Leak verrät russische Pläne für Cyberangriffe – Schweizer AKW in Dokumenten erwähnt
Russland hat gemäss den Recherchen mehrerer internationaler Medien grossangelegte Cyberangriffe mithilfe privater russischer Softwarefirmen vorbereitet.
Aus vertraulichen Dokumenten – «Vulkan-Files» genannt – soll hervorgehen, dass die Moskauer IT-Firma NTC Vulkan Werkzeuge entwickelte, mit denen staatliche Hacker Cyberangriffe planen, Internetverkehr filtern sowie massenhaft Propaganda und Desinformation verbreiten könnten.
Bei den Vulkan-Files handle es sich um geheime Daten aus dem Innersten dieser Softwarefirma – «einer Art Tech-Zulieferer der russischen Geheimdienste».
Dies enthüllt eine Recherche-Gruppe, zu der unter anderem die «Süddeutsche Zeitung», «Der Spiegel», das ZDF und «Der Standard» aus Österreich gehören.
Was hat es mit dem AKW Mühleberg auf sich?
In russischen Schulungsdokumenten werden den Berichten zufolge mögliche Angriffsziele benannt, darunter das «Lahmlegen von Kontrollsystemen von Eisenbahn-, Luft- und Schiffstransport» und die «Störung von Funktionen von Energieunternehmen und kritischer Infrastruktur».
Dazu schreibt die österreichische Zeitung «Der Standard»:
Bei den entsprechenden Bildern handle es sich zwar nur um «Mock-ups und keine realen Ziele», im Zusammenspiel mit den Ambitionen, kritische Infrastruktur anzugreifen, falle trotzdem auf, dass ein Atomkraftwerk in der Schweiz als Beispiel genommen werde, so die Journalisten.
Es sei klar, dass die Vulkan-Files keine direkten Hinweise enthielten, wonach die Russen tatsächlich eine Cyberattacke auf das AKW Mühleberg planten und durchführten, schreibt der «Tages-Anzeiger» – das Recherchedesk von Tamedia ist an dem Journalisten-Konsortium beteiligt, das die geleakten Dokumente untersucht hat. «Auch das Eidgenössische Nuklearsicherheitsinspektorat (Ensi) bezweifelt aufgrund der vielen Fehler, dass es sich um ein reales Angriffsszenario handelt.»
Das entsprechende Dokument der russischen Firma Vulkan sei aber alles andere als harmlos, so der Bericht. Anfang 2016, just als das Dokument entstand, sei ein Cyberangriff auf den Schweizer Bundesrüstungsbetrieb Ruag und das Verteidigungsdepartement (VBS) entdeckt worden. Das Software-Manual mit den Schweizer Beispielen erscheine in einem anderen Licht, wenn man sich vor Augen führe, dass es für russische Geheimdienste geschrieben wurde.
Der Tagi hat beim Nachrichtendienst des Bundes (NDB) nachgefragt. Die Antwort des Schweizer Geheimdienstes:
Was sind die wichtigsten Erkenntnisse aus den Vulkan-Files?
«Der Standard» fasst zusammen:
- Es sei das erste massive Daten-Leak zum undurchsichtigen militärisch-industriellen Komplex in Russland.
- Alle wichtigen russischen Geheimdienste gehörten zu den Kunden der Firma Vulkan NTC. Abnehmer der entsprechenden Software, sprich: Cyberwaffen, seien der Militärgeheimdienst GRU, der Inlandsgeheimdienst FSB und der Auslandsgeheimdienst SWR.
- Wegen des Leaks dürfte auch die Beziehung zwischen westlichen und russischen IT-Unternehmen unter die Lupe genommen werden: Das russische Unternehmen Vulkan NTC nannte westliche IT-Konzerne als Partner und referenzierte vor allem zivile Kunden.
- Die geleakten Dokumente zeigen, dass es eine enge Verzahnung unterschiedlicher Angriffsebenen gebe – von militärischen über Cyberattacken bis zu Überwachung von Social Media und Desinformations-Kampagnen.
- Die Vulkan-Files erlaubten auch «einen Einblick in die stramme Orchestrierung russischer Troll-Armeen».
- Russland versuche mit Überwachungs-Software, potenzielle Unruhestifter im eigenen Land zu identifizieren.
- Es gebe eine enge Kooperation von NTC Vulkan mit den grossen Moskauer Universitäten.
- Die Dokumente zeigten, dass Russland grossen Wert darauf lege, seine Cyberaktivitäten zu verschleiern. Das reiche von der Verschleierung des Netzwerkverkehrs durch Anonymisierungs-Tools bis zur systematischen Entfernung von potenziell verräterischen Metadaten.
- Viele ehemalige Vulkan-Mitarbeiter würden mittlerweile bei westlichen Unternehmen arbeiten.
- Der russische Angriffskrieg gegen die Ukraine habe dazu geführt, dass der Whistleblower die geheimen Dokumente an westliche Journalisten weitergegeben habe.
Woher stammen die Informationen?
Der «Süddeutschen Zeitung» wurden nach eigenen Angaben kurz nach Beginn des russischen Angriffs auf die Ukraine interne Unterlagen aus den Jahren 2016 bis 2021 von einer anonymen Quelle zugespielt. Die Zeitung wertete sie demnach gemeinsam mit internationalen Medienpartnern aus.
Demnach halten Cybersicherheitsexperten und mehrere westliche Geheimdienste die Unterlagen für authentisch. Die Firma Vulkan kooperiere mit den wichtigsten russischen Geheimdiensten FSB, GRU und SWR.
Weder die Firma noch der Sprecher des Kremls äusserten sich laut der Berichte zu den Darstellungen auf Anfrage.
So berichtet das ZDF-Magazin «Frontal»:
Was verraten die Vulkan-Files zu russischen Elite-Hackern?
Die geleakten Dokumente sollen belegen, dass die berüchtigte Hackergruppe «Sandworm», die Einheit 74455 des russischen Militärgeheimdienstes GRU, technische Unterstützung aus der Privatwirtschaft erhielt. Vulkan NTC sei Vertragspartner.
In den Vulkan-Files finde sich ein Dokument, das ein Vertreter von Sandworm genehmigen sollte. Darin gehe es um eine Spezialsoftware namens «Skan-W». Dabei handle es sich um ein Scanner-Programm, mit dem fremde Netzwerke durchleuchtet werden, um IT-Schwachstellen zu finden, die das russische Militär schnell ausnutzen könne.
Eine westliche IT-Sicherheitsfirma, die Dokumente aus dem Leak analysierte, komme zu dem Schluss, dass es «sehr wahrscheinlich» sei, dass Scan-V «ausgiebig genutzt wird, um strategische Ziele der Einheit 74455 zu identifizieren».
Was ist das für eine russische Firma?
«Vulkan ist eine Säule des russischen Polizeistaats. Vulkan entwickelt Software, die gegen das eigene Volk und gegen andere Länder eingesetzt werden kann», berichtete ein ehemaliger Vulkan-Mitarbeiter laut ZDF.
Ob und wo die Programme eingesetzt worden sind, lässt sich demnach nicht nachvollziehen. Die Dokumente belegten jedoch, dass die Programme beauftragt, getestet und bezahlt worden sind.
Cyberangriffe im Auftrag von Staaten gelten als moderne Waffe der Kriegsführung und Propaganda, meist sind sie schwer nachzuweisen. Vorwürfe an Russland, das Internet bewusst zur Desinformation einzusetzen, gibt es schon lange – unter anderem nach dem US-amerikanischen Präsidentschaftswahlkampf 2016.
Quellen
- derstandard.at: Massiver Leak legt erstmals Russlands Krieg im Netz offen
- derstandard.at: Die Sandworm-Spur: Vulkans Verbindung zu Russlands berüchtigten Hackern
- tages-anzeiger.ch: Wie kommt das Atomkraftwerk Mühleberg in eine russische Hacking-Anleitung?
(dsc/sda/dpa)