Die IT wird informiert. Das sei kein normales Schwächeln, meinen die Experten. Schnell ist klar, es ist ein Hackerangriff - und zwar kein dilettantischer. "Wir hatten keine Zeit, lange zu diskutieren", erinnert sich Krankenhaussprecherin Ulla Dahmen.

Die IT empfiehlt einen radikalen Schnitt: Alle Systeme herunterfahren. Den Stecker ziehen. Die Geschäftsführung stimmt zu. Schwere geplante Operationen werden abgesagt, das Krankenhaus meldet sich bei der zentralen Unfallmeldestelle ab. Es gibt keine Gewährleistung, dass Notfälle ausreichend behandelt werden können. "Die Ärzte arbeiteten plötzlich nur noch mit Papier und Bleistift", sagt Dahmen.

Drei Tage später werden nach und nach die nun bereinigten Systeme wieder hochgefahren. Der Normalbetrieb ist erst an Ostern wiederhergestellt. Rund eine Million Euro kostete das Krankenhaus der Hackerangriff. Honorare für Sicherheitsberater fielen an, die IT-Systeme mussten optimiert werden. Die Hintergründe der Attacke sind unklar. Das Landeskriminalamt und die Kölner Staatsanwaltschaft ermitteln bis heute.

Jeder Rechner wird, etwa 15 Minuten nachdem er sich mit dem Internet verbunden hat, zum Ziel von Hackerattacken. Die meisten sind so rudimentär, dass Virenprogramme und Firewalls sie problemlos abwehren. Die Angriffe auf Infrastrukturen wie Krankenhäuser und Stromnetzbetreiber sind eine ganz andere Hausnummer. Selbst Regierungen sind nicht mehr sicher, wie die jüngste Attacke auf die Datennetzwerke des Bundes zeigt.

Hacker sind die neuen Top-Kriminellen. Die Informationen, die sie erbeuten, verkaufen sie an den Meistbietenden, oder sie erpressen damit direkt den Besitzer. Hinter Angriffen auf Regierungen steckt vermutlich meist ein Geheimdienst, denn Wissen ist Macht. In derlei Fällen sprechen IT-Experten von "Advanced Persistent Threat", also von einer fortgeschrittenen und andauernden Bedrohung, kurz APT. Auf Grundlage dieses Vokabulars erhalten viele mutmaßlich einem Staat zugehörige Hackergruppen ihre Namen. "APT28" wird beispielsweise Russland zugeordnet.

Obwohl Hacker im Verborgenen agieren, sind die Strafverfolgungsbehörden nicht machtlos. Wie bei herkömmlichen Verbrechen hinterlassen die Täter auch beim Hacking Spuren. Das sind freilich keine Stofffetzen von Kleidungsstücken oder Hautschuppen, die auf die DNA der Täter hinweisen.

Einen professionellen Hackerangriff bis zu einer bestimmten Person zurückzuverfolgen, ist daher nahezu unmöglich. Zentraler Gegenstand der Ermittlungen ist die Schadsoftware der Hacker. Sie ist die Tatwaffe, mit deren Hilfe die Kriminellen in ein System einbrechen. Der US-Geheimdienst NSA hat eine Datenbank mit Stilproben von Programmierern angelegt, um die Urheber von Schadsoftware schneller ermitteln zu können.

Hacker sind Autodidakten. Sie gehen beim Programmieren einer Schadsoftware chaotisch-professionell vor und vergessen auch schon mal etwas. Beim Programmieren einer Software entstehen allerlei Informationen, die Rückschlüsse auf den Entwickler zulassen. Automatisch werden etwa Zeitstempel im Programmiercode erzeugt. "Gute Hacker betreiben viel Aufwand, diese Spuren zu verwischen", sagt Timo Steffens.

Er analysiert seit mehreren Jahren gezielte Netzwerkangriffe auf Behörden und Unternehmen. Vor Kurzem erschien sein Buch "Auf der Spur der Hacker". Anhand der Zeitangaben kann ermittelt werden, wann die Täter an ihrer Software gearbeitet haben. Das allein kann viel über den Hintergrund aussagen. Bei der Gruppe "APT10", die im Frühjahr 2017 eine Serie von Angriffen auf Ziele im Vereinigten Königreich durchführte, stießen die Analysten auf eine aktivitätsarme Zeit zwischen 12 und 14 Uhr, was der typisch ausgedehnten Mittagspause in China entspricht. Die Gruppe wird mittlerweile im Umfeld der chinesischen Regierung verortet.

Auch Tastatur- und Zeicheneinstellungen in den Codes der Schadsoftware liefern Hinweise. Verwendet ein Programmierer eine russische Windows-Version mit kyrillischem Tastatur-Layout, wird zum Beispiel die Zeichensatztabelle, die im Programmcode hinterlegt ist, auf den Wert "1251" gesetzt. In einer Schadsoftware der Hackergruppe "Snake", die für den jüngsten Angriff auf die Datennetzwerke des Bundes verantwortlich gemacht wird, fanden Analysten bei früheren Attacken genau diesen Wert in der Zeichensatztabelle.

Falsche Fährten

Für die Übermittlung gestohlener Daten nutzen Hacker Server unbeteiligter Dritter, die überall auf der Welt stehen können. Strafverfolgungsbehörden haben in vielen Ländern das Recht, Server zu beschlagnahmen oder den Netzverkehr mitzuschneiden, wenn die Rechner im Zusammenhang mit Straftaten stehen. So können IP-Adressen gewonnen werden. Das ist eine Ziffernfolge, über die jeder Rechner in einem Netzwerk identifizierbar ist.

Es gibt viele weitere Spuren, die Hacker hinterlassen können und denen später nachgegangen werden kann. Steffens weist allerdings darauf hin, dass sich die Analysten immer eine Frage stellen müssen: "Wie aufwendig wäre es für die Täter gewesen, die gefundenen Spuren als falsche Fährte auszulegen?" T

eilweise kreieren die Angreifer ganze Szenarien, um die ermittelnden Behörden hinters Licht zu führen. In seinem Buch beschreibt Steffens den Angriff auf den französischen Fernsehsender TV5 Monde im Jahr 2015. Vieles deutete damals zunächst auf eine Tat islamistischer Hacker hin. So begleiteten vermeintlich echte Propaganda-Nachrichten des Islamischen Staats die Sabotage.

Auf einem gefälschten Blog schrieb sogar eine Person, die angeblich an den Ermittlungen beteiligt war, technisch detailliert und durchaus plausibel, dass in den Netzwerken des Senders eine Schadsoftware gefunden worden sei, die im Mittleren Osten verbreitet sei. In Wahrheit stießen die Analysten jedoch auf eine Software, die typisch für die russische Gruppe "APT28" ist.