Eines ist zumindest sicher: Sowohl die Angreifer als auch die Verteidiger arbeiten mit Tastaturen.

Foto: Jenny Kane / AP

Seit mehr als zwei Wochen sind die IT-Experten des Außenministeriums mit der Abwehr eines, wie es offiziell heißt, "massiven Cyberangriffs auf die eigene Infrastruktur" beschäftigt. Ein Vorfall, der in seiner Schwere für österreichische Verhältnisse durchaus ungewöhnlich ist und entsprechend jede Menge Spekulationen nach sich gezogen hat. Im Folgenden der Versuch, das, was bisher wirklich gesichert bekannt ist, von jenem zu trennen, das mehr oder weniger gute Mutmaßungen darstellt.

Frage: Was hat das Außenministerium bisher offiziell zum Angriff verlauten lassen?

Antwort: Sehr wenig. Schon die ursprüngliche Presseaussendung war äußerst knapp gehalten, und seitdem schweigen die Verantwortlichen beharrlich auf Nachfragen. Offiziell war bisher lediglich zu hören, dass man sich mittlerweile Hilfe sowohl aus dem Verteidigungsministerium als auch von externen Experten geholt hat. Ansonsten gibt es seit Wochen nur die immer selbe Bestätigung, nämlich dass die Attacken weiter anhalten.

Frage: Welche Systeme wurden dabei überhaupt angegriffen?

Antwort: Zumindest auf diese Frage gibt es eine klare Antwort, wenn auch eine wenig befriedigende: Wir wissen es schlicht nicht. Generell ist es bei einer so langen Auseinandersetzung wahrscheinlich, dass es den Angreifern nicht einfach nur um die Störung des laufenden Betriebs geht, sondern dass sie sich fix im System verankern wollen – etwa um dann dort Spionage zu betreiben. Aber wie gesagt: Ohne offizielle Informationen ist das derzeit nicht mehr als Spekulation.

Frage: Wer steckt hinter der Attacke?

Antwort: Das ist natürlich die Frage aller Fragen, aber auch jene, die am schwersten zu beantworten ist. Die ersten Spekulationen darüber hat das Außenministerium selbst mit seiner ursprünglichen Aussendung ausgelöst. So hieß es darin, dass "aufgrund der Schwere und der Art des Angriffs (...) nicht ausgeschlossen werden (kann), dass es sich um einen gezielten Angriff eines staatlichen Akteurs handelt". Eine sehr vage, und zu diesem Zeitpunkt auch eher ungewöhnliche, Formulierung, die aber schnell die Fantasie von politischen Beobachtern befeuerte. Bald kursierten alle möglichen Verdächtigungen in Richtung Iran, Türkei oder auch der sehr gut ausgerüsteten Cyberarmeen von China und Russland.

Frage: Gibt es aktuell neue Erkenntnisse?

Antwort: Es gibt zumindest besser werdende Vermutungen. Sowohl die Ö1-Journalistin Sarah Kriesche als auch der FM4-Autor Erich Möchel gehen davon aus, dass hinter der Attacke die russische Spionagegruppe "Turla" oder auch "Venomous Bear" ("giftiger Bär") steckt. Möchel schließt dies etwa nach eigenen Angaben aus einer "Fülle von Indizien, Präzendenzfällen, aber auch direkten Informationen". Konkret streicht er etwa Ähnlichkeiten zu früheren Turla-Angriffen heraus, bei denen die für ihre offensive "Auslandsaufklärung" bekannte Gruppe immer lange Auseinandersetzungen liefert.

Frage: Bestätigt das Außenministerium diese Berichte?

Antwort: Nein. Aus dem Ministerium gibt es dazu keinerlei Kommentar. Allerdings hatte man schon nach dem ersten Auftauchen von Spekulationen über die Urheberschaft Russlands betont, dass es voreilig sei, solche konkreten Schlüsse zu ziehen.

Frage: Ist das also ein Dementi?

Antwort: Das wäre wiederum eine nicht minder gewagte Interpretation. Alles, was die Verantwortlichen hier zum Ausdruck bringen, ist eine bekannte Realität solcher Cyberangriffe: Sie sind extrem schwer sicher zuzuordnen. Um hier eine auch nur halbwegs seriöse Aussage über die Urheberschaft vorzunehmen, braucht es monatelange forensische Untersuchungen. Und selbst dann gelingt dies nicht immer. Solche Gruppen sind sehr gut darin, ihre Spuren zu verwischen und zum Teil auch andere Urheber vorzutäuschen. Und natürlich kann das Außenministerium eines Landes allein schon aus diplomatischen Gründen nicht einfach so schwere Vorwürfe gegen ein anderes Land erheben, ohne dafür konkrete Belege zu haben.

Frage: Wie kann man solche Attacken überhaupt zuweisen?

Antwort: Wenn den Angreifern keine groben Fehler unterlaufen, ist das meistens eine Frage des Zusammentragens unterschiedlicher Indizien. Dazu gehört etwa die Analyse von verwendeten Tools oder auch des Stils des Angriffs, und natürlich der Abgleich mit den Erkenntnissen aus früheren Attacken. Zudem können aber natürlich auch immer politische Hintergründe in diese Abwägung einbezogen werden.

Frage: Was sagt Russland zu diesen Vorwürfen?

Antwort: Nachdem die ersten Medienberichte Russland ins Spiel gebracht hatten, reagierte der russische Botschafter in Österreich geradezu erbost. So forderte er die "Kronen Zeitung", die mit dieser Behauptung getitelt hatte, zu einem Widerruf auf. Zu den neuen Vorwürfen hat man sich hingegen bisher nicht geäußert.

Frage: Gibt es einen Zusammenhang mit dem Regierungswechsel in Österreich?

Antwort: Diese Vermutung ist angesichts der zeitlichen Koinzidenz natürlich verlockend. Einen Beleg stellt das aber nicht dar. Solange es keine gesicherten Informationen über die Urheber gibt, bleibt dies somit eine Spekulation auf Basis einer Spekulation. (Andreas Proschofsky, 21.1.2020)