Treffen von Biden und Putin Von Cyber-Äpfeln und Hacker-Birnen

Haben Biden und Putin einen Fortschritt beim Thema Hackerattacken erreicht? Der Eindruck täuscht. Die USA und Russland werfen Tatbestände der Spionage und Hacks durch Kriminelle oft wild durcheinander.
Eine Analyse von Patrick Beuth
Wladimir Putin und Joe Biden in Genf

Wladimir Putin und Joe Biden in Genf

Foto:

Alexander Zemlianichenko / AP

Joe Biden und Wladimir Putin sind sich zumindest in einem einig, wenn es um Cybersicherheit geht, so jedenfalls stellte es der US-Präsident nach einem Treffen mit seinem russischen Gegenüber in Genf dar. »Wie würden Sie sich fühlen, wenn Ransomware die Pipelines Ihrer Ölfelder angreifen würde?«, habe er Putin gefragt. Die Antwort des russischen Präsidenten sei gewesen: »Es wäre von Bedeutung.« So wie es für Biden von Bedeutung war, als im Mai die Firma Colonial Pipeline gehackt wurde und die wichtigste Ölpipeline für die Versorgung der US-Ostküste tagelang abgeschaltet werden musste.

Doch die vermeintliche Einigkeit reicht nicht sehr weit. Es ist im Gegenteil mitunter kaum zu erkennen, wann Biden und Putin über das gleiche Thema reden und wann nicht.

Das geht schon mit Bidens Forderung  los, bestimmte Bereiche als für Angriffe tabu zu definieren: »Ich habe über den Vorschlag gesprochen, dass bestimmte kritische Infrastrukturen nicht attackiert werden sollten, Punkt. Weder mit Cyberangriffen (»attack by cyber«) noch anderweitig.« Gemeint hatte Biden 16 Sektoren, darunter Chemie, Energieversorgung, Nahrungsmittel und Landwirtschaft, Gesundheit, Atomreaktoren, Transport, Wasser und Abfallverarbeitung.

So weit, so eindeutig. Aber was genau meinte Biden mit »attack by cyber«? Sein Pipelinebeispiel deutet darauf hin, dass es ihm um Ransomware geht: um Verschlüsselungstrojaner, mit denen Kriminelle seit Monaten und Jahren in aller Welt Unternehmen, längst aber auch Behörden, Bildungseinrichtungen und Versorger lahmlegen und erpressen.

Immerhin reden die USA und Russland über Ransomware

Der Vorwurf der USA an Russland lautet schon seit Längerem: Die russische Regierung lasse Ransomware-Gruppen gewähren , die aus Russland heraus operierten, solange deren Opfer keine Russen seien und solange sie dem Staat beziehungsweise den Geheimdiensten bei Bedarf für Hacker-Auftragsarbeiten zur Verfügung stünden.

In Teilen lässt sich das tatsächlich beobachten. IT-Sicherheitsunternehmen erkennen unter anderem in den Telemetriedaten ihrer Kunden, dass derartige Angriffe innerhalb Russlands sehr selten sind. Manchmal enthält der Code der Verschlüsselungstrojaner sogar den Befehl, nicht aktiv zu werden, wenn etwas im infizierten Computer darauf hindeutet, dass er in Russland steht.

Über den Ransomware-Komplex, darauf haben sich die USA und Russland nun geeinigt, will man zumindest miteinander sprechen. Immerhin. Über die Details herrscht jedoch vorerst Unklarheit: Verlangen die USA die Verhaftung und Auslieferung von Tatverdächtigen, die sie zuletzt häufiger identifiziert haben? Oder würden sie sich mit einem eher informellen Hinweis der russischen Regierung an Kriminelle im eigenen Land begnügen? Darüber lässt sich fürs Erste nur spekulieren. Ob die nun in Genf getroffene Vereinbarung, miteinander zu reden, die US-Unternehmen und Betreiber kritischer Infrastrukturen beruhigen kann, solange es weiterhin mehrere erfolgreiche Ransomware-Angriffe pro Woche gibt, steht ohnehin auf einem anderen Blatt.

Erheblich verkompliziert wird die Debatte durch eine andere Art von »attack by cyber«, und dadurch, dass dann Cyber-Äpfel mit Cyber-Birnen verglichen werden. Beide Regierungen wie auch viele Medien tun das, wenn sie – absichtlich oder nicht – verwischen, in welchen Fällen opportunistische, finanziell motivierte Kriminelle am Werk sind und in welchen wirklich ein Staat hinter einem Hack steht.

Das, was Anfang des Jahres als »SolarWinds-Hack« bekannt geworden ist, war nach allem, was man bisher weiß, eine staatliche »attack by cyber«, der rund 18.000 Kunden von SolarWinds zum Opfer hätten fallen können, weil sie ein kompromittiertes Update einer SolarWinds-Software installiert hatten. Dass die Täter den möglichen Zugang durch die Hintertür gar nicht erst nutzten , sondern sich auf einige wenige Ziele konzentrierten, ging in der öffentlichen Diskussion unter.

Was blieb, war der Eindruck eines massiven Angriffs vor allem auf US-Unternehmen. Dabei handelte es sich höchstwahrscheinlich um eine sehr gezielte Spionageoperation. Das ist etwas völlig anderes als ein Ransomware-Fall, aber diese Nuancierung wird aufgehoben, wenn man einfach alles »Cyberangriff« nennt.

Putin macht sich das zunutze. Wenn er, wie so häufig, US-Vorwürfe wegen Ransomware-Angriffen von mutmaßlich aus Russland operierenden Gruppen mit dem Hinweis kontert, die USA würden doch ihrerseits selbst russische Computer und Netzwerke angreifen – wofür er nie konkrete Beispiele nennt – dann vermischt er ebenfalls Spionage und Kriminalität. »Whataboutism« nennt man das: Ablenken mit einem ganz anderen Thema. Ihm fehlen für einen treffenderen Vergleich nun einmal umtriebige Ransomware-Täter, die in den USA sitzen und sich Opfer in Russland suchen.

Nach dem Treffen in Genf bleibt erstens festzuhalten: Weder die US-Regierung noch der Kreml werden es wohl jemals laut aussprechen, aber dass (Cyber-)Spionage stattfindet und dabei Werkzeuge verwendet werden, die denen von sehr fähigen Kriminellen ähneln, und umgekehrt, daran wollen und werden sie nicht rütteln.

Zweitens sollte man auch von den Gesprächen über die Bekämpfung von Ransomware nichts allzu Offensichtliches erwarten. Dass Russland plötzlich die von den USA identifizierten Tatverdächtigen ausliefert, ist höchst unwahrscheinlich. Sollte plötzlich die Zahl der Ransomware-Angriffe auf US-Einrichtungen nachlassen, wäre es eine Bestätigung für den von den USA vermuteten direkten Einfluss der russischen Regierung auf die kriminellen Banden. Auch diesen Gefallen wird Putin dem US-Präsidenten kaum tun.

Die Wiedergabe wurde unterbrochen.