Von Hakan Tanriverdi, New York

Bereits Anfang Oktober hat die US-Regierung hochrangigen Offiziellen der russischen Regierung vorgeworfen, den Wahlprozess in den USA durch Hacking beeinflussen zu wollen. Nun berichteten der Fernsehsender CNBC und die Huffington Post unabhängig voneinander, dass FBI-Chef Comey sich damals weigerte, die offizielle Anschuldigung mitzutragen. Seiner Auffassung zufolge könnte der Vorwurf demnach als Beeinflussung der Wähler interpretiert werden.

Kurz vor der Wahl wird damit erneut über den etwaigen Einfluss Russlands diskutiert. Seit Monaten dominieren Leaks die Schlagzeilen in der amerikanischen Presse, in denen Interna der US-Demokraten preisgegeben werden. Für die Partei ist es besonders wichtig gewesen, die Frage nach den Angreifern zu klären.

Doch was ist bekannt über die Verbindungen der Hacker nach Russland? Dass Russland hinter den Angriffen stecken soll, gilt James Clapper zufolge als gesichert. Er ist Director of National Intelligence (DNI), leitet also den Zusammenschluss der 17 US-amerikanischen Nachrichtendienste. Zahlreiche IT-Sicherheitsforscher halten das ebenfalls für möglich. Sie wollen sich aber nicht so eindeutig äußern wie der Geheimdienstchef.

Regierung ohne konkreten Beweise

Bislang haben die US-Dienste keine konkreten Beweise vorgelegt. Ben Buchanan, der an der Harvard University Cybersicherheit erforscht, nimmt die Aussage dennoch ernst. Er begründet das im Interview mit der auf die nationale Sicherheit spezialisierten Webseite War on the Rocks: "Die Geheimdienste haben den Luxus, sich auf erweiterte Methoden verlassen zu können."

Was diese erweiterten Methoden sein können, zeigte sich beim Sony-Hack. Auch hier beschuldigte die US-Regierung eine Nation, in diesem Fall Nordkorea. Öffentlich wurde diese Aussage angezweifelt. Daraufhin ließen Mitarbeiter der Sicherheitsbehörden durchsickern, dass der Geheimdienst NSA sich in die Netzwerke Nordkoreas gehackt und die kommunistischen Cyberangreifer während der Attacke beobachtet hatte.

Die Dienste wissen also mehr als die Öffentlichkeit, verfügen aber teilweise über Beweismaterial, dass sie nicht öffentlich präsentieren wollen. Es hängt also davon ab, wie sehr man der US-Regierung vertrauen kann und will, wenn sie so eine Aussage trifft.

Der Verdacht fällt auf Russland

Bereits seit Monaten gibt es die Sorge vor Wahlmanipulation durch Hacker: Im Mai 2016 sagte Clapper, es gebe Anzeichen, dass die Präsidentschaftskandidaten digitalen Angriffen ausgesetzt seien. Mitte Juni enthüllte ein Artikel in der Washington Post, dass das Computernetzwerk des Parteivorstands der Demokraten (DNC) von Hackern infiltriert worden war. In einem Bericht der IT-Sicherheitsfirma Crowdstrike wurden zwei Gruppen - APT28 und APT29 - als Akteure genannt und mit dem russischen Staat in Verbindung gebracht.

Im Interview mit War on the Rocks sagt Crowdstrike-Chef Dmitri Alperovitch: "Wir beobachten diese Gruppe seit Jahren. Ausgehend von all den forensischen Beweisen, die wir haben, können wir mit sehr hoher Wahrscheinlichkeit sagen, dass diese Gruppen mit russischen Nachrichtendiensten zu tun haben."

Eine vergleichbare Aussage trifft Laura Galante von der IT-Sicherheitsfirma Fireeye im Telefongespräch mit SZ.de: "Es gibt wenig Zweifel. Wir sind uns sicher." Die Hacker-Gruppe APT28 konzentriere sich seit Jahren auf Datensätze von Einrichtungen, die stategisch wichtig für den russischen Staat seien. "Neu ist nur die Unverfrorenheit, mit der die Aktionen durchgeführt werden", sagt Galante.

Ein großes I macht den Unterschied

Die Firma Crowdstrike schreibt, dass Hacker der APT28-Gruppe gerne ein Verfahren einsetzen, das "Typosquatting" genannt wird. Dabei registrieren Angreifer Internet-Adressen, die flüchtige Leser täuschen können. Ein Beispiel: www.googIe.com scheint auf den ersten Blick zur Suchmaschine zu führen. Doch statt eines kleinen l steht in der URL ein großes I - optisch ist der Link (fast) identisch, führt tatsächlich aber auf eine völlig andere Seite.

Typosquatting haben die Angreifer nach Recherchen der Firma Threatconnect auch in diesem Fall eingesetzt. Sie haben ihre Opfer auf eine Seite geschickt, die misdepartment.com ähnelte, in deren Adresse aber zwei Buchstaben vertauscht waren. Dabei handelt es sich um einen technischen Dienstleister, der vom DNC eingesetzt wurde. Waren Mitarbeiter der Demokratischen Partei unachtsam, fiel der Schreibfehler nicht auf.

Mit Phishing-Mails kommen Angreifer an Passwörter

Wenn Angreifer Opfer auf manipulierte Seiten locken, haben sie viele Möglichkeiten, Schaden anzurichten. Kyle Ehmke von Threatconnect sagte am Mittwoch auf der O'Reilly-Konferenz für IT-Sicherheitsfachleute: "Über diese Webseiten können Anmeldedaten erbeutet oder Schadsoftware auf die Rechner der Opfer gespielt werden."

So könnten Kriminelle etwa eine Webseite entwerfen, die aussieht wie der Login-Bereich von Googlemail. Das Opfer wird anschließend per Mail aufgefordert, auf diese Seite zu gehen und das Passwort zu ändern. Wieder gilt: Wer unachtsam ist, übersieht, dass es sich um eine gefälschte Google-Seite handelt. Über diesen Weg gelangen Angreifer an sensible Daten und können sich anschließend in die tatsächlichen Accounts einloggen.

Nach Angaben der IT-Sicherheitsfirma Secureworks wurden Mitglieder des DNC auf diese Weise gezielt ins Visier genommen. Demnach verschickten die Angreifer Mitte März Phishing-Mails, die Opfer auf eine nachgebaute Google-Seite locken sollten. Crowdstrike berichtete, dass sich die Hacker im April Zugriff verschafften. So wird aus drei Indizien - Anmelden der Seite, Verschicken der Phishing-Mails, tatsächliche Übernahme - ein Handlungsablauf. Ehmke sagte zwar, dass unklar sei, ob die Angreifer ihre Webseite am Ende tatsächlich genau für diesen Zweck eingesetzt haben. Der Threatconnect-Analyst hält es aber für gut möglich: "Es sieht auf jeden Fall nach einer mehrstufigen Aktion aus."

Unwahrscheinlich, über ein Jahrzehnt hinweg keine Fehler zu machen

Galante erklärt im Gespräch mit SZ.de, dass Sicherheitsforscher wie jene von Fireeye gefundene Schadsoftware teilweise bewusst geheim halten. Wenn sie den gleichen Code später in den Netzwerken der Opfer entdecken, gilt dies als starkes Indiz, dass beide Angriffe verknüpft sind, es sich also um dieselben Täter handelt.

Alperovitch vergleicht Cyberangriffe im Interview mit War on the Rocks mit einem Bankraub: "Es ist möglich, einen perfekten Bankraub durchzuführen." Aber es sei fast unmöglich, über ein Jahrzehnt hinweg eine Serie von Bankrauben hinzulegen, ohne Fehler zu machen. So haben die Angreifer beim DNC-Hack auf Infrastruktur zurückgegriffen, die schon einmal verwendet wurde - und zwar beim Angriff auf den Bundestag. Auch in diesem Fall machen Experten APT28 verantwortlich, unter anderem äußerte der Bundesamt für Verfassungsschutz diese Vermutung.

Genau wie bei der Schadsoftware gilt eine doppelt genutzte Infrastruktur als Indiz, dass dieselbe Gruppe hinter dem Angriff steckt. Doch erst im Zusammenspiel mit weiteren Auffäligkeiten können Tätergruppen "mit sehr hoher Wahrscheinlichkeit" benannt werden.

IT-Sicherheitsfirmen versprechen öffentlich so gut wie nie die absolute Sicherheit ihrer Ergebnisse. Dahinter steckt die Überzeugung, dass digitale Informationen per se gefälscht werden können. Restzweifel bleiben immer.

Demokraten im Visier

Die Demokraten sind von den Hacks eindeutig stärker betroffen. Seit Monaten werden Dokumente veröffentlicht, die zu Rücktritten und Entlassungen geführt haben (mehr dazu hier).

Die Demokraten sind mittlerweile dazu übergegangen, die Echtheit der E-Mails in Frage zu stellen - insbesondere jene, die von und an Wahlkampfmanager John Podesta geschickt wurden. Statt den Inhalt einzelner Mails zu dementieren, stellen sie den ganzen Datensatz in Frage. Journalisten, die dennoch nachhaken, müssen sich anhören, sie würden russische Interessen befördern. Trotz zahlreicher Behauptungen gibt es bis heute lediglich Indizien, dass Datensätze nachträglich ergänzt wurden - und keinen Beweis dafür, dass gefälschte E-Mails im Umlauf sind.