Für Computerexperten ist es nicht so einfach, sich darauf festzulegen, woher eine Schadsoftware kommt und ob ein Geheimdienst dahinter steckt. Das Bochumer Unternehmen GDATA ist einer der deutschen Marktführer auf dem Gebiet der Antivirensoftware. Kommunikationschef Thorsten Urbanski beschreibt die Linie seines Unternehmens
Wir tun uns da immer sehr schwer zu sagen, ein Schädling ist jetzt von einem Geheimdienst XY aus irgendeiner Welt. Denn man weiß nie, was wirklich dahinter steckt. Ob nicht absichtlich falsche Fährten gelegt werden.
Auch der russische Mitbewerber Kaspersky Lab hält es für viel zu unsicher, nur aufgrund der Programmiertechnik auf einen möglichen Täter zu schließen. Dafür seien Analysen des Umfeldes und langfristigen Beobachtungen nötig, erklärt Marco Preuß. Der Viren- und Schadprogrammspezialist ist bei Kasperky Lab der zuständige Leiter des europäischen Sicherheitslabors. Er setzt beispielsweise auf eine Beobachtung der Arbeitszeiten. Sogenannte Timestamps in den Programmen und deren Updates ließen Rückschlüsse darauf zu, an welchen Tag zu welcher Uhrzeit etwas programmiert wurde.
Und wenn man diese ganzen Timestamps einfach sammelt, ab einer gewissen Größe der Sammlung kann man dann einfach sehen: Ok, die Arbeitszeiten sind zum Beispiel von Zeitpunkt X bis Zeitpunkt Y. Und sieht dann zum Beispiel: Ok, das würde jetzt auf einen Arbeitstag im Land Z hinweisen.
Experten nennen diese Detektivarbeit übrigens „Attribution“. Der Chef des Bundesverfassungsschutzes, Hans-Georg Maaßen, stimmt mit den Virenanalysten aus der freien Wirtschaft überein. Technische Parameter alleine reichen nicht aus.
Deshalb würden die Geheimdienste zusätzliche menschliche Quellen – also Spione – einsetzen. Diese versuchen herauszubekommen, wer Interesse hat, bestimmte Bereiche anzugreifen. Hinzu komme ein Abgleich mit Vorfällen aus lang vergangenen Zeiten, erklärt Hans-Georg Maaßen auf einer Veranstaltung des Netzwerkes Recherche.
Wir schauen uns auch an: Wo stehen die Server? Wer hat die Server angemietet? Eigentümer? Besitzerverhältnisse? Zu wem gehören die Firmen, die die Server betreiben? Und wir schauen natürlich: Passen die Opfer zu dem Auftragsprofil?
Als der Bundestag 2015 von außen angegriffen wurde, erkannte der Bundesverfassungsschutz ein Schadprogramm, welches er schon länger beobachtete:
APT 28 gibt es mindestens schon seit 2007. Das heiß also, wir haben seit 2007 versucht zu verfolgen, wer ist angegriffen worden durch APT 28. Welche Server sind genutzt worden als Infrastruktur? Wie sieht die Malware aus? Wie hat sie sich verändert? Und aufgrund dieser ganzen Genese haben wir die Attribution vorgenommen: Russischer militärischer Nachrichtendienst GRU.
Doch richtig sichere Aussagen sind nach Ansicht des Kasperky-Mitarbeiters Marco Preuß nicht machbar:
Man ist sich sicher zu einem gewissen Prozentsatz. Wirklich 100 Prozent ist sehr schwer zu erreichen.