Hauptinhalt

Methoden und Arbeitsweisen ausländischer Nachrichtendienste

Ausländische Nachrichtendienste können einen großen Teil ihrer Informationen bereits aus offen zugänglichen Quellen gewinnen. Solche Informationen ergeben sich etwa bei dem Besuch öffentlicher Tagungen, Vortragsveranstaltungen oder Messen, aus den Sozialen Medien, bei der Lektüre von Werbebroschüren oder Tageszeitungen sowie aus Radio und Fernsehen. Selbst brisante Informationen sind oft ohne weiteres und legal zugänglich, etwa über Fachzeitschriften und -bücher, über Bachelor-, Master- oder Diplomarbeiten oder über Dissertations- oder Habilitationsschriften, für die im Regelfall sogar eine Veröffentlichungspflicht besteht. Nicht zuletzt erweitert die rasante technische Entwicklung im Bereich der Digitalisierung das Spektrum frei zugänglicher Informationen in einem stetig wachsenden Ausmaß. Das reguläre Informationsangebot der digitalen Medien bietet fremden Nachrichtendiensten zahlreiche Informationen, die als Grundlage und Ausgangspunkt für weitere Aktivitäten von erheblicher Bedeutung sein können.

Die Beschaffung von nicht öffentlich zugänglichen Informationen gehört ebenfalls zu den Zielen ausländischer Nachrichtendienste. Die konspirative Informationsbeschaffung erfolgt über den Einsatz menschlicher Quellen, durch technische Mittel oder durch eine Kombination beider Wege.

Einsatz menschlicher Quellen

Als menschliche Quelle kommt in Betracht, wer über nachrichtendienstlich relevante Informationen verfügt oder solche Informationen gewinnen kann. Der möglichen Bandbreite sind hierbei keine Grenzen gesetzt. Sie reicht von einflussreichen Politikern oder Wirtschaftslenkern über Wissenschaftler, Groß- und Kleinunternehmer, leitende Beamte und Offiziere bis hin zu Angestellten, Studenten und Praktikanten. Jede „hierarchische“ Position ist geeignet, Ausgangspunkt oder Ziel einer Ausspähung zu sein. Beispiele aus der Vergangenheit belegen, dass langjährige persönliche Kontakte in relevanten Bereichen zur Gewinnung menschlicher Quellen genutzt werden. Menschliche Schwächen spielen dabei eine herausragende Rolle. Fremde Nachrichtendienste greifen dabei immer wieder gern auf die Möglichkeiten zwischenmenschlicher Beeinflussung zurück, um Informationen zu erhalten. Dabei werden menschliche Eigenschaften wie Dankbarkeit, Hilfsbereitschaft, Habgier, Autoritätshörigkeit, Geltungssucht oder Unsicherheit ausgenutzt, um Zugang zu sensiblen Daten zu erhalten. Dieses Vorgehen ist auch als „Social Engineering“ bekannt.

Verstärkt werden auch politische oder wissenschaftliche Denkfabriken in die nachrichtendienstliche Informationsgewinnung eingebunden. Vor allem China verfügt über eine Vielzahl solcher Einrichtungen und fördert sie gezielt. Weltweit haben nur die USA noch mehr Denkfabriken als China.

Die erlangten Informationen werden auf unterschiedlichste Art und Weise weitergegeben. Nur exemplarisch sei auf die sog. Legalresidenturen ausländischer Nachrichtendienste in Deutschland verwiesen. Diese sind regelmäßig in Botschaften und Konsulaten angesiedelt, wo Mitarbeiter von Nachrichtendiensten getarnt als reguläre Mitarbeiter auftreten.

Einsatz technischer Mittel, insbesondere elektronischer Angriffe

Die Informationsbeschaffung ausländischer Nachrichtendienste durch den Einsatz technischer Mittel, insbesondere über moderne Kommunikationsmedien, gehört zum Alltag. Dies gilt umso mehr, als auch nicht öffentlich zugängliche Informationen in Zeiten zunehmender Digitalisierung oft leicht und ohne größere Risiken erreichbar sind. Vor allem elektronische Angriffe, also gezielte Maßnahmen mit und gegen IT-Infrastrukturen, sind ein probates und wichtiges Mittel der Informationsgewinnung und -beeinträchtigung. Die Möglichkeiten reichen vom Ausspähen, Kopieren oder Verändern von Daten (z. B. von Kundenlisten oder Strategiepapieren) über den Missbrauch von Identitäten bis hin zur Übernahme und Sabotage von Produktions- und Steuerungseinrichtungen. Derartige technische Maßnahmen können zügig erfolgen, sind kostengünstig und weitgehend risikoarm, auch wenn eine Identifizierung der Urheber durchaus möglich ist. Im Rahmen solcher Cyberangriffe werden u. a. klassische Trojaner-E-Mails[1] oder Wasserloch-Angriffe[2] mit Drive-By-Infektionen[3] eingesetzt. Ausgangspunkt ist auch hier oft ein ausgefeiltes „Social Engineering“.

Das Sächsische Verwaltungsnetz[4] ist nachweislich seit Jahren und mit steigender Tendenz Ziel zahlreicher Cyberangriffe[5], bei denen ein nachrichtendienstlicher Hintergrund nicht auszuschließen ist. Sie geben Anlass zu größter Wachsamkeit. Der Jahresbericht 2020 des Beauftragten für die Informationssicherheit des Freistaates Sachsen führt exemplarisch Angriffsmethoden und Angriffsmittel auf. Obwohl vergleichbare Erhebungen zu elektronischen Angriffen außerhalb der Verwaltung in Sachsen noch fehlen, besteht Grund zu der Annahme, dass Wirtschaft und Wissenschaft in vergleichbarem Ausmaß betroffen sein dürften.

Dahin deuten u. a. Erkenntnisse aus Russland, wo die Nachrichtendienste zunehmend Möglichkeiten zur Überwachung und Beeinflussung des Internetverkehrs erhalten, etwa durch Zugriffsmöglichkeiten auf IP- und E-Mail-Adressen, Telefonnummern und Daten aus sozialen Netzwerken oder durch datenschutzrechtliche Restriktionen im Internet. Russische Nachrichtendienste gelten als Initiatoren verbreiteter und berüchtigter Angriffskampagnen, wie Sofacy[6], Sandworm[7], Snake[8] und Energetic Bear[9]. Solche hochkomplexen und mit hoher Professionalität geführten Kampagnen können über Jahre verborgen bleiben. Von den schon seit einigen Jahren aktiven Angriffskampagnen Snake und Cozy Bear (APT 29) gab es im Jahr 2020 Hinweise auf eine mögliche Betroffenheit deutscher Unternehmen und Einrichtungen. Die Angreifer ändern immer wieder einzelne technische Komponenten, sodass sie die Kampagnen in abgewandelter Form auch weiterhin einsetzen können. Es zeigt sich deutlich, dass sich ein elektronischer Angriff keineswegs in einer einmaligen punktuellen Maßnahme erschöpfen muss, sondern zu einer länger andauernden, komplexen, herausfordernden und zu einer mit großem Aufwand betriebenen Bedrohung heranwachsen kann (sog. Advanced Persistent Threat [APT]).

Chinesische Nachrichtendienste stehen gleichfalls im Verdacht, elektronische Angriffe gegen Einrichtungen in Deutschland initiiert zu haben. Im Jahr 2020 gab es Hinweise, wonach auch deutschlandweit Unternehmen betroffen sein könnten. Im Fokus standen u. a. Unternehmen mit Niederlassungen in China. Sensibilisierungsmaßnahmen erbrachten keine Hinweise auf eine tatsächliche sächsische Betroffenheit. Mit den Auslandsaktivitäten chinesischer Nachrichtendienste im Internet korrespondiert die Errichtung einer immer stärkeren elektronischen Mauer zur Abschottung des Internets in China.

Weitere Spieler auf dem Feld der elektronischen Angriffe sind Angreifer aus dem Nahen und Mittleren Osten sowie aus Südostasien. Die Angreifer-Gruppierung Lazarus Group, der Verbindungen nach Nordkorea nachgesagt werden, richtete ihre Angriffe weltweit gegen zahlreiche Unternehmen und Forschungseinrichtungen, so auch in Deutschland. Sensibilisierungsmaßnahmen ergaben keine Betroffenheit sächsischer Einrichtungen.

Besondere Brisanz erhalten elektronische Angriffe besonders dadurch, dass sie selbst bei ausgeprägtem Sicherheitsbewusstsein der Betroffenen und trotz Nutzung aktueller Schutzprogramme gegen Schadsoftware oft über längere Zeit unbemerkt bleiben können. Deshalb wendet sich das LfV Sachsen regelmäßig mit Warnmeldungen an potenzielle Opfer, um diese zu sensibilisieren.

 

[1] Als Trojaner-E-Mails gelten hier E-Mails, die zumeist im Anhang eine Schadsoftware enthalten. Diese als nützliche Datei getarnte Schadsoftware wird beim Öffnen der Datei aktiviert, um den betroffenen Rechner dann im Hintergrund zu manipulieren.

[2] Bei Wasserloch-Angriffen (Watering-Hole-Attacks) manipuliert der Angreifer bestimmte Webseiten, bei denen er mit einem Aufruf durch das Opfer rechnen darf. Die Manipulation entfaltet im Regelfall erst dann ihre Wirkung, wenn das Opfer die Seite aufruft.

[3] Eine Drive-By-Infektion ist die Infektion eines Rechners mit Schadsoftware allein durch das Aufrufen einer mit Schadsoftware manipulierten Webseite. Die Manipulation kann ohne Wissen und Wollen des Betreibers geschehen sein. Drive-By-Infektionen sollen nach Meinung von Experten in den letzten Jahren weiter an Bedeutung gewonnen und die E-Mail als Hauptverbreitungsweg für Schadsoftware abgelöst haben.

[4] Das Sächsische Verwaltungsnetz ist die Kommunikationsinfrastruktur des Freistaates Sachsen. Es versorgt die Behörden und Einrichtungen des Freistaates Sachsen flächendeckend mit hochleistungsfähiger und sicherer Sprachund Datenkommunikation für ein modernes Verwaltungshandeln; siehe www.egovernment.sachsen.de

[5] vgl. Jahresbericht Informationssicherheit 2020 des Beauftragten für Informationssicherheit des Freistaates Sachsen, Hrsg. Sächsische Staatskanzlei, Berichtszeitraum August 2019 – Juli 2020, S. 5 ff.

[6] Auch bekannt als APT 28, Sofacy, Pawn Storm, Sednit, Group 74, Tsar Team, Fancy Bear oder Strontium.

[7] Auch bekannt als Sandworm Team, TEMP.Noble, Electrum oder TeleBots.

[8] Auch bekannt als Uroburos, Turla Group, Turla Team, Venomous Bear, Group 88, Waterbug oder Krypton.

[9] Auch bekannt als Dragonfly, Crouching Yeti, Group 24, Koala Team, Bersek Bear oder Anger Bear.

Sicherheitsgefährdende oder geheimdienstliche Tätigkeiten fremder Mächte galten auch im Jahr 2020 der Beeinflussung gesellschaftlicher, politischer und wirtschaftlicher Entwicklungen in Deutschland. Das Portfolio eingesetzter Mittel ist vielfältig und kann von dem bereits aus der Vergangenheit bekannten Einsatz von Einflussagenten über den zielgerichteten Aufbau und die Pflege von Kontakten zu Multiplikatoren in Politik und Wirtschaft, über regelrechte Propagandaoffensiven und dem damit verbundenen Versuch der Instrumentalisierung ganzer Bevölkerungsgruppen bis hin zu Einflussnahmeaktivitäten in der Wirtschaft reichen. So erregten chinesische Versuche der Einflussnahme auf die deutsche Wirtschaft durch Direktinvestitionen besondere Aufmerksamkeit. Gezielte chinesische Firmenbeteiligungen in ausgewählten Schlüsselbranchen im Ausland sind erklärter Bestandteil der Industriestrategie „Made in China 2025“ und machen auch vor dem Freistaat Sachsen keinen Halt. In die Prozesse der staatlichen Direktion von Investitionen staatlicher, halbstaatlicher und privater chinesischer Unternehmen sind auch Nachrichtendienste eingebunden.

Das LfV Sachsen hat derzeit keine Hinweise auf spionagerelevante Sachverhalte im Medizin- und Gesundheitsbereich (insbesondere im Zusammenhang mit Covid 19-Erkrankungen und –Behandlungen), die auf Aktivitäten fremder Nachrichtendienste zurückzuführen sind. Der Verfassungsschutzverbund sensibilisierte proaktiv potenziell Betroffene. Analysen und Handlungsempfehlungen wurden dabei in anonymisierter Form an diese verteilt, verbunden mit dem Angebot weiterer Unterstützung.

zurück zum Seitenanfang