Vulkan-Files: Die nächste Enthüllung – mit Geschmäckle

Internationales Recherche-Netzwerk um den Spiegel enthüllt: Russisches IT-Unternehmen NTC Vulkan fördert Russlands geheimen Cyber-Krieg. Doch es sind ungünstige Zeiten für neutrale Berichterstattung. Eine kritische Bestandsaufnahme.

X-Files, Y-Gate. Im Nachrichtengeschäft häufen sich in letzter Zeit die brandheißen Insider-Stories, die strategische Geheimnisse der Weltpolitik offenlegen. Manche dieser Geschichten sind nur Geschichten. Strategische Kommunikation zwischen Konfliktparteien in einer nicht länger unipolaren Welt.

Welche Geschichten aus dem Paulaner-Garten stammen und welche nicht, ist dabei nicht immer leicht auszumachen. Manche allerdings, wie die (jüngst im angeblichen Tathergang angepasste) Nord-Stream-Sprengung per Luxus-Yacht oder die russischen Annexionspläne für Moldau und Weißrussland, erscheinen wenig glaubwürdig. Nun also sind die Vulkan-Files an der Reihe, die "Putins Geheimpläne für den Cyberkrieg" offenbaren.

Worum geht es?

Wenige Tage nach der russischen Invasion der Ukraine soll eine anonyme Quelle der Süddeutschen Zeitung Unterlagen zugespielt haben. Sie sollen beweisen, dass die russische IT-Sicherheitsfirma NTC Vulkan eng mit den russischen Geheimdiensten GRU, FSB und SWR verbandelt ist und diese beim Cyberkrieg gegen westliche Staaten unterstützt.

Es geht um Angriffe auf die kritische Infrastruktur. Darum, Züge entgleisen zu lassen und Flughäfen lahmzulegen. Oder, wie es im Spiegel heißt: "Chaos stiften und die Demokratie des Westens zersetzen."

NTC Vulkan beschreibt sich selbst als "Experte für ‚schwere‘ Informationssicherheitstechnologie", der auf den Gebieten Cybersicherheit, Mikroelektronik und Softwareentwicklung tätig ist. Zu den Partnern von Vulkan zählen neben zahlreichen russischen Unternehmen auch die US-Konzerne IBM (bis 2020) und Dell. Kunden waren neben einer Vielzahl von staatlichen Behörden und Banken auch der US-Konzern Boeing und die japanische Toyota-Bank.

Auf seiner Website gibt das russische Unternehmen an, die Lizenz des Geheimdienstes FSB zur Arbeit mit Staatsgeheimnissen zu besitzen.

Internationale Recherche und die "abgetauchte" Quelle

Kurz nach der SZ gelangte auch das Hamburger Magazin an besagte Informationen und stellte nach eigenen Angaben einem Netzwerk von internationalen Recherchepartnern eine sichere Plattform zur Verfügung, um die Dokumente gemeinsam zu prüfen.

Zu den zehn Partnermedien zählen namhafte Blätter wie der britische Guardian, die französische Zeitung Le Monde, der österreichische Standard und die US-amerikanische Washington Post. Auch das ZDF-Magazin frontal 21 widmete den Vulkan-Files inzwischen eine Video-Reportage.

Recherchepartner ist außerdem PaperTrail Media, die Investigativfirma, welche das homophone Duo Frederik Obermaier und Bastian Obermayer vor rund einem Jahr nach ihrem Ausstieg aus der Redaktion der SZ gegründet haben. Das Obermaier/-mayer-Duo war neben den Vulkan-Files unter anderem bei Recherchen zu den Panama-Papers, dem Pegasus-Project oder dem Russian Asset Tracker involviert. Und arbeitet jetzt für den Spiegel.

Dem Recherchenetzwerk liegen eigenen Angaben zufolge insgesamt "5299 Seiten mit Projektplänen, Anleitungen und internen E-Mails von Vulkan aus den Jahren 2016 bis 2021" vor. Die stattliche Sammlung sei das Ergebnis einer "monatelangen Spurensuche", die neben internen Dokumenten auch Überweisungsdaten "zutage förderte", so der Spiegel.

Nach der ersten Kontaktaufnahme mit der SZ teilte die anonyme Quelle "über einen verschlüsselten Kanal" Daten mit dem Spiegel-Mitarbeiter Hannes Munzinger, bevor sie "abtauchte".

Dass die Daten erst nach mehr als einem Jahr öffentlich gemacht werden, begründet der Spiegel mit der intensiven Recherchearbeit, zu der die Übersetzung mithilfe russischsprachiger Reporter, die Konsultation von Sicherheitsexperten und Nachrichtendienstlern sowie die Analyse von Social-Media-Accounts und "Tausende[r] Tweets" zählten.

Die Projekte: Hacker-Ausbildung und "Informationskontrolle"

Konkret wird dem Unternehmen vorgeworfen, die "gefährlichste Hackergruppe der Welt", eine unter dem Namen "Sandworm" bekannte Spezialeinheit des russischen Geheimdienstes GRU, mit Informationen versorgt zu haben.

"Sandworm" wird für Angriffe auf die ukrainische Stromversorgung in den Jahren 2015 und 2016 sowie für den – Zitat Spiegel – "folgenreichsten Hack aller Zeiten" von 2016 verantwortlich gemacht: NotPetya – einer Ransomware, die mutmaßlich auf dem NSA-Exploit Eternal Blue aufbaute.

Außerdem steht Vulkan laut dem Recherchenetzwerk im Verdacht, an folgenden Projekten beteiligt gewesen zu sein:

• "Scan-V": Ein Programm, dass die Ausforschung von Systemen für Hackerangriffe automatisiert
• "Crystal 2V": Ein Trainingsprogramm für künftige "Staatshacker"
• "Fraction": Zuarbeit für den Geheimdienst FSB bei der Überwachung von Bürgern der Russischen Föderation
• "Amezit": Projekt zur Cyber-Kriegsführung, die "Informationskontrolle über bestimmte Gebiete" anstrebt und die Indienstnahme von Social Media bis hin zur Manipulation der Sicherheitsarchitektur von "Atomkraftwerken in der Schweiz" einschließt.

Zwar bestätigen die Experten der Ende 2022 von Google akquirierten US-Sicherheitsfirma Mandiant, John Hultquist und Gabby Roncone, dass es sich – speziell bei "Amezit", um einen "Angriff auf den Kampfeswillen des Feindes" handele, andererseits liest man (erst) bei SZ und WaPo, dass keine Beweise für den tatsächlichen Einsatz der genannten Programme und Projekte vorliegen.

Die vorgelegten Beweise und der anonyme Ex-Mitarbeiter

Über die umfassende Unterwanderung des Unternehmens durch russische Geheimdienste bestehen bei Spiegel und anderen Medien allerdings keine Zweifel. Aus internen E-Mails und "Aufstellungen von Mitarbeitern" werde deutlich, dass Vulkan-Angestellte als Hacker arbeiteten. Außerdem habe sich in IT-Sicherheitsdatenbanken Spionage-Software gefunden, die von einem Vulkan-Entwickler "programmiert und eingesetzt" worden sei.

Als Kronzeugen benennt das Recherchenetzwerk einen anonymen, ehemaligen Mitarbeiter, der seine Fähigkeiten nach eigener Aussage nicht länger in den Dienst des FSB stellen wollte.

Die Verbindung zum SWR wird für den Spiegel offenkundig mit einer "erstmals" erfolgten Veröffentlichung interner Google-Informationen. Diesen zufolge sei das US-Unternehmen bereits 2012 mit einem russischen Hacker der Gruppe "Cozy Bear"/"The Dukes" konfrontiert gewesen, der zuvor eine "Testnachricht" an vulkan.ru gesendet habe. US-Behörden ordnen die Gruppe dem Auslandsgeheimdienst SWR zu.

Für die Recherche-Truppe hinzukommt, dass Vulkan den "Überweisungsdaten" zufolge Gelder von Instituten kassiert habe, die den russischen Geheimdiensten und dem Militär nahestünden. Welche genau das sind, erfährt der Leser im Spiegel allerdings nicht. Nur, dass "in über 17.000 Überweisungsvorgängen […] die Systemnamen ‚Scan-V‘, ‚Amezit‘ und ‚Crystal-2V‘ regelmäßig als Zahlungsgrund genannt" worden sein sollen.

Weiter geben Spiegel und andere Medien an, dass Informationen über Dienstreisen zum FSB-Hauptquartier vorliegen. Und dann liege noch der ungewöhnliche Nachweis einer Bußgeldzahlung vor, bei der Vulkan-Gründer Alexander Irschawskij ein GRU-nahes Institut als seine Adresse angegeben haben soll.

Das Recherche-Team will außerdem ehemalige Mitarbeiter von NTC Vulkan bei westlichen Unternehmen ausfindig gemacht haben, darunter die Reiseanbieter Trivago und Booking, aber auch das deutsche Unternehmen Siemens und Amazons Cloud-Tochter Amazon Web Services.

Letztgenannten Fund stellen die Autoren im Spiegel besonders heraus, denn: "Auf den AWS-Servern laufen große Teile des globalen Internets. Und ukrainische Regierungsdaten."

Kritik: Fünf bedenkliche Punkte

Ob es sich bei den Vulkan-Files um eine Nachricht oder um eine "Geschichte" handelt, lässt sich selbstverständlich in einer kurzen Aufbereitung wie dieser nicht abschließend klären. Dass sich die Russische Föderation auf einen Cyber-Krieg kapriziert und dabei mit Fassaden-Unternehmen agiert, ist angesichts der internationalen Konkurrenz jedenfalls plausibel.

Allerdings bekommt das vielleicht allzu zweidimensionale Bild einer spannenden Enthüllung im Geiste von WikiLeaks, dessen Gründer noch immer im Namen der nationalen Sicherheit interniert ist, Risse – wenn man genau hinschaut.

1. Zuschreibungen und Spekulationen als Fakten

Der schottische Journalist und Menschenrechtsaktivist Craig Murray hat auf seinem Blog darauf aufmerksam gemacht, dass zumindest im Guardian die russische Einmischung in die Präsidentschaftswahlen von 2020 weiterhin als Faktum genannt wird, obwohl die Beweislage das Gegenteil nahelegt (NZZ). Das Narrativ vom "Russiagate" wird besonders von den US-Demokraten trotzdem weiterhin kolportiert.

Obwohl naheliegend – aber genau das kann schließlich auch eine gute Täuschung ausmachen – fällt die Ransomware NotPetya nur mutmaßlich (!) in den Verantwortungsbereich des russischen Geheimdienstes. Die Anschuldigungen stammen aus den USA. Gleiches gilt für die Anschuldigung, "Crazy Bear" sei mit dem SWR verzahnt. Die fehlende Distanzierung lässt an der journalistischen Neutralität zweifeln.

2. Denkwürdige Informationen

Angesichts von Daten und Fakten, die aus Zahlungsvorgängen und Verkehrsverstößen gewonnen wurden, stellt sich unwillkürlich die Frage nach der Bezugsquelle. Kommt hier nicht auch einzig und allein ein Geheimdienst in Betracht?

Und besteht dann nicht die Gefahr, dass sich die Presse zum Sprachrohr nationaler beziehungsweise bündnispolitischer Propaganda macht?

3. Möglicher Bias involvierter Akteure

Hannes Munzinger, der den direkten Kontakt zur anonymen Quelle hergestellt haben soll, recherchierte während seiner Zeit bei der SZ unter anderem über russische Geldwäschesysteme und schließlich auch gemeinsam mit dem Paper-Trail-Duo an den Panama-Papers.

Diese wurden 2016 von Bradley Birkenfield, dem laut CNBC "bedeutendsten Finanz-Whistleblower unserer Zeit" als mutmaßliche Aktion der CIA bezeichnet. Diese Ansicht teilte auch Julian Assange.

An den Recherche-Ergebnissen ändert das freilich nichts.

Gleiches gilt für Paper Trail Media und deren Zusammenarbeit mit dem Organized Crime an Corruption Project (OCCRP), das neben selbsterklärten Philanthropen wie Pierre Omidyar, dem Rockefeller Brothers Fund und George Soros auch vom German Marshall Fund und der US-Entwicklungsagentur USAID unterstützt wird – die wiederum einigen Medienberichten zufolge der CIA und der US-amerikanischen Regime-Change-Politik nahestehen.

OCCRP gilt außerdem als erklärter Gegner des russischen Präsidenten Wladimir Putins, den das Projekt 2014 als korruptesten Politiker der Welt auszeichnete – und in den folgenden Jahren auffällig viele erklärte US-Kontrahenten.

Beim Guardian-Autor Luke Harding liegt die Annahme einer Voreingenommenheit noch wesentlich näher. Harding ist mehrfach der Verbreitung von Propaganda für die sogenannte Five-Eyes-Community bezichtigt worden, unter anderem erst 2021 vom ehemaligen Rolling Stone-Redakteur und Twitter-Files-Autor Matt Taibbi.

Auch die New York Times erwähnte Harding 2021 in einem Stück, das von der gefährlichen Nähe zwischen Journalisten und Geheimdiensten handelte.

4. Bias befragter Experten

Mandiant, die Google-Tochterfirma, ist quasi im selben Bereich der IT-Sicherheit ("Superhacker") tätig wie das russische Unternehmen Vulkan. Google beziehungsweise Alphabet hat laut dem Lobby-Watchdog Tech Transparency Project die überwältigende Anzahl 258 sogenannter Drehtür-Besetzungen in der US-Regierung vorzuweisen.

Dazu zählen auch Jigsaw-Chef Jared Cohen und der ehemalige Google-CEO Eric Schmidt, die Julian Assange in seinem Buch "When Google Met WikiLeaks" 2014 als "google’s director of regime change" respektive "google’s foreign minister" betitelte.

5. Intransparente Darstellung und unausgewogene Berichterstattung

Im Spiegel-Artikel findet sich folgende Passage:

Dem Westen traue Putin nicht, sagt ein Geheimdienstler, dem eigenen Volk aber vielleicht noch weniger. Deshalb sollen Putins Dienste heute möglichst alles wissen, sammeln, speichern, egal ob die Information gerade gebraucht wird oder nicht.

Spiegel

Die Passage ist angesichts der Massenüberwachung durch die NSA, die der im russischen Exil lebende Edward Snowden 2013 öffentlich gemacht hat, bemerkenswert. Auch die Vorratsdatenspeicherung und andere Formen anlassloser Massenüberwachung werden bei weitem nicht nur in Russland praktiziert oder angestrebt. Derlei Einordnungen fehlen vollständig.

Auf den Missstand, dass (vermeintlich) geleakte Dokumente nicht vollständig veröffentlicht und nur fragmentarisch zitiert werden, hatte Telepolis zuletzt auch im Falle der vermeintlichen Moldau-Annexion aufmerksam gemacht.

Wie Craig Murray bemerkt, kommen auch die Artikel von Spiegel und Guardian ohne zusammenhängende Passagen oder Abbilder der Dokumente aus.

Lediglich die WaPo veröffentlichte eine einzelne Seite eines Dokuments.

Darüber hinaus benennt Murray einige Punkte, die sein Argument einer einseitigen Darstellung untermauern sollen:

- Weniger als 2 Prozent der Artikel bestehen aus direkten Zitaten aus den angeblich durchgesickerten Dokumenten.
- Weniger als 10 Prozent der Artikel bestehen aus einer angeblichen Beschreibung des Inhalts der Dokumente.
- Über 15 Prozent der Artikel bestehen aus Kommentaren westlicher Sicherheitsdienste und der Cyber-Kriegsführungsindustrie.
- Über 40 Prozent der Artikel bestehen aus Beschreibungen angeblicher russischer Hacking-Aktivitäten, von denen nichts in den tatsächlichen Vulkan-Leaks erwähnt wird.

Craig Murray

Ob diese Angaben genau so stimmen oder (wohl eher) auf einer Schätzung beruhen, ist unerheblich im Hinblick auf den ersten Eindruck, den sie bestätigen. Er wird durch die reißerische, bemüht szenische Erzählweise verstärkt: Hier wird ein "Scoop" erzählt. Aber ist es auch wirklich einer?