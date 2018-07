Als Barack Obama vergangenen Donnerstag 35 russische Diplomaten des Landes verwies, da legte er sich vor der Weltöffentlichkeit fest: Russland hat mithilfe seiner Geheimdienste die E-Mails der Demokratischen Partei (DNC) gehackt, um den Ausgang der Präsidentschaftswahl zu beeinflussen. Die Ausweisung der Diplomaten war die ausdrückliche Reaktion darauf. Doch wie sicher kann Obama sein, dass es wirklich Russland beziehungsweise Wladimir Putin war, der den Hack in Auftrag gegeben hat? Dass es nicht, wie Donald Trump wiederholt gesagt hat, auch die Chinesen oder ein 400 Pfund schwerer Typ aus New Jersey gewesen sein könnten?

Obama beruft sich bei der Bewertung auf seine Geheimdienste sowie mehrere private Cybersicherheitsfirmen, die den Hack untersucht haben. Die Firmen haben viele Indizien zusammengetragen und veröffentlicht, die Geheimdienste haben laut Washington Post zudem einige der Boten identifiziert, welche die Enthüllungsplattform WikiLeaks mit den gehackten E-Mails versorgt haben. Sie sollen demnach enge Verbindungen zur russischen Regierung haben. Einen Beweis dafür, dass diese Boten in deren Auftrag gearbeitet haben, haben die US-Geheimdienste nicht vorgelegt. Die Frage ist nun, ob sie dies überhaupt müssen.

Die Arbeit der Cyberabteilungen der Geheimdienste und Cybersicherheitsfirmen muss man sich wie die von Detektiven vorstellen, die einen Tatort untersuchen. Es ist das mühsame Zusammensuchen von digitalen Spuren, die Aufschluss über den oder die Hacker liefern sollen. Im aktuellen Fall war der Tatort der Server der Demokratischen Partei. Und dort lagen nun die Tatwaffen, also die Computerprogramme, mit denen die Hacker in den Server eingedrungen waren und mit denen sie die E-Mails auf ihre eigenen Server kopiert haben. Was diese Waffen so interessant macht, ist, dass sie alle so etwas wie einen digitalen Fingerabdruck besitzen. Und diese Fingerabdrücke waren den Experten aus anderen Hacks nur zu bekannt. Zum Beispiel auch aus dem Bundestags-Hack vor zwei Jahren. Die Bundesregierung hatte damals die Spionageprogramme mit seltener Deutlichkeit einer Cybereinheit des russischen Geheimdienstes zugeordnet: Deren Codename lautet APT 28. Diese Einheit, zusammen mit der Schwestereinheit APT 29, macht die amerikanische Regierung nun auch für den DNC-Hack verantwortlich.

Ein weiteres Indiz ist das russische Mailprogramm, mit dem die Hacker ihre Phishing-E-Mails versandten: offiziell aussehende Nachrichten mit PDF-Anhängen, die beim Öffnen ein Spionageprogramm aktivieren. Zudem fanden die Ermittler ein Programm, das die E-Mails nach dem Kopiervorgang ins Kyrillische übersetzt hat.

Dass es sich mit hoher Wahrscheinlichkeit um einen russischen Angriff handelt, daran zweifelt unter Sicherheitsexperten kaum einer. Aber wie stellt man nun die Verbindung zum Kreml her? Dass es sich um einen Regierungsangriff handelt, dafür spricht laut Geheimdiensten zum einen die hohe Qualität und die Komplexität der Cyberwaffen. (Offensichtlich war Russland auch stolz auf seinen Erfolg. Einer von Putins Beratern, Sergej Markow, verkündete nach dem Bekanntwerden der E-Mails auf WikiLeaks: "Vielleicht haben wir WikiLeaks ein bisschen geholfen.")

Die andere wichtige Frage, der die Experten bei der Frage nach dem Täter nachgehen, ist die nach dem Motiv. Wer würde in Russland vom DNC-Hack am ehesten profitieren? Welches Interesse verbindet all die anderen Hacks der Gruppen APT 28 und APT 29? Hier beginnt für die Cyberexperten eine Art Profiling des Täters. Es geht dabei vor allem um das Erkennen von Verhaltensmustern. Neben dem Bundestag und dem DNC hat APT 28 unter anderem die ukrainische Regierung angegriffen, die georgische Regierung, die Nato, das Weiße Haus und die Anti-Doping-Agentur – und zwar kurz nachdem die russischen Athleten wegen Dopingmissbrauchs für die Olympischen Spiele 2016 gesperrt worden waren. All diese Ziele sind oder waren von strategischem Interesse für Russland. Es fällt schwer, sich einen anderen Akteur vorzustellen, der ein ähnliches Interesse an all diesen Zielen gehabt haben könnte.

Reichen diese Indizien nun aus, um Vergeltungsmaßnahmen gegen Russland zu rechtfertigen? Oder muss man auf den hundertprozentigen Beweis warten? Eine abgefangene E-Mail zwischen dem Kreml und den Hackern zum Beispiel, die den Auftrag bestätigt?

Nachdem Nordkorea Sony gehackt hatte, hat Obama sehr aggressiv reagiert und das Land für einige Stunden vom Internet abgeschnitten. Auch die Cyberindustriespionage der Chinesen hat er mit einer Art Schauprozess öffentlich gemacht. Er hat damit klare Grenzen aufgezeigt. Die Chinesen haben daraufhin ein Abkommen mit den USA geschlossen, in dem sie sich dazu verpflichten, auf Cyberindustriespionage zu verzichten. Im Fall des Demokraten-Hacks musste sich Obama die Frage gestellt haben, ob das Risiko, mit Russland den Falschen zu bestrafen, größer sein würde, als es aufgrund der vorliegenden Informationen ungestraft zu lassen.

Einige amerikanische Sicherheitsexperten halten es im Übrigen für sehr wahrscheinlich, dass die Obama-Regierung mehr Beweise hat, als sie bislang öffentlich gemacht hat. Es sei, sagen sie, gut möglich, dass sie sie zurückhalte, um ihre Informanten und die eigenen Cyberoperationen in Russland nicht zu gefährden: Für die Agenten in der echten, in der Offline-Welt könnte es um ihr Leben gehen.