Weltweite Cyberangriffe wie die der Erpressungssoftware WannaCry am vergangenen Wochenende laufen häufig nach dem gleichen Muster ab. Zuerst kommt der Schock über die Hunderttausenden infizierten Computer. Dann die Wut darüber, dass Geheimdienste wie die NSA mit ihren Hacking-Werkzeugen solche Angriffe überhaupt erst ermöglichen. Es folgt Unverständnis und Resignation, weil so viele Menschen und Unternehmen einfach nicht ihre Geräte updaten. Und dann, schließlich, rückt die Suche nach den Schuldigen und ihren Motiven in den Mittelpunkt.

Zunächst zu den Motiven. Wenn es den Angreifern von WannaCry wirklich um das Geld ginge, dass die von der Erpressungssoftware betroffenen Menschen zahlen, um ihre Daten wieder zu entschlüsseln, ging ihr Plan nicht wirklich auf. Bislang haben die Opfer gerade einmal 70.000 US-Dollar an Lösegeld bezahlt. Das lässt sich leicht verfolgen, da sämtliche Zahlungen über die Kryptowährung Bitcoin dokumentiert werden. Für eine Aktion mit Hunderttausenden infizierten Rechnern ist das eine geringe Summe.  

Der Code von WannaCry ist schäbig

Der Grund ist leicht gefunden: WannaCry enthält merkwürdigen Code. Schon am Wochenende entdeckte der 22-jährige britische Sicherheitsforscher Marcus Hutchins eher zufällig einen sogenannten Kill Switch in der Software. Indem er eine Domain registrierte, die im Code von WannaCry erwähnt wurde und mit der sich die Software verbinden will, konnte er die Verschlüsselung stoppen und somit viele Betroffene schützen. Das gleiche Prinzip wandte der in Dubai ansässige Sicherheitsforscher Matthieu Suiche in einer zweiten kursierenden Version an.

Dass kriminelle Hacker überhaupt einen solchen Kill Switch in ihre Schadsoftware einbauen, ist erstaunlich. Nicht nur, weil ihnen dadurch potenziell Millionen an Lösegeld entgehen. Sondern weil sie in der Regel auch nicht an Schutzmechanismen interessiert sind. "Ich habe keine logische Erklärung dafür, weshalb sie einen Kill Switch eingebaut haben", sagt Suiche im Gespräch mit dem IT-Portal Wired. Und weshalb er auch in der zweiten Version auftaucht, wo er doch schon zuvor entdeckt wurde, sei noch unverständlicher.

Vielleicht ging es den Urhebern von WannaCry nie wirklich um das Lösegeld. Sondern darum, möglichst viel Chaos anzurichten und mehrere Parteien bloßzustellen. Zum Beispiel die NSA, aus deren Arsenal an Hacking-Werkzeugen ein Teil von WannaCry stammt. Der US-Geheimdienst hatte nämlich eine Schwachstelle in Microsoft Windows entdeckt und wollte sie für sich nutzen. Doch dann machte eine Hackergruppe namens Shadow Brokers im April unter anderem genau diese Lücke öffentlich. Der oder die Menschen hinter WannaCry demonstrieren nun eindrücklich, wie eine von der NSA entdeckte und nicht gemeldete Sicherheitslücke die IT-Infrastruktur weltweit betreffen kann.

Spuren nach Nordkorea?

Dieses Motiv ist derzeit ebenso theoretisch wie die Frage nach dem Ursprung. Es gibt allenfalls Indizien und die führen zum jetzigen Zeitpunkt nach Nordkorea. Am Montag fanden zunächst der Google-Sicherheitsforscher Neel Mehta als auch die Unternehmen Kaspersky und Symantec im Code von WannaCry Spuren, die zu nordkoreanischen Hackergruppen führen könnten.

Konkret fanden die Experten Codeschnipsel, die bei früheren Trojaner-Angriffen eingesetzt wurden und zwar von der Hackergruppe Lazarus Group. Diese steht in Verbindung mit den Angriffen auf das Filmstudio von Sony im Jahr 2014 sowie die Zentralbank von Bangladesch, wo im Februar vergangenen Jahres 81 Millionen US-Dollar durch gefälschte Zahlungsanweisungen gestohlen wurden. Den Sony-Hack schrieben die USA staatlichen Hackern aus Nordkorea zu. Anfang April fand Kaspersky neue Hinweise auf eine Verbindung zwischen Lazarus und nordkoreanischen Akteuren.

Dass sich in Versionen von WannaCry ein Code von Lazarus befindet, ist deshalb noch lange kein Beweis für eine Beteiligung Nordkoreas. Die sogenannte attribution, die Zuschreibung einer Schadsoftware oder eines Hacks, ist immer schwierig und nicht selten politisch: Es kann durchaus den Interessen eines Landes dienen, ein anderes Land für Angriffe verantwortlich zu machen. Und Hacker nutzen diese Tatsache aus, um gezielt falsche Fährten (false flags) zu legen, indem sie in ihre Schadsoftware einfach Codes von anderen kopieren.