Ende Juni 2017 fiel bei zahlreichen internationalen Konzernen die IT-Infrastruktur aus. Unbekannte Täter hatten den Virus NotPetya eingeschleust und verlangten ein Lösegeld.
Betroffen war auch der Nahrungsmittelkonzern Mondelez. Geschätzter Schaden: 100 Millionen Dollar. Die Firma geht nun vor einem amerikanischen Gericht gegen die Zürich Versicherung vor, weil sich das Schweizer Unternehmen weigert, Schadenersatz zu bezahlen. Die Begründung: Hinter dem Angriff stecke Russland und bei staatlichen Akteuren bestehe kein Anspruch.
Wie kommt die Versicherung zu diesem Schluss? Wie kann man einen Cyber-Angriff aufklären?
Technik alleine genügt nicht
Mit diesen Fragen beschäftigt sich der Sicherheitsexperte Serge Droz von der Stiftung ICT4Peace, der sich ehrenamtlich für eine friedliche Nutzung der neuen Technolgien einsetzt. Auch beruflich hat er mit der Aufklärung von Cyber-Attacken zu tun. «Die technische Analyse, die Leute wie ich machen, ist relativ einfach», meint er. «Bei NotPetya wussten wir nach 24 Stunden ziemlich genau, woher er kam (von einer ukrainischen Firma, die gehackt wurde) und wir wussten auch, wie die Schadsoftware verteilt wurde.»
Doch wer hinter dem Angriff stecke, finde man mit technischen Mitteln alleine fast nie heraus. Es ist wie bei einem Verbrechen in der realen Welt. Auch wenn man mit wissenschaftlichen Methoden beweisen kann, dass ein Verbrechen mit einem bestimmten Tatwerkzeug begangen wurde, weiss man nicht zwingend, wer die Tat begangen hat.
Bei Cyber-Attacken sei die Zuweisung zum Täter noch schwieriger, sagt Serge Droz. Die Täterschaft erscheint nie am Tatort und im Internet hinterlässt sie praktisch keine Spuren. Um auf den Angreifer zu schliessen, muss man Überlegungen anstellen, etwa zum Motiv.
Ähnlichkeiten mit Chemiewaffen
Interpretationen sind heikel: «Wenn immer entweder ein westeuropäischer oder nordamerikanischer Nachrichtendienst mit dem Finger auf ein asiatisches Land zeigt, dann sagen die Betroffenen zu Recht, das sei nicht glaubwürdig», so der Sicherheitsexperte.
Ähnliche Probleme gibt es auch bei der Aufklärung von Angriffen mit chemischen Waffen. Die Lösung: Ein Verbund von qualifizierten Labors aus verschiedenen Ländern führt im Auftrag der UNO Analysen durch. Die Schweiz leistet mit dem Labor Spiez einen wertvollen Beitrag.
Dieses Vorgehen hat sich bewährt. Die Organisation für das Verbot chemischer Waffen wurde 2013 mit dem Nobelpreis ausgezeichnet.
Schweizer Cyber-Initiative
Serge Droz versucht nun im Rahmen seines Engagements bei ICT4Peace, für die Aufklärung von Cyber-Attacken eine ähnliche Organisation auf die Beine zu stellen: Qualifizierten Teams aus unterschiedlichen Ländern sollen unabhängig Analysen durchführen und dann die Resultate austauschen und begutachten. Auf diese Weise soll die Glaubwürdigkeit der Analysen gesteigert werden.
Noch steht die Initiative am Anfang. Erste Institute wie das Citizen Lab der Universität Toronto oder die ETH Zürich sind an einer Zusammenarbeit interessiert. Gut möglich also, dass in Zukunft die Schweiz nicht nur bei der Aufklärung von Angriffen mit chemischen Waffen einen Beitrag leistet, sondern auch Hochschulen wie die ETH Zürich oder private Firmen.
Das lässt hoffen. Für Firmen geht es nicht zuletzt auch um viel Geld: Der Schaden, den NotPetya verursachte, wird auf mehr als drei Milliarden Dollar geschätzt.
