Aktivitäten ausländischer Nachrichtendienste
Akteure und Schwerpunkte
Auf dem Gebiet der Bundesrepublik Deutschland sind zahlreiche ausländische Nachrichtendienste mit ganz unterschiedlichen Interessen aktiv. Hoch entwickelte Staaten wollen mithilfe ihrer Nachrichtendienste vor allem im politischen und wirtschaftlichen Wettbewerb weiter Schritt halten oder sogar Wettbewerbsvorteile erzielen. Krisenländern geht es beim Einsatz ihrer Nachrichtendienste in politischer Hinsicht um die Aufklärung und Unterwanderung von Oppositionsgruppen, deren Mitglieder in Deutschland leben. In wirtschaftlicher und militärischer Hinsicht entwickeln diese Länder vor allem proliferationsrelevante Aktivitäten.
Die Nachrichtendienste der Russischen Föderation waren im Jahr 2024 weiterhin von großer Bedeutung für die russische Staatsführung. Ihre Bemühungen erstreckten sich sowohl auf gesellschaftliche und politische als auch auf wirtschaftliche und wissenschaftliche Bereiche.
Der fortdauernde Angriffskrieg gegen die Ukraine hat konkrete Auswirkungen auf die russischen Nachrichtendienste und deren Aufklärungsaktivitäten in Deutschland. Aufgrund des Informationsdefizits, das Russland im Rahmen der umfangreichen Sanktionen des Westens auf dem Gebiet der internationalen diplomatischen Beziehungen bzw. Präsenz entstanden ist, sehen sich die russischen Nachrichtendienste umso mehr einem hohen Aufklärungsdruck ausgesetzt. Seit April 2022 wurden 40 russische Diplomaten, welche einem russischen Nachrichtendienst zuzuordnen waren, aus Deutschland ausgewiesen. Außerdem wurde das Russische Generalkonsulat in Leipzig Ende Dezember 2023 geschlossen. Die russischen Nachrichtendienste können somit nur noch wenig bis gar nicht auf die vormals stark ausgeprägte geheimdienstliche Infrastruktur ihrer Legalresidenturen zurückgreifen. Seit Januar 2024 verfügt die Russische Föderation nur noch über zwei diplomatische Vertretungen in Deutschland – die Botschaft in Berlin sowie ein Generalkonsulat in Bonn. Die Entscheidung, welches der Konsulate erhalten bleibt, oblag dabei der russischen Staatsführung selbst. Sie entschied, das Generalkonsulat Bonn (Nordrhein-Westfalen), weiterhin als konsularische Einrichtung nutzen zu wollen. Die Liegenschaften in Frankfurt am Main (Hessen), Hamburg, München (Bayern) und Leipzig wurden hingegen geschlossen, bleiben aber unter russischer Verwaltung.
Es ist demzufolge davon auszugehen, dass russische Nachrichtendienste verstärkt auf altbewährte Methoden, wie z. B. Non Official Cover, Reise-Agenten oder Illegale zurückgreifen. Um die durch die umfangreichen Sanktionen entstandenen Zugangs- und Beschaffungshemmnisse zumindest teilweise und möglichst kurzfristig zu kompensieren, wichen die russischen Nachrichtendienste ebenso erfolgreich auf offensivere Spionageaktivitäten im IT-Bereich aus und weiteten die Instrumente der Hybriden Kriegsführung aus. In diesem Zusammenhang spielte auch die Verbreitung von Desinformationen insbesondere über die sozialen Medien eine entscheidende Rolle.
Im Berichtsjahr waren wiederholt länderübergreifende Desinformationskampagnen des mutmaßlich russischen »Doppelgänger« – Netzwerkes, zuletzt im Umfeld der Europa- und Landtagswahlen, zu verzeichnen. Dabei kopierten Akteure u. a. die Onlineauftritte von etablierten deutschen Leitmedien und errichteten authentische Social-Media-Accounts, um pro-russische Desinformationen zu verbreiten. Aktuelle Themen von »Doppelgänger« – Websites waren dabei die Unterstützung des Westens für die Ukraine sowie die Sanktionen gegen Russland. In Windeseile können Desinformationen über diese Kanäle verbreitet werden, eine hohe Reichweite erzielen und unter Umständen dazu beitragen, Gesellschaften in ihrer Meinungsfindung zu beeinflussen bzw. zu spalten. Schlussendlich zielen derartige Kampagnen mittel- oder langfristig darauf ab, das politische System des »Westens« zu destabilisieren.
Vor allem der russische zivile Auslandsnachrichtendienst SWR, der militärische Auslandsnachrichtendienst GRU und der Inlandsnachrichtendienst FSB waren gegen Deutschland aktiv.
Aufklärungsschwerpunkte sind dabei die deutsche Haltung zu Fragen der Außen- und Sicherheitspolitik sowie der Finanz- und Energiepolitik, aber auch die Rolle Deutschlands in der NATO.
Im Fokus der Aufklärungsmaßnahmen standen neben sog. Denkfabriken, Nichtregierungsorganisationen und Vereinen mit Bezügen zu Russland oder anderen osteuropäischen Staaten insbesondere politische Mandatsträger. Dies spiegelt sich in der anhaltenden Cyberangriffskampagne »Ghostwriter« wider, welche dem russischen Militärgeheimdienst GRU zugeschrieben wird.
Die russische Wirtschaft trotz umfangreicher Sanktionen u. a. mit neuem Know-how zu versorgen, ist ein weiteres Betätigungsfeld russischer Nachrichtendienste oder mutmaßlich in deren Auftrag handelnder Akteure. Viele in Deutschland produzierte Hochtechnologieprodukte sind militärisch wie auch zivil nutzbar. Es handelt sich dabei um sog. Dual-Use-Güter, das heißt, hier kann ein militärischer Verwendungszweck nicht ausgeschlossen werden.
Diesbezüglich gab es auch 2024 proliferationsrelevante Hinweise mit Bezug nach Sachsen im einstelligen Bereich, denen das LfV Sachsen auch in Zusammenarbeit mit dem Bundesamt für Verfassungsschutz nachging.
Die Volksrepublik China betreibt ein umfassendes System des Know-how- und Technologietransfers, mit dem die zivile und militärische Entwicklung des Landes vorangetrieben werden soll. Dabei verfolgt die politische Führung eine ganzheitliche und gesamtgesellschaftliche Strategie. Bis zum Jahr 2025 zielt der chinesische Staat darauf ab, China – mit allen Mitteln einer staatlich gelenkten Wirtschaft – in die stärkste Wirtschaftsmacht der Welt zu transformieren. Um die ambitionierten Ziele, u. a. dargelegt in dem Masterplan »Made in China 2025« sowie in den Fünf-Jahres-Plänen, zu erreichen, setzt die Volksrepublik ihre Nachrichtendienste zur Informationsgewinnung in Politik, Militär, Wirtschaft und Wissenschaft ein. Mit der Beschaffung sensibler Informationen aus den Bereichen Wirtschaft, Wissenschaft und Technik sollen bestehende Lücken geschlossen, strategische Vorteile gewonnen und eigene wirtschaftliche Interessen gefördert werden.
Der Schwerpunkt chinesischer Interessen liegt auf den zehn Zukunftsbranchen, in denen China die globale Markt- und Technologieführerschaft anstrebt: Meerestechnik und Schifffahrt, Schienenverkehrstechnik und Medizintechnik, elektrische Ausrüstung, Industrierobotik und Roboterbau, neue Informationstechnologien sowie Luft- und Raumfahrttechnik. Im Bereich der wissenschaftlichen Forschung sind vor allem die Gebiete der Mikroelektronik, der Biotechnologie, der Umwelttechnologie und der erneuerbaren Energien von großer Bedeutung. Wenngleich die zehn Zukunftsbranchen im besonderen Fokus der Volksrepublik China stehen, ist aus chinesischer Sicht im Grunde genommen jede Information wichtig, die dem Land einen Vorteil bringt. Der »chinatalenttracker« des »Centers for Security and Emerging Technology« (CSET) der Universität von Georgetown (USA) zeigt die von der chinesischen Partei und dem Staat geförderten Initiativen, die darauf abzielen, den inländischen Talentpool Chinas zur Unterstützung der strategischen zivilen und militärischen Ziele Chinas fortzuentwickeln. Von Peking als entscheidend für die wirtschaftliche und soziale Entwicklung Chinas angesehen, zielen Talentprogramme darauf ab, grundsätzlich jeden vom Experten bis zum Studenten zu rekrutieren, der perspektivisch in Betracht kommt, wichtige Positionen in Regierung, Industrie, Verteidigung und Wissenschaft zu besetzen, um Innovationen sowie Wachstum des Landes voranzutreiben und damit dem Wohle des Staates zu dienen.
Der Know-how-Bedarf ist nicht zuletzt durch die Sanktionen der USA gegenüber China gestiegen. Umso mehr stehen vor allem innovative deutsche – und somit auch sächsische – Unternehmen und Hochschuleinrichtungen mit ihren Spitzentechnologien im Blickfeld chinesischer Nachrichtendienste. Vor diesem Hintergrund bemüht sich China immer intensiver um Zugänge zu Unternehmen, Forschungs- und Wissenschaftseinrichtungen. Chinesische Studenten, Doktoranden und (wissenschaftliche) Arbeitskräfte werden ganz gezielt mit Ausforschungs- und Beschaffungsaufträgen betraut, um in Unternehmen und an Universitäten oder Forschungseinrichtungen im Ausland Wissen abzuschöpfen und dieses (illegal) nach China zu transferieren. Insbesondere Programme, wie der »Tausend-Talente-Plan«, sorgen dafür, dass chinesische Wissenschaftler ihre Expertise im Sinne der Volksrepublik einsetzen und so dem Land zum Aufstieg zur globalen Wirtschaftsmacht verhelfen.
China macht sich dabei die Offenheit der westlichen Länder zunutze und profitiert von Schwachstellen und Unkenntnis auf Seiten seiner Aufklärungsziele in Kommunen, Hochschulen und Industriebetrieben. Informationsdefizite, mangelnde China-Kompetenzen, das Konkurrieren um chinesische Investitionen, fehlendes Problembewusstsein und unzureichende soziale Kontrolle ermöglichen chinesischen Akteuren die Abschöpfung von Informationen oder gar den Erwerb von Industriebeteiligungen sowie die Übernahme von Unternehmen.
Deutlich wird das Streben der chinesischen Staats- und Parteiführung nach Wissensbeschaffung zum Zwecke des Machtzuwachses auch in der Strategie der »zivil-militärischen Fusion«. Das Konzept sieht vor, nicht nur zivile Akteure im Sinne der Wissensbeschaffung einzusetzen, sondern parallel auch die militärische Komponente zur Absicherung der chinesischen Interessen zu stärken. Hierfür benötigt China modernste Technologien, die das Land kurz- und mittelfristig nicht selbst entwickeln kann, sondern diesbezüglich auf die Beschaffung im Ausland angewiesen ist.
Neben den chinesischen Nachrichtendiensten spielen parallel immer häufiger auch andere Akteure, wie z. B. Unternehmensvertreter im Ausland, in Deutschland tätige chinesische Auslandskorrespondenten oder chinesische Cybergruppierungen, eine wichtige Rolle. Diese Personen unterstützen die Nachrichtendienste bei ihren Ausforschungs- und Beschaffungsbemühungen.
Weiterhin investiert China in den Ausbau einer flächendeckenden Kommunikations- und Internetüberwachung. Für die erforderlichen Maßnahmen verfügen die chinesischen Nachrichtendienste über eine starke Personalausstattung und umfangreiche rechtliche Befugnisse. Die verschiedenen nachrichtendienstlichen Maßnahmen werden durch das Ministerium für Staatssicherheit (Ministry of State Security – MSS) organisiert. Die Mitarbeiter der Nachrichtendienste sind auch an den amtlichen chinesischen Vertretungen in der Bundesrepublik Deutschland (sog. Legalresidenturen) abgetarnt tätig.
Ein weiteres Betätigungsfeld chinesischer Nachrichtendienste ist die Ausspähung und Bekämpfung in Deutschland lebender Oppositioneller, die aus Sicht der chinesischen Staats- und Parteiführung das Machtmonopol der Kommunistischen Partei Chinas (KPCh) infrage stellen und die »nationale Einheit« bedrohen. Dazu gehören neben nach Deutschland geflohenen Regimekritikern auch Angehörige der von chinesischen Behörden als »Fünf Gifte« bezeichneten Bewegungen. Zu den »Fünf Giften« zählen die nach Unabhängigkeit strebenden ethnischen Minderheiten der Uiguren und Tibeter, die regimekritische Falun-Gong-Bewegung, die Demokratiebewegung und die Befürworter einer Eigenstaatlichkeit der Insel Taiwan.
So werden in Deutschland ansässige Personen, die den »Fünf Giften« zugeordnet werden, von staatlichen chinesischen Akteuren verfolgt. Mit offenen und verdeckten Mitteln versucht China somit, Einfluss auf oppositionelle Aktivitäten zu nehmen und relevante Personen zu kontrollieren, zu diskreditieren, einzuschüchtern und zur Zusammenarbeit bei der Beschaffung von Informationen zu bewegen. Innerstaatliche Konflikte mit Oppositionellen und nationalen Minderheiten in einigen Provinzen in China werden als wachsende Bedrohung der staatlichen Sicherheit wahrgenommen. Aufgrund des daraus folgenden hohen Aufklärungsbedarfs ist davon auszugehen, dass chinesische Nachrichtendienste entsprechende Aktivitäten auch gegen im Freistaat Sachsen lebende chinesische Oppositionelle entfalten.
In den vergangenen Jahren hat die chinesische Führungsspitze auch ihre Bemühungen zur Beschaffung hochwertiger politischer Informationen sowie zur Beeinflussung von Entscheidungsprozessen im Ausland deutlich erhöht. Hierzu hat sich die KPCh ein weltweites Kontaktnetzwerk aufgebaut und ist stetig bestrebt, dieses zu erweitern. Eine zentrale Rolle spielt dabei das dem Zentralkomitee der KPCh untergeordnete International Department of the Central Commitee of the Communist Party of China (IDCPC). Das IDCPC unterhält zahlreiche Tarnposten innerhalb des Regierungsapparates und entsendet Mitarbeiter an diplomatische Vertretungen im Ausland. Ziel des IDCPC ist es, einflussreiche Personen zu Äußerungen und Handlungen im Sinne der Interessen der KPCh zu bewegen und ein Netzwerk zu knüpfen, das die politische Agenda der KPCh unterstützt und verbreitet. In Deutschland besteht die zentrale Aufgabe der IDCPC-Angehörigen im Aufbau und in der Pflege von Kontakten zu Parteien und Abgeordneten. Diese werben bei Parlamentariern aller Parteien um Verständnis für »chinesische Werte«. Dazu werden z. B. deutsche amtierende oder ehemalige Abgeordnete, die gegenüber der chinesischen Regierung eine vergleichsweise unkritische Haltung vertreten, nach China eingeladen, um deren China-Bild im Sinne der Agenda der KPCh zu beeinflussen bzw. positiv zu verändern.
Konkrete Beispiele für Einflussnahmebemühungen Chinas stellen zwei Exekutivmaßnahmen wegen mutmaßlicher geheimdienstlicher Agententätigkeit im Freistaat Sachsen im Berichtsjahr dar. Am 22. April nahmen Beamte des Landeskriminalamtes Sachsen in Dresden den deutschen Staatsangehörigen Jian G. vorläufig fest und durchsuchten seine Wohnung. Laut der Bundesanwaltschaft ist Jian G. Mitarbeiter eines chinesischen Geheimdienstes und soll im Januar 2024 wiederholt Informationen über Verhandlungen und Entscheidungen im Europäischen Parlament an seine nachrichtendienstlichen Auftraggeber weitergegeben haben. Zudem spähte Jian G. für den Nachrichtendienst chinesische Oppositionelle in Deutschland aus. Die zweite Exekutivmaßnahme fand am 30. September durch Beamte des Bundeskriminalamtes in Leipzig statt. Dabei wurde die chinesische Staatsangehörige Yaqi X. vorläufig festgenommen und ihre Wohnung durchsucht. Laut Bundesanwaltschaft arbeitete Yaqi X. für ein Unternehmen, das Dienstleistungen im Bereich Logistik unter anderem am Flughafen Leipzig / Halle erbringt. In der Zeit von Mitte August 2023 bis Mitte Februar 2024 übermittelte Yaqi X. einem Mitarbeiter eines chinesischen Geheimdienstes – namentlich dem gesondert verfolgten Jian G. – wiederholt Informationen über den Transport von Rüstungsgütern sowie über Personen mit Verbindungen zu einem deutschen Rüstungsunternehmen. Aufgrund dessen wird Yaqi X. der geheimdienstlichen Agententätigkeit für einen chinesischen Geheimdienst beschuldigt. Beide Beschuldigten, sowohl Jian G. als auch Yaqi X., befinden sich in Untersuchungshaft.
Im Rahmen einer sog. »360°-Bearbeitung« in der Spionageabwehr wird allen tatsächlichen Anhaltspunkten für sicherheitsgefährdende oder geheimdienstliche Tätigkeiten im Geltungsbereich des Grundgesetzes für eine fremde Macht nachgegangen.
So ist für den türkischen In- und Auslandsnachrichtendienst Millî İstihbarat Teşkilâtı (MIT) Deutschland eines der vorrangigen Ausforschungsziele außerhalb der Türkei. Ein erhebliches nachrichtendienstliches Interesse besteht an Organisationen, die in der Türkei als extremistisch oder terroristisch eingestuft sind, sowie an Vereinigungen und Einzelpersonen (z. B. türkische Einwanderer oder hier lebende Flüchtlinge), die in tatsächlicher oder mutmaßlicher Opposition zur gegenwärtigen türkischen Regierung stehen. Die Türkei nutzt Instrumente, um die türkischstämmige Bevölkerung in Deutschland in ihrem Sinne zu beeinflussen. Dabei werden zentrale Narrative der türkischen Regierung über staatliche und staatsnahe Medien und Organisationen, wie die Union Internationaler Demokraten (UID), verbreitet. Themen sind neben verbalen Angriffen auf in Deutschland lebende und sich kritisch äußernde türkische Journalisten auch vermeintliche Islamfeindlichkeit und Xenophobie, der Vorwurf westlicher Doppelmoral sowie die »Solidarität mit Palästina« nach dem Terrorangriff der Hamas auf Israel im Jahr 2023 und dem infolgedessen einsetzenden Gaza-Krieg. Daher besteht der Verdacht, dass der türkische Nachrichtendienst auch im Freistaat Sachsen aktiv ist, wenngleich es im Berichtszeitraum keine konkreten Hinweise auf eine tatsächliche Betroffenheit gab.
Einen Schwerpunkt der Aktivitäten iranischer Nachrichtendienste stellt die Beschaffung von Informationen und Produkten aus den Bereichen Wirtschaft und Wissenschaft dar. Im Rahmen der Proliferationsbekämpfung geht der Verfassungsschutzverbund entsprechenden Hinweisen nach, eine sächsische Betroffenheit war im Berichtszeitraum nicht zu verzeichnen. Ein weiterer Schwerpunkt der Arbeit der iranischen Nachrichtendienste ist die Ausspähung und Bekämpfung oppositioneller Bewegungen und Akteure im In- und Ausland.
Weitere Akteure im Zuge von elektronischen Angriffen aus Südostasien sind die Nachrichtendienste Nordkoreas. Im Zentrum der Angriffe aus Nordkorea steht die Angreifer-Gruppierung »Lazarus Group«. Diese richtet ihre Angriffe weltweit gegen zahlreiche Unternehmen und Forschungseinrichtungen, um so an sensible Daten zu gelangen. Sensibilisierungsmaßnahmen im Berichtszeitraum ergaben keine Betroffenheit sächsischer Einrichtungen.
Weiterhin führen nordkoreanische Nachrichtendienste weltweit offensive Cyberoperationen insbesondere zur Devisenbeschaffung durch. Dabei setzen sie u.a. auf den Einsatz getarnter IT-Fachkräfte, sogenannte IT-Worker, die ihre Dienstleistungen in Form von Telearbeit Unternehmen weltweit anbieten und diese mit gefälschten Identitäten infiltrieren, um Devisen für das nordkoreanische Regime zu beschaffen. Von generellem IT-Support über die Programmierung von Apps und Spielen bis hin zur Smart-Contract-Entwicklung decken sie vielfältige Einsatzbereiche ab. Zudem sind sie in diversen Branchen aktiv, z. B. im Gesundheitswesen, in der Unterhaltungsindustrie oder im Finanzsektor. Nordkoreanische IT-Worker verschleiern professionell ihre wahre Herkunft und verwenden sowohl frei erfundene als auch gestohlene Identitäten. Ein eventueller nordkoreanischer Standort wird gegenüber dem Auftraggeber durch die Nutzung von Virtual Private Networks (VPN) oder Proxy Accounts getarnt. Häufig wird mehrjährige Berufserfahrung im Bereich Informatik und insbesondere in der Softwareentwicklung vorgetäuscht. Umfangreiche mitgelieferte Referenzen sollen regelmäßig die angeblich vorhandene Expertise und Erfahrung untermauern. In bestätigten Fällen wurde aufgedeckt, dass nordkoreanische IT-Worker sofort nach dem Erhalt der Arbeitsmittel begonnen haben, Schadsoftware im Unternehmensnetzwerk zu platzieren. Hinweisen auf eine Betroffenheit sächsischer Einrichtungen wurde seitens des LfV Sachsen nachgegangen. Die Ermittlungen dauern zum gegenwärtigen Zeitpunkt an.
