Cyberangriffe:Hacker im Staatsauftrag

Cyberangriffe: Oft hinterlassen Hacker nicht so viele Spuren, dass ihnen Ermittler auf die Schliche kommen können. (Symbolbild)

Oft hinterlassen Hacker nicht so viele Spuren, dass ihnen Ermittler auf die Schliche kommen können. (Symbolbild)

(Foto: Markus Spiske/Unsplash)
  • Cyberangriffe sind über die Jahre deutlich ausgefeilter geworden. Das führt aber auch dazu, dass man Hacker einfacher enttarnen kann.
  • APT-Attacken gelten als Königsklasse unter Hackerangriffen. Sie werden in der Regel auf staatliche Akteure zurückgeführt.
  • Für die Öffentlichkeit kann es verwirrend sein, der Diskussion zu folgen. Ein und dieselbe Hackergruppe trägt Dutzende Namen.
  • IT-Sicherheitsforscher haben deshalb eine Liste veröffentlicht, die einen hilfreichen Überblick bietet.

Von Hakan Tanriverdi

Nach dem Start der Olympischen Spiele konnten IT-Sicherheitsforscher mal wieder würfeln. Hacker hatten versucht, die Eröffnungszeremonie in Pyeongchang zu sabotieren; in der Folge fiel das Internet im Olympiastadion stellenweise aus, die offizielle Webseite ebenfalls, Bildschirme blieben schwarz. Natürlich steht die Frage nach dem Täter im Raum.

Der Würfel ist eine ironische Antwort von IT-Sicherheitsforschern auf ein drängendes Problem, das die Weltpolitik beeinflusst. Staaten holen sich Hacker in ihre Geheimdienste, die aus Tausenden Kilometern Entfernung in fremde Systeme eindringen, um zu spionieren, zu sabotieren und Dienste lahmzulegen. Ist der Täter erst einmal ermittelt, können Staaten anfangen, Sanktionen zu verhängen oder Anklage zu erheben.

Doch oftmals analysieren IT-Sicherheitsexperten nach einem Angriff die Netzwerke und finden nicht genügend Spuren, um den Hackern auf die Schliche zu kommen. Sie bleiben so ahnungslos, dass sie genauso gut hätten würfeln können, um den Täter zu ermitteln. "Iran" steht also auf einer Seite des Würfels, außerdem "China", "Russland", "USA" und "Nordkorea". Welches Land gewürfelt wird, ist der Täter.

Hacker haben enorme Fortschritte gemacht

Diese Zeiten sind größtenteils vorbei, auch wenn jetzt im Fall Olympia die Finger von IT-Sicherheitsforschern auf Russland, China und Nordkorea gleichzeitig zeigen. Das liegt vor allem daran, dass die Täter enorme Fortschritte gemacht haben, wie IT-Sicherheitsforscher Timo Steffens in seinem Buch "Spuren der Hacker" schreibt. Er analysiert für eine Bundesbehörde Schadsoftware, mit der zum Beispiel Daten aus internen Netzwerken geschleust werden.

Im Gespräch sagt er: "Früher sind Hacker sehr banal vorgegangen. Mittlerweile ist es so, dass die Täter nicht nur einen einzelnen Angriff durchführen, sondern viele Ziele gleichzeitig angreifen, die von strategischem Interesse sind." Dadurch ließen sich "mittelgute Angreifer" identifizieren. Schlechte Angreifer verwenden Werkzeuge, die es frei verfügbar im Netz gibt, gute Angreifer eigene Programme, sie verwischen ihre Spuren sorgfältig. Mittelgute Angreifer verwenden ebenfalls eigene Programme, ihnen unterlaufen aber Fehler, sie hinterlassen digitale Fingerabdrücke.

Schwer zu verfolgende Diskussion

Weltweit gibt es derzeit 150 APT-Gruppen, die im Auftrag von Staaten agieren. Florian Roth, der als IT-Sicherheitsforscher für Nextron Systems arbeitet, listet sie in einem öffentlichen Dokument auf. APT steht für Advanced Persistent Threats, also Gruppen, die über ausreichend Zeit und Geld verfügen, um Ziele langfristig auszuspionieren. APT-Gruppen sind in der Regel nicht an Geld interessiert, sondern an Daten, die sich politisch verwerten lassen. Sie handeln meist im Auftrag eines Staates und greifen zum Beispiel Oppositionelle, Journalisten und Nichtregierungsorganisiationen an. Aber auch auch Firmen, an deren geistigem Eigentum sie interessiert sind, können ihre Ziele werden. APT-Attacken gelten als "Königsklasse unter Hackerangriffen", schreibt Steffens.

Für die Öffentlichkeit kann es mitunter verwirrend sein, der Diskussion zu folgen, sagt Roth. Eine Gruppe, die nach Ansicht mehrerer Geheimdienste verantwortlich ist für den Angriff auf den Bundestag heißt wahlweise Sofacy, APT28, Sednit, Pawn Storm, Fancy Bear, Strontium oder Tsar Team. "Verschiedene Hersteller stoßen auf eine Gruppe, zum Beispiel in den Netzwerken ihrer Kunden", erklärt Roth. "Sie wollen der Gruppe einen Namen geben, sich aber nur intern mit ihr befassen." Sollte es aber passieren, dass eine andere Firma zu derselben Gruppe einen Bericht veröffentlicht, sind plötzlich diverse Namen im Umlauf. Zu APT28 gibt es mittlerweile 17 Berichte.

Roth hat deshalb damit angefangen, alle öffentlich verfügbaren Berichte und Blogeinträge zu APT-Gruppen in einer Excel-Liste zusammenzufassen. Die Liste bietet, nach Einschätzung mehrerer Experten, die in diesem Bereich arbeiten und die mit SZ.de gesprochen haben, einen guten Überblick über aktive Gruppen. "Die Genauigkeit der Liste schätze ich auf 80 bis 90 Prozent", sagt Roth selbst. Er nennt seine Liste selbst "Rosetta Stone", benannt nach der berühmten Schrifttafel, mit der man zwischen altgriechischer Schrift und ägyptischen Hieroglyphen übersetzen konnte.

Um Hackergruppen zu analysieren, berücksichtigen IT-Sicherheitsforscher verschiedene Aspekte, sagt Steffens: die Schadsoftware, die sie einsetzten. Die Server, über die Hacker den Angriff steuern. Die Spracheinstellungen auf den Rechnern der Angreifer und das geopolitische Interesse der Personen, in deren Netzwerken die Hacker aktiv sind. "Wenn all diese Spuren konsistent auf einen Akteur hindeuten, teilweise über Jahre hinweg, dann kann eine Attribution überzeugend sein."

Digitale Spuren kann man fälschen, daher muss man abwägen

Es gebe eine "Restmöglichkeit", dass jede digitale Spur gefälscht werden könne, deshalb müsse man abwägen, sagt Steffens: "Wenn die Schadsoftware total primitiv ist, dann ist es schlicht nicht glaubwürdig, dass diese Gruppe extrem aufwendige falsche Fährten legen könnte."

Dass gerade Hackergruppen solche Berichte, wie Roth sie sammelt, sehr aufmerksam verfolgen, bemerkte Roth während seiner Arbeit: "Die Firma Trendmicro hat zu einer chinesischen Gruppe veröffentlicht. Bei unseren Kunden haben wir dann gesehen, dass die Kommunikation über diese Hintertüren plötzlich abgebrochen ist. Die Gruppe hatte also ziemlich sicher andere Wege in das Netzwerk, die wir dann nicht mehr kannten." So verliere man als Sicherheitsforscher den taktischen Vorteil. Es gebe gute Gründe, warum Sicherheitsfirmen ihr Wissen nur gegen Geld an zahlende Kunden verkaufen. Die Angreifer sollen schließlich nicht erfahren, dass jemand über ihre Tricks Bescheid weiß und ihnen auf die Spur gekommen ist.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: