Bei den Vulkan Files (deutsch „Vulkan-Dateien“) handelt es sich um geleakte E-Mails und andere Dokumente, die die Entwicklung von Sabotage-Software des russischen Unternehmens NTC Vulkan bezeugen. Auftraggeber der Softwareprogramme waren das Verteidigungsministerium der Russischen Föderation und die Geheimdienste FSB, GRU und SWR, gesteuert vom Kreml. Genutzt wurde und wird die Software für Cyberkriminalität, politische Einmischung in ausländische Angelegenheiten – wie beispielsweise der Präsidentschaftswahl in den Vereinigten Staaten 2016 – über soziale Medien, für Zensur inländischer sozialer Medien und für Spionage. Journalisten aus Deutschland, Österreich und der Schweiz, aus Frankreich, dem Vereinigten Königreich und den Vereinigten Staaten deckten – koordiniert vom Nachrichtenmagazin Der Spiegel und dem Investigativ-Start-Up Paper trail media – im März 2023 das digitale Waffenarsenal und die heimliche Subversionsarbeit Russlands auf.
Aufdeckung durch ein internationales Recherchekonsortium Bearbeiten
An den Recherchen waren fünfzig Journalisten aus elf Medienhäusern in acht Staaten beteiligt. Neben dem Spiegel waren an dem gemeinsamen investigativen Rechercheprojekt die Süddeutsche Zeitung (SZ) und das ZDF, Der Standard, die Schweizer TX Group, The Guardian, Le Monde und die Washington Post (vereint in dem Investigativ-Start-Up Paper trail media) beteiligt. Die Angaben beruhen auf einer anonymen Quelle aus dem Inneren von NTC Vulkan.
Die Dokumente zeigen, wie die Moskauer Tarnfirma für das russische Verteidigungsministerium und Geheimdienste die Software und die Infrastruktur für Cyberangriffe und großangelegte Desinformationskampagnen entwickelte. Ein anonymer Twitteraccount wies bereits 2020 darauf hin, dass NTC Vulkan und die russische Hackergruppe Sandworm des russischen GRU zusammenarbeiten. Jedoch lieferte der Account keine Belege, die Meldung verlief im Sand. Unmittelbar nach dem russischen Überfall auf die Ukraine 2022 wurde der Investigativjournalist Hannes Munzinger anonym kontaktiert und erhielt in der Folge tausende Dokumente aus der NTC Vulkan. Munzinger arbeitete damals für die Süddeutsche Zeitung, er wechselte im Mai 2022 zu Paper trail media und blieb federführend in der Auswertung der Dokumente. Zuvor hatte er an den Veröffentlichungen der Panama Papers, der Paradise Papers und der Swiss Secrets mitgearbeitet. In England recherchierte der Investigativjournalist Andrei Soldatow zu den Vulkan Files. Tausende Dokumente, Software-Beschreibungen und interne E-Mails, allesamt in russischer Sprache verfasst, wurden übersetzt und in einjähriger Recherchearbeit auf ihre Plausibilität und Originalität überprüft. Fünf Geheimdienste bestätigten die Authentizität.
Einsatz der Schadprogramme Bearbeiten
Laut Selbstdarstellung handelt es sich bei NTC Vulkan um ein gewöhnliches Unternehmen mit dem Slogan: „Das Allerwichtigste ist der Wunsch, die Welt zu etwas Besserem zu machen.“ In Wirklichkeit entwickelt das Unternehmen destruktive Softwareprogramme bzw. Schadprogramme, die Züge entgleisen lassen und die Stromversorgung lahmlegen sollen. Zu den Auftraggebern von NTC Vulkan gehören laut den Dokumenten das russische Verteidigungsministerium, die drei wichtigsten Nachrichtendienste Russlands – der Inlandsgeheimdienst FSB, der Militärgeheimdienst GRU und der Auslandsgeheimdienst SWR – sowie zwei russische Hackergruppen, Cozy Bear und die Einheit 74455, bekannt als Sandworm. Namentlich bekannt als Auftraggeber sind auch die Einheit 22280 der Russischen Armee für „special programs“ und die Einheit 33949 des SWR.
Cyberkrieg gegen die Ukraine Bearbeiten
Sandworm und andere Geheimdienstorganisationen Russlands zeichneten durchgehend seit dem Überfall auf die Krim im Jahr 2014 verantwortlich für Angriffe auf ukrainische Institutionen – beispielsweise die Kiewer Metro oder den Flughafen von Odessa. Kurz vor Weihnachten 2015 und 2016 gelang es der Einheit 74455, einer russischen Hackergruppe, das ukrainische Stromnetz lahmzulegen. Im Rahmen eines Großangriffes auf ukrainische Firmen im Juni 2017 geriet die Schadsoftware außer Kontrolle und befiel weltweit tausende Computer. Es wurden Schäden in dreistelliger Millionenhöhe verursacht. Am 24. Februar 2022 fielen europaweit zehntausende Modems der Marke Viasat aus, weil die russischen Hacker die ukrainische Befehlsstruktur während des russischen Überfalls zu unterbrechen trachteten. Im Frühjahr 2022 begann ein Dauerangriff auf die ukrainische IT-Infrastruktur, im Winter verknüpft mit Drohnen- und Raketenangriffen auf das Stromnetz. John Hultquist von der IT-Sicherheitsfirma Mandiant konstatierte 2023: „Sandworm ist derzeit die bedeutendste Gruppe, die in der Ukraine für Zerstörung und Störung sorgt.“ Die Ukraine sei für Russland schon seit langem ein Testgelände für die Erprobung von verschiedenen Cyberwaffen, so der ukrainische Cybersicherheitsexperte Roman Bojartschuk im ZDF-Magazin Frontal. Die Ukraine, so der Spiegel, treffen Angriffe russischer Hacker schon seit Jahren fast täglich.
Angriffe in Europa, Südkorea und den Vereinigten Staaten Bearbeiten
Die Hackergruppe Cozy Bear besteht seit mindestens 2012 und verantwortet unter anderem Cyberattacken auf das Pentagon, die Demokratische Partei in den Vereinigten Staaten sowie die Regierungen Norwegens und der Niederlande. Gemeinsam mit Fancy Bear soll Cozy Bear die Präsidentschaftswahl in den Vereinigten Staaten 2016 zugunsten von Donald Trump manipuliert haben. 2015 wurden Hackerangriffe auf den Deutschen Bundestag verübt, mutmaßlich von Fancy Bear. Ziele von Sandworm waren unter anderem der Präsidentschaftswahlkampf 2017 in Frankreich und die Olympischen Winterspiele 2018 in Südkorea, ersteres zur Unterstützung von Marine Le Pen, letzteres als Racheaktion für den Ausschluss Russlands wegen massenhaften Dopings. Russische Cyberangriffe auf NATO-Staaten haben sich nach Angaben von Google 2022 im Vergleich zu 2020 vervierfacht. Im April und Mai 2022 versuchten russische Hacktivisten unter dem Pseudonym Killnet Websites deutscher Behörden, Ministerien und Flughäfen per DDoS-Attacken zu überlasten. Im Februar 2023 kappten russische Hacker die Datenverbindungen von fast 6.000 Windrädern in Deutschland.
Angriffe auf Israel Bearbeiten
Unter dem Pseudonym Killnet - neben einer Reihe von anderen Gruppen - griffen Hacker auf der Seite der Hamas virtuell in den Krieg gegen Israel ein und versuchten, Internetseiten vorübergehend lahmzulegen.
Ziele und Mittel des Cyberkriegs Bearbeiten
Unterwanderung von Schlüsselbetrieben Bearbeiten
Mindestens ein Dutzend ehemaliger Mitarbeiter von NTC Vulkan arbeiten heute für westliche Konzerne, darunter Siemens, Amazon, Trivago und Booking.com. Für diese und andere Unternehmen würden sich laut Spiegel daraus „potenziell gravierende Sicherheitslücken“ ergeben. Ein ehemaliger Chefentwickler von NTC Vulkan arbeite als „Senior Software Development Engineer“ bei Amazon Web Services (AWS) in Dublin, dem weltgrößten Anbieter von Cloud Computing. Kunden von AWS, die ihre Daten oder große Teile ihrer IT dort lagern, sind unter anderem NASA, Netflix, Vodafone, die US-Marine sowie mehrere DAX-Konzerne wie Allianz und Volkswagen. Teile des globalen Internets sollen über die AWS-Server laufen, auch ukrainische Regierungsdaten. Viele der früheren NTC Vulkan-Mitarbeiter verweigerten ein Interview. „Unklar blieb dabei, ob aus Furcht vor Vergeltung oder weil ihre Tarnung aufzufliegen drohte.“
Totale Informationskontrolle Bearbeiten
Das Amezit-B-Projekt stellte einen Entwicklungsauftrag des Rostov Scientific Institute dar, eine der wenigen russischen Forschungseinrichtungen, die direkt im Besitz des FSB stehen. Ziel war, dem Betreiber die Möglichkeit in die Hand zu geben, jeden Cyber-Traffic in einer bestimmten Region zu kontrollieren, von Mobilfunknetzen bis zu sozialen Medien. Bei Bedarf sollte die Region von der Außenwelt isoliert werden können und eine Informationssperre verhängt werden. Wichtig war den Auftraggebern vor allem, nicht nur unliebsame Informationen zu unterdrücken, sondern auch das dominierende Narrativ zu formen und beherrschen. Das Projekt besteht aus verschiedenen Tools, „die allerdings einen gemeinsamen Bogen haben, den man grob mit drei Begriffen umreißen könnte: Zensur, Überwachung und Desinformation.“ Es handelt sich um die totale Kontrolle der öffentlichen Meinung, wie im Dritten Reich oder unter der Herrschaft Stalins. Die Doktrin lautet, dass freier Informationsfluss immer eine direkte Bedrohung für die Stabilität der Regierung der Russischen Föderation bedeutet. Der eigentliche Auftraggeber war aber nicht das FSB, das in Russland die Überwachung verantwortet, sondern – getarnt – das russische Militär, mutmaßlich zwecks Übernahme der Cyberhoheit in künftig besetzten Gebieten, als Mittel digitaler Kriegsführung.
Der Kontext der subversiven Aktivitäten im Zusammenspiel von Sandworm und Sofacy Group mit den mörderischen Aktivitäten der Einheit 29155 ergibt laut Telepolis das Bild einer „russische[n] Kampagne zur Destabilisierung von Europa“ und die NZZ schlussfolgert – lange vor dem Überfall auf die Ukraine – über den russischen Geheimdienst GRU: „zu seinem Repertoire gehören Mordkomplotte, verdeckte Militäreinsätze, Hackerangriffe und Einmischung in Wahlen.“
Schlussfolgerungen Bearbeiten
Die österreichische Tageszeitung Der Standard zog zehn Schlussfolgerungen aus den Vulkan Files:
- Erstmals gibt es einen massiven Leak zu Russlands Cyberkapazitäten
- Kunden von NTC Vulkan sind mehrere Geheimdienste
- Russland nutzt auch private Firmen
- Es gibt eine enge Verschränkung unterschiedlicher Angriffsformen
- Einblick in die Führung der russischen Troll-Armeen
- Potenzielle Unruhestifter werden frühzeitig identifiziert
- Enge Verzahnung mit Universitäten
- Verschleierung der Cyberaktivitäten
- Viele frühere Vulkan-Mitarbeiter arbeiten heute bei westlichen Unternehmen
- Das System ist brüchig, denn es gibt Dissens und einen Whistleblower
Reaktionen Bearbeiten
Konstantin von Notz – Geheimdienstbeauftragter des Deutschen Bundestags – warnte umgehend:
„Hier arbeiten Leute an der Sabotage des Informationsflusses und das ist für rechtsstaatliche demokratische Strukturen wie in Europa, wie in Deutschland eine relevante Bedrohung.“
Die deutsche Innenministerin Nancy Faeser kündigte Maßnahmen an und warnte Firmen in Hinblick auf unzureichende Sicherheitsüberprüfungen ihrer IT-Mitarbeiter. Marina Krotofil, Sprecherin des Europäischen Netzwerks für Cyber-Sicherheit, konstatierte im ZDF, dass die Softwareprogramme vom russischen Staat beauftragt, getestet und bezahlt wurden:
„Es verstößt natürlich gegen die Genfer Konvention, weil es um zivile Infrastrukturen geht. Das sind Dinge wie Wasserversorgung, Stromerzeugung und auch petrochemische Anlagen. [...] Wir müssen berücksichtigen, dass all diese Fähigkeiten für das [russische] Verteidigungsministerium entwickelt wurden.“
„An diesen Dokumenten ist auffallend, dass die russischen Cyberanstrengungen aggressiver werden und auch die Aggressivität wächst, mit der sie ihr Hauptziel durchsetzen wollen, nämlich die Kontrolle über Informationsflüsse. Das ist absolut beispiellos.“
Seitens der Firma und der russischen Regierung gab es keinerlei Stellungnahmen.
Kritik Bearbeiten
Gemäß den Vulkan Files soll Russland auch das in der Schweiz liegende Kernkraftwerk Mühleberg ins Visier genommen haben. Jedoch führt Matthias Bärlocher vom schweizerischen Nachrichtenportal Nau auf, dass die Geokoordinaten des AKWs Mühleberg nicht mit den in den Vulkan Files genannten Koordinaten zum KKW Mühleberg übereinstimmen. So liegt das AKW Mühleberg laut den in den Vulkan Files genannten Geokoordinaten in der afghanischen Hauptstadt Kabul und die European Defence Agency hat ihren „Sitz ungefähr dort, wo die ukrainische Botschaft ist“. Die verschiedenen Medienpartner finden unterschiedliche Erklärungen für die offenkundige Schlampigkeit: Die Washington Post schrieb von einem Mock-up – einem Vorführmodell zu Präsentationszwecken –, Der Standard von einem „Platzhalter“ und die Süddeutsche Zeitung bezeichnete das AKW Mühleberg als „hypothetisches Ziel“.
TV-Bericht Bearbeiten
- Files: Die geheimen Waffen moderner Krieger. ZDF Frontal, 30. März 2023.
Quellen Bearbeiten
Weblinks Bearbeiten
- Cybermafia von Putins Gnaden? veröffentlicht durch Tagesschau, am 6. April 2023
Einzelnachweise Bearbeiten
- The Washington Post joins news organizations in Vulkan Files investigation. In: Washington Post. ISSN 0190-8286 (washingtonpost.com [abgerufen am 10. April 2023]).
- Sophia Baumann, Hannes Munzinger, Hakan Tanriverdi: Die Sandworm-Spur: Vulkans Verbindung zu Russlands berüchtigten Hackern. Sandworm, die Einheit des Militärgeheimdiensts GRU, attackiert seit Jahren vor allem die Ukraine. Die Vulkan-Files zeigen: offenbar erhalten sie Hilfe aus der Privatwirtschaft. In: DerStandard.at. 30. März 2023, abgerufen am 30. März 2023.
- Luke Harding, Manisha Ganguly, Dan Sabbagh: ‘Vulkan files’ leak reveals Putin’s global and domestic cyberwarfare tactics. In: The Guardian. 30. März 2023, ISSN 0261-3077 (theguardian.com [abgerufen am 2. April 2023]).
- Exklusiv: Auch Hannes Munzinger verlässt die SZ - der Top-Investigative arbeitet künftig für den Spiegel. Abgerufen am 2. April 2023 (deutsch).
- ↑ Andrei Soldatov: Cyberwarfare leaks show Russian army is adopting mindset of secret police. In: The Guardian. 30. März 2023, ISSN 0261-3077 (theguardian.com [abgerufen am 2. April 2023]).
- ORF at/Agenturen flam: „Vulkan-Files“: Russische Ex-Hacker bei Westkonzernen. 31. März 2023, abgerufen am 2. April 2023.
- Inside Vulkan, the digital weapons factory of Russian intelligence services. In: Le Monde.fr. 30. März 2023 (lemonde.fr [abgerufen am 2. April 2023]).
- Reckless campaign of cyber attacks by Russian military intelligence service exposed. Abgerufen am 2. April 2023 (englisch).
- ↑ Nikolai Antoniadis, Sophia Baumann, Christo Buschek, Maria Christoph, Jörg Diehl, Alexander Epp, Christo Grozev, Roman Höfner, Max Hoppenstedt, Carina Huppertz, Dajana Kollig, Anna-Lena Kornfeld, Roman Lehberger, Hannes Munzinger, Frederik Obermaier, Bastian Obermayer, Fedir Petrov, Alexandra Rojkov, Marcel Rosenbach, Thomas Schulz, Hakan Tanriverdi und Wolf Wiedmann-Schmidt: Sandwurm und Schlange. In: Der Spiegel. Nr. 14, 1. April 2023, S. 80 (spiegel.de).
- Die Vulkan Files: Die geheimen Waffen russischer Cyberkrieger. Abgerufen am 2. April 2023.
- Worum geht es bei den Vulkan-Files-Recherchen? Abgerufen am 2. April 2023 (österreichisches Deutsch).
- Deutschlandfunk am 16. Februar 2023: Zahl der russischen Cyberangriffe in NATO-Staaten binnen zwei Jahren vervierfacht. Abruf: 18. Februar 2022.
- Matthias Gebauer, Sven Röbel, Marcel Rosenbach, Wolf Wiedmann-Schmidt: Cyberangriffe von »Killnet«: Putin-Fans attackieren deutsche Behördenseiten. In: Der Spiegel. 6. Mai 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 6. Mai 2022]).
- Angriff auf Israel: Prorussische Hacker greifen offenbar israelische Websites an. Abgerufen am 13. Oktober 2023.
- ORF at/Agenturen flam: „Vulkan-Files“: Russische Ex-Hacker bei Westkonzernen. 31. März 2023, abgerufen am 2. April 2023.
- Telepolis: Die ultrageheime und mörderische russische GRU-Einheit 29155, 9. Oktober 2019
- Neue Zürcher Zeitung: Sabotage, Giftattacken und Umsturzpläne: 13 aufsehenerregende Operationen des russischen Militärgeheimdiensts, 3. Mai 2021
- Die zehn wichtigsten Erkenntnisse aus den geheimen Vulkan-Files. Abgerufen am 2. April 2023 (österreichisches Deutsch).
- Russische Cyberangriffe : Faeser fordert mehr Befugnisse für deutsche Behörden. In: Der Tagesspiegel Online. ISSN 1865-2263 (tagesspiegel.de [abgerufen am 2. April 2023]).
- Matthias Bärlocher: Die Schweiz im Auge der «Vulkan Files»: Wer glaubt's? Abgerufen am 2. April 2023.