Digital In Arbeit

Die Suche nach dem Phantom

1945 1960 1980 2000 2020

Stecken wirklich russische Hacker hinter dem Cyberangriff auf die Demokratische Partei? Sicherheitsexperten haben Zweifel.

1945 1960 1980 2000 2020

Stecken wirklich russische Hacker hinter dem Cyberangriff auf die Demokratische Partei? Sicherheitsexperten haben Zweifel.

Die Meldung kam zur Unzeit. Kurz bevor Hillary Clinton feierlich als Präsidentschaftskandidatin auf dem Parteitag der Demokraten auf den Schild gehoben werden sollte, veröffentlichte die Enthüllungsplattform Wikileaks einen gehackten E-Mail-Datensatz des Democratic National Committee (DNC), dem Führungsgremium der Demokratischen Partei, aus dem hervorhing, dass die Parteispitze eindeutig Hillary Clinton favorisierte. Schnell machten sich die üblichen Verdächtigungen anheischig. Die Sicherheitsbehörden machten russische Hacker für die Cyber-Attacke verantwortlich. Das FBI nahm offiziell Ermittlungen auf. Die vom DNC beauftragte IT-Sicherheitsfirma CrowdStrike veröffentlichte im Juni einen Bericht, wonach zwei verschiedene russische Hackergruppen in die Systeme der US-Demokraten eingedrungen waren. In den Metadaten wurden russische Internetadressen und Regionaleinstellungen identifiziert. Die Analysten fanden Komponenten aus den Kampagnen der "Cozy Bear" und "Fancy Bear", hinter denen der russische Geheimdienst FSB stecken soll. Alle Spuren führten nach Moskau. Doch an dieser These gibt es Zweifel.

Angriff war zu offensichtlich

Der Sicherheitsforscher Sandro Gaycken, Direktor des Digital Society Institute, schrieb in einem Gastbeitrag für die "Frankfurter Allgemeine Zeitung", dass das Angriffsmuster zu eindeutig eine russische Handschrift trage. "Die Analysten vergessen, dass die russischen Staatshacker zu den besten der Welt gehören. Und die Indikatoren sind zu leicht zu fälschen und sehr leicht zu bemerken und zu vermeiden." Die gewählten Angriffskomponenten würden bereits seit Jahren auf dem Schwarzmarkt gehandelt und von Kriminellen und Diensten aller Länder benutzt. Zudem wisse "jeder zwölfjährige Teeniehacker", dass man seinen Rechner auf ein paar andere Settings umstellen und so die Meta-Daten und IP-Adresse modifizieren könne. "Warum sollte ausgerechnet ein hochprofessioneller Nachrichtendienst wie der russische so viele so offensichtliche Fehler auf einmal machen?", fragt Gaycken rhetorisch. Das passe nicht zusammen. Zwar gab es in der Vergangenheit schon häufiger eine Kollusion zwischen den russischen Geheimdiensten und Wikileaks (schon allein diese Tatsache nährt Zweifel an der Integrität der Plattform). Doch ein Angriff würde nur Sinn ergeben, wenn dieser nicht eindeutig Russland zuzurechnen sei. "Die Geschichte ist zu einfach", resümiert Gaycken. "Sie ist viel zu eindeutig russisch, obwohl die russischen Dienste diese Eindeutigkeit mit Leichtigkeit hätten vermeiden können."

Bleiben nur zwei Möglichkeiten. Entweder, die russischen Dienste haben absichtlich dilettantisch gearbeitet, um den Verdacht auf sich zu lenken. Oder es steckt jemand anderes hinter dem Cyberangriff. Nur wer? Und mit welchem Ziel? War es ein Sabotageakt?

Vor wenigen Wochen meldete sich ein anonymer Hacker unter dem Pseudonym "Guccifer 2.0" mit einem Bekennerschreiben zu Wort und behauptete, er stecke hinter der Cyberattacke auf die Demokraten. Den geleakten Trump-Report der Demokraten spielte "Guccifer 2.0" dem KlatschBlog "Gawker" und der Webseite "The Smoking Gun" zu. Wer verbirgt sich hinter dem mysteriösen Pseudonym? Und was ist sein Motiv?

Die US-Nachrichtenseite "Motherboard" hatte die Gelegenheit, mit dem selbsternannten "Hacktivisten" zu sprechen. Guccifer 2.0 gab sich in dem Gespräch, das als Chat geführt wurde, als "Hacker, Manager, Philosoph und Frauenliebhaber" aus Rumänien aus. ("Motherboard" hat das vollständig transkribierte Gespräch online veröffentlicht.) Auf die Frage, ob er für Russland oder die russische Regierung arbeite, entgegnete er: "Nein, weil ich die Russen und ihre Außenpolitik nicht mag. Ich hasse es, wenn man mich mit Russland in Verbindung bringt." Der Hacker beschrieb detailliert, wie er in die Computersysteme der Demokraten eingedrungen war. Er installierte Trojaner auf mehreren Rechnern und operierte unterhalb des Radars der von den Demokraten beauftragten Sicherheitsfirma CrowdStrike. "Meine Algorithmen sind besser", sagte Guccifer 2.0 selbstbewusst.

Gefährliche Provokation

Guccifer ist kein Unbekannter in der Szene. 2013 hackte der Rumäne Marcel Lehel Lazar alias Guccifer 1.0 Fotos aus privaten Mails der Bush-Familie (unter anderem ein Foto von Bush senior bei einem Krankenhausaufenthalt). Im Januar 2014 wurde Lazar in Rumänien verhaftet und zu einer vierjährigen Haftstrafe verurteilt. Im März 2016 wurde er in die USA ausgeliefert, wo ihm wegen Datendiebstahls und Betrugs der Prozess gemacht wird. Im Mai 2016 brüstete sich Lazar gegenüber dem Sender "Fox News" damit, dass er wiederholt Clintons E-Mails gehackt hätte. Auf sein unrühmliches Erbe beruft sich nun auch Guccifer 2.0. Er kenne Lazar persönlich und kümmere sich um ihn. Ob hinter Guccifer 1.0 und Guccifer 2.0 dieselbe Person steckt, ist unklar. Guccifers Rumänisch soll in dem Chatverlauf fehlerhaft gewesen sein, weshalb der Fragesteller versuchte zu prüfen, ob er Muttersprachler ist oder Russisch versteht -vergeblich. Guccifer 2.0 brach das Gespräch daraufhin ab.

Eine Verbindung zwischen Guccifer 2.0 und Russland konnte bislang nicht hergestellt werden. Die Nachrichtendienste haben in letzter Zeit jedoch häufiger sogenannte "false flags", gezielte Falschangaben von Hackern, registriert, um die Behörden in die Irre zu leiten. Möglicherweise, so schlussfolgert Sicherheitsexperte Gaycken, könnte ein mysteriöser Dritter die Attacke lanciert haben, um eine Eskalation zwischen den Atommächten USA und Russland zu provozieren. Es ist ein gefährliches Spiel, das die Hacker treiben. Solche Unsicherheiten und Fehleinschätzungen haben in der Vergangenheit immer wieder zu einer Verschärfung von Konflikten geführt. Daher sei es wichtig, den Vorfall aufzuklären.

FURCHE-Navigator Vorschau