Vulkan-Files: Die nächste Enthüllung – mit Geschmäckle

05. April 2023 Philipp Fess

Vulkan-Files: Die nächste Enthüllung – mit Geschmäckle
Kritik: Fünf bedenkliche Punkte
Auf einer Seite lesen

Internationales Recherche-Netzwerk um den Spiegel enthüllt: Russisches IT-Unternehmen NTC Vulkan fördert Russlands geheimen Cyber-Krieg. Doch es sind ungünstige Zeiten für neutrale Berichterstattung. Eine kritische Bestandsaufnahme.

X-Files, Y-Gate. Im Nachrichtengeschäft häufen sich in letzter Zeit die brandheißen Insider-Stories, die strategische Geheimnisse der Weltpolitik offenlegen. Manche dieser Geschichten sind nur Geschichten. Strategische Kommunikation zwischen Konfliktparteien in einer nicht länger unipolaren Welt.

Welche Geschichten aus dem Paulaner-Garten stammen und welche nicht, ist dabei nicht immer leicht auszumachen. Manche allerdings, wie die (jüngst im angeblichen Tathergang angepasste) Nord-Stream-Sprengung per Luxus-Yacht oder die russischen Annexionspläne für Moldau und Weißrussland, erscheinen wenig glaubwürdig. Nun also sind die Vulkan-Files an der Reihe, die "Putins Geheimpläne für den Cyberkrieg" offenbaren.

Worum geht es?

Wenige Tage nach der russischen Invasion der Ukraine soll eine anonyme Quelle der Süddeutschen Zeitung Unterlagen zugespielt haben. Sie sollen beweisen, dass die russische IT-Sicherheitsfirma NTC Vulkan eng mit den russischen Geheimdiensten GRU, FSB und SWR verbandelt ist und diese beim Cyberkrieg gegen westliche Staaten unterstützt.

Es geht um Angriffe auf die kritische Infrastruktur. Darum, Züge entgleisen zu lassen und Flughäfen lahmzulegen. Oder, wie es im Spiegel heißt: "Chaos stiften und die Demokratie des Westens zersetzen."

NTC Vulkan beschreibt sich selbst als "Experte für ‚schwere‘ Informationssicherheitstechnologie", der auf den Gebieten Cybersicherheit, Mikroelektronik und Softwareentwicklung tätig ist. Zu den Partnern von Vulkan zählen neben zahlreichen russischen Unternehmen auch die US-Konzerne IBM (bis 2020) und Dell. Kunden waren neben einer Vielzahl von staatlichen Behörden und Banken auch der US-Konzern Boeing und die japanische Toyota-Bank.

Auf seiner Website gibt das russische Unternehmen an, die Lizenz des Geheimdienstes FSB zur Arbeit mit Staatsgeheimnissen zu besitzen.

Internationale Recherche und die "abgetauchte" Quelle

Kurz nach der SZ gelangte auch das Hamburger Magazin an besagte Informationen und stellte nach eigenen Angaben einem Netzwerk von internationalen Recherchepartnern eine sichere Plattform zur Verfügung, um die Dokumente gemeinsam zu prüfen.

Zu den zehn Partnermedien zählen namhafte Blätter wie der britische Guardian, die französische Zeitung Le Monde, der österreichische Standard und die US-amerikanische Washington Post. Auch das ZDF-Magazin frontal 21 widmete den Vulkan-Files inzwischen eine Video-Reportage.

Recherchepartner ist außerdem PaperTrail Media, die Investigativfirma, welche das homophone Duo Frederik Obermaier und Bastian Obermayer vor rund einem Jahr nach ihrem Ausstieg aus der Redaktion der SZ gegründet haben. Das Obermaier/-mayer-Duo war neben den Vulkan-Files unter anderem bei Recherchen zu den Panama-Papers, dem Pegasus-Project oder dem Russian Asset Tracker involviert. Und arbeitet jetzt für den Spiegel.

Dem Recherchenetzwerk liegen eigenen Angaben zufolge insgesamt "5299 Seiten mit Projektplänen, Anleitungen und internen E-Mails von Vulkan aus den Jahren 2016 bis 2021" vor. Die stattliche Sammlung sei das Ergebnis einer "monatelangen Spurensuche", die neben internen Dokumenten auch Überweisungsdaten "zutage förderte", so der Spiegel.

Nach der ersten Kontaktaufnahme mit der SZ teilte die anonyme Quelle "über einen verschlüsselten Kanal" Daten mit dem Spiegel-Mitarbeiter Hannes Munzinger, bevor sie "abtauchte".

Dass die Daten erst nach mehr als einem Jahr öffentlich gemacht werden, begründet der Spiegel mit der intensiven Recherchearbeit, zu der die Übersetzung mithilfe russischsprachiger Reporter, die Konsultation von Sicherheitsexperten und Nachrichtendienstlern sowie die Analyse von Social-Media-Accounts und "Tausende[r] Tweets" zählten.

Die Projekte: Hacker-Ausbildung und "Informationskontrolle"

Konkret wird dem Unternehmen vorgeworfen, die "gefährlichste Hackergruppe der Welt", eine unter dem Namen "Sandworm" bekannte Spezialeinheit des russischen Geheimdienstes GRU, mit Informationen versorgt zu haben.

"Sandworm" wird für Angriffe auf die ukrainische Stromversorgung in den Jahren 2015 und 2016 sowie für den – Zitat Spiegel – "folgenreichsten Hack aller Zeiten" von 2016 verantwortlich gemacht: NotPetya – einer Ransomware, die mutmaßlich auf dem NSA-Exploit Eternal Blue aufbaute.

Außerdem steht Vulkan laut dem Recherchenetzwerk im Verdacht, an folgenden Projekten beteiligt gewesen zu sein:

"Scan-V": Ein Programm, dass die Ausforschung von Systemen für Hackerangriffe automatisiert
"Crystal 2V": Ein Trainingsprogramm für künftige "Staatshacker"
"Fraction": Zuarbeit für den Geheimdienst FSB bei der Überwachung von Bürgern der Russischen Föderation
"Amezit": Projekt zur Cyber-Kriegsführung, die "Informationskontrolle über bestimmte Gebiete" anstrebt und die Indienstnahme von Social Media bis hin zur Manipulation der Sicherheitsarchitektur von "Atomkraftwerken in der Schweiz" einschließt.

Zwar bestätigen die Experten der Ende 2022 von Google akquirierten US-Sicherheitsfirma Mandiant, John Hultquist und Gabby Roncone, dass es sich – speziell bei "Amezit", um einen "Angriff auf den Kampfeswillen des Feindes" handele, andererseits liest man (erst) bei SZ und WaPo, dass keine Beweise für den tatsächlichen Einsatz der genannten Programme und Projekte vorliegen.

Die vorgelegten Beweise und der anonyme Ex-Mitarbeiter

Über die umfassende Unterwanderung des Unternehmens durch russische Geheimdienste bestehen bei Spiegel und anderen Medien allerdings keine Zweifel. Aus internen E-Mails und "Aufstellungen von Mitarbeitern" werde deutlich, dass Vulkan-Angestellte als Hacker arbeiteten. Außerdem habe sich in IT-Sicherheitsdatenbanken Spionage-Software gefunden, die von einem Vulkan-Entwickler "programmiert und eingesetzt" worden sei.

Als Kronzeugen benennt das Recherchenetzwerk einen anonymen, ehemaligen Mitarbeiter, der seine Fähigkeiten nach eigener Aussage nicht länger in den Dienst des FSB stellen wollte.

Die Verbindung zum SWR wird für den Spiegel offenkundig mit einer "erstmals" erfolgten Veröffentlichung interner Google-Informationen. Diesen zufolge sei das US-Unternehmen bereits 2012 mit einem russischen Hacker der Gruppe "Cozy Bear"/"The Dukes" konfrontiert gewesen, der zuvor eine "Testnachricht" an vulkan.ru gesendet habe. US-Behörden ordnen die Gruppe dem Auslandsgeheimdienst SWR zu.

Für die Recherche-Truppe hinzukommt, dass Vulkan den "Überweisungsdaten" zufolge Gelder von Instituten kassiert habe, die den russischen Geheimdiensten und dem Militär nahestünden. Welche genau das sind, erfährt der Leser im Spiegel allerdings nicht. Nur, dass "in über 17.000 Überweisungsvorgängen […] die Systemnamen ‚Scan-V‘, ‚Amezit‘ und ‚Crystal-2V‘ regelmäßig als Zahlungsgrund genannt" worden sein sollen.

Weiter geben Spiegel und andere Medien an, dass Informationen über Dienstreisen zum FSB-Hauptquartier vorliegen. Und dann liege noch der ungewöhnliche Nachweis einer Bußgeldzahlung vor, bei der Vulkan-Gründer Alexander Irschawskij ein GRU-nahes Institut als seine Adresse angegeben haben soll.

Das Recherche-Team will außerdem ehemalige Mitarbeiter von NTC Vulkan bei westlichen Unternehmen ausfindig gemacht haben, darunter die Reiseanbieter Trivago und Booking, aber auch das deutsche Unternehmen Siemens und Amazons Cloud-Tochter Amazon Web Services.

Letztgenannten Fund stellen die Autoren im Spiegel besonders heraus, denn: "Auf den AWS-Servern laufen große Teile des globalen Internets. Und ukrainische Regierungsdaten."