Die Welt-Anti-Doping-Agentur (WADA) wurde gehackt und die Informationen geleakt, um Sportler zu diskreditieren. Alles deutet daraufhin, dass die Hackergruppe Fancy Bear aus Russland stammt.

Wie lässt sich feststellen, woher Hacker kommen? Das haben wir SAM vom Chaos Computer Club gefragt. Der Hacker-Spezialist warnt erst einmal vor den Informationen, die die Hacker freiwillig auf ihren Webseiten oder über Twitter verbreiten. Tatsächlich lassen sich nur schwer belastbare Beweise über die Herkunft sammeln. Es seien eher Indizien, die zusammen ein plausibles Bilder ergeben.

"Belastbare Beweise, die eindeutig sind, gibt es so gut wie nie."
SAM, CCC

Ein sehr einfaches Indiz sei zum Beispiel die Arbeitszeit. Hacker seien oft angestellt und arbeiteten in den üblichen Arbeitszeitmodellen. Die Arbeitszeiten sind also nach den jeweiligen Zeitzonen ganz verschieden. Hinzu kommen noch landesspezifische Feiertage. So lassen sich die möglichen Herkunftsländer schon relativ gut einschränken. Auch die Angriffsmethode gibt Aufschluss über die Gruppe.

Je größer das Angriffsziel, desto mächtiger die Hackergruppe

Außerdem sagt das Opfer des Hackerangriffs schon viel über die Größe der Gruppe aus und die Strukturen dahinter. Am Beispiel der WADA, die relativ viele Ressourcen hat, sich zu schützen, zeigt sich, die Schlagkraft der Gruppe. Für Experten, die schon länger die Hackerszene beobachten, ist der Name wie Fancy Bear auch ziemlich egal. Sie können anhand ihrer Beobachtungen die vorliegenden Indizien relativ eindeutig einer Gruppe zuordnen, die bei anderen Angriffen schon in Erscheinung getreten ist.

Zum Beispiel können sie anhand der Quelltextanalyse den Angriff bestimmten Personen zuordnen. Die aufgesetzten Codes und verwendete Variablen lassen sich wie eine Handschrift lesen. Ein weiteres Indiz ist, wer die Server registriert hat. Sind das Mittelsmänner? Sind diese schon einmal in Erscheinung getreten? Das sind zwar alles keine festen Beweise, sagt SAM, aber die Dichte der Indizien lässt den Kreis der Verdächtigen kleiner werden.

Mehr über den Hackerangriff auf die WADA: