Die Attributierung von Cyberangriffen folgt keinem exakten wissenschaftlichen Verfahren, sondern basiert auf Wahrscheinlichkeitseinschätzungen. Brett Callow, Senior Advisor bei FTI Consulting, betont einen weit verbreiteten Irrtum: Viele Stakeholder gehen davon aus, dass Attribution ein definitiver Prozess ist. Tatsächlich handelt es sich um ein probabilistisches Verfahren, bei dem es heißt: „Es ist wahrscheinlicher als nicht, dass eine bestimmte Entität verantwortlich ist.” Diese wichtige Nuance geht in der öffentlichen Kommunikation häufig verloren.
Mike Egan, Partner bei Cooley LLP, verdeutlicht ein zusätzliches Problem: Nur sehr selten ist mit 100-prozentiger Sicherheit zu klären, wer hinter einem Angriff steckt – es sei denn, der Angreifer möchte seine Beteiligung offenlegen. Erschwert wird die Sache durch die Tatsache, dass gerade Ransomware-Gruppen regelmäßig falsche Zuschreibungen vornehmen und Angriffe in Anspruch nehmen, für die sie nicht verantwortlich sind.
Ein psychologischer Effekt, den Egan bei seinen Mandanten beobachtet: Unternehmen versuchen oft, durch Attribution von Verantwortung abzulenken. Die Vorstellung, dass ein Angriff von einem Nationalstaat durchgeführt wurde, vermittelt den Eindruck, dass Abwehr unmöglich gewesen wäre. Das FBI hat in der Vergangenheit solche Narrative unterstützt und erklärt, dass 99 Prozent der Unternehmen gegen solche Angriffe hilflos wären. Dies führt jedoch dazu, dass die öffentliche Wahrnehmung sich von einem reinen Datenschutz-Incident zu einer existenziellen Bedrohung verschiebt – mit deutlich längeren Nachhalleffekten.
Die Risiken einer klaren Attribution sind beträchtlich. Callow warnt: Eine definitive Zuschreibung ist „extrem riskant”, weil sie Dritte ins Spiel bringt – sei es ein Nationalstaat oder eine kriminelle Organisation. Jedes öffentliche Statement kann zu erheblichem Gegenwind und Reaktionen führen.
Ein besonders instruktives Beispiel ist NotPetya 2017. Dieses Ransomware-Konglomerat wurde der russischen Sandworm-Gruppe zugeordnet. Die Attacke zielte ursprünglich auf die Ukraine ab, breitete sich aber global aus. Versicherungsunternehmen lehnten Schadensersatzansprüche ab und argumentierten, dass Cyberwar-Akte nicht unter die Versicherungspolicen fallen – ein direkter finanzieller Schaden durch Attribution.
Megan Stifel von der Institute for Security and Technology, ehemalige DOJ-Anwältin, warnt vor dem gegenteiligen Risiko: Wenn eine Organisation bewusst keine Attribution vornimmt, könnte dies als implizite Akzeptanz des Verhaltens interpretiert werden.
Die Panelisten einigten sich jedoch nicht auf eine einheitliche Empfehlung. Während Egan für das klassische “Kein Kommentar” plädiert, lehnt Callow diese Strategie ab: “Ich denke, ‘Kein Kommentar’ ist niemals eine gute Antwort. Wenn Sie diese Lücke nicht füllen, wird es jemand anderes tun.” Ein Mittelweg könnte darin bestehen, zu bestätigen, dass Ermittlungen laufen, ohne sich auf konkrete Zuschreibungen festzulegen.