https://www.faz.net/-gy9-99l2t

Tricks der Fahnder : Hacker mit Stil

  • -Aktualisiert am

Die Spuren der Hacker werten die Forensiker des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesnachrichtendienstes und die Verfassungsschützer jetzt aus. Bild: dpa

Wenn Unternehmen oder Regierungsnetze angegriffen werden, beginnt eine schwierige Suche nach den Tätern. Das sind die Tricks der Fahnder.

          Im Februar kam ans Licht, dass das deutsche Regierungsnetzwerk seit langem angegriffen wurde. Die Spuren der Hacker werten die Forensiker des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesnachrichtendienstes und die Verfassungsschützer jetzt aus. Die Arbeit wird durch die Spekulationen mancher Sicherheitspolitiker erschwert. Denn die angeblichen Indizien, die solchen Gedankenspielen zugrunde liegen, führen oft auf falsche Ermittlungswege. Vieles ist noch rätselhaft: Mal wurde davon gesprochen, die verwendete Schadsoftware sei auf Computern bearbeitet, auf denen ein kyrillischer Zeichensatz installiert gewesen sei. Das deute auf die Online-Kriminellen der Uruburos-Gruppe hin.

          Allerdings ist bisher noch keine zusammenhängende Schadsoftware-Probe aus dem Angriff auf den Informationsverbund Berlin-Bonn bekannt. Nach der Zusammensetzung eines größeren Stücks Maschinencode wird nach Angriffen intensiv gesucht. Die eingesetzten Programmierwerkzeuge können mitunter aus dem Maschinencode rekonstruiert werden. Daraus ergibt sich eine Art Fingerabdruck. Doch im Falle des Hacks auf das Regierungsnetz Informationsverbund Berlin-Bonn sind die Ermittler noch nicht so weit. Sie sammeln derzeit mühsam einzelne Datenpäckchen.

          Dann wurde argumentiert, die Zeitstempel würden ausweisen, dass zu üblichen Moskauer Bürozeiten an der Schadsoftware gearbeitet worden sei. Das sei ein Indiz dafür, dass die russische Regierung involviert sein müsse. Dabei können Zeitstempel natürlich leicht manipuliert sein. Selbst die Internet-Protokolladressen der Server, von denen aus Schadsoftware in die Zielnetze eingeschleust wird, sind nur ein unsicheres Indiz. Diese Adressen können zwar genau nachvollzogen werden, aber Profi-Hacker arbeiten mit gefälschten Adressen.

          Fahnder beobachten die Angreifer ein paar Tage

          Interne Kennzeichen der Server, von denen Schadsoftware abgeschickt wurde, sind aussagekräftiger. So können alle möglichen Gerätetreiber, auf dem Server installierte Anwendersoftware und die Nutzung unterschiedlicher interner Speicher- und Netzadressen recherchiert werden. Allerdings lassen sich diese Angaben nur mit Spuren aus anderen ermittelten Hacks vergleichen. Liegen entsprechende Datenpäckchen vor, können die Ermittler allenfalls aussagen, dass bei diesem Hack ein schon bekannter Server verwendet wurde.

          Die Angreifer sind damit noch nicht dingfest gemacht. Deshalb haben die Fahnder die Angreifer ein paar Tage beobachtet, nachdem sie ins Regierungsnetz eingedrungen waren. Die Systemadministratoren ziehen dann nicht sofort den Stecker, sondern rufen ihre Kollegen aus der digitalen Forensik zu Hilfe.

          Das nennt man dann den „modus operandi“. Die digitale Forensik spricht vom „Angriffsmuster“. Bestimmte Muster werden bestimmten Hackergruppen gemäß ihren bekannten Angriffen zugeordnet. So konnte rekonstruiert werden, dass der eigentliche Spionageangriff weitgehend über Befehle gesteuert worden ist, die als E-Mail verschickt wurden. Dafür sind mit hoher Wahrscheinlichkeit Sicherheitslücken in Outlook ausgenutzt worden.

          Zu Anfang des Hacks haben sich die Angreifer Zugang über die Lernplattform der Bundesakademie für öffentliche Verwaltung verschafft, und zwar über Tabellendateien. Zusätzlich haben die Hacker Schadcode in Eingabeformulare geladen. Dieser wurde dann von der aufrufenden Website an andere Benutzer weitergegeben. Weil diese Benutzer teils sehr umfassende Benutzerrechte hatten, konnte damit weitere Schadsoftware auf Computer im Regierungsnetz geladen werden.

          Weitere Themen

          Topmeldungen

          Der Faktor Wohnen wird von den meisten Menschen in der Klimadebatte übersehen. Dabei produzieren vor allem Warmwasser und Heizungen große Kohlendioxid-Emissionen.

          Wohnen und Heizen : Das ist Deutschlands Klimakiller Nr. 1

          Kaum jemand will wahrhaben, dass wir mit unseren Wohnungen dem Klima mehr schaden als mit Steaks und Flugreisen. Einige Länder reagieren darauf – während sich die Politik in Deutschland nicht einigen kann.

          Biarritz : Irans Außenminister überraschend beim G-7-Gipfel

          Eine Überraschung für die Teilnehmer: Dschawad Zarif ist in Biarritz eingetroffen. Er werde dort mit Frankreichs Außenminister Jean-Yves Le Drian zusammentreffen, teilte das französische Präsidialamt mit.
          Taylor Swift möchte ihre ersten sechs Alben eventuell nochmal einspielen.

          Streit um Rechte : Taylor Swift und ihr Master-Plan

          Taylor Swift kämpft zurzeit mit dem Musikmanager Scooter Braun – denn er hat die Rechte an ihren ersten sechs Alben. Nun überlegt die Sängerin, die Lieder einfach nochmal einzuspielen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.