Bei dem Angriff auf das Netzwerk von Sony Pictures Entertainment haben sich Hacker Ende November 2014 Zugriff auf Daten in einer Größenordnung von 100 Terabyte verschafft: Passwörter, E-Mails und Kontodaten. Die IT-Sicherheitsfirma Mandiant untersucht den Vorfall seit Dezember. Das FBI hat sich mehrfach geäußert und Nordkorea verantwortlich gemacht. Allein: So wirklich überzeugt hat die Polizeibehörde niemanden.
FBI-Chef James Comey nannte diese Woche auf einer Konferenz zusätzliche Details. So sollen die Angreifer teilweise "schlampig" gearbeitet und ihre IP-Adressen preisgegeben haben. Adressen, die eindeutig von Nordkorea aus benutzt würden.
In einem Artikel der New York Times nennen hochrangige, aber anonym zitierte, Regierungsbeamte ein konkretes Beispiel. So sollen die Angreifer sich sowohl in das Sony-Netzwerk als auch in Facebook-Accounts eingeloggt haben, ohne einen Proxy-Server zu benutzen (Diese werden dazu eingesetzt, den Ursprungsort zu verschleiern, von dem aus man ins Internet geht; verzichtet man auf diesen Umweg, wird die tatsächliche IP-Adresse angezeigt). Die Hacker sollen ihren Fehler schnell bemerkt haben und wieder auf die Verschleierung umgestiegen sein. Allerdings zu spät, um unentdeckt zu bleiben.
Doch die Kritik nach Comeys Rede blieb unverändert laut, obwohl Comey während der Sicherheitskonferenz dieses Misstrauen explizit ansprach: "Ich weiß, dass ernstzunehmende Leute andeuten, wir würden falsch liegen. Sie haben aber nicht Einblick in all die Informationen, so wie ich das habe . Ich werde die Sicherheitsbehörden drängen, der Öffentlichkeit mehr Informationen zugänglich zu machen. Dennoch gebe es eine "Bandbreite an anderen Quellen und Methoden", die das FBI schützen - also geheimhalten - werde.
"Das FBI hat in diesem Fall mehr Ressourcen investiert als alle anderen", sagt Thomas Rid, Professor für Security Studies am King's College in London, der sich erst kürzlich mit diesem Thema beschäftigt hat ( hier die PDF-Datei). "Das FBI hat in der Erklärung ("Nordkorea steckt hinter dem Hack") deutlich gemacht, dass sie die Entscheidung, das öffentlich zu sagen, nicht leichtfertig getroffen haben. Diese Anschuldigung ist absolut signifikant und ernstzunehmen", sagt Rid.
Technische Analysen können überprüft werden
Doch diese Argumentation reicht den Experten aus der IT-Sicherheitsindustrie nicht mehr aus. Sie haben in den vergangenen Jahren eine neue Bedeutung erlangt. Mitarbeiter von Firmen wie Symantec und Kaspersky konnten diverse Großangriffe in Form von Computerwürmern und Viren sehr ausgiebig entschlüsseln. Stuxnet, Duqu, Flame und Regin wurden erst durch die Arbeit dieser Firmen in ihrer Gänze erfasst. Die Firma Crowdstrike konnte durch technische Analysen zeigen, dass vermutlich chinesische Hacker Wirtschaftsspionage betrieben haben.
Es ist eine Industrie, die mittlerweile an detaillierte technische Analysen gewöhnt ist. Solche Analysen können individuell überprüft werden. Attribution, also das Zuschreiben einer Tat, wird so zur kollektiven Arbeit. Im Fall von Stuxnet haben die Firmen die jeweiligen Analysen der anderen Firmen studiert und sind selbst so auf neue Erkenntnisse gestoßen.
IT-Forensik ist nur eine von vielen Methoden
Doch sich ausschließlich auf solche Erkenntnise zu verlassen, könnte zu kurz gegriffen sein, sagt der Londoner Professor Rid. IT-Forensik ist ihm zufolge nur eine von vielen Methoden, da sie nicht alle Fragen beantworten könne. Zwar könne dadurch festgestellt werden, wie sich Angreifer Zugang zum Netzwerk verschafft haben, aber nicht, warum sie das getan haben. Ein abgehörtes Telefonat - Spionage also - wäre in diesem Punkt eine hilfreichere Information. Die Frage, ob das FBI Hilfe vom amerikanischen Geheimdienst NSA erhalten hat, ist zentral. Vom FBI selbst kamen in diesem Punkt keine Stellungnahmen.
Sich nur auf den technischen Teil zu verlassen, sei arrogant, sagt Rid: "Das ist wie eine Person, die bei einer Mordszene die Kugel untersucht und denkt, sie kann deswegen den kompletten Fall aufklären." Aber auch nachrichtendienstliche Informationen seien wichtig, also die Expertise des amerikanischen Geheimdienstes NSA.
Die Behörde selbst hat in öffentlichen Auftritten bisher nur Stichpunkte und Anekdoten erzählt. "Sie hätten mit der Situation besser umgehen müssen", sagt Rid. Ohne weitere Zusätze könne man mit den bisherigen Informationen nur wenig anfangen.
Das FBI ist mit der Kritik vertraut und kennt auch jene Theorien der IT-Sicherheitsfirma Norse. Diese hat einen Bericht veröffentlicht, demzufolge mehrere Personen hinter dem Angriff stecken; eine davon soll ein Ex-Mitarbeiter von Sony sein. Nordkorea habe mit dem Angriff nichts zu tun. Das FBI hat sich die Analyse von Norse in einem Drei-Stunden-Meeting angehört, aber im Anschluss mitgeteilt, dass es keine neue Erkenntnisse gegeben habe. Die Analyse von Norse sei schlicht schlampig.
Offenbar hat die NSA Informationen geliefert
Robert M. Lee, ein IT-Experte, der gerade seine Doktorarbeit am King's College schreibt und für die United States Air Force arbeitet, geht mit seiner Kritik noch weiter: "Es ärgert mich (wie das FBI mit dem Fall umgeht), weil viele Länder sich an den Vereinigten Staaten orientieren, wenn es um internationale Normen in Sachen Internet geht. Und zu sagen 'Vertraut uns, aber unsere Informationen bleiben geheim', ist sehr gefährlich."
Das FBI hätte sich Lee zufolge entscheiden müssen, entweder völlig abzublocken und überhaupt keine Informationen zu nennen oder aber genug, damit auch Außenstehende die Argumentation nachvollziehen können. "Sie haben eine technische Analyse präsentiert, damit sie kompetent erscheinen. Aber die Analyse beweist überhaupt nichts", sagt Lee. Das FBI habe die IT-Industrie einfach unterschätzt. Die neuen Äußerungen von Comey ändern an diesem Misstrauen nichts. Ohne die IP-Adressen genau zu kennen und was sich hinter ihnen verberge, sei das schlicht nutzlose Information.
Offenbar haben die Sicherheitsbehörden langsam verstanden, dass ihre Salami-Taktik nicht funktioniert. Denn auch der neue Chef der NSA, Michael Rogers, hat auf der Konferenz die Bühne betreten. Seine Aussage ist schon bedeutend klarer gewesen: Die Infos, die zu der Einschätzung führen, dass Nordkorea verantwortlich ist, kommen teilweise von der NSA.