Ein verbreitetes Missverständnis besteht laut Brett Callow darin, Attribution für ein definitives statt für ein wahrscheinlichkeitsbasiertes Verfahren zu halten. Fast immer gehe es darum, dass “es wahrscheinlicher ist als nicht, dass eine bestimmte Einheit verantwortlich war” — diese Nuance gehe jedoch oft verloren.
Mike Egan stimmte zu: Selten sei zu hundert Prozent klar, dass ein bestimmter Angreifer hinter einer Attacke stecke, es sei denn, dieser wolle seine Beteiligung bekannt machen. Erschwerend komme hinzu, dass etwa Ransomware-Gruppen lügen und sich Angriffe zuschreiben, für die sie womöglich nicht verantwortlich sind.
Bei manchen seiner Mandanten beobachtet Egan zudem die Fehlannahme, eine Zuordnung könne die Verantwortung vom Verteidiger ablenken und das Narrativ verbessern, weil der Eindruck entstehe, ein derart raffinierter Angriff sei unvermeidbar gewesen. “Wir hatten in der Vergangenheit Fälle, in denen das FBI einem Unternehmen sagte: ‘Hören Sie, 99 Prozent der Firmen könnten diesem Angriff nicht standhalten. Das ist ein reiner Nationalstaatsangriff.’ Ich verstehe den Reiz dahinter, aber das verändert das Narrativ und kann manche Leute besorgter machen”, erklärte Egan. Plötzlich gehe es nicht mehr nur um eine Datenpanne, sondern um etwas Größeres — und diese Geschichte bleibe länger im Gedächtnis.
So verlockend eine eindeutige Zuordnung wirken mag, sie habe Folgen. Callow nannte definitive Attribution “extrem riskant”, weil sie Dritte ins Spiel bringe — sei es einen Staat oder ein profitorientiertes kriminelles Netzwerk. In beiden Fällen könne alles, was man ihnen gegenüber äußere, erhebliche Gegenreaktionen hervorrufen.
Attribution kann den Panelteilnehmern zufolge auch den Versicherungsschutz beeinflussen. Als Beispiel nannten sie die NotPetya-Angriffe von 2017: Einige Schadensansprüche von Betroffenen wurden zunächst abgelehnt, weil die Versicherer argumentierten, die Policen deckten keine Kriegshandlungen. Die Angriffe richteten sich anfangs gegen die Ukraine, bevor sie sich auf andere Länder ausbreiteten, und wurden russischen staatlichen Akteuren zugeschrieben, konkret der Gruppe Sandworm.
Doch auch das Unterlassen einer Zuordnung birgt Risiken. Megan Stifel, früher Anwältin in der National Security Division des US-Justizministeriums, wies darauf hin, dass der Verzicht auf eine Attribution je nach Angriff als Hinnahme oder gar Billigung des Verhaltens verstanden werden könne.
Sabin fragte nach Situationen, in denen eine Organisation noch nicht zu einer konkreten Zuordnung bereit ist, die Realität aber dazwischenkommt — etwa wenn ein Reporter den Angriff aufdeckt und so Druck auf das Opfer erzeugt. Stifel verwies auf die Möglichkeit, “kein Kommentar” zu sagen oder einzuräumen, dass man Berichte zur Kenntnis genommen habe und Ermittlungen liefen. Egan plädierte aus juristischer Sicht dafür, Mandanten bei der Linie “kein Kommentar” zu halten: “Oft ist die beste Antwort keine Antwort. Wir konzentrieren uns auf die Ermittlungen.”
Callow widersprach zumindest teilweise: “Ich glaube nicht, dass ‘kein Kommentar’ jemals eine gute Antwort ist. Wenn man diese Lücke nicht füllt, tut es jemand anderes.” Man müsse den Angriff nicht zwingend zuschreiben, aber etwa sagen, dass die Ermittlungen andauern.
