FAQ
: Was steckt hinter den "Vulkan Files"?
von Joachim Bartz, Sophia Baumann, Maria Christoph, Nils Metzger, Ulrich Stoll, Hakan Tanriverdi
30.03.2023 | 15:00 Uhr
Tausende interne Unterlagen des russischen IT-Unternehmens NTC Vulkan geben erstmals einen Einblick in Putins digitale Cyberkriegspläne.
11.04.2023 | 28:06 minEs ist ein exklusiver Einblick in die verborgene Welt staatsnaher russischer Hacker, die seit Jahren Angriffe auf Ziele im Westen durchführen. Und in Wladimir Putins Bestrebungen, seine Cyber-Streitmacht hochzurüsten.
Die "Vulkan Files" sind geheime Dokumente aus dem Innersten der russischen Software-Firma NTC Vulkan. Sie belegen, wie die Moskauer Firma Vulkan seit Jahren mit russischen Geheimdiensten und dem Militär kooperiert und in ihrem Auftrag digitale Waffen entwickelt.
Was macht die "Vulkan Files" besonders?
Es ist das erste Mal, dass die Öffentlichkeit einen tiefen Einblick bekommt, wie der russische Staat mit Hilfe privater Firmen versucht, weltweite Hacking-Operationen zu planen und durchzuführen.
Grundlage der Recherche sind Tausende Seiten interner Dokumente. Darunter sind detaillierte technische Anleitungen von Programmen und Systemen, die demnach für die russischen Geheimdienste und das Militär entwickelt werden. Die Dokumente belegen, welche langfristigen Ziele Moskau verfolgt und welche technischen Fähigkeiten der Kreml dafür aufbauen will. Sie ermöglichen einen Blick in die Zukunft, wovor sich etwa Deutschland in den kommenden Jahren schützen muss.
Klärwerke, Strom, Gas-Pipelines, Krankenhäuser, Bahntrassen - die Kritische Infrastruktur in Deutschland ist permanent im Visier von Hackern.
08.03.2023 | 13:20 minWoher stammen die Daten?
Ein Großteil der Daten wurde der "Süddeutschen Zeitung" kurz nach Beginn der russischen Invasion der Ukraine anonym zugespielt. Reporter Hannes Munzinger kommunizierte mehrere Wochen mit der anonymen Quelle. "Der GRU und der FSB verstecken sich hinter dieser Firma", erklärte diese, "die Menschen sollten wissen, welche Gefahren das birgt."
Wegen der Vorgänge in der Ukraine habe ich mich entschieden, diese Information öffentlich zu machen.
Die Dokumente wurden seitdem durch ein weltweites journalistisches Rechercheteam ausgewertet und überprüft. Beteiligt waren mehr als 50 Journalisten von elf Medienhäusern. In Deutschland recherchierten neben der "SZ", der "Spiegel", paper trail media und das ZDF. Partner waren u.a. der "Standard" in Wien, der "Guardian" aus London und die "Washington Post".
Eine Recherche unter höchster Geheimhaltung: Lesen Sie im Interview, wie dem Journalisten Hannes Munzinger die "Vulkan Files" zugespielt wurden:
Wie wurden die Daten ausgewertet?
Neben den in russischer Sprache vorliegenden geleakten Dokumenten hat das Rechercheteam auch weitere Daten zu Vulkan recherchiert. Darunter sind Geldflüsse zwischen Instituten, die russischen Geheimdiensten nahestehen, und der Firma Vulkan.
Die Identität beteiligter Personen wurde anhand öffentlich zugänglicher Quellen verifiziert, etwa Namen, E-Mail-Adressen oder Social-Media-Profile. Mehrere westliche Geheimdienste, die Teile des Materials kennen, halten es für authentisch.
Das Rechercheteam konnte mehr als 90 frühere und aktuelle Vulkan-Mitarbeiter ausfindig machen. Mehrere haben Hintergrundgesprächen zugestimmt und Informationen aus den Unterlagen bestätigt.
Was genau entwickelt die Firma Vulkan?
Das Leak betrifft insbesondere die beiden Vulkan-Produkte "Skan-W" und "Amesit". Beide werden von Experten als offensiv eingestuft.
"Skan-W" ist den Dokumenten zufolge eine Software, mit der das russische Militär bestimmte Arten von Hackerangriffen automatisiert vorbereiten kann. Es dient vor allem der digitalen Aufklärung von Sicherheitslücken, über die anschließend mit anderen Programmen die tatsächlichen Zugriffe erfolgen können. Solche Schwachstellen sollen etwa genutzt werden, um unbemerkt in Netzwerke einzudringen. Mit "Skan-W" könnten gewonnene Erkenntnisse gesammelt, ausgewertet und in Datenbanken gespeichert werden.
"Amesit" dient dagegen offenbar vor allem der umfassenden Kontrolle und Zensur des Internetverkehrs, in Russland selbst, aber auch in besetzten Gebieten. Es umfasst eine Software, mit der etwa Datenverkehr von einer Netzwerkstruktur auf eine andere umgeleitet werden soll. Ähnliches geschah beispielsweise auf der von Russland besetzten Halbinsel Krim. Dort lebende Ukrainer sollten nur noch auf russische Internet-Inhalte zugreifen können. Ob dabei "Amesit" eingesetzt wurde, ist aber unklar.
Weitere Module von "Amesit" sollen das automatisierte Anlegen von Fake-Profilen in sozialen Netzwerken ermöglichen. Ebenfalls erwähnt wird ein Software-Projekt namens "Crystal-2W", mit dem Soldaten üben können, kritische Infrastruktur wie Flughäfen oder Bahnstrecken lahmzulegen.
Wo diese Produkte von Vulkan tatsächlich zum Einsatz kommen, lässt sich bislang nicht nachweisen. Mehrer Cybersicherheitsexperten bestätigen aber den offensiven Charakter der Programme. Auch Vertreter westlicher Geheimdienste bestätigten, dass Programme wie "Skan-W" für offensive Zwecke vorgesehen seien und zur Organisationsstruktur und der Strategie des russischen Militärgeheimdienstes GRU passten.
Mit wem kooperiert Vulkan in Russland?
Zu den Kunden von Vulkan gehören die drei wichtigsten Geheimdienste Russlands: der vor allem im Inland tätige FSB, der für Auslands- und Wirtschaftsspionage zuständige SWR und der Militärgeheimdienst GRU.
Diese Geheimdienste sollen hinter mehreren der bekanntesten russischen Hackergruppen stehen, darunter etwa "Fancy Bear" und "Cozy Bear". Sie werden unter anderem für spektakuläre Angriffe auf die IT-Infrastruktur des Bundestags 2015 oder die demokratische Partei in den USA verantwortlich gemacht. Laut Google traten Vulkan-Mailserver bereits 2012 in Zusammenhang mit Schadsoftware von "Cozy Bear" in Erscheinung.
Auch die GRU-Einheit 74455 "Sandworm" ist Kunde von Vulkan. Das legen die internen Dokumente nahe. "Sandworm" könnte die Vulkan-Datenbank "Skan-W" nutzen, um Cyberangriffe effizienter vorzubereiten. Als "Sandworm" 2017 ukrainische Firmen angriff, befiel die eingesetzte Schadsoftware auch Tausende Rechner in den USA und richtete Hunderte Millionen Euro an Schaden an.
Geleakte Zahlungsdaten zeigen, dass allein für die Entwicklung von "Skan-W" und "Amesit" über mehrere Jahre Geld von staatlichen Forschungseinrichtungen wie dem "Forschungsinstitut für Radiokommunikation" in Rostow am Don geflossen ist. Das Institut soll mit den russischen Geheimdiensten in Verbindung stehen.
Auch zahlreiche Unternehmen und Forschungseinrichtungen mit Staatsbeteiligung stehen auf der Kundenliste von Vulkan, etwa die Sberbank oder die Moskauer Börse.
Welche Ziele will Russland angreifen?
Die Dokumente enthalten keine Angaben zu konkreten Angriffszielen russischer Hacker. Offenbar lediglich beispielhaft wird das mittlerweile stillgelegte Schweizer Atomkraftwerk Mühleberg genannt. Ob auch im laufenden Ukraine-Krieg bestimmte Vulkan-Software zum Einsatz kam, lässt sich nicht sagen. Die ukrainische Regierung stellt in ihrem jüngsten Bericht zu Cyberangriffen fest, dass in der zweiten Jahreshälfte 2022 russische Hacker ihren Angriffsschwerpunkt veränderten "weg von Medien und Telekommunikation als Hauptangriffsziel zu Kriegsbeginn hin zur Energieversorgung, die seit Oktober auch ein wichtiges Angriffsziel russischer Raketen war."
Grundsätzlich sind digitale Waffen nicht an Ländergrenzen gebunden. Außerdem ist es möglich, dass Hacker die Kontrolle über ihre Systeme verlieren und Schadsoftware ungeplant auf weitere Ziele übergreift. Gezielt oder versehentlich kann Deutschland so ins Fadenkreuz geraten.
Der Krieg in der Ukraine wird nicht nur mit Waffen, sondern auch mit Worten geführt. Propagandisten versuchen auch in Deutschland, die öffentliche Meinung zu manipulieren.
10.03.2023 | 29:02 minGabby Roncone von der zu Google gehörenden IT-Sicherheitsfirma Mandiant erklärt: Es sei wie in "alten Militär-Filmen". "Da stehen Menschen um einen Tisch herum, auf dem sie eine Karte ausgebreitet haben. Sie schieben ihre Artillerie und ihre Truppen hin und her und versuchen zu verstehen, wie der Gegner seine Bataillone bewegen wird." Am Ende gehe es darum, die schwächste Stelle ausfindig zu machen und dort zuzuschlagen. Vulkan stelle diese Karte her, auf der sich solche Angriffe planen lassen, so Roncone. "Skan-W" ermögliche Cyber-Operationen.
Was sagt die Firma Vulkan zu den Vorwürfen?
Gezielte und großangelegte Cyberangriffe auf zivile Infrastruktur wie Strom- oder Bahnnetze können ein Verstoß gegen die Genfer Konventionen sein, betont Marina Krotofil vom Europäischen Netzwerk für Cyber-Sicherheit. Darum ist es im russischen Interesse, zu verschleiern, wenn staatliche Stellen hinter solchen Angriffen stecken.
Auf einen umfangreichen Fragenkatalog des Rechercheteams reagierten bis zur Veröffentlichung weder das Unternehmen Vulkan noch die russische Regierung.
Lesen Sie hier die komplette Recherche zu den "Vulkan Files":