Digital
Schweiz

Vulkan Files: 7 Erkenntnisse zu Russlands Cyberwaffen und Hackern

FBI-Fahnungsplakat für Mitglieder der russischen Elite-Hackergruppe Sandworm.
Die zum russischen Militärgeheimdienst gehörende Einheit 74455, alias Sandworm, zählt auf die Expertise privater IT-Fachleute. Das sind schlechte Nachrichten. Bild: Shutterstock / watson
Analyse

7 beunruhigende Fakten zu Putins Cyberkriegern – und was das Leak für die Schweiz bedeutet

Die von einem unbekannten Whistleblower geleakten Dokumente zu russischen Cyberwaffen und Angriffsplänen lassen tief blicken. Die Reaktionen auf das nie dagewesene Leak auch.
01.04.2023, 20:0004.04.2023, 07:53
Mehr «Digital»

Tausende Seiten geheimer Dokumente belegen, wie Russland weltweit Cyberangriffe plant und vorbereitet. Dies hat ein Recherche-Netzwerk am Donnerstag enthüllt.

Auszug (mit Übersetzung) aus einem geleakten Dokument.
Auszug (mit Übersetzung) aus einem geleakten Dokument.

Beunruhigend sind nicht nur die Berichte über die vom russischen Militär in Auftrag gegebenen Angriffswerkzeuge, sondern auch deren Herkunft. Entwickler und Ingenieure der privaten IT-Firma NTC Vulkan haben geholfen, russische Hacking-Operationen im Ausland vorzubereiten und Agenten für Angriffe auf kritische Infrastruktur zu schulen.

Und damit zu den wichtigsten Schlüssen, die wir aus den «Vulkan Files» und den Reaktionen darauf ziehen.

1. Der Chefentwickler der russischen Cyberwaffen arbeitet heute bei Amazon

Die für das Nachrichtenmagazin «Spiegel» recherchierenden Journalisten nennen ihn Sergei N. und fragen:

«Was macht ein russischer Cyberkriegsspezialist in einem Unternehmen, das weite Teile der IT Hunderter Weltkonzerne beherbergt, dessen Infrastruktur eine tragende Säule des globalen Internets bildet? Konnte oder wollte AWS nicht wissen, was N. früher gemacht hat? Noch im Juni 2019 finden sich in einem geleakten Dokument [von NTV Vulkan] Kommentare, die mit seinem Namen signiert sind. Zu diesem Zeitpunkt arbeitete er nach eigenen Angaben schon für AWS.»
quelle: spiegel.de

AWS steht für Amazon Web Services – ein weltweit führender Anbieter im Cloud-Computing. Die Amazon-Tochterfirma betreibt Rechenzentren rund um den Globus, zu den Kunden gehört auch die Eidgenossenschaft.

Auf Anfrage des «Spiegel» teilte AWS lediglich mit, die Sicherheit der Kundendaten geniesse höchste Priorität.

2. Die Gefahr, die für den Westen ausgeht, ist nicht abschätzbar

Laut Berichten hatte AWS den hochrangigen Vulkan-Mitarbeiter wohl 2018 eingestellt, also vier Jahre vor der Invasion in der Ukraine. Damals erschien es offenbar vielen Personalverantwortlichen in westlichen Organisationen noch unproblematisch, russische IT-Fachleute zu übernehmen.

Anzumerken ist, dass einige geschäftliche Verbindungen zwischen NTC Vulkan und US-Konzernen bestanden. Mehrere grosse Hersteller, darunter IBM, Boeing und Dell, arbeiteten laut ihrer Website mit Vulkan zusammen.

Dabei sei es um die kommerzielle Software-Entwicklung gegangen, ohne offensichtliche Verbindungen zu Geheimdiensten und Hacking-Operationen. Und inzwischen würden keine Geschäftsbeziehungen mehr unterhalten.

Nicht wirklich beruhigend ist auch, dass Vulkan schon viel länger aktiv war, wie die Recherchen zeigen. Google hat laut ZDF-Bericht bestätigt, dass bereits 2012 eine Vulkan-Mailadresse im Zusammenhang mit Schadsoftware der russischen Hackertruppe Cozy Bear identifiziert wurde.

«Russland ist in unseren Netzen.»
Aktuelle Warnung von Wolfgang Wien, Vizechef des deutschen Bundesnachrichtendienstes

4. Über dieses Sicherheitsrisiko will niemand im Westen sprechen

«Ab 2011 erhielt NTC Vulkan spezielle Regierungslizenzen, um an geheimen Militärprojekten und Staatsgeheimnissen zu arbeiten.»
quelle: theguardian.com

Bis zur russischen Invasion im Februar 2022 reisten Vulkan-Mitarbeiter offen nach Westeuropa und besuchten internationale IT- und Cybersecurity-Konferenzen, wie der «Guardian» schreibt. Heute lebten ehemalige Angestellte in Deutschland, Irland und anderen EU-Ländern. Einige seien für globale Technologiekonzerne tätig. Und es sei unklar, ob westliche Spionageabwehr-Behörden sie im Blick hätten.

Investigativ-Journalist Andrei Soldatow fragt:

«Ist es sicher oder ethisch vertretbar, einen russischen Ingenieur mit einem Hintergrund in Informationssicherheit einzustellen, was in Moskau oft bedeutet, für ein Unternehmen wie NTC Vulkan zu arbeiten?»

Selbst wenn jemand Russland verlasse und seine unmittelbare Familie mitnehme, habe er immer noch Freunde und Verwandte zu Hause, was ihn angreifbar mache.

Es wäre allerdings auch nicht fair, IT-Ingenieure aufgrund ihrer früheren Beschäftigung nach Russland zurückzuschaffen, findet der im Exil in London lebende Journalist. Denn diese Leute hätten kaum eine andere Wahl gehabt. Der Kreml betrachte solche Ingenieure als Schachfiguren, deren Pflicht es sei, den russischen Kriegsanstrengungen zu helfen.

Sicherheitsüberprüfungen von Job-Bewerbern sollen verhindern, dass Leute mit problematischem «Background» sensible Tätigkeiten ausüben. Ausgerechnet bei der Schweizer Luftwaffe hat das zuletzt nicht g ...
Sicherheitsüberprüfungen von Job-Bewerbern sollen verhindern, dass Leute mit problematischem «Background» sensible Tätigkeiten ausüben. Ausgerechnet bei der Schweizer Luftwaffe hat das zuletzt nicht geklappt, wie Recherchen von SRF-«Rundschau» zeigen.screenshot: srf.ch

3. Russland unterscheidet nicht mehr zwischen Krieg und Frieden

Der nach Grossbritannien geflüchtete russische Investigativ-Journalist Andrei Soldatow konnte die von dem Whistleblower gestohlenen geheimen Unterlagen prüfen. Und kommt zum Schluss, dass die russische Armee die aggressive Denkweise von Putins Geheimpolizei angenommen habe.

«Die durchgesickerten Dateien deuten auch darauf hin, dass die russische Armee die Beschränkungen aus der Sowjetzeit für Angriffswaffen, die nur in Kriegszeiten eingesetzt werden dürfen, schon vor langer Zeit aufgegeben hat. Die Grenzen zwischen Krieg und Frieden sind in Russland nicht nur fliessend, sie sind nicht existent.»

Das Leak dokumentiere eine intensivierte Zusammenarbeit zwischen dem russischen Militär und den Geheimdiensten. Putins Silowiki – ranghohe Geheimdienstler und Militärs – seien seit dem Zusammenbruch der Sowjetunion viel aggressiver geworden, so Soldatows Einschätzung.

5. Dass die Cyberwaffen selbst nicht geleakt wurden, ist keine gute Nachricht

Die vom unbekannten Whistleblower geleakten Dokumente enthielten keine konkreten Informationen über russische Schadprogramme (Malware) oder andere Tools, die für Hacking-Operationen verwendet werden.

«Wegen der Vorgänge in der Ukraine habe ich mich entschieden, diese Information öffentlich zu machen.»
Russische Quelle der Vulkan Files

Die unbekannte Person übermittelte mehrere tausend Dokumente, «PDFs, Word-Dateien, Verträge, Konzepte, Lizenzen, E-Mails», über eine verschlüsselte Plattform, bevor sie nach ein paar Wochen wieder spurlos abtauchte.

Warum hat die anonyme Quelle keinen Programmcode oder andere technische Details zu russischen Cyberwaffen an die Journalisten übermittelt?

Weil sie keinen Zugriff auf das digitale Waffenarsenal hatte? Weil sie es nicht tun konnte, ohne sich zu verraten, oder weil sie gegenüber den westlichen Medien nicht alles offenlegen wollte? Oder wurde die Person geschnappt?

Der deutsche Sicherheitspolitiker Konstantin von Notz, Vorsitzender des für die Geheimdienste zuständigen Parlamentarischen Kontrollgremiums, geht jedenfalls von «Hunderten solcher Cyberwaffen» aus, die gerade entwickelt werden. Und diese sind ein beträchtliches Sicherheitsrisiko.

Zur Erinnerung: 2016 gab eine bis dahin unbekannte Gruppe namens Shadow Brokers bekannt, in den Besitz von bis dato unbekannten amerikanischen Cyberwaffen gelangt zu sein. Diese stammte von der zum NSA-Geheimdienst gehörenden Eliteeinheit Tailored Access Operations (TAO).

2017 wurden weitere NSA-Angriffswerkzeuge im Internet veröffentlicht. Russische Elite-Hacker – mutmasslich von der zum russischen Militärgeheimdienst gehörenden Sandworm-Gruppe – setzten sie für die Malware-Attacke NotPetya mit weltweit verheerenden Folgen ein.

Ermittlungen ergaben, dass ein externer IT-Spezialist, der im Auftragsverhältnis für die NSA und weitere US-Regierungsstellen arbeitete, mehr als 50 Terabytes an «hochsensiblen Daten» gestohlen hatte, darunter die gefährlichen Hacker-Tools der NSA, die auf Zero Day Exploits basierten.

Auch russischer Programmcode kann in falsche Hände gelangen. Sind die entsprechenden Cyberwaffen noch sicher und welche internen und externen Leute hatten Zugriff?

6. Russland bekämpft seine Feinde (inklusive Schweiz) mit allen Mitteln

«Es könnte auch Angriffe auf die Schweiz gegeben haben, die vielleicht bisher gar nicht erkannt wurden.»
Einschätzung der ukrainischen IT-Expertin Marina Krotofil, die in der Schweiz lebt und von hier aus dabei hilft, russische Hackerangriffe auf ihre Heimat abzuwehrenquelle: https://tages-anzeiger.ch

Sicher ist: Die jüngsten Enthüllungen zu NTC Vulkan sind nur die Spitze des Eisbergs. Das an den Pranger gestellte russische IT-Unternehmen gehört zu einem – auch nach dem Leak – äusserst undurchsichtigen militärisch-industriellen Komplex: Über 40 Firmen sind über die Arbeit mit den russischen Geheimdiensten eng miteinander verwoben.

Ziel der öffentlich-privaten Partnerschaft ist es, hocheffektive Cyberwaffen zu entwickeln, «um diese auf alle zu richten, die Moskaus Machthaber zu Feinden erklärt haben».

John Hultquist, Vizepräsident für Geheimdienstanalysen bei der Cybersicherheitsfirma Mandiant, der einen Teil der Vulkan Files auswerten konnte, sagt:

«Diese Dokumente deuten darauf hin, dass Russland Angriffe auf zivile kritische Infrastrukturen und die Manipulation sozialer Medien als ein und dasselbe betrachtet, dieselbe Mission, die im Wesentlichen ein Angriff auf den Kampfwillen des Feindes ist.»
quelle: theguardian.com

7. Die jüngsten Enthüllungen sind beunruhigend – und ändern nichts

Sind sich die Verantwortlichen in Politik, Verwaltung und Privatwirtschaft der Gefahren bewusst? Und was wird konkret gegen die Bedrohung aus Russland getan?

Der Nachrichtendienst des Bundes (NDB) nahm gegenüber dem «Tages-Anzeiger» ausweichend Stellung:

«Grundsätzlich können alle kritischen Infrastrukturen potenzielle Ziele von Cyberangriffen werden, nämlich dann, wenn Verwundbarkeiten zwecks Spionage, Sabotage und Kriminalität ausgenutzt werden.»

Das öffentliche Interesse an den aufgedeckten russischen Kriegsplänen und Cyberwaffen war bislang vergleichsweise gering. Die nationale Politik scheint das Thema verschlafen zu haben. Jedenfalls gab es auffallend wenige Tweets von Sicherheitspolitikern zu den #VulkanFiles.

Weil sich die politischen Verantwortungsträger und IT-Sicherheitsverantwortlichen ohnehin bedeckt halten, und die Nachrichtendienste ebenfalls schweigen, müssen wir uns zwangsläufig überraschen lassen, was auf uns zukommt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Dieser T-Rex wird in Zürich versteigert
Video: watson
Das könnte dich auch noch interessieren:
27 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ingmarbergman
01.04.2023 21:05registriert August 2017
Köppel und die SVP: „Putin wird missverstanden.“

Das nennt sich dann wohl Landesverrat.
958
Melden
Zum Kommentar
avatar
Jakob Meier
01.04.2023 20:21registriert November 2020
Keine Angst. Wir sind wie immer nicht vorbereitet und beobachten die Lage.
728
Melden
Zum Kommentar
avatar
Lowend
01.04.2023 20:19registriert Februar 2014
Ich denke, dass dieser russische Cyberangriff im Grunde das Ende der Globalisierungsträume bedeutet und die Schweiz muss sich mal klarmachen, wie stark wir punkto IT und Welthandel von totalitären Systemen abhängig sind. Wenn wir uns klar sind, wo unsere Demokratie verwundbar ist, müssten wir Brandmauern gegen diese Systeme errichten, was leider auch beinhaltet, dass wir gewisse Länder als unfreundliche Staaten ausgrenzen müssen und jeglichen Handel mit diesen Systemen beenden, bis die sich wieder an die völkerrechtlichen Verträge halten, denn umgekehrt bestanden diese Mauern auch schon immer.
647
Melden
Zum Kommentar
27
Schweiz auch 2023 Patent-Weltmeister – bei der Frauenquote haben wir aber noch Potenzial

Die Schweiz bleibt der innovativste Wirtschaftsstandort der Welt. Gemessen an der Anzahl Patentanmeldungen pro Einwohner war sie auch 2023 absolute Weltspitze. Konkret wurden hierzulande im vergangenen Jahr 1085 Patente pro Million Einwohner angemeldet, wie das Europäische Patentamt (EPA) in der Nacht auf Dienstag mitteilte.

Zur Story