Ein unscheinbares Moskauer IT-Unternehmen hat russische Geheimdienste und das Militär in den vergangenen Jahren mit Softwarelösungen versorgt, die mutmaßlich auch für Cyberangriffe staatlicher Hackergruppen auf Deutschland und die USA verwendet wurden. Durch ein Datenleak mit Tausenden internen Unterlagen des Unternehmens NTC Vulkan konnten Journalistinnen und Journalisten jetzt Daten zu Putins digitalen Cyberkriegsplänen auswerten. Die Unterlagen wurden der „Süddeutschen Zeitung“ (SZ) von einer anonymen Quelle kurz nach Beginn des russischen Angriffs auf die Ukraine zugespielt. „Die Menschen sollten wissen, welche Gefahren das birgt“, teilte die anonyme Quelle der Zeitung mit. Die russische Invasion der Ukraine habe sie motiviert, die Unterlagen öffentlich zu machen.

+++ Alle Entwicklungen zum Krieg gegen die Ukraine im Liveblog +++

Die „SZ“ hat die Unterlagen gemeinsam mit internationalen Medienpartnern ausgewertet, darunter dem „Spiegel“ und dem ZDF-Magazin „frontal“. Schulungsdokumente der IT-Firma zeigen demnach, worauf der Kreml es abgesehen haben könnte: Das „Lahmlegen von Kontrollsystemen von Eisenbahn-, Luft- und Schiffstransport“ und die „Störung von Funktionen von Energieunternehmen und kritischer Infrastruktur“. Auch habe die Firma Werkzeuge entwickelt, mit denen staatliche Hacker erfolgreich Cyberangriffe vorbereiten, Internetverkehr filtern sowie massenhaft Propaganda und Desinformation verbreiten könnten.

Mehr zum Thema

 

Gewaltbereite Schläger

Hooligans ziehen für Russland in den Krieg: Wenn Neonazis zu „Entnazifizierern“ werden

 

„Die Kinder werden merken, dass sie belogen werden“

Lebenslang traumatisiert? Welche Folgen die Verschleppung nach Russland für ukrainische Kinder hat

Die Kooperation des Kreml mit der IT-Firma ist brisant: „Vulkan ist eine Säule des russischen Polizeistaats. Vulkan entwickelt Software, die gegen das eigene Volk und gegen andere Länder eingesetzt werden kann“, berichtet ein ehemaliger Vulkan-Mitarbeiter den Medien. Die Gefahr zeige sich beispielsweise in der Software Skan-W. Sie kann Netzwerke nach Schwachstellen absuchen und so Angriffe auf geplante Ziele erst ermöglichen. Andere Programme sollen dem Kreml helfen, Websites und digitale Kommunikationskanäle zu sperren und anschließend umzuleiten, beispielsweise in eroberten und besetzten Gebieten.

Geheimdienste halten „Vulkan Files“ für authentisch

Laut der Recherche halten mehrere westliche Geheimdienste die sogenannten „Vulkan Files“ für authentisch. „Firmen wie Vulkan befähigen den Militärgeheimdienst GRU, seine Cyberoperationen durchzuführen. Programme wie Skan-W sind definitiv für offensive Zwecke vorgesehen“, teilte ein Dienst den Journalistinnen und Journalisten mit: „Die Vulkan-Dokumente sind ein seltener Fund und helfen, zu verstehen, was der GRU vorhat.“

Mehr zum Thema

 

„Ich will nicht, dass der Krieg in einer Katastrophe endet“

Russland und die Ostdeutschen: Ein Streitgespräch zwischen zwei Ex-DDR-Bürgern

 

Angst vor dem Blackout

Wie verwundbar sind unsere kritischen Infrastrukturen?

 

Russischer Geheimdienst dahinter vermutet

Ukraine meldet neue Cyberangriffe auf Strom-Infrastruktur

Militärgeheimdienst kooperiert mit IT-Firma

Die Firma habe das russische Verteidigungsministerium, die Streitkräfte und die drei wichtigsten russischen Geheimdienste beliefert, berichtet der „Spiegel“: Den Militärgeheimdienst GRU, den Inlandsgeheimdienst FSB und den Auslandsgeheimdienst SWR. Demnach habe NTC Vulkan auch für die unter dem Namen Sandworm international bekanntgewordene Hackergruppe gearbeitet – dabei handelt es sich nicht um kriminelle Privatpersonen, sondern um eine Einheit des Militärgeheimdienstes GRU. Die Gruppe hatte 2015 und 2016 das ukrainische Stromnetz mit Cyberattacken angegriffen und für großflächige Stromausfälle gesorgt. Westliche Nachrichtendienste rechnen der Gruppe auch einen ursprünglich gegen ukrainische Ziele gerichteten Angriff mit einem Verschlüsselungstrojaner im Jahr 2017 zu, der im Anschluss auf die Computernetzwerke zahlreicher internationaler Unternehmen übergriff und einen Schaden in Höhe von mehreren Milliarden Euro anrichtete. Auch für Angriffe auf den französischen Präsidentschaftswahlkampf und die Olympischen Winterspiele in Südkorea soll Sandworm verantwortlich sein.

Auch weitere Geheimdienst-Hackergruppen, die in den vergangenen Jahren mehrfach westliche Ziele angegriffen haben, sollen durch NTC Vulkan mit Software beliefert worden sein. Diese Softwarelösungen seien sowohl zum Eindringen in Kritische Infrastrukturen als auch zur Zensur und Manipulation von Social-Media-Inhalten geeignet, berichtet der „Spiegel“.

Ob und wo die Programme des Unternehmens eingesetzt worden sind, lässt sich laut der Recherche nicht nachvollziehen. Die Dokumente belegen den Angaben zufolge jedoch, dass die Programme beauftragt, getestet und bereits bezahlt worden sind.

Die Reporter des internationalen Medienverbunds deckten zudem auf, dass mehrere ehemalige Mitarbeiterinnen und Mitarbeiter des Moskauer Unternehmens mittlerweile in westlichen Ländern für internationale Großkonzerne tätig seien. Ein ehemaliger NTC Vulkan-Mitarbeiter, der an der Entwicklung eines Programms zur Planung von Cyberangriffen beteiligt gewesen sein soll, arbeite heute in Dublin für das Amazon-Tochterunternehmen Amazon Web Services (AWS), berichtet der „Spiegel“. Unzählige Unternehmen und Regierungseinrichtungen weltweit nutzen Server von AWS.

Faeser will BKA stärken

Die Veröffentlichungen beschäftigen auch deutsche Sicherheitsbehörden. Eine Sprecherin des Bundesinnenministeriums sagte, die Sicherheitsbehörden schätzten die Gefährdung als hoch ein und arbeiteten zu ihrer Abwehr eng zusammen. Dabei verwies sie auf den geplanten Ausbau des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Zentralstelle – analog zum Bundeskriminalamt (BKA). Konkreter wollte sich die Sprecherin nicht äußern. Das Bundesamt für Verfassungsschutz verwies wiederum auf das Innenministerium.

Bundesinnenministerin Nancy Faeser (SPD) sagte dem „Spiegel“, das BKA selbst müsse ebenfalls „eine Behörde sein, die frühzeitig Cyberangriffe erkennt und auch stoppen kann“. Dort gebe es eine große Expertise, die sich schon „durch weltweit hervorragend vernetzte Ermittlungen gegen Darknet-Plattformen“ gezeigt habe. Für eine entsprechende Änderung sei allerdings eine Grundgesetzänderung notwendig, räumte sie ein.

Von Notz kritisiert Faeser

Der Vorsitzende des Parlamentarischen Kontrollgremiums des Bundestages, Konstantin von Notz (Grüne), sagte dem RedaktionsNetzwerk Deutschland (RND): „Wir sehen unsere schlimmsten Befürchtungen bestätigt. Mit den Vulkan Files geht eine Tür auf, und man sieht, was es dahinter alles gibt. Das ist eine echte Bedrohung der inneren Sicherheit – zumal man davon ausgehen muss, dass das nicht das einzige Projekt dieser Art ist und China, Iran und Nordkorea an ganz ähnlichen Projekten arbeiten.“ Die Schlussfolgerung könne nur sein, dass relevante Sicherheitslücken sofort geschlossen werden. „Dafür brauchen wir unter anderem das Kritis-Dachgesetz, zu dem bisher nur Eckpunkte vorliegen. Ich sehe jedenfalls nicht, dass das Bundesinnenministerium auf diese Bedrohung bisher adäquat reagiert“, kritisierte von Notz.