2378753.jpg

Der russische Cy-Bär

Der Cyberraum wird zum Schauplatz eines neuen Kalten Krieges - und zum digitalen Schlachtfeld

Von Andrej Hunko

Durchschnittlich ein Mal pro Woche seien Einrichtungen des Bundes von einem »Angriff mit mutmaßlich nachrichtendienstlichem Hintergrund« betroffen, hat uns das Innenministerium mitgeteilt. Über die Urheberschaft kann die Bundesregierung kaum Aussagen machen. Dennoch werden diese Angriffe häufig der Regierung oder staatlichen Stellen der Russischen Föderation zugeschrieben. Dem Kreml werden außerdem Desinformation, Beeinflussung von Wahlen oder Anwerbeversuche zur Spionage vorgeworfen. Die Aktivitäten werden kampagnenartig zu einer »hybriden Bedrohung« durch Russland stilisiert - vermutlich, um eine militärische Aufrüstung der NATO-Staaten zu rechtfertigen. Belege für die Anschuldigungen gibt es nicht. Es wird weitgehend postfaktisch argumentiert, um Stimmungen zu erzeugen.

Ein Beispiel: Zu den vermeintlich russischen Cyberaktivitäten hat der im Kanzleramt für die Geheimdienste zuständige Staatssekretär Klaus-Dieter Fritsche einen Bericht beim Bundesnachrichtendienst (BND) und beim Bundesamt für Verfassungsschutz (BfV) beauftragt. Der ist zwar fertiggestellt, wird aber weder der Öffentlichkeit noch Abgeordneten zugänglich gemacht - eine inakzeptable Aushöhlung der parlamentarischen Kontrolle. Der offensichtliche Grund: Der Bericht hat nicht die gewünschten Ergebnisse geliefert und Russland entlastet statt beschuldigt.

Noch schwerer wiegt, dass das Papier aus den beteiligten Behörden einem Journalisten zugespielt wurde. Der berichtete darüber in der »Süddeutschen Zeitung«. Und obwohl der Artikel beschreibt, dass die Geheimdienste keine Beweise für eine russische Desinformationskampagne finden konnten, durften darin namentlich nicht genannte »Regierungskreise« die Behauptungen einer russischen Einflussnahme wiederholen.

Weder sind Planungen zur Störung der Bundestagswahl erkennbar, noch lassen sich Behauptungen zu einer russischen Beeinflussung des Brexit-Votums belegen. Trotzdem hat das Kanzleramt die Untersuchung durch BND und BfV verlängert.

Ähnlich widersprüchlich ist die Sprache, wenn von »Cyberangriffen« Russlands die Rede ist. Obwohl dieser Begriff in erster Linie groß angelegte digitale Angriffe auf wichtige Infrastruktur wie Stromnetze beschreibt und militärische Reaktionen rechtfertigen kann, wird er in der Regel für alles verwendet, was irgendwie mit digitalen Netzen zu tun hat. 

Im ausklingenden Jahr 2016 meldete der damals noch deutsche Vorsitz der OSZE einen »groß angelegten Hackerangriff« auf die Organisation, den deutsche Geheimdienste erfolgreich aufgespürt und neutralisiert hätten. Bei näherem Hinsehen entpuppt sich der Vorfall als sogenannte Phishing-Mail mit einem gefälschten Link. Einmal angeklickt, wird eine Schadsoftware nachgeladen, mit der etwa eingegebene Passwörter mitgelesen werden können. So erhalten die Angreifer Zugang zum System. Doch wie wollen die deutschen Behörden wissen, dass dahinter die russische Regierung steckt? Denn zum Versand einer Phishing-Mail mit einem verlinkten Trojaner-Programm braucht es keinen Geheimdienst; mit dieser Technik wurden schon Teenager erwischt.

Die mutmaßlich geheimdienstlichen Angriffe werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt und an die Geheimdienste des Bundes gemeldet. Wir wollten die Kriterien erfahren, nach denen von einem solchen »hoch spezialisierten Cyberangriff« gesprochen wird. Wir erfuhren, dass es für eine derartige Einstufung genügt, wenn eine Schadsoftware die Virenscanner der Bundesbehörden überwinden kann. In keinem der Fälle konnte allerdings der vermutete »nachrichtendienstliche Hintergrund« bestätigt oder gar nachweislich einer Regierung zugeordnet werden.

Die vielfach behauptete russische Urheberschaft von Cyberangriffen beruht eigentlich nie auf Beweisen, sondern auf Annahmen und Indizien. Diese weisen dem Innenministerium zufolge auf die Zusammenschlüsse APT 28 oder APT 29. Diese beiden Gruppen, die aus Russland agieren sollen, werden von westlichen Geheimdiensten mittlerweile mit »Fancy Bear« und »Cozy Bear« bezeichnet. Sie sollen für das Eindringen in die Datenbanken des Bundestages im Frühjahr 2015 verantwortlich gewesen sein. Auch mein Büro war davon betroffen. APT 28 oder APT 29 werden außerdem Cyberangriffe auf deutsche Parteien im April, Mai und August 2016 zur Last gelegt.

Auch den unter dem Pseudonym »Guccifer 2.0« erfolgten mutmaßlichen Hack auf die US-Demokraten im Sommer 2016 rechnet das Innenministerium APT 28 zu. Darüber sei die Bundesregierung auf einer Konferenz des Nationalen Sicherheitsrates der USA informiert worden. Damals sollen Angreifer Tausende Mails kopiert haben, die schließlich auf der Plattform Wikileaks veröffentlicht wurden und interne Machtkämpfe der Demokratischen Partei offenbarten. Ein veröffentlichter Bericht mehrerer US-Geheimdienste konnte allerdings keine Belege präsentieren. Ehemalige Geheimdienstmitarbeiter aus den USA, die sich in den »Veteran Intelligence Professionals for Sanity« zusammengeschlossen haben, gehen davon aus, dass es sich in diesem Fall gar nicht um einen Angriff von außen handelte. Die Daten seien »geleaked« worden, die Verantwortlichen im Innern der Demokratischen Partei zu suchen.

Dass Cyberattacken aus Russland erfolgen, ist ebenso wenig ein Geheimnis wie die digitale Spionage der Geheimdienste aus den USA oder Westeuropa. Dass es sich um Angriffe von staatlichen russischen Stellen handelt, ist in den meisten konkreten Fällen jedoch reine Spekulation. Das BSI sieht als Beleg die ähnliche Vorgehensweise der Angreifer: der Versand von Phishing-Mails, darüber verteilte Schadprogramme, ausgenutzte Sicherheitslücken. Auch die Nutzung einer kyrillischen Tastatur beim Programmieren gilt als Indiz. Ebenso kann dies aber zur Vortäuschung einer falschen Fährte dienen, was bei Hackern durchaus üblich ist.

Eines der von APT 28 oder APT 29 eingesetzten Programme ist »MiniDuke«. Allerdings wurde dieser Trojaner bereits 2013 entdeckt. Warum sollten sich russische Geheimdienste eines solch alten digitalen Werkzeugs bedienen? Genauso ist es denkbar, dass hinter den APT-Kampagnen nicht der Kreml, sondern andere Kreise aus Russland, China oder einem NATO-Mitgliedstaat stecken. Ich zweifle das Narrativ an, wonach vor allem die russische Regierung für digitale Bedrohungen verantwortlich sein soll. Auch die Geheimdienste der sogenannten Five-Eyes-Staaten (USA, Großbritannien, Kanada, Australien und Neuseeland, die geheimdienstlich eng zusammenarbeiten) sind für ihre ausufernde Spionage im Internet bekannt. Ich gehe fest davon aus, dass die Five Eyes auch Netze in Russland oder China infiltrieren.

Das Bild vom russischen Cy-Bär soll aus meiner Sicht militärische und geheimdienstliche Maßnahmen im Cyberraum rechtfertigen und zugleich die Aufrüstungspläne der NATO legitimieren. Mit Blick auf »Bots, Trolle und Fake News« hat zuletzt die deutsche Verteidigungsministerin Ursula von der Leyen auf der Münchner Sicherheitskonferenz die »Cyber-Aufrüstung« begründet. Neben Heer, Luftwaffe und Marine stellt die Bundeswehr derzeit eine neue Teilstreitkraft auf. Zu ihren Aufgaben gehört das »Wirken gegen und in gegnerischen Netzen in bewaffneten Konflikten«. Bei der Bundeswehr heißt das »Kampf in der fünften Dimension«.

Mit den sogenannten hybriden Bedrohungen ist ein neues digitales Schlachtfeld entstanden. Der Begriff bezeichnet die grundverschiedenen Phänomene Cyberangriffe, Propaganda, Desinformation oder Beeinflussung von Wahlen. Durch die »Manipulation der öffentlichen Meinung« wollen Angreifer der Bundesregierung zufolge die Voraussetzungen schaffen, weitere politische, wirtschaftliche und militärische Mittel einzusetzen. Zu einem »hybriden Vorgehen« gehöre auch die Unterstützung nichtstaatlicher Akteure und der Einsatz verdeckt operierender oder nicht gekennzeichneter Spezialkräfte. Das kann im Internet oder in der analogen Welt erfolgen. Vom Einsatz »hybrider Mittel« wird gesprochen, wenn diese sich »unterhalb der Schwelle eines bewaffneten Konflikts und unter Verschleierung der eigenen Rolle als Konfliktpartei« bewegen. Das ist auf Russland und die umstrittene Wiederangliederung der Krim gemünzt. Es könnte aber genauso die Politik der USA in Lateinamerika, Syrien oder Libyen bezeichnen.

Eine »Manipulation der öffentlichen Meinung« und damit eine hybride Bedrohung kann auch NATO-Staaten vorgeworfen werden. Zuletzt sorgte die Meldung für Aufsehen, wonach in Litauen eine E-Mail kursierte, die deutschen Soldaten einen sexuellen Übergriff auf eine minderjährige Person vorwirft. Diese Mail wurde von Unbekannten an Medien und Regierungseinrichtungen in Litauen versandt. Die dortige Regierung und die Bundeswehr reagierten prompt mit einer Richtigstellung zu dem hoffentlich nie stattgefundenen Vorfall. In Deutschland titelte dazu zuerst der Spiegel: »Russland attackiert Bundeswehr mit Fake-News-Kampagne«. Die Überschrift musste jedoch mit Blick auf die unklare Faktenlage in »NATO vermutet Russland hinter Fake-News-Kampagne gegen Bundeswehr« geändert werden. Dabei ist auch dies noch übertrieben. Denn nicht die NATO, sondern ein namentlich nicht genannter Offizier vermutet den Kreml hinter der Mail. Wie üblich sucht man nach Belegen vergebens.

In Zukunft wird sich der Informationskrieg im Cyberraum noch ausweiten. 2015 nahm das von der EU eingesetzte Team für »Strategische Kommunikation« die Arbeit auf. Zielländer des »EU East Stratcom« sind Russland, die Ukraine, Georgien, Moldau, Weißrussland, Armenien und Aserbaidschan. Zielgruppe sind dem Auswärtigen Amt zufolge »politische Entscheidungsträger, Medienschaffende, zivilgesellschaftlich Engagierte und Jugendliche«. Zu den Aufgaben des EU East Stratcom gehört die Entwicklung »positiver Narrative und Kommunikationsprodukte« in russischer Sprache. Staatliche und nicht-staatliche Medien in Russland und anderen Ländern werden ausgewertet, um »offensichtliche Lügen zu identifizieren« und diese zu kommentieren.

Außerdem soll das EU-Zentrum unabhängige Medien in Russland unterstützen. Schon seit Langem bieten Sender wie BBC oder Euronews russischsprachige redaktionelle Inhalte an. Die Deutsche Welle weitet ihr Programm mit Unterstützung des Auswärtigen Amts verstärkt in Richtung Osteuropa aus und sendet Beiträge auch in ukrainischer Sprache.

Mittlerweile hat die NATO in Riga ein »Exzellenzzentrum für Strategische Kommunikation« (CoE StratCom) eröffnet und auch deutsche Ministerien, das Bundeskanzleramt, die Beauftragte für Kultur und Medien sowie das Bundespresseamt haben ein »Netzwerk gegen hybride Bedrohungen« formiert.

All dies deutet auf eine weitere Eskalation des Propagandakriegs hin. Wie in der materiellen Welt wäre hingegen auch in der digitalen Sphäre eine neue Entspannungspolitik das Gebot der Stunde. Hierfür müssten politische Akteure wie Medien aller Seiten »abrüsten« und zu einer faktenbasierten Auseinandersetzung zurückkehren. Die Bundesregierung könnte mit der Veröffentlichung des eingangs erwähnten Geheimdienstberichts einen Anfang machen.

Erschienen in der Tageszeitung Neues Deutschland vom 27. Februar 2017.

Andrej Hunko, MdB 2017