Sie sind hier:

Angriff auf das Regierungsnetz - So jagen Ermittler Hacker

Datum:

Hacker haben diese Woche das Regierungsnetz erfolgreich angegriffen. Jetzt geht die Suche nach den Tätern los. Doch die gestaltet sich schwierig.

Archiv: Hacker mit Laptop, aufgenommen am 21.03.2017
Hacker (Archivbild) Quelle: dpa

Wer sich in Computernetzen bewegt, hinterlässt Spuren. Das haben auch die Hacker getan, die das Regierungsnetz angegriffen haben. Experten des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesnachrichtendienstes und Verfassungsschützer werten diese Spuren nun aus. Währenddessen geht der Streit munter weiter, ob nun die Auftragshacker der APT28-Gruppe oder die Onlinekriminellen der Uruburos-Gruppe für den Angriff aufs Regierungsnetz verantwortlich zu machen sind.

Internet-Protokolladressen lassen sich leicht fälschen

In jedem Fall haben einige Sicherheitspolitiker schon einmal vorschnell Spekulationen geäußert, die russische Regierung müsse in den Hack involviert sein. Doch die angeblichen Indizien, die dieser Spekulation zugrunde liegen, sind extrem dünn. Mal wird davon gesprochen, die verwendete Schadsoftware sei auf Computern bearbeitet, auf denen ein kyrillischer Zeichensatz installiert gewesen sei. Allerdings ist bisher noch gar keine Schadsoftwareprobe aus dem Angriff auf den Informationsverbund Berlin-Bonn bekannt.

Dann wird argumentiert, die Zeitstempel würden ausweisen, dass zu üblichen Moskauer Bürozeiten an der Schadsoftware gearbeitet worden sei. Wenn endlich mal ein Stück der eingesetzten Schadsoftware vorliegen würde, können Zeitstempel natürlich leicht manipuliert sein, um Ermittler in die Irre zu führen.

Auch die Internet-Protokolladressen der Server, von denen aus Schadsoftware in die Zielnetze eingeschleust wird, sind nur ein unsicheres Indiz. Diese Adressen können zwar recht genau nachvollzogen werden. Aber Profi-Hacker arbeiten hier natürlich mit gefälschten Adressen.

Server-Fingerabdrücke helfen Ermittlern

Interne Kennzeichen der Server, von denen aus Schadsoftware abgeschickt wurde, sind da etwas aussagekräftiger. So können alle möglichen Gerätetreiber, auf dem Server installierte Anwendersoftware und die Nutzung unterschiedlicher interner Speicher- und Netzadressen recherchiert werden.

Allerdings lassen sich diese Angaben dann auch nur mit Spuren aus anderen ermittelten Hacks vergleichen. So dass die Ermittler allenfalls aussagen können, dass bei diesem Hack ein Server verwendet wurde, der bei einem anderen Hack - zum Beispiel vor drei Monaten - auch schon einmal verwendet wurde.

Ziel: Angriffsmuster erkennen

Die Angreifer hat man da noch nicht dingfest gemacht. Deshalb versucht man, einen Angreifer, der in ein System eingedrungen ist, möglichst genau zu beobachten. Die Systemadministratoren ziehen also nicht sofort den Stecker, wenn sie einen Angreifer bemerken, sondern rufen ihre Kollegen aus der digitalen Forensik zu Hilfe.

In der normalen Polizeiarbeit nennt man so etwas den "modus operandi". In der digitalen Forensik spricht man vom "Angriffsmuster". Bestimmte Angriffsmuster, also das Verhalten eines Hackers bei einem Angriff, werden dann bestimmten Hackergruppen zugeordnet, von denen man aus der Vergangenheit weiß, dass sie einen bestimmten Angriff vorgenommen haben.

Programmierstil ist verräterisch

In einigen Fällen konnten Hacker dingfest gemacht werden, weil die Ermittler die Seriennummer des Prozessors ihres Computers mit geeigneter Spionagesoftware ausfindig gemacht haben. In diesem Fällen hatten die Hacker ihre Computer per Kreditkarte oder auf Rechnung gekauft. Zahlen sie bar, funktioniert auch dieser Ermittlungsansatz nicht.

Sogenannte stilometrische Analysesoftware wertet die gefundene Schadsoftware aus. Ähnlich wie ein Romanautor einen ganz eigenen Schreibstil hat, hat den auch ein Programmierer. Die National Security Agency hat deshalb eine Datenbank mit Stilproben von Programmierern angelegt, um die Urheber von Schadsoftware über ihren Programmierstil ermitteln zu können.

Häufig gelingt es den Digital-Fahndern aber erst, Hacker zu überführen, weil die einen Fehler machen. So sind Angreifer auf ein Unternehmensnetzwerk ermittelt worden, weil sie im Internet Sicherheitslücken eingekauft haben und dabei dieselben Computer verwendeten, die sie dann auch beim Angriff auf das Unternehmen einsetzten.

Überführt durch einen Einkaufszettel

Mitunter vergisst ein Programmierer, eine persönliche Anmerkung als Kommentar aus der von ihm programmierten Schadsoftware herauszunehmen. Auch mit solchen Puzzlestückchen, die auf familiärem oder andere persönliche Ereignisse schließen lassen, waren Ermittler schon erfolgreich. Der Autor eines Schadprogramms - für das Leeren von Geldautomaten etwa - wurde entdeckt, weil er vergessen hatte, seinen Einkaufszettel für den Abend, den er als Kommentar eingetragen hatte, zu entfernen.

Die Website verwendet Cookies, um Ihnen ein bestmögliches Angebot zu präsentieren. Nähere Informationen und die Möglichkeit, die Verwendung von Cookies einzuschränken finden Sie hier.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.