Die E-Mail, die einige US-Bürgerinnen und -Bürger aus Florida am Dienstag erhalten haben, soll wohl bedrohlich klingen, wirkt aber vor allem plump. Sie beginnt mit den Sätzen "Wir sind in Besitz aller deiner Daten (E-Mail, Anschrift, Telefonnummer, alles). Du bist derzeit als Demokrat registriert und wir wissen das, weil wir Zugang zur kompletten Wahlinfrastruktur erlangt haben. Du wirst für Trump stimmen, oder wir werden dich jagen." In der Absenderzeile steht "Proud Boys". Später tauchte die E-Mail auch in anderen Bundesstaaten auf.

Bereits am Folgetag erklärte US-Geheimdienstkoordinator John Ratcliffe  die E-Mails zu einer iranischen Desinformationskampagne, "um "Verwirrung zu stiften, Chaos zu säen und das Vertrauen in die amerikanische Demokratie zu untergraben". Das gelte auch für ein im Netz kursierendes Video, in dem jemand vermeintlich vorführt, wie man Briefwahlunterlagen im Namen anderer ausfüllt.

Es war eine bemerkenswert schnelle Zuschreibung. Oft dauert es Monate oder sogar Jahre, bis sich die Sicherheitsbehörden öffentlich festlegen, welche Täter oder welcher Staat hinter solchen Versuchen stecken.

Ebenso schnell dementierte Irans Pressesprecher die Vorwürfe bei den Vereinten Nationen in New York. Auf Twitter schrieb er : "Anders als die USA mischt sich Iran nicht in die Wahlen anderer Länder ein. Die Welt wird Zeuge der verzweifelten Versuche der USA, die Ergebnisse ihrer eigenen Wahlen infrage zu stellen."

Beweise dafür, dass es iranische Akteure waren, die sich als rechtsextreme "Proud Boys" ausgegeben haben, legte Ratcliffe nicht vor. Er sagte zudem, man habe "bestätigt, dass sich Iran sowie unabhängig davon auch Russland einige Daten aus Wählerregistern beschafft haben", doch seine Wortwahl ("obtained") lässt offen, ob es sich um unerlaubte Zugriffe handelte.

Überall fehlen Beweise

Einerseits sind Daten aus Wählerregistern in den USA oftmals öffentlich zugänglich. Wer sie nicht selbst beantragen will, kann sie von Firmen kaufen, die diese Daten legal besorgen und aufbereiten. Das wissen aber offenbar längst nicht alle US-Bürgerinnen und -Bürger. Vor einigen Wochen sorgte die Nachricht, Wählerdaten aus Michigan würden in einem Hackerforum angeboten, für medialen Wirbel , obwohl schnell klar war, dass es sich lediglich um Daten handelte, die jeder beantragen könnte.

Andererseits berichtete CNN  nun unter Berufung auf eine anonyme Quelle, "die mit der Angelegenheit vertraut ist", die US-Regierung habe festgestellt, "dass einige der von Iran erlangten Daten aus staatlichen Systemen und von deren Herstellern stammen und nicht öffentlich zugänglich waren". Vor knapp zwei Wochen teilte die Cybersecurity and Infrastructure Security Agency (CISA) mit , dass es Hackern gelungen sei, "unerlaubten Zugriffen auf Wahl-Unterstützungssysteme" zu bekommen, auch wenn es keine Beweise dafür gebe, dass die Integrität entsprechender Daten kompromittiert wurde.

Die Behörden betonen immer wieder, dass selbst ein illegaler Zugriff auf Wählerdaten keine Gefahr für die Integrität der Wahl bedeutet, sondern schlimmstenfalls zu Verzögerungen im Ablauf führen könnte. Aber auch das ist naturgemäß schwer zu beweisen.

Die Drohmails unkommentiert zu lassen, ist auch keine Option

Nun stecken die Behörden, aber auch Internet- und Sicherheitsunternehmen in einem Dilemma: Wollen sie das Vertrauen in die Integrität der Präsidentschaftswahl stärken, können sie so etwas wie die vermeintlichen "Proud-Boys"-Mails kaum unkommentiert stehen und sich verbreiten lassen. Also beeilen sich Geheimdienste, FBI sowie Google als betroffener E-Mail-Anbieter  sowie das in Washington gut vernetzte Sicherheitsunternehmen Mandiant, das Ganze als Desinformationskampagne Irans zu benennen.

Dass keiner von ihnen irgendwelche Belege dafür präsentieren kann oder will, macht sie jedoch angreifbar. Bekanntmachungen, dass jemand mit dubiosen Absichten auf Wählerdaten und Wahlsysteme zugegriffen hat, bleiben der Öffentlichkeit möglicherweise eher präsent als die Aussage, so etwas sei nur der Versuch, "Chaos zu säen" und gefährde die Integrität der Wahl nicht.

Einzig die Firma Proofpoint hat bisher versucht, Indizien herauszuarbeiten. Sie hat die Drohmails und das Video untersucht  und dabei zumindest Hinweise darauf gefunden, dass sie eher nicht von den "Proud Boys" kommen. So konnte sie anhand von IP-Adressen nachvollziehen, dass die Absender unter anderem Server einer Privatbank in Dubai und einer Versicherung in Saudi-Arabien benutzt haben, was für ein Tarnmanöver spricht. "Vice"-Reporter haben darauf hingewiesen , dass die E-Mail-Header gefälschte Absender zumindest nahelegen.

Aber selbst Sherrod DeGrippo, Senior Director bei Proofpoint, teilte dem SPIEGEL mit, die Nutzung der Server weise "für sich genommen nicht eindeutig auf spezifische ausländische Aktivitäten hin". Der Iran sei ein "potenzieller Ursprung dieser Aktivität", aber den US-Geheimdiensten stünden "wahrscheinlich zusätzliche Informationen etwa hinsichtlich der Übertragungsinfrastruktur und dem Hosting zur Verfügung, die es ihnen erlauben zu schlussfolgern, dass ausländische Akteure dafür verantwortlich sind."

Die bisher klarste Aussage, dass es sich nicht um Drohungen der "Proud Boys" handelt, kommt von der gewaltbereiten Extremistengruppe selbst: "Wir versenden keine Massen-Mails. Das waren definitiv, definitiv nicht wir", behauptet ihr Chef in einem Interview .