Wie kann man herausbekommen, wer hinter einem Cyberangriff steckt?

Der Cyberangriff auf das Netz der Bundesregierung soll durch russische Hacker durchgeführt worden sein. Ähnliches war bereits 2015 zu hören, als die IT des Bundestages angegriffen wurde. Wie kann man überhaupt feststellen, wer für Cyberangriffe verantwortlich ist? Dabrüber berichtete ich für MDR Aktuell.

Computerexperten halten sich normalerweise mit exakten Einordnungen zurück, wenn es darum geht, wer hinter einem Cyberangriff steckt. Thorsten Urbanski, der schon für unterschiedliche Antiviren-Firmen gearbeitet hat, meint:

Wir tun uns da immer sehr schwer zu sagen, ein Schädling ist jetzt von einem Geheimdienst XY aus irgendeiner Welt. Denn man weiß nie, was wirklich dahinter steckt. Ob nicht absichtlich falsche Fährten gelegt werden.

Auch das russische IT-Sicherheitsunternehmen Kaspersky Lab hält es für viel zu unsicher, beispielsweise nur aufgrund der Programmiertechnik auf einen möglichen Täter zu schließen. Marco Preuß, Leiter des europäischen Sicherheitslabors:

Man ist sich sicher zu einem gewissen Prozentsatz. Wirklich 100 Prozent ist sehr schwer zu erreichen.

Dafür seien Analysen des Umfeldes und langfristigen Beobachtungen nötig. Er setzte beispielsweise auf eine Beobachtung der Arbeitszeiten. Sogenannte Timestamps in den Programmen und deren Updates ließen Rückschlüsse darauf zu, an welchen Tag zu welcher Uhrzeit etwas programmiert wurde. Es sind Angaben, die exakt Datum und Uhrzeit einer Handlung wiedergeben.

Michael Voß im Gespräch mit Marco Preuß, Kaspersky Lab
Michael Voß im Gespräch mit Marco Preuß, Kaspersky Lab (Archiv-Foto)

Und wenn man diese ganzen Timestamps einfach sammelt, ab einer gewissen Größe der Sammlung kann man dann einfach sehen: Ok, die Arbeitszeiten sind zum Beispiel von Zeitpunkt X bis Zeitpunkt Y. Und sieht dann zum Beispiel: Ok, das würde jetzt auf einen Arbeitstag im Land Z hinweisen.

Experten nennen diese Detektivarbeit übrigens „Attribution“. Der Chef des Bundesverfassungsschutzes, Hans-Georg Maaßen, stimmt den IT-Experten zu. Technische Parameter alleine reichten nicht aus. Deshalb setzten die Geheimdienste zusätzlich Agenten ein. Diese ergründen, wer Interesse hat, bestimmte Bereiche anzugreifen. Außerdem vergleiche man Vorfällen aus lang vergangenen Zeiten mit aktuellen Ereignissen, erklärte Hans-Georg Maaßen im letzten Jahr auf einer Veranstaltung des Netzwerkes Recherche.

Wir schauen uns auch an: Wo stehen die Server? Wer hat die Server angemietet? Eigentümer? Besitzerverhältnisse? Zu wem gehören die Firmen, die die Server betreiben? Und wir schauen natürlich: Passen die Opfer zu dem Auftragsprofil?

Als der Bundestag 2015 von außen angegriffen wurde, erkannte der Bundesverfassungsschutz ein Schadprogramm, welches er schon länger beobachtete. Hans-Georg Maaßen:

APT 28 gibt es mindestens schon seit 2007. Das heiß also, wir haben seit 2007 versucht zu verfolgen, wer ist angegriffen worden durch APT 28. Welche Server sind genutzt worden als Infrastruktur? Wie sieht die Malware aus? Wie hat sie sich verändert? Und aufgrund dieser ganzen Genese haben wir die Attribution vorgenommen: Russischer militärischer Nachrichtendienst GRU.

APT 28 war also ursprünglich der Name für ein Schadprogramm und lautet ins Deutsche übersetzt: „fortgeschrittene andauernde Bedrohung“. Medienberichte nutzen das Kürzel jetzt auch als Bezeichnung für die mutmaßlich russischen Hacker, die das Netz der Bundesregierung angegriffen haben sollen.

Author: Michael Voß