Problembär-Dressur: "Der Russe war es" reicht nicht

Inhaltsverzeichnis

Der KI-Fake einer angeblichen Schülerin, die angebliche Übergriffe durch den damaligen Grünen-Kanzlerkandidaten Robert Habeck schildert, ist wohl das bekannteste Beispiel für die Desinformationskampagne, wegen der die Bundesregierung nun den russischen Botschafter einbestellt hat. Es wurde vor gut einem Jahr früh nach dem Auftauchen auf X von Behörden als Problemfall erkannt. Aber eine spezifische Warnung der Öffentlichkeit gab es erst einmal nicht. Denn das Problem, vor dem die Behörden bei solchen Einflussoperationen stehen: Die allermeisten erzielen so gut wie keine Aufmerksamkeit und versanden im digitalen Nichts, wenn sie nicht medial aufgegriffen werden.

Thematisiert eine offizielle Stelle irgendwo in den Tiefen von X im Zusammenspiel von zehn Trollaccounts verbreitete Desinformation, amplifiziert sie deren Reichweite um ein vielfaches und erledigt den Job des Angreifers. Das betonen auch Behördenvertreter immer wieder, weshalb sie nur in seltenen Fällen öffentlich warnen. Doch Teile der Probleme bei der Aufklärung sind hausgemacht. Denn die wechselnden Bundesregierungen der vergangenen Jahre haben immer wieder neue Ansätze verfolgt, frühzeitig Angriffe zu erkennen und denjenigen auf die Spur zu kommen, die Verantwortung für Operationen tragen.

Derzeit gibt es drei Ansatzpunkte: Bei vermutlich politischen Hackerangriffen sind das Bundesamt für Sicherheit in der Informationstechnik, das Bundesamt für Verfassungsschutz als Spionageabwehr und die Landeskriminalämter sowie das BKA damit befasst. Bei Desinformationskampagnen ist das schon schwieriger, zumindest, solange die nicht die Schwelle zur Strafbarkeit überschreiten.

Trennung zwischen Zuordnung und Strafverfolgung

Hier wird vor allem beobachtet, was auf den Plattformen passiert – doch die „Zentrale Stelle zur Erkennung ausländischer Einflussnahme und Informationsmanipulation“ (ZEAM) ist eineinhalb Jahre nach ihrer Gründung laut Bundesinnenministerium weiter „im Aufbau“. Dort versuchen Mitarbeiter unterschiedlicher Bundesministerien und externer Dienstleister frühzeitig Einflussnahmeoperationen zu erkennen. Der Bundesnachrichtendienst ist in beiden Fällen für die Aufklärung ins Ausland führender Spuren zuständig – und kennt die einschlägigen Akteure in Russland, China und anderen Staaten teils seit Jahren.

Dabei geht es weniger um Strafverfolgung, die ist bei den meisten Ursprungsstaaten hoffnungslos, sondern um Klarheit. Einmal, Angriffsvektoren und Methoden möglichst exakt zu erfassen: Wurden bei Manipulationsversuchen Dritte instrumentalisiert? Neue Technologien wie Deep-Fake-Videos eingesetzt? Wurde Desinformations-Seeding in Sprachmodellen betrieben? Auch Betroffenheiten sollen möglichst exakt herausgefunden werden.

Die zweite Aufgabe: Herauszufinden, welche Ziele genau der Angriff verfolgte: geht es bei einem Hack um Sabotage? Um Spionage? Um die Beschaffung von Material für Desinformationskampagnen? Das dritte Ziel der Behörden: möglichst eindeutig festzustellen, wer hinter einer Kampagne steht und damit auch, welcher Staat dafür Verantwortung trägt. Doch wer mit wem welche Informationen anschließend teilt, so heißt es immer wieder aus Behördenkreisen, wäre oftmals eher der Einschätzung der Einzelnen und keinem System überlassen.

Besser entdeckt, schlechter versteckt

Doch im Fall von Storm 1516, bei der sich die Bundesregierung nun absolut sicher scheint, sie der "Doppelkopfadler"-Bewegung und dem sogenannten "International Center for Political Expertise" in Moskau zuordnen zu können, scheint der Austausch zwischen den Behörden ein eindeutiges Ergebnis produziert zu haben. Mitarbeiter aus dem Bereich der damit befassten Behörden erklären, dass die Attribution zuletzt teils sogar einfacher geworden sei: Ja, die Aufklärung sei besser geworden. Aber anders als in friedlicheren Zeiten würden vor allem russische Akteure weniger stark ihre Spuren verwischen als zuvor, da sie sich sicherer fühlten. Und die Wahrscheinlichkeit, dass sie jemals in den Westen reisen und dort deswegen verhaftet würden, sei massiv gesunken.

Doch die nachrichtendienstliche Attribution, hier also eine Zuordnung durch Bundesamt für Verfassungsschutz und Bundesnachrichtendienst, hat in diesem Fall lange gedauert. Schon im Mai 2025 veröffentlichte Viginium, eine der ZEAM vergleichbare Stelle in Frankreich, einen detaillierten Report zu den Tätigkeiten von Storm-1516, von dem es offenbar auch eine eingestufte Version gibt. Auf Nachfrage kann das Bundesinnenministerium nicht erklären, wie genau die Zusammenarbeit mit der französischen Seite ausgesehen habe und weshalb die deutsche Attribution ein halbes Jahr länger in Anspruch nahm. Aufgrund der Betroffenheit auch anderer Länder von der Kampagne könne man nur soviel sagen: "Wir stehen hierzu in engem Austausch mit unseren internationalen Partnern." Dass der aber noch verbesserungsfähig ist, darauf hatten zu Wochenbeginn noch Vertreter von Kanzleramt und Bundesamt für Verfassungsschutz hingewiesen.

Etablierte Verfahren nur bei IT-Kompromittierungsverdacht

Deutlich eingespielter sind die Verfahren dabei an vielen Stellen, wenn es um die Identifikation und Attribution von Hackerangriffen geht. Dass die Gruppe, die als Sofacy Group oder Fancy Bear oder schlicht Advanced Persistent Threat 28 (APT28) bezeichnet wird, für das Eindringen in die IT bei der Deutschen Flugsicherung in Langen im Sommer 2024 verantwortlich sein soll, ist keine Überraschung. Der wenig kuschelige Bär, der seit Jahren dem russischen Militärgeheimdienst GRU zugerechnet wird, wird seit Jahren mit Angriffen auf Hochwertziele in Deutschland in Verbindung gebracht – unter anderem auf die Netze des Bundes 2017 oder auf den Bundestag 2015.

Auch der Angriff auf die SPD 2022 und weitere Ziele im gleichen Jahr wird diesem professionellen Akteur zugeschrieben – hier wurde ebenfalls der russische Botschafter einbestellt. Und auch das Warnsystem ist etablierter: CVE-Einstufung, Herstellerwarnung, Betroffenenwarnung, Öffentlichkeitswarnung mit Indicators of Compromise, all das existiert zumindest, auch wenn es in der Praxis oft noch Luft nach oben gibt. Für Desinformationskampagnen gibt es hingegen bis heute keine etablierten Standardverfahren.

Bundesregierung will früher eingreifen können

Die aktuellen Verantwortungszuschreibungen zu Russland spielen dabei vor gleich zwei politischen Hintergründen: zum einen die für Montag in Berlin anstehenden Beratungen rund um eine mögliche Waffenstillstandsvereinbarung zwischen dem Angreifer Russland und der Ukraine. Zum anderen stehen in den kommenden Monaten Änderungen am Rechtsrahmen für die Nachrichtendienste an. Die schwarz-rote Bundesregierung will dabei die Möglichkeiten der Dienste zur Detektion und zum Unterbinden und zur Reaktion auf Angriffe neu regeln und die Befugnisse deutlich erweitern.

Was das genau umfassen soll, wird noch diskutiert. Bundesinnenminister Alexander Dobrindt, für die Cyber- und Spionageabwehr politisch verantwortlich, hatte im November erklärt, es gehe darum "die Infrastruktur von Angreifern vom Netz zu nehmen, zu stören, zu zerstören." Auf die nun zugeschriebenen Desinformations- und Hackerangriffe wird neben dem diplomatischen Protest mit gezielten Sanktionen gegen verantwortliche Personen mit individuellen Sanktionen reagiert. Bereits in der Vergangenheit wurden als Verantwortliche identifizierte Akteure auf Sanktionslisten der EU gesetzt.

(nie)