Die Dokumentation des Telefonats von US-Präsident Trump mit dem ukrainischen Präsidenten Wolodimir Selenski, die das Weisse Haus vorlegte, verärgert die Demokraten. Der Grund ist vor allem, dass sie in dem Telefonat einen Versuch Trumps sehen, Ermittlungen gegen seinen möglichen Wahlkampfgegner Joe Biden durch die Ukraine anzustossen. Wer sich mit IT-Sicherheit oder der mutmasslichen Einmischung Russlands in den Wahlkampf 2016 auskennt, den liess eine andere Passage aufhorchen. Trump nennt den Namen «Crowdstrike». So heisst ein Unternehmen, das sich auf die Analyse von Hacking-Angriffen spezialisiert hat.

Dass Trump Crowdstrike ins Spiel bringe, sei «einfach schockierend», schrieb Michael McFaul, der unter Barack Obama Botschafter in Moskau war. Was hat es mit der Firma auf sich? Warum taucht sie in dem Telefonat auf?

Die Passage, in der Trump Crowdstrike anspricht, liest sich kryptisch, was auch an möglichen Auslassungen liegen könnte – das Dokument ist keine wörtliche Abschrift des Telefonats. Es wurde aus Erinnerungen und Notizen von Mitarbeitern im Weissen Haus und des Nationalen Sicherheitsrates erstellt.

Ich möchte, dass Sie dem auf den Grund gehen. Wie Sie gestern gesehen haben, endete dieser ganze Nonsens mit einer armseligen Vorstellung eines Mannes namens Robert Mueller.

Donald Trump zu Wolodimir Selenski

«Ich möchte, dass Sie uns einen Gefallen tun, denn unser Land hat einiges durchgemacht und die Ukraine weiss viel darüber. Ich möchte, dass Sie herausfinden, was mit dieser ganzen Situation mit der Ukraine passiert ist, sie sagen, dass Crowdstrike ... Ich denke, sie haben einen von euren reichen Leuten ... Der Server, sie sagen, die Ukraine hat ihn.»

Die Punkte nach den Worten «Crowdstrike» und «reichen Leuten» könnten darauf hindeuten, dass an den Stellen Wörter fehlen.

Dann konkretisiert Trump den «Gefallen»: «Ich möchte, dass Sie dem auf den Grund gehen. Wie Sie gestern gesehen haben, endete dieser ganze Nonsens mit einer armseligen Vorstellung eines Mannes namens Robert Mueller.» (Das Telefonat fand am Tag nach den Aussagen von Sonderermittler Mueller vor dem Kongress statt)

Wolodomir Selenski äusserte sich bei einem Treffen mit Trump am Mittwoch zu den Vorwürfen. Video: Tamedia

Was ist Crowdstrike?

Crowdstrike ist ein Cybersicherheitsunternehmen, das 2011 gegründet wurde und in Sunnyvale, Kalifornien, sitzt. Im Juni dieses Jahres ging es an die Börse. Das Unternehmen spielte eine zentrale Rolle bei den Ermittlungen, wer 2016 die Systeme des Demokratischen Wahlkampfkomitees (DNC) gehackt hatte.

Später im Wahlkampf veröffentlichte Wikileaks die E-Mails demokratischer Wahlkämpfer, die die Hacker abgesaugt hatten. Sie liessen die demokratische Kandidatin Hillary Clinton schlecht dastehen. Trump gewann die Wahl und wurde Präsident.

Womöglich ist Trump nach wie vor der falschen Überzeugung, dass Crowdstrike ein ukrainisches Unternehmen ist – das Unternehmen sitzt allerdings in den USA. In einem AP-Interview bezeichnete er Crowdstrike 2017 als «in der Ukraine ansässig». Und weiter: «Ich habe gehört, es gehört einem sehr reichen Ukrainer.» Crowdstrike antwortete damals, Trump verwechsle womöglich etwas: Er meine vielleicht den Mitgründer und Technikchef Dmitrij Alperowitsch – der sei allerdings US-Amerikaner russischer Abstammung.

Die Crowdstrike-Analyse war fundamental

Crowdstrikes Glaubwürdigkeit zu beschädigen, könnte Trump nützen. Denn die Analyse des Unternehmens ist fundamental für einen der Lieblingsvorwürfe der Demokraten gegen Trump: dass er die Wahl 2016 nur gewinnen konnte, weil Hacker aus Russland ihm halfen. Der Bericht von Sonderermittler Mueller zitiert Crowdstrikes Analyse des DNC-Hacks mehrfach.

Das DNC rief Crowdstrike zu Hilfe, als im Frühjahr 2016 klar wurde, dass sich Angreifer Zugang zu seinen Systemen verschafft hatten. Analysten des Unternehmens säuberten die Systeme von der Schadsoftware der Hacker, analysierten die digital-forensischen Spuren und versuchten, das System gegen weitere Angriffe zu schützen. Erst später zogen sie das FBI hinzu. Der «New York Times» zufolge erklärte Crowdstrike schon nach einem Tag, dass Russland verantwortlich sei.

----------

Podcast «USA: Entscheidung 2020»

Hören Sie sich die neuste Folge vom Podcast «Entscheidung 2020» mit USA-Korrespondent Martin Kilian und Auslandchef Christof Münger auch auf Spotify oder auf iTunes an.

----------

Die Auswertung des FBI basierte dann auch auf der Analyse von Crowdstrike. Dem damaligen FBI-Chef James Comey zufolge waren allerdings auch andere IT-Sicherheitsunternehmen beteiligt.

Auf die Passage in der Telefonmitschrift angesprochen, sagte ein Crowdstrike-Sprecher: «Wir haben dem FBI sämtliches forensisches Beweismaterial und unsere Analysen zur Verfügung gestellt. Wie bereits erklärt, stehen wir weiterhin zu unseren Erkenntnissen und den Schlussfolgerungen, die im Übrigen von der US-Nachrichtendienst-Gemeinde gestützt wurden.»

Was meint Trump mit «dem Server»?

Seit den FBI-Ermittlungen zum DNC-Hack kursiert in den USA eine von rechten Anhängern der Republikaner, Trump-Vertrauten und Trump selbst immer wieder gestreute Verschwörungstheorie: Die Demokratische Partei habe dem FBI wichtiges Beweismaterial vorenthalten. Zentral soll dabei ein «Server» gewesen sein, also ein Computer, über den die Netzwerkverbindungen der Partei liefen. Was genau sich auf dem Server befunden haben soll, beziehungsweise was Trump sich Jahre später von dessen Inhalt erhofft, ist unklar. Auch andere Anhänger der Theorie führten das nie genauer aus. Die Daten, die sich auf den diversen Servern der Demokratischen Partei befanden, dürften jedoch mit hoher Wahrscheinlichkeit schon im Besitz des FBI sein.

Einen physischen Computer braucht das FBI für die Analyse gar nicht. Das Magazin «Vice» machte sich Ende 2018 die Mühe, die Verschwörungstheorie seinen Lesern zu erklären. Es hat dabei unter anderem die Experten Thomas Rid und Lesley Carhart befragt. Denen zufolge sei es seit Jahrzehnten Standard, mit digitalen Kopien von Daten zu arbeiten, sogenannten Images. So müsse man nicht umständlich physische Server von A nach B transportieren. Davon abgesehen sei es irreführend, von einem einzigen entscheidenden Server zu sprechen, wenn es um die Zuschreibung des Hacks gehe. Dazu sei es etwa genauso wichtig, die – irgendwo in der Welt stehenden – Server zu untersuchen, von denen aus die Hacker ihre Angriffswerkzeuge losschickten, wie die Server der Partei selbst. Ebenfalls potentiell relevant sei ein Server, den die Hacker in Arizona angemietet hatten, um die gestohlenen Daten weiterzuleiten.

IT-Forensik wird politisch

In der Klageschrift der Demokratischen Partei, die die Trump-Kampagne wegen des Hacks verklagte, heisst es, sie habe wegen des Angriffs 140 Server abschalten und 180 weitere Computer neu aufsetzen müssen.

Die meisten Fachleute akzeptieren Crowdstrikes Theorie von den russischen Hackergruppen, auch nachdem das Unternehmen 2017 einen offiziellen Bericht über den Hack überarbeiten musste. Darin stand ursprünglich, dieselben russischen Hacker hätten eine App angegriffen, die die ukrainische Artillerie verwendete, und seien deshalb für schwere Verluste verantwortlich. Das stellte sich als falsch heraus.

Die Zuweisung von Hacking-Angriffen ist oft schwierig. Viele Analysten scheuen davor zurück, Staaten namentlich verantwortlich zu machen. Sie sehen sich als rein technische Analysten. Doch der Fall Crowdstrike zeigt, wie so ein Unternehmen zwischen politische Fronten geraten kann.