Die Bundesregierung geht bei dem Großangriff auf den Deutschen Bundestag im Jahr 2015 von einer durch Russland gesteuerten Aktion aus. IT-Experten konnten Indizien sammeln, dass das "APT28" genannte und als Einheit des russischen Militärgeheimdienstes GRU arbeitende Hackerkollektiv den Angriff initiierte. Bei dieser Aussage zur Täterschaft eines sogenannten Advanced Persistent Threats (ATP) – der Königsklasse der Hackerangriffe – handelt es sich nicht um einen Einzelfall, so der Autor weiter: "Hacker im iranischen Staatsauftrag sollen 2012 laut Medienberichten zehntausende von Computern der Ölfirma Saudi-Aramco lahmgelegt haben, und die IT-Sicherheitsfirma Mandiant veröffentlichte 2013 einen Bericht, der eine Einheit der Chinesischen Volksbefreiungsarmee beschuldigte, weltweit Computerspionage betrieben zu haben." Ein Jahr später bezichtigten amerikanische Behörden Nordkorea als Urheber hinter den Sabotageangriffen auf die Unterhaltungsfirma Sony. 2016 und 2017 sei es wieder der russische Militärgeheimdienst gewesen, der laut amerikanischen Behördenvertretern hinter den Angriffen auf die Wahlkampfzentrale der Demokratischen Partei, dem Datendiebstahl bei der Welt-Anti-Doping-Agentur sowie der Veröffentlichung von Dokumenten der En-Marche-Bewegung im französischen Präsidentschaftswahlkampfs steckte.
Wie gehen Sicherheitsforscher vor, wenn sie Technologie, Auswirkungen, mögliche Herkunft und eine Signatur analysieren? "Würde es sich um einzelne Angriffe handeln, verliefe die Spur meist im Sande – allerdings sind selbst solch berühmte Fälle oftmals nur ein kleiner Teil von groß angelegten und professionell organisierten Kampagnen", sagt IT-Sicherheitsforscher Timo Steffens. Diese Kampagnen könne man über die Zeit verfolgen, bis die Täter genügend Fehler gemacht haben, die sie überführen. In seinem bei Springer Vieweg erschienen Buch "Auf der Spur der Hacker" beleuchtet Steffens verschiedene Methoden aus der Praxis, mit denen IT-Sicherheitsunternehmen und Regierungsstellen arbeiten, um Hackern auf die Spur zu kommen.
Beweise für die Attribution der Täterschaft aber werden nur selten vorgelegt oder zumindest nicht von den Medien aufgegriffen, gibt Timo Steffens zu Bedenken: "In der Öffentlichkeit und sogar bei IT-Sicherheitsexperten bleibt daher unter Umständen ein Gefühl der Skepsis zurück." Diese Zweifel würden nicht nur die jeweiligen konkreten Fälle betreffen, sondern auch die generelle Frage, ob es überhaupt möglich ist, den Ursprung professioneller Hackerangriffe festzustellen. Können dies nur Nachrichtendienste oder sind auch die vielen Analysen, die IT-Sicherheitsfirmen vorlegen, belastbar
Damit die Frage, ob ein Angriff aus Russland, China, einem anderen Land, oder von gewöhnlichen Kriminellen durchgeführt wurde, nicht eine Frage des Glaubens oder Bauchgefühls bleibt, wirft das Buch von Timo Steffens einen tiefen Blick hinter die Kulissen der Ermittler und Analysten. Ausführlich erläutert der Autor die IT-technischen Methoden, mit denen man den Tätern auf die Spur kommt, aber auch, wo diese Methoden an Grenzen stoßen. Zahlreiche Beispiele von aufwändigen Angriffen der letzten Jahre zeigen, wie die Täter falsche Fährten legen, oft genug aber auch Fehler machen, die sie überführen.
Das Buch gliedert sich in drei Hauptkapitel. Im einführenden Abschnitt setzt sich Timo Steffens mit den Tätern und dem Attributionsprozess auseinander. Während man im Bereich der Kriminalität von Ermittlungen spricht, ist der Begriff der Attribution für den Kontext von APTs, also staatlich gesteuerten Angriffen, reserviert. Der zweite Hauptabschnitt setzt sich mit Methoden auseinander, also wie beispielsweise Schadprogramme analysiert werden, wie Kontrollserver analysiert werden, der Telemetrie, nachrichtendienstlichen Methoden, dem Doxing, dem Legen von falschen Fährten sowie der geopolitischen Analyse.
Der abschließende dritte Teil des Buches setzt sich mit der Kommunikation der Ergebnisse sowie der Ethik der Attribution auseinander – ein nicht-triviales Thema.
Fazit: Hoch professionelle "Advanced Persistent Threats" treffen regelmäßig Regierungen, Unternehmen und kritische Infrastrukturen wie Flughäfen oder Stromnetzbetreiber. Es ist nicht einfach herauszufinden, welche Täter und Auftraggeber dahinterstecken. Doch nur wenn man die Ursprünge und die Ursachen eines Angriffs und die Motive kennt, kann man sich für zukünftige Angriff besser schützen und die Konsequenzen eines Datendiebstahls effektiver begrenzen.
Reine Intuition und Bauchgefühl reichen für eine solche Analyse nicht aus. Vielmehr benötigt man strukturierte Analysemethoden. Der Autor erläutert daher in seinem Buch diverse praxiserprobte IT-technische Methoden, mit denen man den Tätern auf die Spur kommt. Hierbei zeigt der Autor auch die Grenzen der Methoden auf. Das Buch kann daher allen Sicherheitsexperten und (IT-)Risikomanagern empfohlen werden, die tiefer in die Welt der Hacker und IT-Sicherheits-Analysten werfen möchten.