Tausende Seiten geheimer Dokumente belegen, wie Russland weltweit Cyberangriffe plant und vorbereitet. Dies hat ein Recherche-Netzwerk am Donnerstag enthüllt.
Beunruhigend sind nicht nur die Berichte über die vom russischen Militär in Auftrag gegebenen Angriffswerkzeuge, sondern auch deren Herkunft. Entwickler und Ingenieure der privaten IT-Firma NTC Vulkan haben geholfen, russische Hacking-Operationen im Ausland vorzubereiten und Agenten für Angriffe auf kritische Infrastruktur zu schulen.
Und damit zu den wichtigsten Schlüssen, die wir aus den «Vulkan Files» und den Reaktionen darauf ziehen.
Die für das Nachrichtenmagazin «Spiegel» recherchierenden Journalisten nennen ihn Sergei N. und fragen:
AWS steht für Amazon Web Services – ein weltweit führender Anbieter im Cloud-Computing. Die Amazon-Tochterfirma betreibt Rechenzentren rund um den Globus, zu den Kunden gehört auch die Eidgenossenschaft.
Auf Anfrage des «Spiegel» teilte AWS lediglich mit, die Sicherheit der Kundendaten geniesse höchste Priorität.
Laut Berichten hatte AWS den hochrangigen Vulkan-Mitarbeiter wohl 2018 eingestellt, also vier Jahre vor der Invasion in der Ukraine. Damals erschien es offenbar vielen Personalverantwortlichen in westlichen Organisationen noch unproblematisch, russische IT-Fachleute zu übernehmen.
Anzumerken ist, dass einige geschäftliche Verbindungen zwischen NTC Vulkan und US-Konzernen bestanden. Mehrere grosse Hersteller, darunter IBM, Boeing und Dell, arbeiteten laut ihrer Website mit Vulkan zusammen.
Dabei sei es um die kommerzielle Software-Entwicklung gegangen, ohne offensichtliche Verbindungen zu Geheimdiensten und Hacking-Operationen. Und inzwischen würden keine Geschäftsbeziehungen mehr unterhalten.
Nicht wirklich beruhigend ist auch, dass Vulkan schon viel länger aktiv war, wie die Recherchen zeigen. Google hat laut ZDF-Bericht bestätigt, dass bereits 2012 eine Vulkan-Mailadresse im Zusammenhang mit Schadsoftware der russischen Hackertruppe Cozy Bear identifiziert wurde.
Bis zur russischen Invasion im Februar 2022 reisten Vulkan-Mitarbeiter offen nach Westeuropa und besuchten internationale IT- und Cybersecurity-Konferenzen, wie der «Guardian» schreibt. Heute lebten ehemalige Angestellte in Deutschland, Irland und anderen EU-Ländern. Einige seien für globale Technologiekonzerne tätig. Und es sei unklar, ob westliche Spionageabwehr-Behörden sie im Blick hätten.
Investigativ-Journalist Andrei Soldatow fragt:
Selbst wenn jemand Russland verlasse und seine unmittelbare Familie mitnehme, habe er immer noch Freunde und Verwandte zu Hause, was ihn angreifbar mache.
Es wäre allerdings auch nicht fair, IT-Ingenieure aufgrund ihrer früheren Beschäftigung nach Russland zurückzuschaffen, findet der im Exil in London lebende Journalist. Denn diese Leute hätten kaum eine andere Wahl gehabt. Der Kreml betrachte solche Ingenieure als Schachfiguren, deren Pflicht es sei, den russischen Kriegsanstrengungen zu helfen.
Der nach Grossbritannien geflüchtete russische Investigativ-Journalist Andrei Soldatow konnte die von dem Whistleblower gestohlenen geheimen Unterlagen prüfen. Und kommt zum Schluss, dass die russische Armee die aggressive Denkweise von Putins Geheimpolizei angenommen habe.
Das Leak dokumentiere eine intensivierte Zusammenarbeit zwischen dem russischen Militär und den Geheimdiensten. Putins Silowiki – ranghohe Geheimdienstler und Militärs – seien seit dem Zusammenbruch der Sowjetunion viel aggressiver geworden, so Soldatows Einschätzung.
Die vom unbekannten Whistleblower geleakten Dokumente enthielten keine konkreten Informationen über russische Schadprogramme (Malware) oder andere Tools, die für Hacking-Operationen verwendet werden.
Die unbekannte Person übermittelte mehrere tausend Dokumente, «PDFs, Word-Dateien, Verträge, Konzepte, Lizenzen, E-Mails», über eine verschlüsselte Plattform, bevor sie nach ein paar Wochen wieder spurlos abtauchte.
Warum hat die anonyme Quelle keinen Programmcode oder andere technische Details zu russischen Cyberwaffen an die Journalisten übermittelt?
Weil sie keinen Zugriff auf das digitale Waffenarsenal hatte? Weil sie es nicht tun konnte, ohne sich zu verraten, oder weil sie gegenüber den westlichen Medien nicht alles offenlegen wollte? Oder wurde die Person geschnappt?
Der deutsche Sicherheitspolitiker Konstantin von Notz, Vorsitzender des für die Geheimdienste zuständigen Parlamentarischen Kontrollgremiums, geht jedenfalls von «Hunderten solcher Cyberwaffen» aus, die gerade entwickelt werden. Und diese sind ein beträchtliches Sicherheitsrisiko.
Zur Erinnerung: 2016 gab eine bis dahin unbekannte Gruppe namens Shadow Brokers bekannt, in den Besitz von bis dato unbekannten amerikanischen Cyberwaffen gelangt zu sein. Diese stammte von der zum NSA-Geheimdienst gehörenden Eliteeinheit Tailored Access Operations (TAO).
2017 wurden weitere NSA-Angriffswerkzeuge im Internet veröffentlicht. Russische Elite-Hacker – mutmasslich von der zum russischen Militärgeheimdienst gehörenden Sandworm-Gruppe – setzten sie für die Malware-Attacke NotPetya mit weltweit verheerenden Folgen ein.
Ermittlungen ergaben, dass ein externer IT-Spezialist, der im Auftragsverhältnis für die NSA und weitere US-Regierungsstellen arbeitete, mehr als 50 Terabytes an «hochsensiblen Daten» gestohlen hatte, darunter die gefährlichen Hacker-Tools der NSA, die auf Zero Day Exploits basierten.
Auch russischer Programmcode kann in falsche Hände gelangen. Sind die entsprechenden Cyberwaffen noch sicher und welche internen und externen Leute hatten Zugriff?
Sicher ist: Die jüngsten Enthüllungen zu NTC Vulkan sind nur die Spitze des Eisbergs. Das an den Pranger gestellte russische IT-Unternehmen gehört zu einem – auch nach dem Leak – äusserst undurchsichtigen militärisch-industriellen Komplex: Über 40 Firmen sind über die Arbeit mit den russischen Geheimdiensten eng miteinander verwoben.
Ziel der öffentlich-privaten Partnerschaft ist es, hocheffektive Cyberwaffen zu entwickeln, «um diese auf alle zu richten, die Moskaus Machthaber zu Feinden erklärt haben».
John Hultquist, Vizepräsident für Geheimdienstanalysen bei der Cybersicherheitsfirma Mandiant, der einen Teil der Vulkan Files auswerten konnte, sagt:
Sind sich die Verantwortlichen in Politik, Verwaltung und Privatwirtschaft der Gefahren bewusst? Und was wird konkret gegen die Bedrohung aus Russland getan?
Der Nachrichtendienst des Bundes (NDB) nahm gegenüber dem «Tages-Anzeiger» ausweichend Stellung:
Das öffentliche Interesse an den aufgedeckten russischen Kriegsplänen und Cyberwaffen war bislang vergleichsweise gering. Die nationale Politik scheint das Thema verschlafen zu haben. Jedenfalls gab es auffallend wenige Tweets von Sicherheitspolitikern zu den #VulkanFiles.
Weil sich die politischen Verantwortungsträger und IT-Sicherheitsverantwortlichen ohnehin bedeckt halten, und die Nachrichtendienste ebenfalls schweigen, müssen wir uns zwangsläufig überraschen lassen, was auf uns zukommt.