Für Silvesterpartys gibt es ein tolles Spiel: Die Werwölfe von Düsterwald. Jeder bekommt im Geheimen eine Rolle zugewiesen, die Hälfte verwandelt sich in Dorfbewohner, die andere in Werwölfe. In der „Nacht“ dürfen nur die Wölfe die Augen öffnen und einen Bewohner nach dem anderen auffressen. Am „Tag“ wiederum dürfen sich alle umschauen und die Bewohner versuchen, die Wölfe auszumachen und zu töten. Die Krux: Niemand weiß vom jeweils anderen, ob er nicht in Wahrheit eines der Monster ist. Die andauernden Hackerangriffe der ominösen Gruppe APT28 auf den Westen sind die globalpolitische Variante einer solchen Werwölfe-Party. Und die Dorfbewohner wissen gerade nicht so recht, wen sie jagen wollen.
Da gibt es zum einen den noch amtierenden US-Präsidenten Barack Obama und seine Geheimdienste. Sie wollen mit Sicherheit wissen, dass APT28 im Auftrag Russlands handelt. Obama verweist als Reaktion vergangene Woche 35 russische Diplomaten des Landes. Sein designierter Nachfolger Donald Trump auf der anderen Seite spielt die Sache herunter: Man müsse mit Anschuldigungen vorsichtig sein, sagt er und raunt zu Neujahr: „Ich weiß Dinge, die andere nicht wissen.“
Und der mutmaßliche Werwolf, Vladimir Putin, will sich zunächst mit eigenen Sanktionen wehren, zieht dann aber plötzlich wieder zurück. „No retaliation“, lässt er verlauten – doch keine Vergeltung. Währenddessen wütet APT28 munter weiter, Sicherheitsleute finden die den Hackern zugeschriebene Schadsoftware diesmal auf einem Laptop in einem Kraftwerk in Vermont. Der gleiche Code, der auch beim Hack des Democratic National Committee zum Einsatz kam sowie beim Einbruch in die Netze des deutschen Bundestags 2015, mit dem wahrscheinlich auch in die Parteizentrale der CDU und in Militärsysteme in der Ukraine eingedrungen wurde.
Über der Frage nach dem „Wer war es?“ hängt bei Angriffen aus dem Internet seit jeher ein riesiger Konjunktiv
IT-Experten (und andere Dorfbewohner) widersprechen sich. Gegenüber der Süddeutschen Zeitungen sagten teils nicht näher benannte Quellen: Es gebe nicht genug Beweise, um Russlands Verbindungen zur APT28-Gruppe festzustellen. Andere wie der Sicherheitsexperte Thomas Rid oder der Bundesverfassungsschutz und die amerikanischen Behörden gehen fest von Russlands Schuld aus. Sogar einer der wichtigsten Berater Trumps, Ex-CIA-Direktor James Woolsey, glaubt, dass APT28 auf Anweisung des Kremls arbeitet. Auch er gibt gegenüber CNN aber zu: „Man kann nie sicher sein, wer es war, weil es möglich und einfach ist, seine Spuren zu verwischen. Es gibt eine Menge Tricks“. Vielleicht, so sagt er sogar, spiele Trump auch mit dieser Verunsicherung.
Über der Frage nach dem „Wer war es?“ hängt bei Angriffen aus dem Internet seit jeher ein riesiger Konjunktiv. Noch immer tun sich Behörden und Regierungen schwer, die Urheber von Hackerattacken aufzuspüren. Das Argument lautet oft: Die Attribution der Angriffe ist kaum möglich. Der Begriff bezeichnet die Fähigkeit, einen Hack bis zu seinem Ursprung zurückzuverfolgen.
Und es stimmt: Die Angreifer wissen, wie politisch heikel ihr Eindringen in fremde (ausländische) Netze ist. Deswegen sind sie darauf bedacht, nicht gefunden zu werden. Sie nutzen komplizierte Proxy-Netzwerke und andere Verschleierungstaktiken, um sich zu tarnen. Deshalb gibt es nie völlige Sicherheit, wer eine Malware von wo losschickt. Viele NSA-Operationen wurden immerhin nur dank Edward Snowden bekannt, ohne die Leaks wären sie wahrscheinlich nie aufgeflogen.
„Sie müssen sich das vorstellen wie bei einem Einbruch“, erklärt der Sicherheitsforscher Thomas Rid. Sie können klassische forensische Recherche auch bei digitalen Attacken anwenden.“ So ließen sich bei Hacker-Attacken vor allem Infrastrukturen wiedererkennen, die schon einmal zum Einsatz kamen. „Welche Server haben die Angreifer benutzt, um in ein System rein oder rauszukommen? Mit welchen Zahlen und Buchstaben haben sie ihren Programm-Code verschlüsselt?“, fragen Forscher wie Rid dann zum Beispiel. Dazu kommen Datenbanken, die das Verhalten von Malware wiedererkennen und Experten, die jahrelang mit Programmierstil bestimmter Länder zu tun hatten. Denn durch das gestiegene Tempo der Operationen machen sogar die fortschrittlichsten Nationen immer mehr Fehler bei ihren digitalen Angriffen.
Wenn Trump so klar verneint, Putin so ruhig bleibt, Obama so harsch reagiert, und Assange keine Angaben machen will, woher er seine Informationen hat – dann sind das auch Indizien
Wer schon einige Werwölfe-Partien hinter sich hat, weiß aber auch: Es kommt nicht nur auf die Technologie an. Bei all den Diskussionen um die Möglichkeiten der Täuschung, um Restzweifel und um Attribution. Bei all den Fragen danach, ob IT-Sicherheitsunternehmen mit der Panik vor Hackerangriffen vielleicht nur ein Geschäft machen wollen. Bei all dem achten die Dorfbewohner gerade zu wenig auf ihre Mitspieler: Wenn ein Donald Trump so klar verneint, wenn ein Putin so ruhig bleibt, ein Obama so harsch reagiert, und wenn ein Julian Assange keine Angaben machen will, woher er seine gehackten Informationen bekommen hat – dann sind das auch Indizien.
Trump haben die Hacks im Wahlkampf massiv geholfen. Für Putin sind sie ein mehr als effektives Mittel zur internationalen Einflussnahme, lange schon ist bekannt, dass der Kreml die Manipulation über das Internet zu seinen Gunsten einsetzt. Obama, der geschlagene Präsident, hat nichts mehr zu verlieren und kann zum vielleicht ersten Mal in der Geschichte wirklich auf einen digitalen Angriff reagieren. Und Julian Assange wollte sich eben nicht dem Vorwurf der Einflussnahme durch Russland ausgesetzt sehen.
Das alles heißt nicht, dass APT28 nicht mehrere Auftraggeber haben könnte, oder dass man aufhören sollte zu zweifeln. Aber es spricht eben doch vieles dafür, dass der Kreml hinter den Angriffen steckt. Bei der Werwolf-Jagd sollten die Amerikaner deshalb nicht nur nach der Tatwaffe fragen, sondern vor allem auch, ob ihr frisch gewählter Dorfvorsteher nicht in Wahrheit ein Werwolf ist.
