Die schwierige Spurensuche

Eine eindeutige Zuordnung zu einem Herkunftsland oder einer speziellen Hackergruppe ist nach Überzeugung von Experten in den meisten Fällen mit herkömmlichen Methoden kaum noch möglich. "Klassische Indikatoren sind heute auch nicht mehr gültig", sagte ein Sprecher des IT-Sicherheitsspezialisten Kaspersky Lab.

Schadsoftware wie Trojaner etwa seien heute nur noch ganz kurz aktiv und löschten sich bereits beim Herunterfahren der Rechner selbst. Damit würden wichtige verwertbare Spuren eines Angriffs verwischt, eine Analyse sei kaum noch möglich. Zudem werden die Angriffe oft für jedes Opfer verändert, so dass es keine zuverlässigen Indikatoren für andere potenzielle Opfer gibt, fand Kaspersky heraus.

Zu klassischen Indizien zählen etwa sprachliche Fragmente in den Codezeilen, die auf eine bestimmte Nationalität schließen lassen. Doch die können auch als "falsche Fährte" absichtlich gelegt worden sein. Die Lokalisierung der Hauptserver, die für einen Angriff genutzt werden, muss ebenfalls nicht unbedingt zu den Tätern führen, die in einem ganz anderen Land sitzen können. Auch die Zeit des Angriffs, die auf eine bestimmte Zeitzone schließen lässt, kann bewusst zur Verschleierung dienen.

Oft galt es als Indiz dafür, dass ein Angriff mit staatlicher Unterstützung erfolgte, wenn die genutzte Technologie besonders teuer und aufwendig ist. Inzwischen machen Cyber-Kriminelle ihre Malware jedoch bewusst öffentlich und stellen sie für andere ins Netz. Die Angriffstechniken seien gut beschrieben, so dass sie jeder nachstellen könne, sagte ein weiterer IT-Sicherheitsexperte der dpa. "Damit kann jeder unter falscher Flagge segeln."

Nicht die IT-mäßigen Randbedingungen ließen Schlüsse zu, wohl aber die Frage, in welchem Interesse gehandelt werde, sagte der Sicherheits-Experte, der namentlich nicht genannt werden will. Im aktuellen Fall der Cyber-Attacken während des US-Wahlkampfes habe es eine Interessenslage der Russen gegeben, aber keine Beweise dafür.

In manchen Fällen wie bei dem Schädling "Uroboros" sei die Herkunft relativ klar gewesen, erklärte Thorsten Urbanski vom deutschen IT-Sicherheitsdienstleister G-Data. Der Schädling sei damals in der Ukraine eingesetzt worden und habe es "mit hohem technologischem Potenzial" auf Großunternehmen abgesehen, sagte Urbanski. "Drei bis vier Jahre blieb er unentdeckt." Inzwischen wurde er veröffentlicht und könne von jedem genutzt werden. Geheimdienste könnten solche Spuren sicher, wenn auch "mit immensem Aufwand", zurückverfolgen. "Eine hundertprozentige Sicherheit gibt es jedoch nicht." (dpa/ad)