Foto: KIRILL KUDRYAVTSEV / AFP, Bearbeitung: STANDARD

Monatelang haben Journalistinnen und Journalisten aus acht Ländern und elf Medienorganisationen brisante Geheimdokumente aus dem Inneren der russischen IT-Firma NTC Vulkan ausgewertet und dadurch tiefe Einblicke in die Cyberkapazitäten der russischen Nachrichtendienste erhalten. Ein Überblick über die wichtigsten Erkenntnisse.

1. Erstmals gibt es einen massiven Leak zu Russlands Cyberkapazitäten

So groß der militärisch-industrielle Komplex in Russland ist, so undurchsichtig ist er auch. Nur selten dringen Interna nach außen, für geheime Dokumente gilt das noch mehr. Das ändert sich mit den Vulkan-Files, dem ersten massiven Datenleck aus dem russischen Sicherheitsbereich. Tausende Seiten an Dokumenten und E-Mails legen offen, wie sich Russlands Nachrichtendienste für den Cyberkrieg rüsten.

2. Mehrere Geheimdienste sind Kunden von Vulkan

Die Vulkan-Files sind Dokumente aus dem Inneren der russischen Cyberkriegsführung und Überwachung. Mehr als 50 Journalistinnen und Journalisten aus acht Ländern haben die Daten monatelang ausgewertet, darunter auch DER STANDARD.
Montage: Lina Moreno / DER SPIEGEL, Fotos: Vulkan Files, Pallava Bagla / Corbis / Getty Images

Die Liste der Kunden von NTC Vulkan liest sich wie ein Who's who der russischen Geheimdienste. So finden sich darin neben dem Militär auch die drei wichtigsten Nachrichtendienste: der Militärgeheimdienst GRU, der Inlandsgeheimdienst FSB und der Auslandsgeheimdienst SWR. Besonders interessant ist dabei aber auch der Blick ins Detail. So gibt es direkte Verbindungen zur GRU-Einheit 74455. Hinter dieser verbergen sich die Hacker von Sandworm, die für zahlreiche Angriffe auf die kritische Infrastruktur der Ukraine verantwortlich gemacht werden. Zudem finden sich laut der Google Threat Analysis Group bereits im Jahr 2012 – und damit knapp nach der Firmengründung – direkte Verbindungen von Vulkan zu einer russischen Malware-Kampagne. Vulkan äußerte sich auf Anfrage dazu nicht.

3. Russland setzt auch auf private Firmen

Dass Vulkan für die drei wichtigsten russischen Nachrichtendienste tätig war, wirft viele Fragen nach der Nähe der russischen IT-Industrie zu staatlichen Sicherheitsbehörden auf. Nach außen hin nannte das Unternehmen stolz westliche IT-Konzerne als Partner und referenzierte vor allem zivile Kunden. Doch jetzt dürfte retrospektiv auch die Beziehung zwischen westlichen und russischen IT-Unternehmen unter die Lupe genommen werden – und damit die Frage, ob Daten an den Staat abgeflossen sind.

4. Es gibt eine enge Verschränkung unterschiedlicher Angriffsformen

Eines wird bei einem Blick auf die geleakten Dokumente schnell klar: Es gibt eine enge Verzahnung unterschiedlicher Angriffsebenen – von militärischen über Cyberattacken bis zu Überwachung und Desinformation. So ist es wohl kein Zufall, dass unter dem Begriff "Amezit" nicht nur Tools zu finden sind, über die das lokale Netzwerk umgeleitet und überwacht werden könnte. Auch Programme zur Desinformation gehören in dieses Repertoire. Alles Dinge, die etwa in Teilen der Ukraine zum Teil nach dem Einmarsch russischer Truppen beobachtet werden konnten.

5. Wie Troll-Armeen dirigiert werden

Die Vulkan-Files erlauben auch einen Einblick in die stramme Orchestrierung russischer Troll-Armeen. Wird darin doch etwa beschrieben, wie sich Bots für solche Zwecke aus zentralen Datenbanken – samt Name, Foto und gefälschter Biografie – zusammenbauen lassen. Passend dazu gibt es Schritt-für-Schritt-Anleitungen, wie passende Texte oder auch Audio- und Videoinhalte erstellt und verbreitet werden sollen. So sollen etwa beliebte Hashtags in sozialen Medien gezielt gekapert werden, auch über andere Tricks soll die Reichweite maximiert werden. Dass dies nicht nur blanke Theorie ist, zeigte eine Folgerecherche, in der zahlreiche Konten gefunden wurden, die Verbindungen zu Vulkan aufweisen und von denen einige heute noch aktiv sind.

6. Russland will potenzielle Unruhestifter identifizieren

Proteste gegen den Einmarsch russischer Truppen in die Ukraine wurden üblicherweise schon im Keim erstickt. Dass das kein Zufall ist, verdeutlichen die Vulkan-Files ebenso. Wird darin doch unter dem Namen "Fraction" ein System beschrieben, das sich bestens zur Überwachung regimekritischer Aktivitäten eignet. Systematisch werden dabei soziale Medien wie Vkontakte oder Odnoklassniki überwacht. Diese Daten werden in einer zentralen Datenbank gespeichert und ausgewertet – etwa um "gefährliche" Texte zu erkennen.

7. Enge Verzahnung mit Universitäten

Eine enge Kooperation hat NTC Vulkan nicht nur mit Tarninstituten, die Nachrichtendiensten zuordenbar sind, sondern auch mit den großen Moskauer Universitäten. Sowohl mit der Staatlichen Technischen Universität Moskau "N. E. Bauman" als auch mit der Lomonossow-Universität wird zusammengearbeitet. Vulkan wirbt gezielt um Nachwuchs unter Absolventen, an der Lomonossow-Universität hielt man sogar einen Kurs über das Mappen von sozialen Netzwerken ab. Die Daten zeigen: Auch Absolventen, die nicht direkt zu Nachrichtendiensten gehen, arbeiten schlussendlich womöglich für diese.

8. Russland legt viel Wert darauf, seine Cyberaktivitäten zu verschleiern

Wer hinter einer einzelnen Attacke steht, ist eine Frage, die bei Cyberangriffen generell schwer zu beantworten ist. Die Vulkan-Files machen auch klar, wieso das so ist. So wird darin klar aufgezeigt, wie russische Hacker bis ins kleinste Detail darauf achten, ja keine Spuren zu hinterlassen. Das reicht von der Verschleierung des Netzwerkverkehrs durch die Kombination von Tools wie Tor und OpenVPN bis zur systematischen Entfernung von potenziell verräterischen Metadaten in für die Desinformation gedachten Dokumenten.

9. Viele Ex-Vulkan-Mitarbeiter arbeiten mittlerweile bei westlichen Unternehmen

Eine Frage, die die Vulkan-Files ebenfalls aufwerfen: Wie gut kontrollieren westliche Unternehmen eigentlich den Hintergrund neuer Mitarbeiter? Zeigen Folgerecherchen doch, dass ehemalige Vulkan-Angestellte mittlerweile bei bekannten Unternehmen Unterschlupf gefunden haben. Dazu zählt neben Siemens, Trivago und Booking.com auch Amazon oder, genauer gesagt, dessen Cloud-Tochter Amazon Web Services (AWS), deren Server wiederum von Firmen wie Netflix, aber auch Volkswagen, der Nasa oder gar der US-Marine genutzt werden. Auf Nachfrage betonten etwa Amazon und Siemens recht allgemein, dass man den Schutz der Kundendaten sehr ernst nehme. Trivago und Booking.com ließen entsprechende Anfragen des STANDARD bis zuletzt unbeantwortet.

10. Das System ist brüchig – es gibt einen Whistleblower, es gibt Dissens

Der Angriff auf die Ukraine hat auch in Teilen der russischen Bevölkerung Widerstand ausgelöst. Glaubt man dem Whistleblower hinter den Vulkan-Files, war der Ukrainekrieg der Hauptgrund für seine Weitergabe der hochsensiblen Daten. Im Zuge der Recherche sprach auch ein ehemaliger Vulkan-Mitarbeiter davon, dass man die engen Verbindungen zu den russischen Geheimdiensten kritisch sehe. Einer habe deswegen sogar die Firma und das Land verlassen. Für den Kreml, der auf Anfragen nicht reagierte, sind die Enthüllungen jedenfalls peinlich – nicht nur wegen des Inhalts, sondern schon allein wegen ihrer Existenz. (Fabian Schmid, Andreas Proschofsky, 30.3.2023)