Stecken wirklich russische Hacker hinter dem Cyberangriff auf den Parteitag der US-Demokraten? Sicherheitsexperten haben Zweifel: Ein mysteriöser Dritter könnte eine Eskalation zwischen den USA und Russland provozieren wollen.
Die Meldung kam zur Unzeit. Kurz bevor Hillary Clinton feierlich als Präsidentschaftskandidatin auf dem Parteitag der Demokraten auf den Schild gehoben werden sollte, veröffentlichte die Enthüllungsplattform Wikileaks einen gehackten E-Mail-Datensatz des Democratic National Committee (DNC), des Führungsgremiums der Demokratischen Partei, aus dem hervorging, dass die Parteispitze eindeutig Hillary Clinton favorisierte.
Schnell machten die üblichen Verdächtigungen die Runde. Die Sicherheitsbehörden beschuldigten russische Hacker der Cyberattacke. Das FBI nahm offiziell Ermittlungen auf. Die vom DNC beauftragte IT-Sicherheitsfirma CrowdStrike veröffentlichte im Juni einen Bericht, wonach zwei verschiedene russische Hackergruppen in die Systeme der US-Demokraten eingedrungen waren.
In den Metadaten wurden russische Internetadressen und Regionaleinstellungen identifiziert. Die Analysten fanden Komponenten aus den Kampagnen der «Cozy Bear» und «Fancy Bear», hinter denen der russische Geheimdienst FSB stecken soll. Alle Spuren führten nach Moskau. Doch an dieser These gibt es Zweifel.
Anonymer Hacker
Das 2015 in Berlin gegründete Digital Society Institute (DSI) betreibt Forschung zu Themen der Digitalisierung. DSI-Direktor und Sicherheitsforscher Sandro Gaycken schrieb in einem Gastbeitrag für die «Frankfurter Allgemeine Zeitung», dass das Angriffsmuster zu eindeutig eine russische Handschrift trage. «Die Analysten vergessen, dass die russischen Staatshacker zu den besten der Welt gehören. Und die Indikatoren sind zu leicht zu fälschen und sehr leicht zu bemerken und zu vermeiden.» Die gewählten Angriffskomponenten würden bereits seit Jahren auf dem Schwarzmarkt gehandelt und von Kriminellen und Diensten aller Länder benutzt.
Zudem wisse «jeder zwölfjährige Teeniehacker», dass man seinen Rechner auf ein paar andere Settings umstellen und so die Meta-Daten und die IP-Adresse modifizieren könne. «Warum sollte ausgerechnet ein hochprofessioneller Nachrichtendienst wie der russische so viele so offensichtliche Fehler auf einmal machen?», fragt Gaycken rhetorisch. Das passe nicht zusammen. Zwar gab es in der Vergangenheit schon häufiger Kooperationen zwischen den russischen Geheimdiensten und Wikileaks (schon allein diese Tatsache nährt Zweifel an der Integrität der Plattform). Doch ein Angriff würde nur Sinn ergeben, wenn dieser nicht eindeutig Russland zuzurechnen sei. «Die Geschichte ist zu einfach», resümiert Gaycken. «Sie ist viel zu eindeutig russisch, obwohl die russischen Dienste diese Eindeutigkeit mit Leichtigkeit hätten vermeiden können.»
Bleiben nur zwei Möglichkeiten. Entweder, die russischen Dienste haben absichtlich dilettantisch gearbeitet, um den Verdacht auf sich zu lenken. Oder es steckt jemand anderes hinter dem Cyberangriff. Nur wer? Und mit welchem Ziel? War es ein Sabotageakt?
Vor wenigen Wochen meldete sich ein anonymer Hacker unter dem Pseudonym Guccifer 2.0 mit einem Bekennerschreiben zu Wort und behauptete, er stecke hinter der Cyberattacke auf die Demokraten. Den geleakten Trump-Report der Demokraten spielte Guccifer 2.0 dem Klatsch-Blog «Gawker» und der Website «The Smoking Gun» zu. Wer verbirgt sich hinter dem mysteriösen Pseudonym? Und was ist sein Motiv?
Unrühmliches Erbe
Die US-Nachrichtenseite «Motherboard» hatte Gelegenheit, mit dem selbsternannten «Hacktivisten» zu sprechen. Guccifer 2.0 gab sich in dem Gespräch, das als Chat geführt wurde, als «Hacker, Manager, Philosoph und Frauenliebhaber» aus Rumänien aus. («Motherboard» hat das vollständig transkribierte Gespräch online veröffentlicht.) Auf die Frage, ob er für Russland oder die russische Regierung arbeite, entgegnete er: «Nein, weil ich die Russen und ihre Aussenpolitik nicht mag. Ich hasse es, wenn man mich mit Russland in Verbindung bringt.»
Der Hacker beschrieb detailliert, wie er in die Computersysteme der Demokraten eingedrungen war. Er installierte Trojaner auf mehreren Rechnern und operierte unterhalb des Radars der von den Demokraten beauftragten Sicherheitsfirma CrowdStrike. «Meine Algorithmen sind besser», sagte Guccifer 2.0 selbstbewusst.
Guccifer ist kein Unbekannter in der Szene. 2013 hackte der Rumäne Marcel Lehel Lazar alias Guccifer 1.0 Fotos aus privaten Mails der Bush-Familie (unter anderem ein Foto von Bush senior bei einem Krankenhausaufenthalt). Im Januar 2014 wurde Lazar in Rumänien verhaftet und zu einer vierjährigen Haftstrafe verurteilt. Im März 2016 wurde er in die USA ausgeliefert, wo ihm wegen Datendiebstahls und Betrugs der Prozess gemacht wurde. Im Mai 2016 brüstete sich Lazar gegenüber dem Sender «Fox News» damit, dass er wiederholt Clintons E-Mails gehackt habe.
Auf sein unrühmliches Erbe beruft sich nun auch Guccifer 2.0. Er kenne Lazar persönlich und kümmere sich um ihn. Ob hinter Guccifer 1.0 und Guccifer 2.0 dieselbe Person steckt, ist unklar. Guccifers Rumänisch soll im Chatverlauf fehlerhaft gewesen sein, weshalb der Fragesteller zu prüfen versuchte, ob er Muttersprachler ist oder Russisch versteht – vergeblich. Guccifer 2.0 brach das Gespräch daraufhin ab.
Provozierte Atommächte
Eine Verbindung zwischen Guccifer 2.0 und Russland konnte bislang nicht hergestellt werden. Die Nachrichtendienste haben in letzter Zeit jedoch häufiger sogenannte «false flags», gezielte Falschangaben von Hackern, welche die Behörden in die Irre leiten sollen, registriert. Möglicherweise, so schlussfolgert Sicherheitsexperte Gaycken, könnte ein mysteriöser Dritter die Attacke lanciert haben, um eine Eskalation zwischen den Atommächten USA und Russland zu provozieren.
Es ist ein gefährliches Spiel, das die Hacker treiben. Solche Unsicherheiten und Fehleinschätzungen haben in der Vergangenheit immer wieder zu einer Verschärfung von Konflikten geführt. Daher sei es wichtig, den Vorfall aufzuklären.