie Kontakt aufnimmt und ob sie weitere Software nachlädt, die Werner dann ebenfalls analysiert. Seine Antwort lautet: Wannacry wird wahrscheinlich von Nordkorea eingesetzt. Ähnlich wie im Fall des Demokraten-Hacks teilen viele IT-Sicherheitsforscher diese Sicht. Wie kommen sie also darauf?
Die Hacker verwendeten für ihren Angriff laut Werner eine Software aus dem Jahr 1999. "Wenn man den Code der Programmiersprache C in ein Programm übersetzen will, das auf Rechnern ausgeführt werden kann, dann verwenden die Angreifer das Standardprodukt Microsoft Visual C++. Aber eben in einer Version, die uralt ist", sagt Werner. Das sei ein erstes Indiz.
Wannacry verbreitete sich im Mai binnen weniger Stunden auf Hunderttausenden Rechnern. Das passierte, weil die finale Version der Schadsoftware um die Komponente eines Computerwurms ergänzt wurde, der sich selbständig verbreitete. Vorgängerversionen von Wannacry - die erste öffentlich bekannte Variante datiert auf den 9. Februar - enthielten diese Funktion noch nicht.
Angriff auf den globalen Zahlungsverkehr Swift
Was diese Version allerdings enthielt und was Werner als nächstes Indiz anführt, entdeckte der IT-Sicherheitsforscher Neel Mehta von Google. Er fand Codeschnipsel, die sowohl in der ursprünglichen Wannacry-Version enthalten waren als auch in ähnlicher Form für einen Trojaner-Einsatz verwendet wurden, der ebenfalls einer nordkoreanischen Hackergruppe zugeschrieben wird: Der Angriff auf den globalen Zahlungsverkehr Swift, bei dem es Hackern gelang, 81 Millionen Dollar zu entwenden. "Der Code stammt aus derselben Feder", sagt Werner.
Bei beiden Angriffen wurden Programme eingesetzt, die ihre Nachrichten von den Hackern zur Schadsoftware und zurück über ein eigens entwickeltes Protokoll verschicken. Analysewerkzeuge, die den Verkehr über das Netzwerk beobachten, "geraten außer Tritt", sagt Werner. Werner bezeichnet das als Verschleierungstaktik, die ebenfalls bei Angriffen beobachtet wurde, die Nordkorea zugewiesen werden.
Die Zeitzone in Nordkorea
Schließlich kommt Werner auf Zeitstempel zu sprechen. Computerdateien legen quasi Zeugnis darüber ab, wann sie kreiert, zuletzt geändert oder aufgerufen wurden. Bei Wannacry komme hinzu, dass die einzelnen Komponenten in einer Zip-Datei komprimiert waren. Diese erstellt dann ebenfalls einen Zeitstempel. Pro Datei gibt es also zwei Zeitstempel.
Zwischen beiden gibt es einen bedeutenden Unterschied, sagt Werner: Die Zeitstempel-Metadaten für Dateien in Zip-Archiven werden in lokaler Zeit gespeichert - also der Zeit, die Nutzer sehen, wenn sie auf ihre Rechneruhr schauen. Die Zeitstempel in Windows-Programmen jedoch liegen in der koordinierten Weltzeit (UTC).
"Der Angreifer müsste also bei allen Dateien, die er verwendet, wissen, an welchen Stellen er überall fälschen muss. Übersieht er eine davon, ergibt das eine Inkonsistenz", sagt Werner. Der Betrug fällt auf. Hinzu komme, dass in Zip-Archiven die Sekundenanzeige der Zeitstempel entweder aus geraden oder ungeraden Ziffern besteht, aber nie aus einer Mischung. Auch das müssen Angreifer wissen.
Die Analyse der Zeitstempel ergibt UTC+9. Die Zeitzone, in der Nordkorea liegt, ist UTC+8:30. Allerdings entschied sich Nordkorea erst kürzlich dazu, die Zeitzone zu wechseln. Bis Mitte 2015 lag Nordkorea in UTC+9. "Es ist plausibel, anzunehmen, dass viele der Systeme in Nordkorea keine Zeitzonen-Updates verpasst bekommen haben und weiterhin in Konfiguration UTC+9 laufen", sagt er.