Vulkan Files

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Bei den Vulkan Files (deutsch „Vulkan-Dateien“) handelt es sich um geleakte E-Mails und andere Dokumente, die die Entwicklung von Sabotage-Software des russischen Unternehmens NTC Vulkan bezeugen. Auftraggeber der Softwareprogramme waren das Verteidigungsministerium der Russischen Föderation und die Geheimdienste FSB, GRU und SWR, gesteuert vom Kreml. Genutzt wurde und wird die Software für Cyberkriminalität, politische Einmischung in ausländische Angelegenheiten – beispielsweise der Präsidentschaftswahl in den Vereinigten Staaten 2016 – über soziale Medien, für Zensur inländischer sozialer Medien und für Spionage. Journalisten aus Deutschland, Österreich und der Schweiz, aus Frankreich, dem Vereinigten Königreich und den Vereinigten Staaten deckten – koordiniert vom Nachrichtenmagazin Der Spiegel und dem Investigativ-Start-Up Paper trail media – im März 2023 das digitale Waffenarsenal und die heimliche Subversionsarbeit Russlands auf.

Aufdeckung durch ein internationales Recherchekonsortium[Bearbeiten | Quelltext bearbeiten]

An den Recherchen waren fünfzig Journalisten aus elf Medienhäusern in acht Staaten beteiligt. Neben dem Spiegel waren an dem gemeinsamen investigativen Rechercheprojekt die Süddeutsche Zeitung (SZ) und das ZDF, Der Standard, die Schweizer TX Group, The Guardian, Le Monde und die Washington Post beteiligt, vereint in dem Investigativ-Start-Up Paper trail media.[1] Die Angaben beruhen auf einer anonymen Quelle aus dem Inneren von NTC Vulkan.

Die Dokumente zeigen, wie die Moskauer Tarnfirma für das russische Verteidigungsministerium und Geheimdienste die Software und die Infrastruktur für Cyberangriffe und großangelegte Desinformationskampagnen entwickelte. Ein anonymer Twitteraccount hatte bereits 2020 darauf hingewiesen, dass NTC Vulkan und die russische Hackergruppe Sandworm des russischen GRU zusammenarbeiten. Jedoch lieferte der Account keine Belege, die Meldung verlief im Sand.[2] Unmittelbar nach dem russischen Überfall auf die Ukraine 2022 wurde der Investigativjournalist Hannes Munzinger anonym kontaktiert und erhielt tausende Dokumente aus der NTC Vulkan.[3] Munzinger arbeitete damals für die Süddeutsche Zeitung, er wechselte im Mai 2022 zu Paper trail media und blieb federführend in der Auswertung der Dokumente. Zuvor hatte er an den Veröffentlichungen der Panama Papers, der Paradise Papers und der Swiss Secrets mitgearbeitet.[4] In England recherchierte der Investigativjournalist Andrei Soldatow zu den Vulkan Files.[5] Tausende Dokumente, Software-Beschreibungen und interne E-Mails, allesamt in russischer Sprache verfasst, wurden übersetzt und in einjähriger Recherchearbeit auf ihre Plausibilität und Originalität überprüft. Fünf Geheimdienste bestätigten die Authentizität.[6]

Einsatz der Schadprogramme[Bearbeiten | Quelltext bearbeiten]

NTC Vulkan ist nach eigenen Angaben ein gewöhnliches Unternehmen mit dem Slogan „Das Allerwichtigste ist der Wunsch, die Welt zu etwas Besserem zu machen“. Tatsächlich entwickelt es destruktive Softwareprogramme bzw. Schadprogramme, die Züge entgleisen lassen und die Stromversorgung lahmlegen sollen. Zu den Auftraggebern von NTC Vulkan gehören laut den Dokumenten das russische Verteidigungsministerium die drei wichtigsten Nachrichtendienste Russlands – der Inlandsgeheimdienst FSB, der Militärgeheimdienst GRU und der Auslandsgeheimdienst SWR – sowie zwei russische Hackergruppen, Cozy Bear und die Einheit 74455, bekannt als Sandworm. Namentlich bekannt als Auftraggeber sind die Einheit 22280 der Russischen Armee für „special programs“ und die Einheit 33949 des SWR.[7]

Cyberkrieg gegen die Ukraine[Bearbeiten | Quelltext bearbeiten]

Sandworm und andere Geheimdienstorganisationen Russlands zeichneten durchgehend seit dem Überfall auf die Krim im Jahr 2014 verantwortlich für Angriffe auf ukrainische Institutionen – beispielsweise die Kiewer Metro oder den Flughafen von Odessa.[8] Kurz vor Weihnachten 2015 und 2016 gelang es der russischen Hackergruppe Einheit 74455, das ukrainische Stromnetz lahmzulegen.[9] Bei dem Großangriff auf ukrainische Firmen im Juni 2017 geriet die Schadsoftware außer Kontrolle und befiel weltweit tausende Computer. Der Angriff verursachte Schäden in dreistelliger Millionenhöhe.[10] Am 24. Februar 2022 fielen europaweit zehntausende Modems der Marke Viasat aus, weil die russischen Hacker die ukrainische Befehlsstruktur während des russischen Überfalls zu unterbrechen trachteten. Im Frühjahr 2022 begann ein Dauerangriff auf die ukrainische IT-Infrastruktur, im Winter verknüpft mit Drohnen- und Raketenangriffen auf das Stromnetz. John Hultquist von der IT-Sicherheitsfirma Mandiant konstatierte 2023: „Sandworm ist derzeit die bedeutendste Gruppe, die in der Ukraine für Zerstörung und Störung sorgt.“[11] Die Ukraine sei für Russland schon seit langem ein Testgelände für die Erprobung verschiedener Cyberwaffen, stellte der ukrainische Cybersicherheitsexperte Roman Bojartschuk im März 2013 im ZDF-Magazin Frontal fest. Die Ukraine, so der Spiegel, werde schon seit Jahren fast täglich von Angriffen russischer Hacker getroffen.[9]

Angriffe in Europa, Südkorea und den Vereinigten Staaten[Bearbeiten | Quelltext bearbeiten]

Die Hackergruppe Cozy Bear besteht seit mindestens 2012 und ist unter anderem für Cyberattacken auf das Pentagon, die Demokratische Partei in den Vereinigten Staaten sowie die Regierungen Norwegens und der Niederlande verantwortlich. Gemeinsam mit Fancy Bear soll Cozy Bear die Präsidentschaftswahl in den Vereinigten Staaten 2016 zugunsten von Donald Trump manipuliert haben.

2015 wurden Hackerangriffe auf den Deutschen Bundestag verübt, mutmaßlich von Fancy Bear. Ziele von Sandworm waren unter anderem der Präsidentschaftswahlkampf 2017 in Frankreich und die Olympischen Winterspiele 2018 in Südkorea, ersteres zur Unterstützung von Marine Le Pen, letzteres als Racheaktion für den Ausschluss Russlands wegen massenhaften Dopings. Russische Cyberangriffe auf NATO-Staaten vervierfachten sich nach Angaben von Google 2022 im Vergleich zu 2020.[12] Im April und Mai 2022 versuchten russische Hacktivisten unter dem Pseudonym Killnet, Websites deutscher Behörden, Ministerien und Flughäfen per DDoS-Attacken zu überlasten.[13] Im Februar 2022 kappten russische Hacker die Datenverbindungen von fast 6000 Windrädern in Deutschland.[14]

Angriffe auf Israel[Bearbeiten | Quelltext bearbeiten]

Unter dem Pseudonym Killnet griffen Hacker – neben einer Reihe anderer Gruppen – auf der Seite der Hamas virtuell in den Krieg gegen Israel ein und versuchten Internetseiten vorübergehend lahmzulegen.[15]

Ziele und Mittel des Cyberkriegs[Bearbeiten | Quelltext bearbeiten]

Unterwanderung von Schlüsselbetrieben[Bearbeiten | Quelltext bearbeiten]

Mindestens ein Dutzend ehemaliger Mitarbeiter von NTC Vulkan arbeiten für westliche Konzerne, darunter Siemens, Amazon, Trivago und Booking.com. Für diese und andere Unternehmen ergeben sich laut Spiegel daraus „potenziell gravierende Sicherheitslücken“. Ein ehemaliger Chefentwickler von NTC Vulkan arbeite als „Senior Software Development Engineer“ bei Amazon Web Services (AWS) in Dublin, dem weltgrößten Anbieter von Cloud Computing. Kunden von AWS, die ihre Daten oder große Teile ihrer IT dort lagern, sind unter anderem NASA, Netflix, Vodafone, die US-Marine sowie mehrere DAX-Konzerne wie Allianz und Volkswagen. Teile des globalen Internets sollen über die AWS-Server laufen, auch ukrainische Regierungsdaten. Viele der früheren NTC-Vulkan-Mitarbeiter lehnten auf Anfrage des Spiegel Auskünfte über NTC ab. „Unklar blieb dabei, ob aus Furcht vor Vergeltung oder weil ihre Tarnung aufzufliegen drohte“, hieß es dazu beim ORF.[16]

Totale Informationskontrolle[Bearbeiten | Quelltext bearbeiten]

Das Amezit-B-Projekt war ein Entwicklungsauftrag des Rostov Scientific Institute, eine der wenigen russischen Forschungseinrichtungen in direktem Besitz des FSB. Es sollte dem Betreiber ermöglichen, jeden Cyber-Traffic in einer bestimmten Region zu kontrollieren, von Mobilfunknetzen bis zu sozialen Medien. Bei Bedarf sollte die Region von der Außenwelt isoliert werden können und eine Informationssperre verhängt werden. Wichtig war den Auftraggebern vor allem, nicht nur unliebsame Informationen zu unterdrücken, sondern auch das dominierende Narrativ zu formen und beherrschen. Das Projekt besteht aus verschiedenen Tools, „die allerdings einen gemeinsamen Bogen haben, den man grob mit drei Begriffen umreißen könnte: Zensur, Überwachung und Desinformation“, berichtete Andrei Soldatov im Guardian. Es gehe um die totale Kontrolle der öffentlichen Meinung, wie im Dritten Reich oder unter der Herrschaft Stalins. Die Doktrin lautet Soldatov zufolge, dass freier Informationsfluss immer eine direkte Bedrohung für die Stabilität der Regierung der Russischen Föderation bedeutet. Der eigentliche Auftraggeber war jedoch nicht das FSB, das in Russland die Überwachung verantwortet, sondern – getarnt – das russische Militär, mutmaßlich zur Übernahme der Cyberhoheit in künftig besetzten Gebieten, als Mittel digitaler Kriegsführung.[5]

Der Kontext der subversiven Aktivitäten im Zusammenspiel von Sandworm und Sofacy Group mit den mörderischen Aktivitäten der Einheit 29155 ergibt laut Telepolis das Bild einer „russische[n] Kampagne zur Destabilisierung von Europa“[17], und die Neue Zürcher Zeitung schlussfolgert – lange vor dem Überfall auf die Ukraine – über den russischen Geheimdienst GRU: „zu seinem Repertoire gehören Mordkomplotte, verdeckte Militäreinsätze, Hackerangriffe und Einmischung in Wahlen.“[18]

Schlussfolgerungen[Bearbeiten | Quelltext bearbeiten]

Die österreichische Tageszeitung Der Standard zog zehn Schlussfolgerungen aus den Vulkan Files:[19]

  1. Erstmals gibt es einen massiven Leak zu Russlands Cyberkapazitäten
  2. Kunden von NTC Vulkan sind mehrere Geheimdienste
  3. Russland nutzt auch private Firmen
  4. Es gibt eine enge Verschränkung unterschiedlicher Angriffsformen
  5. Einblick in die Führung der russischen Troll-Armeen
  6. Potenzielle Unruhestifter werden frühzeitig identifiziert
  7. Enge Verzahnung mit Universitäten
  8. Verschleierung der Cyberaktivitäten
  9. Viele frühere Vulkan-Mitarbeiter arbeiten heute bei westlichen Unternehmen
  10. Das System ist brüchig, denn es gibt Dissens und einen Whistleblower

Reaktionen[Bearbeiten | Quelltext bearbeiten]

Konstantin von Notz – Geheimdienstbeauftragter des Deutschen Bundestags – warnte umgehend:

„Hier arbeiten Leute an der Sabotage des Informationsflusses und das ist für rechtsstaatliche demokratische Strukturen wie in Europa, wie in Deutschland eine relevante Bedrohung.“

Konstantin von Notz: Hier zit. nach Abendjournal, Österreich 1, 31. März 2023

Die deutsche Innenministerin Nancy Faeser kündigte Maßnahmen an und warnte Firmen in Hinblick auf unzureichende Sicherheitsüberprüfungen ihrer IT-Mitarbeiter.[20] Marina Krotofil, Sprecherin des Europäischen Netzwerks für Cyber-Sicherheit, konstatierte im ZDF, dass die Softwareprogramme vom russischen Staat beauftragt, getestet und bezahlt wurden:

„Es verstößt natürlich gegen die Genfer Konvention, weil es um zivile Infrastrukturen geht. Das sind Dinge wie Wasserversorgung, Stromerzeugung und auch petrochemische Anlagen. [...] Wir müssen berücksichtigen, dass all diese Fähigkeiten für das [russische] Verteidigungsministerium entwickelt wurden.“

Marina Krotofil: In Frontal, 30. März 2023

„An diesen Dokumenten ist auffallend, dass die russischen Cyberanstrengungen aggressiver werden und auch die Aggressivität wächst, mit der sie ihr Hauptziel durchsetzen wollen, nämlich die Kontrolle über Informationsflüsse. Das ist absolut beispiellos.“

Andrei Soldatow: In Frontal, 30. März 2023

NTC Vulkan und die russische Regierung nahmen nicht zu den Enthüllungen Stellung.

Kritik[Bearbeiten | Quelltext bearbeiten]

Gemäß den Vulkan Files soll Russland auch das in der Schweiz liegende Kernkraftwerk Mühleberg ins Visier genommen haben. Jedoch führt Matthias Bärlocher vom schweizerischen Nachrichtenportal Nau an, dass die Geokoordinaten des Kraftwerks nicht mit den in den Vulkan Files genannten Koordinaten übereinstimmen. So liegt das Kraftwerk laut den in den Vulkan Files genannten Geokoordinaten in der afghanischen Hauptstadt Kabul und die European Defence Agency hat ihren „Sitz ungefähr dort, wo die ukrainische Botschaft ist“.[21] Die verschiedenen Medienpartner finden unterschiedliche Erklärungen für die offenkundige Schlampigkeit: Die Washington Post schrieb von einem Mock-up – einem Vorführmodell zu Präsentationszwecken –, Der Standard von einem „Platzhalter“ und die Süddeutsche Zeitung bezeichnete das Kraftwerk als „hypothetisches Ziel“.

Fernsehbericht[Bearbeiten | Quelltext bearbeiten]

Quellen[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. The Washington Post joins news organizations in Vulkan Files investigation. In: Washington Post. ISSN 0190-8286 (washingtonpost.com [abgerufen am 10. April 2023]).
  2. Sophia Baumann, Hannes Munzinger, Hakan Tanriverdi: Die Sandworm-Spur: Vulkans Verbindung zu Russlands berüchtigten Hackern. Sandworm, die Einheit des Militärgeheimdiensts GRU, attackiert seit Jahren vor allem die Ukraine. Die Vulkan-Files zeigen: offenbar erhalten sie Hilfe aus der Privatwirtschaft. In: DerStandard.at. 30. März 2023, abgerufen am 30. März 2023.
  3. Luke Harding, Manisha Ganguly, Dan Sabbagh: ‘Vulkan files’ leak reveals Putin’s global and domestic cyberwarfare tactics. In: The Guardian. 30. März 2023, ISSN 0261-3077 (theguardian.com [abgerufen am 2. April 2023]).
  4. Exklusiv: Auch Hannes Munzinger verlässt die SZ - der Top-Investigative arbeitet künftig für den Spiegel. Abgerufen am 2. April 2023.
  5. a b Andrei Soldatov: Cyberwarfare leaks show Russian army is adopting mindset of secret police. In: The Guardian. 30. März 2023, ISSN 0261-3077 (theguardian.com [abgerufen am 2. April 2023]).
  6. ORF at/Agenturen flam: „Vulkan-Files“: Russische Ex-Hacker bei Westkonzernen. 31. März 2023, abgerufen am 2. April 2023.
  7. Inside Vulkan, the digital weapons factory of Russian intelligence services. In: Le Monde.fr. 30. März 2023 (lemonde.fr [abgerufen am 2. April 2023]).
  8. Reckless campaign of cyber attacks by Russian military intelligence service exposed. Abgerufen am 2. April 2023 (englisch).
  9. a b Nikolai Antoniadis, Sophia Baumann, Christo Buschek, Maria Christoph, Jörg Diehl, Alexander Epp, Christo Grozev, Roman Höfner, Max Hoppenstedt, Carina Huppertz, Dajana Kollig, Anna-Lena Kornfeld, Roman Lehberger, Hannes Munzinger, Frederik Obermaier, Bastian Obermayer, Fedir Petrov, Alexandra Rojkov, Marcel Rosenbach, Thomas Schulz, Hakan Tanriverdi und Wolf Wiedmann-Schmidt: Sandwurm und Schlange. In: Der Spiegel. Nr. 14, 1. April 2023, S. 80 (spiegel.de).
  10. Die Vulkan Files: Die geheimen Waffen russischer Cyberkrieger. In: ZDF.de. Abgerufen am 2. April 2023.
  11. Sophia Baumann, Maria Christoph, Carina Huppertz, Dajana Kollig, Hannes Munzinger, Frederik Obermaier, Bastian Obermayer, Marcel Rosenbach, Christo Buschek, Hakan Tanriverdi, Andreas Proschofsky: Worum geht es bei den Vulkan-Files-Recherchen? In: derstandard.at. 30. März 2023, abgerufen am 26. Dezember 2023 (österreichisches Deutsch).
  12. Zahl der russischen Cyberangriffe in NATO-Staaten binnen zwei Jahren vervierfacht. In: Deutschlandfunk. 16. Februar 2023, abgerufen am 18. Februar 2022.
  13. Matthias Gebauer, Sven Röbel, Marcel Rosenbach, Wolf Wiedmann-Schmidt: Cyberangriffe von »Killnet«: Putin-Fans attackieren deutsche Behördenseiten. In: Der Spiegel. 6. Mai 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 6. Mai 2022]).
  14. Steuerung von Tausenden Windrädern unterbrochen. ntv, 28. Februar 2022, abgerufen am 22. Januar 2024.
  15. Angriff auf Israel: Prorussische Hacker greifen offenbar israelische Websites an. Abgerufen am 13. Oktober 2023.
  16. ORF at/Agenturen flam: „Vulkan-Files“: Russische Ex-Hacker bei Westkonzernen. In: ORF. 31. März 2023, abgerufen am 2. April 2023.
  17. Die ultrageheime und mörderische russische GRU-Einheit 29155. In: Telepolis, 9. Oktober 2019.
  18. Sabotage, Giftattacken und Umsturzpläne: 13 aufsehenerregende Operationen des russischen Militärgeheimdiensts. In: NZZ, 3. Mai 2021.
  19. Die zehn wichtigsten Erkenntnisse aus den geheimen Vulkan-Files. Abgerufen am 2. April 2023 (österreichisches Deutsch).
  20. Russische Cyberangriffe : Faeser fordert mehr Befugnisse für deutsche Behörden. In: Der Tagesspiegel Online. ISSN 1865-2263 (tagesspiegel.de [abgerufen am 2. April 2023]).
  21. Matthias Bärlocher: Die Schweiz im Auge der «Vulkan Files»: Wer glaubt's? Abgerufen am 2. April 2023.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Vulkan_Files&oldid=243419695