Keine Hymne, kein Kyrillisch

Woher weiß man, woher Hackerangriffe kommen? Offensichtliche Spuren hinterlassen sie selten. Die Recherche ist mühsam

  • Maximilian Henning
  • Lesedauer: 7 Min.

Der Mann in Merkels Rechner - Jagd auf Putins Hacker», «Russland unter Verdacht: Cyberangriff auf Politiker», «Versuchte Ausspähung: Russische Hacker attackieren WDR-Journalisten». Schlagzeilen dieser Art gibt es seit Jahren viele. Inzwischen kommen beinahe wöchentlich neue Berichte über Hackerangriffe mit vermeintlich russischem Ursprung ans Licht. Der bekannteste Fall in Deutschland dürfte der Angriff auf den Bundestag im Januar 2015 sein, bei dem mehr als 16 Gigabyte an Daten, darunter E-Mails von Abgeordneten, abgegriffen wurden.

Aber die Liste von Behörden, die zum Ziel von vermuteten russischen Hackerangriffen wurde, lässt sich beinahe beliebig fortsetzen: Aus den Schlagzeilen am Anfang kommen noch mehrere deutsche Landtage dazu, ansonsten das Auswärtige Amt, beim SolarWinds-Angriff potenziell Bundesverkehrsministerium, Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnik (BSI).

Und das sind nur einige Behörden. Ansonsten traf es in den letzten Jahren einen Journalisten des WDR, das Medienunternehmen Madsack, die Uniklinik Düsseldorf, die Deutsche Post, Deutsche Bahn, Beiersdorf und so weiter und so fort.

Cyberangriffe untersuchen ist Fleißarbeit

Aber wo kommt diese Diagnose her - vermutlich russische Hacker? Wenn ein Computer gehackt wird, fängt er dann sofort an, auf voller Lautstärke die russische Hymne zu spielen? Wechselt die grüne Matrix auf dem Bildschirm auf Hollywood-Kyrillisch um? Leider nein. Die Wirklichkeit ist, wie so oft, wenn es um IT-Sicherheit geht, wesentlich langweiliger.

Nehmen wir an, es gibt einen Hackerangriff auf ein größeres deutsches Unternehmen, das auch für Behörden arbeitet. Ein häufiger Ablauf geht so: Die Angreifer schicken Mails mit Links, die statt zu angepriesenen Rabattaktionen zu Schadsoftware führen. Irgendjemand in dem Unternehmen klickt den Link an, die Schadsoftware wird installiert. Die kann sich je nach Art des Angriffs unterscheiden, dazu später mehr.

In unserem Fall merkt jemand, was passiert ist. Es gibt Anrufe an IT-Abteilungen, dann vielleicht an die unternehmenseigene IT-Sicherheitsabteilung, vielleicht wird auch Hilfe von einem externen Unternehmen oder einer Behörde geholt. Irgendwann ist die Lage unter Kontrolle: Die Schadsoftware ist isoliert, die Systeme sind sicher und können weiterlaufen.

Und nun die schwierige Frage: Woher kam der Angriff? Das nur anhand von zurückgelassener Schadsoftware und den Spuren auf eigenen Systemen zu erkennen, ist schwer. Angreifergruppen mit viel Geld und Zeit - sogenannte Advanced Persistent Threats, kurz APTs - hinterlassen selten einfache Spuren. IT-Sicherheitsexpert*innen suchen nach Hinweisen wie in Software einprogrammierte Zeitzonen: Wurde eine Software für Beijing-Zeit entwickelt, kommt sie vielleicht aus China. Das ist eine extrem zeitaufwendige und oft fruchtlose Arbeit.

Manchmal ist es aber einfacher. Zum Beispiel 2018, als ein Team des russischen Militärgeheimdiensts GRU in das Netz der Organisation zum Verbot chemischer Waffen eindringen wollte. Dafür saßen die Hacker in einem Auto auf dem Parkplatz der Organisation - und wurden erwischt.

Hacken als Teil des großen Ganzen

Professionelle Hacker gibt es nicht wie Sand am Meer. Das Projekt Malpedia des Fraunhofer-Instituts listet international bekannte Gruppen auf, die hinter Cyberangriffen standen, insgesamt 364. 21 davon tragen eine kleine russische Flagge neben ihrem Namen. Das sind so Gruppen wie APT28, verantwortlich für den Bundestagshack 2015, oder Sandworm, die wahrscheinlich hinter dem Angriff auf das Stromnetz der Ukraine aus dem gleichen Jahr steckte.

Diese Gruppen sind gut ausgestattet. Ihre Hacker sind Angestellte, arbeiten also vermutlich zu normalen Bürozeiten. Je nach Gruppe mehr oder weniger direkt lassen sie sich mit staatlichen Stellen in Verbindung bringen - im Fall der 2018 erwischten GRU-Leute sehr direkt, einer hatte noch eine Taxiquittung für eine Fahrt vom Hauptquartier des Militärgeheimdiensts in der Tasche.

Ihre Arbeit ist Teil von umfangreichen Aktionen, die sich nicht nur auf den digitalen Raum beschränken. Laut offizieller russischer Militärdoktrin sind Hacks Teil eines größeren Informationsraums: Digitale Angriffe sollen oft nur Informationen beschaffen, die dann durch alle möglichen Kanäle nach Belieben der russischen Regierung verbreitet werden können. Das läuft unter dem Stichwort Desinformation. Vom «Guardian» in der vergangenen Woche veröffentlichte Dokumente zeigen die Planung für so einen Angriff auf die US-Wahlen, um sie im Sinne des Kandidaten Donald Trump zu beeinflussen.

Zur Desinformation gehören die klassischen Propagandakanäle. Netzpolitik.org und «Die Welt» deckten 2020 aber außerdem ein ganzes Netzwerk an kleinen Nachrichtenseiten in verschiedenen europäischen Ländern auf, die Desinformation verbreiteten. Damit konnten dann Staatsmedien den Eindruck erwecken, international vernetzt zu sein. Zumindest die deutsche Seite dieses Netzwerks ist inzwischen abgeschaltet.

Ein blühendes Geschäftsmodell

Neben diesen gezielten politischen Aktionen gibt es noch die weite Welt der Cyberkriminalität. Das Mittel der Wahl sind hier nicht Programme zum Abgreifen von Daten oder Stören der Infrastruktur, sondern Ransomware - Software, die Netzwerke verschlüsselt, bis eine Zahlung an die Angreifer geleistet wurde.

«Die erste und wichtigste Motivation für die Verbreitung von Ransomware ist der finanzielle Gewinn», heißt es einem Bericht des BSI zum Thema. Hier geht es nicht um politisches, sondern um schnödes finanzielles Kapital.

Ein gutes Beispiel ist der Angriff auf die Colonial-Pipeline im Südosten der USA. Bei diesem Angriff im Frühjahr konnten die Angreifer, eine russischsprachige Gruppe namens DarkSide, zwar Lösegeld erpressen - der Angriff zog aber eine gewaltige Menge Aufmerksamkeit von Öffentlichkeit und Sicherheitsbehörden auf sich. Das ist eigentlich nicht das Ziel von Kriminellen, die in aller Stille Geld einsammeln wollen, möglichst ohne dass das betroffene Unternehmen je öffentlich zugibt, gehackt worden zu sein.

Warum kommen vergleichsweise viele solcher Angriffe aus Russland? Schauen wir uns zwei Gründe an: Bildung und Strafverfolgung. In der Sowjetunion und jetzt in Russland haben Bürger*innen Zugang zu international anerkannter Bildung in vielem, was mit Computern zu tun hat - aber nicht zu international wettbewerbsfähigen Gehältern. Gleichzeitig drücken russische Sicherheitsbehörden gegenüber solchen Gruppen zumindest ein Auge zu, solange sie sich an gewisse Regeln halten. Zum Beispiel: keine Seiten mit einer .ru-Adresse zu hacken.

Nicht alles, was tweetet, ist ein Bot

Cyberangriffe aus Russland sind also ein Thema, das mit Nachrichtendiensten und unaufgeklärten Strafverfolgungen zusammenhängt. Diese zwei Themen gehören wohl zu den zwei schwersten, zu denen man als Journalist*in schreiben kann, gleichzeitig sind russische Cyberangriffe ein Modethema.

Diese Verbindung kann leicht in gewaltige und manchmal unbegründete Vermutungen umschlagen. Ein Beispiel: Um die Europawahl 2019 gab es viele Berichte, oft basierend auf akademischen Studien, zu «Social Bots» in sozialen Netzwerken. Laut diesen Studien waren diese von Programmen betriebenen, aber als Menschen getarnte Accounts auf sozialen Medien wichtiger Teil einer gezielten Kampagne, die Wahlen zu beeinflussen. Der damalige EU-Sicherheitskommissar Julian King (ein Brite - 2019 ist lange her) machte «russische Quellen» dafür verantwortlich.

Das Problem: Viele dieser Studien basierten auf dem Projekt Botomoter der Indiana University. Dieses bewertet Twitter-Accounts nach der Wahrscheinlichkeit, mit der diese Bots sind - und geht dabei großzügig mit dieser Bezeichnung um: Bei einem Test des Datenanalysten Michael Kreil bezeichnete die Seite 40 Prozent der Accounts von Abgeordneten im Landtag des Saarlands als Bots, was wohl hoffentlich nicht der Realität entspricht.

Das heißt nicht, dass es keine große Kampagne der russischen Regierung gab, durch Desinformation Einfluss auf die Europawahlen auszuüben - aber die setzte sich einfach aus Leuten mit vielen Passwörtern und Mitarbeiter*innen der russischen Staatsmedien «Sputnik» und «Russia Today» zusammen und kam wahrscheinlich ohne Bot-Invasion der sozialen Medien aus. Einen großen Skandal wie Cambridge Analytica bei den US-Wahlen 2016 gab es nicht.

Ein weiterer Beispielfall: «Banken im Visier: Riesen Hacker-Angriff aus Russland!» lief Ende letzten Monats als Breaking-News-Banner über die Homepage der «Bild». «Russland hat nach BILD-Informationen in den vergangenen Tagen massiv kritische Infrastruktur und das Bankenwesen in Deutschland angegriffen!», so der erste Satz des Artikels in seiner Ursprungsfassung. Diese hochgejubelte Behauptung habe das zuständige BSI auch angeblich bestätigt.

Das dementierte aber später und präsentierte eine wesentlich langweiligere Realität: Es ging um eine DDoS-Attacke auf einen IT-Dienstleister, also einen Angriff, bei ein Netzwerk von außen mit so viel Verkehr geflutet wird, dass es nicht mehr funktioniert. Das ist so mit die einschläferndste Version von Cyberkriminalität, mit der hier Lösegeld erpresst wurde. Die verantwortliche Gruppe handelte höchstwahrscheinlich nicht auf geheime Weisung des Kreml, sondern aus reiner krimineller Energie. Den «massiven» Teil hat die «Bild»-Zeitung inzwischen auch aus ihrem Artikel entfernt.

Was heißt das alles?

Cyberangriffe aus Russland gibt es, und zwar eine Menge. Mit der Analyse dieser Angriffe verbringen internationale IT-Expert*innen sehr viel Zeit. Einteilen kann man die Gruppen hinter den Angriffen danach, ob sie ein politisches oder ein finanzielles Ziel verfolgen. Das eine forciert die russische Regierung, das andere toleriert bzw. unterstützt sie.

Wir-schenken-uns-nichts
Unsere Weihnachtsaktion bringt nicht nur Lesefreude, sondern auch Wärme und Festlichkeit ins Haus. Zum dreimonatigen Probeabo gibt es ein Paar linke Socken und eine Flasche prickelnden Sekko Soziale – perfekt für eine entspannte Winterzeit. Ein Geschenk, das informiert, wärmt und das Aussteiger-Programm von EXIT-Deutschland unterstützt. Jetzt ein Wir-schenken-uns-nichts-Geschenk bestellen.

Das »nd« bleibt gefährdet

Mit deiner Hilfe hat sich das »nd« zukunftsfähig aufgestellt. Dafür sagen wir danke. Und trotzdem haben wir schlechte Nachrichten. In Zeiten wie diesen bleibt eine linke Zeitung wie unsere gefährdet. Auch wenn die wirtschaftliche Entwicklung nach oben zeigt, besteht eine niedrige, sechsstellige Lücke zum Jahresende. Dein Beitrag ermöglicht uns zu recherchieren, zu schreiben und zu publizieren. Zusammen können wir linke Standpunkte verteidigen!

Mit deiner Unterstützung können wir weiterhin:


→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.

Sei Teil der solidarischen Finanzierung und unterstütze das »nd« mit einem Beitrag deiner Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.