Seite 3: Fancy Bear ist immer wieder dabei

Inhaltsverzeichnis

Immer wieder dabei: eine Hacker-Gruppe namens Fancy Bear, die auch unter anderen Namen wie Tsar Team, Strontium und Iron Twilight auftritt und von Sicherheitsforschern gelegentlich als ATP28 bezeichnet wird. Dabei scheint es sich um ein festes Team zu handeln, das immer wieder dieselben Werkzeuge verwendet.

Für Laura Galante, die beim IT-Sicherheitsunternehmen FireEye ein Team von IT-Forensikern leitete und vor Kurzem ihr eigenes Beratungsunternehmen gegründet hat, ist die Beweislage klar: "Meine Kollegen haben bereits 2007 Malware entdeckt, die sich hauptsächlich gegen militärische und politische Ziele richtete", sagt sie. "Diese Software wurde offenbar über einen längeren Zeitraum entwickelt. Sie wurde nicht für den einmaligen Gebrauch geschrieben, etwa um Kreditkarten zu stehlen. Das gibt uns einen Hinweis darauf, dass eine Organisation dahinterstehen muss, die sehr langfristig plant – möglicherweise ein staatlicher Akteur. Außerdem konnte man an den Dateien ablesen, wann sie kompiliert worden waren. Die Zeitzone dafür war Moskauer Zeit, und man konnte sehen, dass die Programmierer meistens werktags von neun bis siebzehn Uhr gearbeitet haben – mit Pausen während der russischen Ferien."

Die Software lässt sich laut Galante zurückverfolgen zu Fancy Bear. Die Gruppe, die sich selbst als Hacker-Kollektiv bezeichnet, war auch bei den Operationen gegen die US-Wahl im vergangenen Jahr aktiv. Zahlreiche IT-Sicherheitsexperten gehen davon aus, dass die Gruppe enge Beziehungen zum GRU hat, dem russischen Militärgeheimdienst. Erstaunlicherweise macht sich Fancy Bear keine große Mühe, seine Aktivitäten zu verschleiern. Der ehemalige FBI-Chef James Comey nannte die Gruppe im März bei einer parlamentarischen Anhörung deshalb "sehr laut".

So laut allerdings, dass Sicherheitsexperten wie der Brite Bruce Schneier stutzig werden. Sie zweifeln an der Beweiskraft von Indizien, die so auffällig platziert sind, als würde "ein Bankräuber immer denselben Fluchtwagen benutzen". Sie wollen zumindest nicht ausschließen, dass jemand unter "falscher Flagge" agiert.

"Ich glaube, dass niemand ein echtes Interesse daran hatte, wirklich die Spuren zu verwischen", entgegnet Galante. "Solange der Kreml – so, wie er das immer getan hat – jede Beteiligung glaubwürdig abstreiten kann, gibt es keinen Grund, nach jeder Operation die gesamte Infrastruktur zu vernichten." Außerdem brauche es einfach Zeit, gute Hacker-Tools zu entwickeln. "Wenn Sie jedes Mal nach einem Angriff sämtliche Werkzeuge vernichten, können Sie viel weniger Aktionen starten", sagt sie.

Auch wenn die Beweise nicht reichen – Galante ist überzeugt davon, dass die russische Regierung versucht hat, die US-Wahlen massiv zu beeinflussen. "Putin ist sehr daran interessiert, nicht nur die physische westliche Dominanz, sondern auch die Fähigkeit des Westens, globale Werte und Normen zu definieren, infrage zu stellen", sagt sie. "Natürlich gab es auch ein gewisses Interesse an Trump als Präsidenten – und wir bekommen mit jeder Woche mehr Informationen darüber. Aber es geht nicht nur um Trump. Das Ziel ist, den Zweifel über die liberale westliche Weltordnung zu verbreiten."

Mit dieser Einschätzung ist die Sicherheitsexpertin nicht allein. Weil sich auch in der EU seit Jahren die Sorgen um eine Informationsoffensive der Russen mehren, hat die EU 2015 die Einrichtung einer Taskforce für "Strategische Information Ost" gegründet. Das Kernteam aus elf Kommunikationsexperten koordiniert rund 500 Zuarbeiter, mit deren Hilfe die Taskforce den Newsletter "Disinformation Review" herausgibt, der direkte Falschmeldungungen der russischen Seite entlarven soll. Die Gruppe analysiert zudem die Strategie und Taktik hinter dem Vorgehen des Kreml.

Zwar gibt es keine Möglichkeit, Mitarbeiter der Gruppe zu interviewen. Unter der Bedingung, dass weder Name noch Funktion genannt wird, zeichnet ein EU-Experte jedoch ein düsteres Bild von der Lage an der östlichen Informationsfront: In einer Vielzahl von Staaten, von Osteuropa, dem Baltikum, Skandinavien bis nach Mittel- und Südeuropa, gebe es Desinformationsoperationen, sagt er. Sie seien offenkundig koordiniert. "Die Werkzeuge sind verschieden, die Botschaften sind verschieden, die Kanäle sind verschieden. Aber das bedeutet nur, dass diese Leute ihr Publikum sehr gut kennen", sagt er. "Sie haben eine Infrastruktur aufgebaut, und wir haben absolut keine Idee, zu welchem Zweck."

"Sie" bedeutet dabei die Betreiber der "Fake-News-Maschine im Kreml", da sind sich die Experten sicher. Auch wenn sich eine direkte Urheberschaft der russischen Regierung nicht nachweisen lasse, trügen die Kampagnen die Handschrift russischer Geheimdienste, die jahrzehntelang Erfahrung mit verdeckten Operationen haben. Der Unterschied zur Propaganda im kalten Krieg sei jedoch, dass den Operationen keine positive Erzählung zugrunde liegen würde. "Früher sollte die sowjetische Propaganda die westlichen Empfänger davon überzeugen, dass das Leben in Russland besser war", sagt der Experte. "Jetzt gibt es keine positive Agenda mehr. Die Kernbotschaft lautet nur noch: Traue niemandem!"