Tillmann Werner zeigt auf ein Bild, das den Namen "Waterloo Bridge" trägt. "Na, wer hat das gemalt?", fragt der IT-Sicherheitsforscher auf einer Fachkonferenz. Und gibt auch gleich die Antwort: Das Bild stammt aus der Sammlung Gurlitt, gemalt hat es Monet.
Doch Werner geht es nicht um den Künstler. Es geht ihm um die Experten, die das Werk analysiert haben, um herauszufinden, ob es echt oder gefälscht ist. "Die Öffentlichkeit zweifelt dieses Expertenurteil nicht an", sagt Werner. Das Expertenurteil, das Menschen wie er abgeben, wird dagegen konstant hinterfragt.
Werner arbeitet für die IT-Sicherheitsfirma Crowdstrike und legt in seiner Freizeit mit Ermittlern des FBI kriminelle Botnetze lahm. Einer seiner Crowdstrike-Kollegen war der Erste, der erkannte, dass zwei Hackergruppen sich in den Netzwerken der US-Demokraten befanden. Da beginnt das Problem: Crowdstrike geht davon aus, dass beide Gruppen - genannt werden sie APT28 und APT29 - im Auftrag des russischen Staates handelten.
APT28, die am besten erforschte Hackergruppe
Mit diesem Urteil ist Crowdstrike nicht allein. Auch andere IT-Sicherheitsfirmen teilen diese Sicht, zum Beispiel Fireeye, Symantec und Kaspersky. Google und Facebook kommen ebenfalls zu diesem Schluss, genau wie Geheimdienste aus Deutschland und den USA. APT28 dürfte die am besten erforschte Hackergruppe sein, die mutmaßlich im staatlichen Auftrag unterwegs ist.
Doch weite Teile der Öffentlichkeit, gerade auch in Deutschland, misstrauen diesen Einschätzungen. Das Satire-Magazin Der Postillon scherzte kürzlich, dass der "Glaube an allmächtige russische Hacker als Religion anerkannt" worden sei.
Die Aussagen der Experten nach Hacker-Angriffen sind oft Anlass für Sanktionen und Einreiseverbote. Entsprechend hoch sind die Erwartungen, die an Geheimdienste und IT-Sicherheitsforscher gestellt werden. Doch gerade die Forscher liefern praktisch nie hieb- und stichfeste Beweise, die auch vor einem Richter standhalten würden. Sie konzentrieren sich darauf, basierend auf Dutzenden von Indizien, die sie teilweise über Jahre hinweg gesammelt haben, Hypothesen aufzustellen und diesen eine Wahrscheinlichkeit zuzuordnen.
Werner will zeigen, wie Attribution funktioniert
Auch deshalb steht Werner hier. Er will anhand der Erpressersoftware Wannacry zeigen, wie diese Attribution funktioniert, also die Frage beantworten: "Na, wer hat hier gehackt?" Werner ist ein reverse engineer, er nimmt Schadsoftware auseinander und prüft Schritt für Schritt, wie sie funktioniert, mit welchen Servern sie Kontakt aufnimmt und ob sie weitere Software nachlädt, die Werner dann ebenfalls analysiert. Seine Antwort lautet: Wannacry wird wahrscheinlich von Nordkorea eingesetzt. Ähnlich wie im Fall des Demokraten-Hacks teilen viele IT-Sicherheitsforscher diese Sicht. Wie kommen sie also darauf?
Die Hacker verwendeten für ihren Angriff laut Werner eine Software aus dem Jahr 1999. "Wenn man den Code der Programmiersprache C in ein Programm übersetzen will, das auf Rechnern ausgeführt werden kann, dann verwenden die Angreifer das Standardprodukt Microsoft Visual C++. Aber eben in einer Version, die uralt ist", sagt Werner. Das sei ein erstes Indiz.
Wannacry verbreitete sich im Mai binnen weniger Stunden auf Hunderttausenden Rechnern. Das passierte, weil die finale Version der Schadsoftware um die Komponente eines Computerwurms ergänzt wurde, der sich selbständig verbreitete. Vorgängerversionen von Wannacry - die erste öffentlich bekannte Variante datiert auf den 9. Februar - enthielten diese Funktion noch nicht.
Angriff auf den globalen Zahlungsverkehr Swift
Was diese Version allerdings enthielt und was Werner als nächstes Indiz anführt, entdeckte der IT-Sicherheitsforscher Neel Mehta von Google. Er fand Codeschnipsel, die sowohl in der ursprünglichen Wannacry-Version enthalten waren als auch in ähnlicher Form für einen Trojaner-Einsatz verwendet wurden, der ebenfalls einer nordkoreanischen Hackergruppe zugeschrieben wird: Der Angriff auf den globalen Zahlungsverkehr Swift, bei dem es Hackern gelang, 81 Millionen Dollar zu entwenden. "Der Code stammt aus derselben Feder", sagt Werner.
Bei beiden Angriffen wurden Programme eingesetzt, die ihre Nachrichten von den Hackern zur Schadsoftware und zurück über ein eigens entwickeltes Protokoll verschicken. Analysewerkzeuge, die den Verkehr über das Netzwerk beobachten, "geraten außer Tritt", sagt Werner. Werner bezeichnet das als Verschleierungstaktik, die ebenfalls bei Angriffen beobachtet wurde, die Nordkorea zugewiesen werden.
Die Zeitzone in Nordkorea
Schließlich kommt Werner auf Zeitstempel zu sprechen. Computerdateien legen quasi Zeugnis darüber ab, wann sie kreiert, zuletzt geändert oder aufgerufen wurden. Bei Wannacry komme hinzu, dass die einzelnen Komponenten in einer Zip-Datei komprimiert waren. Diese erstellt dann ebenfalls einen Zeitstempel. Pro Datei gibt es also zwei Zeitstempel.
Zwischen beiden gibt es einen bedeutenden Unterschied, sagt Werner: Die Zeitstempel-Metadaten für Dateien in Zip-Archiven werden in lokaler Zeit gespeichert - also der Zeit, die Nutzer sehen, wenn sie auf ihre Rechneruhr schauen. Die Zeitstempel in Windows-Programmen jedoch liegen in der koordinierten Weltzeit (UTC).
"Der Angreifer müsste also bei allen Dateien, die er verwendet, wissen, an welchen Stellen er überall fälschen muss. Übersieht er eine davon, ergibt das eine Inkonsistenz", sagt Werner. Der Betrug fällt auf. Hinzu komme, dass in Zip-Archiven die Sekundenanzeige der Zeitstempel entweder aus geraden oder ungeraden Ziffern besteht, aber nie aus einer Mischung. Auch das müssen Angreifer wissen.
Die Analyse der Zeitstempel ergibt UTC+9. Die Zeitzone, in der Nordkorea liegt, ist UTC+8:30. Allerdings entschied sich Nordkorea erst kürzlich dazu, die Zeitzone zu wechseln. Bis Mitte 2015 lag Nordkorea in UTC+9. "Es ist plausibel, anzunehmen, dass viele der Systeme in Nordkorea keine Zeitzonen-Updates verpasst bekommen haben und weiterhin in Konfiguration UTC+9 laufen", sagt er.
Ein Werkzeugkasten voller Schadsoftware für alle Fälle
Die drei Beispiele sind nur ein kleiner Teil dessen, was Werner in seiner täglichen Arbeit berücksichtigt. Er kommt zu dem Schluss: "Diese Hacker verwenden eine gemeinsame Bibliothek und stecken sich aus unterschiedlichen Bausteinen Software zusammen, die sie für Spionage einsetzen, und um Wannacry loszulassen."
Timo Steffens, der beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Angriffe von staatlichen Hackergruppen analysiert, schrieb kürzlich in einem Artikel für das Fachmagazin c't: "Eine der Grundannahmen der Attribution ist es, dass die Täter ihre Tools über einen längeren Zeitraum immer wieder einsetzen. Denn den kompletten Werkzeugkasten jedes Mal von Grund auf neu zu erstellen, wäre viel zu aufwendig."
Um den Täter zu finden, werden - neben dem Reverse Engineering, wie Werner es betreibt - weitere Indizien verwendet.
Streng geheime Dokumente gelangten an die Öffentlichkeit
Geheimdienste verlassen sich zum Beispiel auf sogenannte Signals Intelligence. Der US-Geheimdienst NSA hackte sich in Netzwerke, um hochrangigen russischen Offizieren zuzuhören, wie sie über Angriffe auf US-Einrichtungen diskutierten, berichtete das Time-Magazine unter Berufung auf eine anonyme Quelle.
Doch es gibt auch als streng geheim eingestufte Dokumente, die an die Öffentlichkeit geraten sind. Aus diesen geht hervor, dass die NSA Handynummern von Mitarbeitern des russischen Geheimdienstes kennt, samt zugehörigen Mailkonten, und weiß, ob über diese Phishing-Mails verschickt wurden. Das außerordentlich detaillierte Dokument gelangte an die Nachrichtenseite The Intercept. Der mutmaßlichen Quelle, der NSA-Dienstleisterin Reality Winner, wird derzeit von der US-Regierung der Prozess gemacht.
Hinzu kommt: Hackern passieren Fehler. So haben Mitglieder von APT28 den Linkverkürzer-Dienst Bitly benutzt und vergessen, auf ihre eigene Privatsphäre zu achten. Die Links waren öffentlich einzusehen. So fand eine Sicherheitsfirma heraus, wer im Visier der Hacker stand. Eine Analyse der Nachrichtenagentur AP ergab, dass unter den Zielen Dutzende Kritiker Wladimir Putins sind.
Hacker hinterlassen Spuren
Hacker, die in fremde Netzwerke eindringen, hinterlassen Spuren. Diese zu fälschen, ist nicht einfach, sagt Felix Freiling, Inhaber des Lehrstuhls für IT-Sicherheit an der Friedrich-Alexander-Universität Erlangen-Nürnberg. Freiling berät Verfassungsrichter und Ermittlungsbehörden. Er konzentriert sich in seiner Arbeit auf digitale Forensik, also das Auslesen von digitalen Spuren in Netzwerken und auf Festplatten. Er hat seine Studierenden testen lassen, ob ihnen professionelle Fälschungen auffallen - und alle Fälschungen fielen auf.
Für Freiling ist das Ergebnis wenig überraschend: "Es geht darum, jemand anderen perfekt zu imitieren. Es dürfen überhaupt keine Zweifel aufkommen." Aber ähnlich wie ein Dieb, der eine Wohnung verlasse und Probleme habe, den letzten Fußabdruck zu verwischen, müssten Hacker auf sämtliche Details achten - und das in einem fremden Netzwerk und ohne zu wissen, ob sie bereits von der IT-Abteilung entdeckt wurden.
Zudem würden Ermittlungstechniken immer ausgetüftelter. Es fänden sich neue Wege, um Spuren zu erkennen und zu bewerten. All diese Taktiken ließen sich auch auf vergangene Funde anwenden. "Die Zeit arbeitet für die Forensiker", sagt Freiling.
Nachdem Werner knapp eine Stunde lang Dutzende Details nennt, die zeigen sollen, wie IT-Sicherheitsexperten vorgehen und dass sie nicht leichtfertig zu diesen Urteilen kommen, meldet sich ein Herr im Publikum. "Kann man das nicht alles fälschen?", fragt er, bezogen auf Wannacry. Werner grinst: "Klar, möglich ist alles." Wie wahrscheinlich es aber sei, das sei eine andere Frage.
