Moskau? ¯\_(ッ)_/¯ – weshalb IT-Experten die Cyberangriffe ganz anders sehen

In der Politik grassiert die Angst vor russischen Hackern. Sie sollen die US-Wahl manipuliert haben und jetzt auf die Bundestagswahl zielen. Computerexperten blicken ganz anders auf das Thema.

Fabian Reinbold

Ein Artikel von

Sobald es um Russland geht, wird gelacht. Jessy Campos hat gerade seinen Vortrag über die wohl berüchtigtste Hackergruppe der Welt beendet. Jene, die ins Computersystem der US-Demokraten eingebrochen ist und Daten bei der Welt-Anti-Doping-Agentur abgegriffen hat. Kurzer Applaus, dann kommt schon die erste Frage aus dem Publikum: «Ist das Schadsoftware des russischen Staats?»

Der Saal lacht, der Referent lächelt. «Dazu sage ich nichts.»

Es ist kurz vor Mitternacht, eine beliebte Vortragszeit auf dem Jahreskongress des Chaos Computer Club (CCC) in Hamburg. Campos, ein französischer IT-Sicherheitsforscher, hat mit Kollegen über eineinhalb Jahre das Vorgehen des Hackerkollektivs Fancy Bear und seine Waffen analysiert. Er kann nachzeichnen, wie die Angreifer typischerweise vorgehen.

Nur bei der alles andere als unwichtigen Frage nach den Urhebern schweigt der IT-Experte. Auch, als die dritte Frage aus dem Saal lautet: «Hat diese Gruppe Verbindungen zur russischen Regierung oder zu den russischen Geheimdiensten?» Wieder Lachen, Campos sagt: «Ich hab euch doch schon gesagt, dass ich nichts sage. Auch wenn sie im Code die russische Sprache benutzen, das bedeutet nichts.» Nächste Frage.

Der Auftritt von Campos verrät einiges darüber, welche Rolle das Thema «russische Hacker», von dem in diesen Wochen so viel die Rede ist, auf dem Jahrestreffen des CCC spielt, Europas wichtigster Konferenz von Hackern, Informatikern und Internetaktivisten. Es ist eine ganz andere Rolle als in der Öffentlichkeit - hier interessiert man sich nur begrenzt und sieht etwas Grundlegendes anders.

Bild: EPA/DPA

Maximale Skepsis unter Hackern

In der Politik regiert die Angst vor russischen Hackern. Sie sollen die US-Wahl zugunsten Donald Trumps beeinflusst haben, heisst es. Und auch in Deutschland fürchtet man jetzt quer durch die Parteien eine ähnliche Mischung aus gezieltem Hacking und Desinformation mit dem Ziel, den Bundestagswahlkampf zu beeinflussen. Die Chefs der deutschen Geheimdienste warnen ausdrücklich vor Russlands Hackern.

Die US-Regierung hat nun sogar Sanktionen gegen Moskau verhängt: In den USA sind sich die Geheimdienste, die Politik - mit der prominenten Ausnahme Trump - und auch viele Medien sicher, dass Moskau zugunsten des Wahlsiegers interveniert hat. Laut der CIA haben Personen aus dem Umfeld des Kreml sogar die gehackten E-Mails der Demokraten direkt an WikiLeaks weitergeleitet.

Auf dem Treffen im Hamburger Congress Centrum löst ein solch direktes Zuschreiben konkreter Angriffe maximale Skepsis aus. In Hackerkreisen weiss man, wie schwer es ist, den Nachweis zu führen, dass ein Angriff aus jenem Land von jener Gruppe ausgeführt worden ist - auch wenn wohl jeder Gesprächspartner dem russischen Staat solche Aktionen technisch zutraut.

Im Falle von Fancy Bear kann man sich bislang etwa darauf stützen, dass sich kyrillische Schriftzeichen im Code finden, dass die Angreifer vor allem zu Moskauer Bürozeiten aktiv waren und dass die sehr gezielt angegriffenen Opfer oft im Konflikt mit Russlands Interessen stehen. Aber ist das ein Beweis? Hacker wissen, dass Hacker gern den Anschein erwecken, andere Hacker hätten etwas zu verantworten.

«Die sind gefährlich»

Es ist kompliziert mit Fancy Bear - zumal die Gruppe auch unter den Namen APT28, Sofacy Group, PawnStorm, Strontium und ein paar anderen bekannt ist. Es ist das immer gleiche Angriffsmuster, Campos spricht von «einer Gruppe mit bestimmten Werkzeugsatz und einer Infrastruktur». Er erzählt, dass er nach etwa einer Stunde weiss, ob ein Angriff in dieses Muster fällt oder nicht. Während man mit ihm spricht, kommt die Nachricht, dass Fancy Bear auch die OSZE gehackt hat. Er wusste nichts davon, wirkt aber auch nicht überrascht.

Über die politische Verantwortung der von ihm untersuchten Angriffe will der junge Forscher am liebsten gar nicht reden. Er sagt nur: «Die sind gefährlich und von denen wird noch sehr viel mehr kommen.»

Bei Campos' Vortrag in der Nacht zum Mittwoch, bei dem die Gruppe explizit nicht mit Russland in Verbindung gebracht wurde, fanden nicht alle Interessierten einen Platz, so gross war offenbar das Interesse. Direkt der russischen Hackaktivität widmete sich aber keiner der über Hundert Vorträge.

Das vorab geplante Programm der Jahreskonferenz ist vielfältig. Es fällt auf, dass es in den Vorträgen viel um die Aktivität westlicher Staaten geht, etwa um das Drohnenprogramm der USA und die Hacks amerikanischer Polizeibehörden. Auch zu gekaufter Schadsoftware, die Regime der arabischen Welt gegen Dissidenten einsetzen, gibt es einen Vortrag. Russland ist allenfalls ein Randthema.

Bild: EPA/DPA

Es bräuchte einen russischen Snowden

Ein Chef einer Sicherheitsfirma sagt dazu, man brauche eben einen russischen Snowden - also einen Whistleblower: Dann würde es auf beim Hackertreffen bestimmt mehr um russische Cyberspionage gehen.

Frank Rieger, einer der Sprecher der CCC, sagt, die Hacker würden sich aus gutem Grund für alle staatlichen Angreifer interessieren: «Wir sehen, dass ein Grossteil der Risiken von staatlichen Akteuren kommt, egal, ob das Russen, Chinesen, Amerikaner oder arabische Diktatoren sind.» Der 45-Jährige berichtet aber, dass sein Verein seit der US-Wahl «mit Anfragen zum Thema russische Hacker überrollt» werde.

Beim Kongress hätten die Programmpunkte festgestanden, bevor das Thema richtig gross geworden sei, sagt Rieger und verweist auch auf die ungeschriebenen Gesetze der Community: dass niemand ohne Weiteres eine Attribution glaube. «Und es gibt nun einmal auch eine starke Aversion gegen Hype-Themen.»

Hacker-Aversion gegen Hype-Themen

Aber ist Russlands Hacking und Propagandaoffensive wirklich nur ein Hype? Rieger betont, dass der Verdacht früher oft und schnell auf die Chinesen gefallen sei: Nun falle er eben auf die Russen. Aber der generellen Lesart von Russlands Cyber-Offensive widerspricht er auch nicht, er formuliert nur sehr vorsichtig.

Fancy Bear? «Dass die Kampagne wahrscheinlich staatlichen Ursprungs ist, ist angesichts der Grösse der Kampagne eine sinnvolle Einordnung», sagt Rieger.

Und als es um die bevorstehende Bundestagswahl geht, nimmt er das Wort Russland zwar nicht in den Mund. Aber seine Prognose erinnert stark an das, was in den USA passiert ist: «Die Kombination von Leaking als politisches Mittel mit dem schlechten Zustand der digitalen Infrastruktur» werde auch in Deutschland zum Tragen kommt, sagt Frank Rieger. «Wenn nichts Derartiges passieren würde, würden wir uns alle sehr wundern.»

Beim nächsten Kongress dürften also ein paar Plätze für das Thema reserviert sein.

