Russische Hackerangriffe Die Zeit der Unschuld ist vorbei

Lange traute sich kaum eine Regierung, Geheimdienste direkt für Hacks und Desinformation verantwortlich zu machen. Jetzt hat auch die Bundesregierung erstmals Russland beschuldigt - die Folgen könnten dramatisch sein.
Das Handout des niederländischen Verteidigungsministeriums zeigt vier mutmaßliche GRU-Agenten.

Das Handout des niederländischen Verteidigungsministeriums zeigt vier mutmaßliche GRU-Agenten.

Foto: HANDOUT/EPA-EFE/REX/Shutterstock

Nun also traut sich auch die Bundesregierung aus der Deckung und beschuldigt den russischen Geheimdienst GRU offiziell, für einige der schlagzeilenträchtigsten Hackerangriffe der vergangenen Jahre verantwortlich zu sein. Besonders mutig erscheint das nicht, nachdem die Niederlande gerade eine Reihe von GRU-Agenten nicht nur über-, sondern auch vorgeführt haben, mitsamt deren Hacker-Ausrüstung und weiteren Belegen für ihre Agententätigkeit . Dennoch markiert das Statement von Regierungssprecher Steffen Seibert einen politischen Wendepunkt.

Jahrelang galt nach Hackerangriffen der mahnende Satz "Attribution ist schwierig" . Allenfalls IT-Sicherheitsfirmen mochten sich festlegen, welche Regierung oder welcher Geheimdienst letztlich hinter einer bestimmten Attacke auf Computer, Konten oder Industrieanlagen steckte, und selbst die waren meist vorsichtig, weil harte Beweise eher selten zu finden sind. Oder weil "false flags" im Code einer Spionagesoftware auf falsche Fährten führen können. Oder weil entsprechende Aussagen und Berichte politisch brisant  sind und zu diplomatischen Verstimmungen führen können.

Wenn denn mal eine Regierung eine andere direkt beschuldigte, dann meist ohne Belege zu präsentieren. Man wollte die eigenen Ermittlungs- und Abwehrmethoden schließlich nicht offenlegen. Das habe zum Beispiel die im Dezember 2016  und Januar 2017  veröffentlichten Berichte der US-Dienste zur Wahlbeeinflussung durch Russland "so schwach gemacht", sagt Thorsten Benner , Direktor der Berliner Denkfabrik Global Public Policy Institute (GPPi).

"Glasklare Attribution mit minimalem Risiko"

Nun aber ändert sich etwas. Erst kamen die im Januar über niederländische Medien verbreiteten Enthüllungen des niederländischen Geheimdienstes AIVD über Russlands Agenten, dann die im Juli veröffentlichte Anklageschrift von US-Sonderermittler Robert Mueller . Der AIVD gab an, sich in Überwachungskameras gehackt zu haben, die russische Spione bei der Arbeit zeigten. Veröffentlicht wurden die entsprechenden Bilder nie, aber zumindest waren die Berichte eine Art Hinweis auf die Mittel der niederländischen Spionageabwehr. Und Mueller beschuldigte zwölf namentlich genannte russische Geheimdienstmitarbeiter, die US-Wahlen 2016 gestört zu haben. Die Anklageschrift enthielt detaillierte technische Angaben zum Vorgehen der Russen, was wiederum Rückschlüsse auf die Ermittlungsfähigkeiten der USA zulässt.

Die Bloßstellung der GRU-Agenten durch die Niederlande in dieser Woche aber war der vorläufige Höhepunkt, "die goldene Gelegenheit, eine glasklare Attribution mit minimalem Risiko vorzunehmen", sagt Benner. Was dabei schnell übersehen wird: "Das Ganze konnte nur entdeckt werden, weil der Geheimdienst die Agenten schon auf dem Schirm und bei der Einreise beschattet und verfolgt hatte." Warum er bereits von den Agenten wussten, "verrät der Dienst nicht". Angeblich  soll der entscheidende Hinweis von den Schweizer Kollegen gekommen sein.

Hacker-Ausrüstung der überführten russischen Agenten

Hacker-Ausrüstung der überführten russischen Agenten

Foto: DUTCH MINISTRY OF DEFENCE/HANDOUT/EPA-EFE/REX/Shutterstock

An die "Naming-and-shaming"-Aktion konnte die Bundesregierung dann leicht anknüpfen, zumal fast gleichzeitig die USA sieben russische Agenten wegen der Hackerattacke auf die Weltantidopingagentur WADA anklagten und die britischen Behörden eine Liste von Hackergruppen veröffentlichten, hinter denen "so gut wie sicher" der russische Militärgeheimdienst GRU stehe. In die Einschätzung der britischen und niederländischen Behörden habe man "volles Vertrauen", sagte Seibert. Und die Erkenntnis, dass für die Hackingkampagne APT28, die unter anderem 2016 den Bundestag gehackt haben soll, der GRU verantwortlich ist, beruhe "auf einer insgesamt sehr guten eigenen Fakten- und Quellenlage". So etwas hatte bisher allenfalls Verfassungsschutzpräsident Hans-Georg Maaßen laut gesagt, aber kein Regierungssprecher oder -mitglied.

Herpig: "Man kann definitiv von einem Paradigmenwechsel sprechen"

Es ist nicht anzunehmen, dass sich die "eigene Fakten- und Quellenlage" ganz plötzlich extrem verbessert hat. Vielmehr ist die Entscheidung, endlich Namen zu nennen, eine politische.

Einer der Gründe, warum die russischen Hacking- und Desinformationskampagnen jahrelang liefen und es bis heute tun, ist die fehlende Antwort des Westens. Alex Stamos, der ehemalige Sicherheitschef von Facebook, schrieb noch im August in einem Blogpost :"Amerikas Gegner glauben, es ist sicher und effektiv, die US-Demokratie mit US-Technologie anzugreifen. Und warum auch nicht? Die USA haben sozusagen signalisiert, dass sie dieses Problem nicht ernst nehmen und dass die Täter allenfalls ein blaues Auge davontragen".

Damit soll nun Schluss sein. US-Präsident Donald Trump etwa verfügte  im September, dass Einmischungen in den Wahlkampf durch Hacks oder Propaganda künftig automatisch Wirtschaftssanktionen nach sich ziehen. Und die konzertiert wirkende Aktion von Großbritannien, den USA, den Niederlanden und Deutschland in dieser Woche, die umgehend auch von den Spitzen der EU-Kommission und der Nato aufgegriffen wurde, ist auch ein bemerkenswertes Signal.

Benner: "Öffentliche Unterstützung für mögliche Reaktionsmaßnahmen"

"Man kann definitiv von einem Paradigmenwechsel sprechen", sagt Sven Herpig  von der Stiftung Neue Verantwortung. "Man möchte endlich öffentlich wirksame Gegenmaßnahmen durchführen, zum Beispiel Sanktionen verhängen, Diplomaten ausweisen, oder Strafverfahren einleiten. Dafür muss man aber auch öffentlich den Beweis des Angriffs führen."

Auch Benner sagt, wer sich traue, konkret zu werden, wolle sich "öffentliche Unterstützung für mögliche Reaktionsmaßnahmen" holen. Auch wenn das nicht immer so einfach sein werde wie jetzt in den Niederlanden.

Beide Experten gehen davon aus, dass Eskalationen wahrscheinlicher und Vergeltungsmaßnahmen zunehmen werden. Stellt etwa eine Seite überführte Agenten bloß, könnte die andere Seite versucht sein, ähnliche oder schlimmere Racheaktionen an Agenten im eigenen Land vorzunehmen. Leaks von kompromittierenden Dokumenten könnten zu Vergeltungshacks führen, Sanktionen zu Gegensanktionen. Vorstellbar wäre auch, dass Hacks und Desinformation im Netz künftig ohne jede Scheu vorangetrieben werden, weil die Existenz solcher Kampagnen und ihre Hintermänner eh bekannt sind.

Herpig findet die Entwicklung grundsätzlich nicht einmal schlimm: "Cyberkampagnen finden damit langsam einen Platz in der traditionellen Außenpolitik. Das ist wichtig, denn nur so können Staaten auch eine adäquate Strategie entwickeln." Was er meint: Jeder Staat müsse abwägen, wie sicher er bei der Attribution einer Kampagne ist, welchen Schaden die wirklich angerichtet hat, wie eine angemessene Gegenmaßnahme aussieht, ob diese öffentlich oder nicht öffentlich stattfinden soll - und durch wen, also etwa im Alleingang oder im Rahmen der Nato. Wenn es so weit kommt, sagt Herpig, verliere der Cyberbereich endlich seinen "Sonderling"-Status.

Die Wiedergabe wurde unterbrochen.