# taz.de -- Cyberangriffe im US-Wahlkampf: Wer hackt denn da?
> Es gibt einfache Antworten auf die Frage, wer hinter den Angriffen auf
> die US-Demokraten steckt. Doch nicht alle Fachleute sind damit zufrieden.
(IMG) Bild: Wladimir Putin will die Attacken nicht veranlasst haben
Berlin taz | Anfang Oktober machte die Obama-Administration es offiziell:
Russland soll hinter dem Hack des Democratic National Commitees (DNC) im
Frühjahr gesteckt haben, so NSA-Chef James Clapper und das
US-Innenministerium. Aufgrund von Ausmaß und Sensibilität der Operation
„glauben wir, dass nur Russlands höchste Offizielle diese Aktivitäten
autorisiert haben können“.
Damals waren die Demokraten bereits seit Monaten wegen immer neuer
geleakter E-Mails in Erklärungsnöten – Mails, die mutmaßlich bei dem
Datenklau erbeutet wurden. Erst musste Parteivorsitzende Debbie Wasserman
Schultz wegen der Veröffentlichungen zurücktreten. Dann veröffentlichte die
Seite DCLeaks und die Whistleblowing-Plattform WikiLeaks immer mehr
Bröckchen, von denen viele mitten im rüden Präsidentschaftwahlkampf von den
Medien aufgegriffen wurden.
Detaillierte Angaben dazu, wie sie zu der Schlussfolgerung kamen, dass
Moskau hinter den DNC-Angriffen steht, legten Clapper und das
Innenministerium nicht vor. Doch ganz neu war die Verbindung nicht: Schon
im ersten Medienbericht über den Hack Mitte Juni tauchte sie auf. Und diese
Zuweisung war nicht aus der Luft gegriffen, sondern basierte auf Aussagen
des IT-Sicherheitsunternehmens Crowdstrike, das die Demokraten mit der
Untersuchung beauftragt hatten.
Von „zwei erfahrenen Gegnern“ ist in einer wenig später veröffentlichten
Crowdstrike-Analyse die Rede. Gegnern, die Angriffsmuster verwenden, die
der Firma von anderen Kunden bekannt seien: APT 28 und APT 29. Die
Abkürzung steht für „Advanced Persistent Threat“ (fortgeschrittene
andauernde Bedrohung). So werden im Branchenjargon Akteure genannt, die
zielgerichtet und komplex auf IT-Infrastrukturen und vertrauliche Daten von
Behörden und Unternehmen zuzugreifen versuchen. Sind die Angriffe komplex
und treten ihre Muster wiederholt auf, steht dahinter mutmaßlich kein
Einzeltäter, sondern eine Gruppe – so wie im Fall von APT 28, in
Fachkreisen auch unter den Namen „Fancy Bear“ und „Sofacy Group“ bekannt.
Auch andere IT-Sicherheitsfirmen aus den USA, darunter Mandiant und
Fidelis, veröffentlichten Analysen mit dem gleichen Ergebnis.
Laut Crowdstrike haben die beiden Akteure nicht zusammengearbeitet. Und
dass APT 28 anhand seiner Angriffsziele – „Verteidigungsministerien und
andere militärische Ziele“ der USA, Westeuropas, Chinas und weiterer Länder
– ein Profil aufweise, „das die strategischen Interessen der russischen
Regierung“ spiegele – was auf eine Zugehörigkeit zu Moskauer Geheimdiensten
hindeuten könne.
## Manchen Beobachtern reicht das nicht
Trotzdem reichten diese Belege manchen Beobachtern nicht aus. So twitterte
Ende Juli NSA-Whistleblower Edward Snowden: „Beweise, die öffentlich die
Verantwortung für den DNC-Hack zuweisen könnten, existieren bestimmt in der
NSA“ – doch die Geheimdienste würden sich weigern, sie publik zu machen.
Das änderte sich auch nach Clappers Statement im Oktober nicht.
Auch die Einlassung von Russlands Präsident Wladimir Putin zum Thema sorgte
nicht für Klarheit. Er dementierte zwar mehrfach eine Beteiligung seiner
Regierung – aber in recht wolkiger Sprache. Anfang September etwa sagte
Putin dem US-Nachrichtensender Bloomberg: „Ich weiß nichts darüber und auf
staatlicher Ebene hat Russland das niemals getan“ – wies aber gleichzeitig
darauf hin, dass die Frage, wer hinter den Hacks stecke, doch vielleicht
gar nicht so bedeutend sei. Wichtiger sei doch, dass Inhalte publiziert
worden seien, von denen man das öffentliche Interesse nicht ablenken solle.
Eine deutliche Distanzierung klingt anders.
Thomas Rid, Professor für Sicherheitsstudien am King’s College in London,
ist überzeugt, dass APT 28 hinter dem DNC-Angriff steckt – und dahinter ein
russischer Geheimdienst. In mehreren Artikeln schrieb Rid ausführlich über
den bunten Strauß an Belegen, die IT-Forensiker dafür gefunden haben. Sie
reichten von versehentlich einsehbaren E-Mail-Dokumentationen über den
verwendeten Linkkürzungsdienst Bit.ly, mehrfach verwendete Werkzeuge,
Methoden und Infrastruktur bis hin zu einzigartigen kryptografischen
Schlüsseln, die die Angreifer verwendet haben sollen.
Einer von vielen Fingerzeigen für den Zusammenhang zwischen DNC-Hack und
russischen Geheimdiensten ist für Rid eine sogenannte
Command-and-Control-Adresse. Das ist eine IP-Adresse – also eine
Nummernfolge, die Geräten zugewiesen wird, damit sie übers Internet
auffindbar sind –, die auf einen Server verweist, von der aus Schadsoftware
auf infizierten Rechnern gesteuert wird. Jene nichtöffentliche IP-Adresse
sei nicht nur beim DNC-Hack verwendet worden, sondern auch bei einem
anderen Hacker-Angriff: dem auf den Deutschen Bundestag im April 2015.
Auch bei Letzterem ist Rid sicher: „Wir wissen ziemlich gut, dass es der
russische Militärgeheimdienst war.“ Und auch mit dieser Einschätzung ist er
nicht allein: Schon im Juli 2015 ordnete der ehemalige Chef des Bundesamts
für Sicherheit in der Informationstechnologie den Angriff einem APT 28 zu.
Das deckte sich mit einer Analyse eines Sicherheitsforschers, den die
Bundestagsfraktion der Linkspartei mit der Analyse infizierter Rechner
betraut hat. Und im Mai dieses Jahres hieß es auch aus dem Bundesamt für
Verfassungsschutz, man führe die Angriffe auf russische Dienste zurück,
womit entsprechende Medienberichte bestätigt wurden.
## Arbeiten mit Wahrscheinlichkeiten
Aber: Ist die eindeutige Zuweisung derartiger Hacks nicht schwierig bis
unmöglich? Nein, sagt Rid einerseits: „Heute ist etablierte Meinung, dass
Angriffe auf Computernetzwerke im großen Stil, aber auch
Computerkriminalität, auf die Täter zurückgeführt werden kann.“
Andererseits habe man es in diesem Bereich immer mit Wahrscheinlichkeiten
zu tun.
Die entsprechende Zuweisung erfolgt laut Rid über zwei Achsen: die
„horizontale Attribution“, bei der Sicherheitsforscher über die Analyse der
Angriffswerkzeuge der Hacker, ihrer Kontrollinfrastruktur und anderer
Anhaltspunkte Verbindungen zwischen mehreren Taten herstellen könnten. Das
funktioniere ähnlich wie bei Verbrechen in der Offline-Welt: dieselbe
Waffe, derselbe Fluchtwagen, derselbe Fingerabdruck.
„Die vertikale Zuweisung – also wer wirklich dahintersteckt – ist
schwieriger“, so Rid weiter. „Da muss man nachrichtendienstliche Methoden
anwenden und mit der horizontalen Zuweisung kombinieren.“ Dabei allerdings
muss man sich auf die Nachrichtendienste verlassen – obwohl stark variiere,
wie viele Belege diese tatsächlich öffentlich machten.
Die bekannt gewordenen Fälle in den USA und Deutschland sind nicht die
einzigen: Angriffe auf Computernetze politischer Ziele sind längst Alltag.
So wurde laut Bundesamt für Sicherheit in der Informationstechnik 2015 alle
zwei Tage ein Angriff beobachtet, der einen nachrichtendienstlichen
Hintergrund nahelege. „Alle möglichen Länder spionieren sich gegenseitig
aus, ganz besonders politische Ziele. Das ist normal – auch wenn man nicht
so viel darüber redet.“
Auch Rid sagt: „Die Amerikaner machen das, die Russen machen das. Neu ist
in diesem Zusammenhang, dass man die Informationen, die man durch Spionage
erlangt hat, veröffentlicht.“ Auf WikiLeaks etwa. Dafür gibt es sogar ein
russisches Wort: „Kompromat“, Dreck, mit dem man den Gegner bewirft, wenn
das opportun erscheint. Dafür dürfte auch das Material deutscher
Abgeordneter interessant sein, sagt Rid.
Hier und da ist aber doch Skepsis an der eindeutigen Zuweisung Richtung
Russland zu hören. Hartmut Pohl ist Professor für IT-Sicherheit und
geschäftsführender Gesellschafter der deutschen IT-Sicherheitsfirma
Softscheck. Schon dass die Angriffe gegen DNC und Bundestag dem Angreifer
APT 28 zugeordnet werden, hält er für nicht gesichert. „Das mag sein,
dahinter stehen ein paar Techniker, die arbeiten mal für diesen, mal für
jenen Auftraggeber.“ Aber um das sicher sagen zu können, müsse man schon
dort eine Quelle haben – oder im russischen Geheimdienst.
## Kaffeesatzleserei ist nicht zielführend
„Den deutschen Sicherheitsbehörden sind 50 Unternehmen bekannt, die
derartige Angriffe durchführen. Die machen das für Geld. Ob die nun im
Einzelfall auch mal vom russischen Staat oder der NSA beauftragt sind – das
mag sein, die finanziellen Ressourcen dafür wären da. Aber mit solchen
Zuschreibungen sollte man äußerst vorsichtig sein.“ Generell sagt Pohl
aber: „Ich halte diese Kaffeesatzleserei, wer es war, für nicht
zielführend. Entscheidend ist, dass es geht.“
Rid hat für Skepsis angesichts der vorliegenden Beweise wenig Verständnis.
„Wir nähern uns dem Punkt an, wo es nur zwei Gründe haben kann, warum man
die Belege nicht akzeptiert. Erstens: Man kann sie nicht verstehen, weil
man nicht den notwendigen technischen Hintergrund hat. Oder zweitens: Man
will sie nicht verstehen.“
Der durch seine Enthüllungsgeschichten zum Fall Edward Snowden bekannte
Journalist Glenn Greenwald dagegen meint: „Regierungen spionieren sich
gegenseitig aus und versuchen so, Ergebnisse in anderen Ländern zu
beeinflussen. Die US-Regierung hat eine sehr lange und erfolgreiche
Geschichte, genau das zu tun.“
2 Nov 2016
## AUTOREN
(DIR) Meike Laaff
## TAGS
(DIR) US-Demokraten
(DIR) Schwerpunkt USA unter Donald Trump
(DIR) US-Wahl 2024
(DIR) Russland
(DIR) Cyberattacke
(DIR) Bundestag
(DIR) Marieluise Beck
(DIR) Datensicherheit
(DIR) Donald Trump
(DIR) Internet-TV
(DIR) US-Geheimdienst
(DIR) Schwerpunkt USA unter Donald Trump
(DIR) US-Demokraten
(DIR) Schwerpunkt USA unter Donald Trump
(DIR) Wikileaks
(DIR) Hacker
## ARTIKEL ZUM THEMA
(DIR) Persönliche Infos im Netz veröffentlicht: Promi- und Politikerdaten geleakt
Im Netz wurde Persönliches von Promis veröffentlicht. Einiges deutet darauf
hin, dass diese zum Ziel wurden, weil sie sich gegen rechts positionierten.
(DIR) Gehackte Daten aus dem Bundestag: Im Visier der Cyberkrieger
2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele
Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden.
(DIR) Kommentar zu digitaler Sicherheit: Sparsam sein und investieren
IT-Sicherheit nicht im Griff zu haben, gibt niemand gerne offen zu. Dabei
geht es sowohl Unternehmen als auch Kunden an.
(DIR) Hackerangriff auf US-Präsidentenwahl: Geheimdienste versus Donald Trump
Die amerikanischen Geheimdienste bleiben dabei. Russland steckt hinter den
Hackerangriffen auf die US-Präsidentenwahl.
(DIR) Internet-Ausfall bei der Telekom: Hacker greifen Kunden an
900.000 Menschen waren seit Sonntag ohne Internet, Telefon und Fernsehen.
Angreifer nutzten eine Sicherheitslücke bei den Routern.
(DIR) Rücktritt von James Clapper: US-Geheimdienstkoordinator geht
Der Chefkoordinator der US-Geheimdienste, James Clapper, hat seinen
Rücktritt erklärt. Der 75-Jährige sprach schon vor Trumps Wahl von
Abschied.
(DIR) Russland und die US-Präsidentenwahl: Märchenstunde in Moskau
In russischen Medien ist Trump oft der bessere Kandidat, das US-System
korrupt – und Moskau der Ort, in dem Wichtiges entschieden wird.
(DIR) Clintons im US-Wahlkampf unter Druck: FBI veröffentlicht weitere Dokumente
Interessantes Timing bei der US-Bundespolizei: Sie veröffentlicht kurz vor
der Wahl Dokumente aus längst abgeschlossenen Untersuchungen.
(DIR) Wahlkampf in den USA: Clintons Vorsprung schmilzt
Neue Vorwürfe machen den US-Wahlkampf nochmal spannend. Clinton soll
Debattenfragen vorab bekommen haben.
(DIR) Wahlkampf in den USA: Podesta gegen Wikileaks
Clintons Wahlkampfleiter greift Assange, Trump und Russland wegen neuer
Wikileaks-Enthüllungen an. Die Veröffentlichung sei ein „seltsamer Zufall“.
(DIR) Internetspionage im US-Wahlkampf: Return of the Hack
Nachdem Donald Trump Hacker zum Angriff auf Hillary Clinton aufgerufen hat,
formieren die sich jetzt wirklich – aber zum Schutz Clintons.