IT-Forsensik Russischer Name, kyrillische Schrift

Washington legt bisher nur Indizien dafür vor, dass Moskau hinter dem Cyber-Angriff auf die US-Demokraten steckt. Für viele Experten ist das ein wenig dürftig.

Von Jannis Brühl, Hakan Tanriverdi

Wenn ein Staat eine Rakete auf einen anderen abfeuert, dann kann man das anhand von Satellitenbildern rekonstruieren. Bei einem professionellen Hack, wie ihn die USA Russland vorwerfen, ist das anders. IT-Forensik - die Rekonstruktion digitaler Angriffe - ist eine komplizierte Spurensuche in Tausenden Zeilen Programmiercode der Software, die die Angreifer verwendet haben. Diese Suche kann ergeben, wie es gemacht wurde, aber selten, wer es war. Die Fachleute interessieren sich nur für den Ablauf des Angriffs. Politiker wollen aber ein Ergebnis wie im Krimi: Einen Täter mit Blut an den Händen. Das kann IT-Forensik mit den wenigen bekannten Details in diesem Fall nicht liefern.

Es kann sein, dass die USA weitere Informationen haben, die sie zurückhalten.

Einige Indizien, die öffentlich bekannt sind, führen nach Russland, wenn auch nicht direkt zum Kreml: Eines der geklauten und veröffentlichten Dokumente verriet den russischen Spitznamen eines seiner Bearbeiter. Andere Einträge waren in kyrillischer Schrift. Die Zeiten, in denen die Angreifer aktiv waren, decken sich zudem mit russischen Zeitzonen. Sicherheitsforscher fanden heraus, dass die verdächtigte Hackergruppe seit mehreren Jahren tätig ist. Sie verwendet spezifische Schadsoftware, die in den Systemen ihrer Opfer Spuren hinterlässt. So ließ sich eine Art digitaler Fingerabdruck erstellen. Die Sicherheitsfirma ESET fand heraus, dass viele der so ausgespähten Ziele in Russlands Interessenssphäre liegen: Politiker und Polizeichefs aus der Ukraine, Nato-Mitarbeiter, eine anonyme Gruppe, die E-Mails russischer Politiker veröffentlichte. Der Sicherheitsforscher Thomas Rid fand heraus, dass die Demokraten von einer IP-Adresse aus angegriffen wurden, die auch nach dem Angriff auf den Bundestag 2015 gefunden wurde: "wie identische Fingerabdrücke in zwei Gebäuden, in die eingebrochen wurde." Es handele sich um dieselbe Gruppe. Um diese mit Russland in Verbindung zu bringen, verweist Rid auf Verfassungsschutz-Chef Hans-Georg Maaßen. Der hatte Russland für den Bundestags-Hack verantwortlich gemacht.

Flankierend zu den neuen Sanktionen veröffentlichten FBI und Heimatschutzministerium einen Bericht. Er gibt russischen Geheimdiensten die Schuld. Aber er beschreibt nur, wie die Gruppen operierten - nicht, worin ihre Verbindungen zu Russland bestehen. Robert M. Lee, Chef der Firma Dragos Security, hat für die US-Luftwaffe als Offizier gearbeitet. "Das ist auf keinen Fall ein Beweis. Die technischen Details liefern nur sehr schwache Indizien", sagt er. Auch ein deutscher Behördenmitarbeiter mit Expertise, der namentlich nicht genannt werden will, sagt: "Die Indikatoren sind von der Qualität ganz, ganz schlecht." Eine Beweisführung sei "absolut nicht abgedeckt". Matt Suiche, dessen Start-up Comae sich auf Cybersicherheit spezialisiert, wünscht sich einen Bericht mit detaillierten Beweisen. Der Großteil der öffentlichen Indizien kommt von der IT-Firma Crowdstrike. Sie aber wurde von den Demokraten angeheuert - und lebt auch von der Angst vor möglichst bedrohlichen Szenarien.