/Tech

Der Verfassungsschutz nennt Hacker beim Namen

Max Biederbeck 19.05.2016

Der Chef des Inlandgeheimdienstes zeigt mit dem Finger auf Russland. Und spricht damit aus, was viele denken, aber keiner sagt: Es ist durchaus möglich, digitale Angriffe zu ihrem Urheber zurückzuverfolgen. Der Fingerzeig ist ein politisches und kein technisches Problem. Ein Cheat Sheet.

Was ist passiert?
Der Chef des Bundesverfassungsschutz (BfV), Hans-Georg Maaßen, will den Ernst der Lage deutlich aussprechen. In einem Interview nutzt er deshalb die Worte „hybride Kriegsführung“ und redet von „neuen Operationsräumen für Spionage und Sabotage“ und einer permanenten Bedrohung für kritische Infrastrukturen in Deutschland. Aber das ist gar nicht einmal das Wichtigste, was er zu sagen hat.

Eine Woche ist vergangen, seitdem die CDU-Zentrale Ziel eines mutmaßlichen Hacker-Angriffs wurde. Ein Jahr, seitdem der Bundestag sich mit Malware infizierte. Für beide Aktionen könnte die Gruppe „Sofacy“ verantwortlich sein, die auch unter dem Namen APT28 bekannt ist.

Und das ist es, was Maaßen jetzt offen aussprechen will. Eigentlich das, was alle denken — Dass diese Angriffe im Auftrag von russischen Geheimdiensten ausgeführt wurden. Aber bei einfachen Worten eines Amt-Vorstehers in einem Interview belässt es Maaßen nicht.

Der Verfassungsschutz versendet regelmäßig einen eigenen Newsletter mit offiziellen Berichten. Darin stand vor einigen Tagen in deutlicheren Worten als je zuvor: „Russische nachrichtendienstliche elektronische Angriffe gegen deutsche Ziele sind meist Teil mehrjähriger, international ausgerichteter Cyber-Spionage-Operationen“ und: Sowohl der Auslandsnachrichtendienst GRU als auch der Inlandsgeheimdienst FSB in Russland seien in diese Operationen verwickelt.

Bei Experten löste das Staunen aus, normalerweise gehen westliche Geheimdienste mit solchen Anschuldigungen weit weniger offensiv um.

Warum ist das wichtig?
Weil über der Frage nach dem „Wer war es“ bei Angriffen aus dem Internet normalerweise ein riesiger Konjunktiv hängt. Noch immer tun sich Behörden und Regierungen schwer, die Urheber von Hackerangriffen aufzuspüren, zumindest sagen sie das — Das Argument lautet normalerweise: Die Attribution der Attacken ist kaum möglich. Der Begriff Attribution bezeichnet die Fähigkeit, einen Hack bis zu seinem Ursprung zurückzuverfolgen.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++

Und es stimmt schon: Die Angreifer wissen, wie politisch heikel ihr Eindringen in fremde (ausländische) Netze ist. Deswegen sind sie darauf bedacht, nicht gefunden zu werden. Sie nutzen komplizierte Proxy-Netzwerke und Verschleierungstaktiken, um sich zu tarnen. Deshalb gibt es nie völlige Sicherheit, wer eine Malware von wo losschickt. Viele NSA-Operationen wurden immerhin nur dank Edward Snowden bekannt, wären ohne die Leaks wahrscheinlich nie aufgeflogen. Auch falsche Fährten wurden schon gelegt, etwa als chinesische Angreifer versuchten, sich als britische auszugeben.

Mit seiner Aussage macht Maaßen jetzt aber klar: Es gibt Fortschritt beim Thema Rückverfolgung. So schwer ist es vielleicht doch nicht, den Schuldigen zu finden.

Schon 2012 schrieb der damalige US-Verteidigungsminister Leon Panetta. „Es gab ein signifikantes Investment in die Forensik, um das Problem der Attribution anzugehen. Potenziellen Aggressoren sollte klar sein, die Vereinigten Staaten haben die Möglichkeiten, sie zu finden und für ihre Taten zur Rechenschaft zu ziehen.“ Damals vielleicht noch ein Bluff, um Angreifer abzuschrecken. Die Technik aber hat sich weiterentwickelt.

Wie funktioniert Attribution?
In der privaten Sicherheitsindustrie gibt es viele Attributions-Berichte über Angriffe, die sehr klar feststellen, woher ein Hack kommt. „Sie müssen sich das vorstellen wie bei einem klassischen Einbruch“, erklärt der Sicherheitsforscher Thomas Rid, „sie können klassische forensische Recherche auch bei digitalen Attacken anwenden“.

So lassen sich bei Hacker-Attacken vor allem Infrastrukturen wiedererkennen, die schon einmal zum Einsatz kamen. „Welche Server haben die Angreifer benutzt, um in ein System rein oder rauszukommen, mit welchen Zahlen und Buchstaben haben sie ihren Programm-Code verschlüsselt“, erklärt Rid. Dazu kommen heuristische Datenbanken, die das Verhalten von Malware wiedererkennen und Experten, die Jahrelang mit Programmierstil bestimmter Länder zu tun haben. Durch das gestiegene operative Tempo machen sogar die fortschrittlichsten Nationen immer mehr Fehler bei ihren Angriffen.

„Die USA, Russland und Israel sind natürlich noch immer schwer zu fassen“, sagt Rid. Die Aussage „Es geht nicht“ sei aber zu absolut, auch wenn in Deutschland Personal, Expertise und Technik fehlt. Es gibt genügend Beispiele, wo es geklappt hat. Die USA haben China etwa nachgewiesen, dass Systemeinbrüche von dort stammen, genauso wie die Beweislage erdrückend ist, dass der Hack von Sony Pictures aus Nordkorea stammt. 

Warum wird nicht klar gesagt, woher ein Angriff kommt?
Maaßen dürfte mit seinem Vorstoß für einigen Wirbel gesorgt haben in der europäischen Sicherheits-Community. Wer so klar zugibt, „Wir wurden von Russland angegriffen“, der muss eigentlich auch die politischen Konsequenzen ziehen. Wie die aber bei einem Hacker-Angriff von einem anderen Land aussehen, ist immer noch unklar. Gerade sucht der ganze Staat inklusive Bundeswehr und Bundesnachrichtendienst eine Antwort auf diese Frage. „Beim Nachrichtendienst scheinen sie verstanden zu haben, dass man etwas tun muss“, sagt Tomas Rid. Die politischen Folgen dieses Verständnisses: unklar.

Ein Cheat Sheet ist mehr als ein Spickzettel. Studenten packen Gleichungen darauf, kritzeln Aufzählungen, listen Infos. Während sie den Zettel für ihre Klausur zusammenschreiben, lernen sie die Materie. Am Ende brauchen sie ihn vielleicht gar nicht mehr. Wir wollen euch so einen Cheat Sheet für aktuelle Debatten zur Hand geben. 

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden