IMG_0121.jpg

Das Problem der Attribuierung von Cyberangriffen

Im Haifischbecken internationaler Geheimdienste spielen digitale Werkzeuge eine immer größere Rolle. Warum wird dies vom Bundesamt für Verfassungsschutz vor allem Russland angelastet?

Der Verfassungsschutzbericht 2016 widmet sich ausführlich der Spionage, für deren Abwehr das Bundesamt für Verfassungsschutz zuständig ist. Als wichtigster Akteur wird zuerst Russland genannt, es folgen China und der Iran. Neben der klassischen Spionage über die Auslandsvertretungen wird der Regierung in Moskau angelastet, vermehrt „Einfluss auf Entscheidungsträger und die öffentliche Meinung in Deutschland zu nehmen“. Die „Propaganda- und Desinformationsaktivitäten“ russischer Medien und staatlich geförderter Institute werde durch „Internet-Trolle“ unterstützt, die ebenfalls staatlichen Stellen zugeordnet werden. Die Mutmaßungen werden lediglich durch die Beobachtung gestützt, dass die Aktivitäten seit 2014 angestiegen seien und dies womöglich mit der Verschlechterung der wirtschaftlichen Lage in Russland korreliere.

Schließlich sei Russland außerordentlich aktiv im Bereich von Cyberangriffen, die sich „zu einer wichtigen Methode nachrichtendienstlicher Ausspähung“ entwickelt hätten. Dadurch sei die Intensität der Spionageaktivitäten um ein Vielfaches gestiegen. Wenigstens schränkt das Bundesamt für Verfassungsschutz ein, dass auch die Geheimdienste anderer Staaten „über die erforderlichen Ressourcen und Fähigkeiten zur Durchführung von Cyberangriffen verfügen“. Die NSA wird hier zwar nicht genannt, der US-amerikanische Auslandsgeheimdienst dürfte aber die technisch am besten entwickelten Spionagewerkzeuge besitzen. Stattdessen geht es über mehrere Seiten um Russland, das mehrfach als Angreifer erkannt worden sei. Belege dafür gibt es nicht, genannt werden lediglich die Zielauswahl der Angriffe (Regierungsstellen, Unternehmen, Forschung).

„Anhaltspunkte“ für eine Steuerung durch staatliche Stellen?

Die Sphäre der Geheimdienste ist ein Haifischbecken, in dem sicherlich auch die russische oder die chinesische Regierung besonders aktiv sind. Damit bilden sie jedoch keine Ausnahme gegenüber US-amerikanischen, französischen, deutschen oder israelischen Diensten. Die Manipulation der öffentlichen Meinung gehört zu den Kernaufgaben von Geheimdiensten und ist keine russische Spezialität.

Außerdem ist völlig unklar, ob die Aktivitäten wirklich dem russischen Staat zugerechnet werden können oder vielmehr Nationalisten dahinter stecken, die nicht im Dienst der Regierung stehen. Um eine solche Gruppe könnte es sich bei APT28 und APT29 handeln (auch als Sofacy, Fancy Bear und Pawn Storm bezeichnet). Immerhin heißt es auch beim Bundesamt für Verfassungsschutz nicht mehr, dass APT28 und APT29 Abteilungen des Staates seien, sondern dass es „Anhaltspunkte für eine Steuerung durch russische staatliche Stellen“ gebe.

Trotz vieler Hinweise ist es normalerweise unmöglich, einem bestimmten Akteur die Verantwortung für einen Cyberangriff zuzuschreiben. Das gelang auch nicht bei dem hochkomplexen Virus Stuxnet, mit dem iranische Atomanlagen angegriffen wurden und das mutmaßlich von der israelischen Regierung entworfen wurde. Stuxnet gilt als der erste große staatliche Cyberangriff.

„Cui Bono“ führt in die Irre

In der Fachwelt wird die Zuordnung eines Cyberangriffs als „Attribuierung“ bezeichnet. In den meisten Fällen können dazu höchstens Indizien gesammelt werden, etwa die genutzte Schadsoftware, der Zeitpunkt der Angriffe, die dabei genutzten Server zur Um- oder Ausleitung oder auch ob eine bestimmte regionale Tastatur verwendet wurde. Viele ExpertInnen sind sich einig, dass bei Cyberangriffen nicht nach dem Prinzip „Cui Bono“ analysiert werden darf. Denn Angriffe können auch ausgeführt werden, um andere Pläne oder Attacken zu verschleiern. Genauso können Aktivitäten durch das Hinterlassen digitaler Spuren falsche Fährten gelegt werden.

Ich halte deshalb das „Indiz“, dass zuletzt Webseiten der CDU und der Konrad Adenauer Stiftung Ziel des vermeintlich russischen Interesses gewesen seien, für irreführend. Es dürfte außer Russland sicherlich eine Reihe von Akteuren geben, die gern bei der Regierungspartei Mäuschen spielen wollen. Außerdem waren auch Abgeordnete der Linksfraktion beim Angriff auf den Bundestag in 2015 betroffen, darunter auch mehrere MitarbeiterInnen meines Büros. Mich hat damals gestört, dass das Bundesamt für Verfassungsschutz dies zum Anlass nahm, Zugang auf die IT-Infrastruktur des Bundestages zu fordern um weitere Nachforschungen anzustellen. Bislang konnten wir dieses Ansinnen abwehren.

Verstärkte Aktivitäten deutscher Geheimdienste

Seit über einem Jahr beobachten wir verstärkte Aktivitäten des deutschen Inlands- und Auslandsgeheimdienstes, alle Arten von Cyberstörungen Russland anzulasten. Auch die Medien springen auf diesen Zug auf und übernehmen ungeprüft die Informationen, die ihnen von den Diensten zugespielt werden. Eine dieser Meldungen war ein angeblicher Cyberangriff auf die Bundeswehr in Litauen, die sich als E-Mail eines mutmaßlichen Nationalisten entpuppte. Als dies offenkundig wurde, war die Nachricht eines von der NATO bestätigten, von Russland gesteuerten Angriffs jedoch schon viral.

Bei dem zuletzt bekannt gewordenen Schädling Petya war es jedoch umgekehrt. Die ersten Meldungen über Infektionen mit dem Erpressungs-Trojaner kamen aus der Ukraine, jedoch waren auch viele Unternehmen in Russland betroffen. Tatsächlich ist unklar, ob der Trojaner aus dem Bereich der Organisierten Kriminalität nicht genutzt wurde, um politischen Flurschaden anzurichten und damit die eigentlichen Absichten zu verschleiern. Schließlich gibt es auch Berichte, wonach „Petya“ und sein Vorgänger „Wannacry“ aus dem Arsenal der NSA stammen und quasi „verloren gegangene“ Cyberwaffen sind, die nunmehr auf dem Schwarzmarkt gehandelt werden.

Was weiß die NSA?

Bei der Frage „Wem nutzt Petya“ käme der Verdacht aber auch auf den Geheimdienst der Ukraine, der bei jeder Gelegenheit gegen Russland austeilt. Soweit bekannt erhielt die Ukraine nach dem „Petya“-Angriff Unterstützung westlicher Behörden, darunter vom FBI und von Europol. Mittlerweile behauptet die Ukraine, über Informationen zu verfügen, die eine Verstrickung des russischen Geheimdienstes belegen sollen.

Auch vor der bevorstehenden Bundestagswahl 2017 wird wieder vor „russischer Einflussnahme“ gewarnt. Mit gewissem Recht kann dies als deutsche „Propaganda- und Desinformationsaktivitäten“ bezeichnet werden. Denn als vermeintliches „Indiz“ dient wieder der Hack auf die Demokratische Partei in den USA, für den ebenfalls Russland verantwortlich gemacht wird – ohne dass dies jemals bewiesen oder wenigstens mit einer gewissen Wahrscheinlichkeit dargestellt worden wäre. Es war Edward Snowden der darauf hinwies, dass die NSA in jedem Falle über Möglichkeiten verfügt, derartige Angriffe zurückzuverfolgen. Würde die Behörde ihre Beobachtungen öffentlich machen, wäre dies jedoch gleichzeitig das Eingeständnis, dass man selbst in fremde Server eingedrungen ist.

Andrej Hunko, MdB 2017