Methoden und Arbeitsweisen ausländischer Nachrichtendienste

Beschaffung öffentlich zugänglicher Informationen

Ausländische Nachrichtendienste können einen großen Teil ihrer Informationen bereits aus offen zugänglichen Quellen gewinnen. Solche Informationen ergeben sich etwa bei dem Besuch öffentlicher Tagungen, Vortragsveranstaltungen oder Messen, aus den Sozialen Medien, bei der Lektüre von Werbebroschüren oder Tageszeitungen sowie aus Radio und Fernsehen. Selbst brisante Informationen sind oft ohne weiteres und legal zugänglich, etwa über Fachzeitschriften und -bücher, über Bachelor-, Master- oder Diplomarbeiten oder über Dissertations- oder Habilitationsschriften, für die im Regelfall sogar eine Veröffentlichungspflicht besteht. Nicht zuletzt erweitert die rasante technische Entwicklung im Bereich der Digitalisierung das Spektrum frei zugänglicher Informationen in einem stetig wachsenden Ausmaß. Das reguläre Informationsangebot der digitalen Medien bietet fremden Nachrichtendiensten zahlreiche Informationen, die als Grundlage und Ausgangspunkt für weitere Aktivitäten von erheblicher Bedeutung sein können.

Beschaffung von nicht öffentlich zugänglichen Informationen

Die Beschaffung von nicht öffentlich zugänglichen Informationen gehört zu den grundlegenden Aufgaben ausländischer Nachrichtendienste. Die konspirative Informationsbeschaffung erfolgt über den Einsatz menschlicher Quellen, durch technische Mittel oder durch eine Kombination beider Wege.

Einsatz menschlicher Quellen

Als menschliche Quelle kommt in Betracht, wer über nachrichtendienstlich relevante Informationen verfügt oder solche Informationen gewinnen kann. Der möglichen Bandbreite sind hierbei keine Grenzen gesetzt. Sie reicht von einflussreichen Politikern oder Wirtschaftslenkern über Wissenschaftler, Groß- und Kleinunternehmer, leitende Beamte und Offiziere bis hin zu Angestellten, Studenten und Praktikanten. Jede »hierarchische« Position ist geeignet, Ausgangspunkt oder Ziel einer Ausspähung zu sein. Beispiele aus der Vergangenheit belegen, dass langjährige persönliche Kontakte in relevanten Bereichen zur Gewinnung menschlicher Quellen genutzt werden. Menschliche Schwächen spielen dabei eine herausragende Rolle. Fremde Nachrichtendienste greifen dabei immer wieder gern auf die Möglichkeiten zwischenmenschlicher Beeinflussung zurück, um Informationen zu erhalten. Dabei werden menschliche Eigenschaften wie Dankbarkeit, Hilfsbereitschaft, Habgier, Autoritätshörigkeit, Geltungssucht oder Unsicherheit ausgenutzt, um Zugang zu sensiblen Daten zu erhalten. Dieses Vorgehen ist auch als »Social Engineering« bekannt.

Einsatz technischer Mittel, insbesondere elektronischer Angriffe

Die Informationsbeschaffung ausländischer Nachrichtendienste durch den Einsatz technischer Mittel, insbesondere über moderne Kommunikationsmedien, gehört zum Alltag. Dies gilt umso mehr, als auch nicht öffentlich zugängliche Informationen in Zeiten zunehmender Digitalisierung oft leicht und ohne größere Risiken erreichbar sind. Vor allem elektronische Angriffe, also gezielte Maßnahmen mit und gegen IT-Infrastrukturen, sind ein probates und wichtiges Mittel der Informationsgewinnung und -beeinträchtigung. Die Möglichkeiten reichen vom Ausspähen, Kopieren oder Verändern von Daten (z. B. von Kundenlisten oder Strategiepapieren) über den Missbrauch von Identitäten bis hin zur Übernahme und Sabotage von Produktions- und Steuerungseinrichtungen. Das Risiko, von Cyberangriffen betroffen zu sein, betrifft generell neben dem wirtschaftlichen und wissenschaftlichen auch den politischen Bereich als klassischem Betätigungsfeld von Nachrichtendiensten. Derartige technische Maßnahmen können zügig erfolgen, sind kostengünstig und weitgehend risikoarm, auch wenn eine Identifizierung der Urheber durchaus möglich ist.

Neben der sogenannten Ransomware werden im Rahmen von Cyberangriffen u. a. klassische Trojaner- E-Mails oder Wasserloch-Angriffe mit Drive-By-Infektionen eingesetzt. Ausgangspunkt ist auch hier oft ein ausgefeiltes »Social Engineering«. Insbesondere Phishing- bzw. Spear-Phishing- Angriffe sind für die potenziellen Opfer nur schwer zu identifizieren und stellen einen der Hauptangriffsvektoren dar.

Bekanntermaßen haben die Nachrichtendienste Russlands in den vergangenen Jahren zunehmend Möglichkeiten zur Überwachung und Beeinflussung des Internetverkehrs erhalten, etwa durch Zugriffsmöglichkeiten auf IP- und E-Mail-Adressen, Telefonnummern und Daten aus sozialen Netzwerken. Sie gelten als Initiatoren verbreiteter und berüchtigter Angriffskampagnen, wie Sofacy, Sandworm, Snake und Energetic Bear. Solche hochkomplexen und mit hoher Professionalität geführten Kampagnen können über Jahre verborgen bleiben. Die Angreifer ändern immer wieder einzelne technische Komponenten, so dass sie die Kampagnen in abgewandelter Form auch weiterhin einsetzen können. Es zeigt sich deutlich, dass sich ein elektronischer Angriff keineswegs in einer einmaligen, punktuellen Maßnahme erschöpfen muss, sondern zu einer länger andauernden, komplexen, herausfordernden und mit großem Aufwand betriebenen Bedrohung heranwachsen kann (sog. Advanced Persistent Threat [APT]).

Das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachteten im Vorfeld der Europa- und Landtagswahlen im Berichtszeitraum Phishing-Angriffe gegen deutsche Parteien. Dies entspricht dem erhöhten Aufklärungsinteresse fremder Mächte im Kontext bedeutender gesellschaftspolitischer Ereignisse. Demnach lagen dem Verfassungsschutzverbund Hinweise vor, wonach Ende Februar Phishing-Angriffe eines staatlichen Cyberakteurs u. a. gegen deutsche Parteien durchgeführt wurden. Dabei gaben sich die Angreifer als Vertreter der Christlich Demokratischen Union Deutschlands (CDU) aus und verschickten Einladungen zu einem Abendessen im Namen der Partei. Tatsächlich wurden die E-Mails allerdings von vermutlich kompromittierten Konten ohne Bezug zur CDU versandt. Die vorgebliche Einladung enthielt Links zu vom Angreifer kontrollierten Webseiten, von denen Schadsoftware sowie ein weiteres Köderdokument heruntergeladen wird. Insgesamt zielte die Kampagne auf die Etablierung von langfristigen Zugängen zu den Netzwerken der Ziele ab, um Daten ausleiten zu können, um diese dann ggf. missbräuchlich zu veröffentlichen (»Hack and Leak«- Operationen).

Russische Cybergruppierungen haben bereits in der Vergangenheit erfolgreich Daten von Mandatsträgern und sonstigen politischen Zielen erbeutet, die für Informationsoperationen genutzt werden könnten.
Ein Sicherheitshinweis (inklusive technischer Indikatoren) wurde seitens des LfV Sachsen mit dem Ziel ausgesteuert, die relevanten Stellen im Freistaat Sachsen zu informieren.

Es ist davon auszugehen, dass neben den bekannten Phishing-Kampagnen von APT29 auch der Akteur »Ghostwriter weiterhin aktiv ist. Dieser ist in Deutschland seit 2021 bekannt und richtet seine Aktivitäten vorrangig gegen Politiker. Grundsätzlich kann aber auch jeder Bürger dessen Opfer werden. Eine tatsächliche Betroffenheit des Freistaates Sachsen bestätigte sich bislang nicht.

FBI, CISA, NSA sowie das BfV und weitere internationale Partner veröffentlichten am 5. September 2024 gemeinsam ein Joint Cybersecurity Advisory (JCSA) zur russischen GRU-Einheit 29155. Diese wird für Cyberangriffe gegen Ziele weltweit verantwortlich gemacht.

In dem Joint Cybersecurity Advisory wird ausdrücklich vor den großen Bedrohungsszenarien gewarnt, die von der russischen Gruppierung ausgehen. Deren Angriffsziele seien vornehmlich Schwachstellen in weit verbreiteter Software. Davon ausgehend sind sowohl Institutionen jeglicher Art als auch Unternehmen durch die GRU-Einheit 29155 gefährdet. Sächsische Einrichtungen wurden seitens des LfV Sachsen entsprechend sensibilisiert.

Darüber hinaus sind insbesondere Unternehmen der Kritischen Infrastruktur (KRITIS) durch Cyberangriffe russischer APT’s bedroht. Im Verfassungsschutzverbund wurden umgehend Maßnahmen ergriffen, um potenzielle Opfer zu kontaktieren und zu sensibilisieren. Im Verbund werden zudem kontinuierlich technische Indikatoren, sogenannte Indicators of Compromise (IoC), analysiert und an die entsprechenden Bedarfsträger, insbesondere Unternehmen der KRITIS, zur Stärkung ihrer Resilienz übermittelt.

Im Rahmen einer weltweiten Operation gelang im Februar ein erfolgreicher Schlag gegen die dem russischen Militärnachrichtendienst GRU zugeordnete Gruppe APT28. Diese war seit mindestens 2004 weltweit aktiv gewesen und führte in der Vergangenheit auch Desinformations- und Propagandakampagnen durch. Sie zählte zu den aktivsten und gefährlichsten Cyberakteuren weltweit. Koordiniert durch Bundeskriminalamt (BKA) und Bundesamt für Verfassungsschutz (BfV) konnten die Sicherheitsbehörden von Bund und Ländern in Kooperation mit dem FBI in einer gemeinsamen Operation das von der russischen Cybergruppierung APT28 mitgenutzte Botnetz »Mootbot« in Deutschland zerschlagen. Die am 26. Januar gestartete Operation verlief in Deutschland äußerst erfolgreich und hindert russische Cyberakteure seither an einer weiteren Nutzung des Botnetzes. Im Freistaat Sachsen wurden kompromittierte Geräte im niedrigen einstelligen Bereich festgestellt. Deren Besitzer wurden durch das Landeskriminalamt (LKA) Sachsen in Kenntnis gesetzt und zur Bereinigung der infizierten Geräte angehalten.

Tatsächliche Anhaltspunkte für ein schädigendes Ereignis im Zusammenhang mit russischen APT’s liegen für den Freistaat Sachsen bislang nicht vor.

Darüber hinaus geben auch zahlreiche Cyberangriffe auf das Sächsische Verwaltungsnetz Anlass zu größter Wachsamkeit. Das Sächsische Verwaltungsnetz ist nachweislich seit Jahren auf hohem Niveau Ziel von Cyberangriffen, bei denen ein nachrichtendienstlicher Hintergrund nicht auszuschließen ist. Die Jahresberichte des Beauftragten für die Informationssicherheit des Freistaates Sachsen (zuletzt aus dem Jahr 2024) führen exemplarisch Angriffsmethoden und Angriffsmittel auf. Obwohl vergleichbare Erhebungen zu elektronischen Angriffen außerhalb der Verwaltung in Sachsen noch fehlen, besteht Grund zu der Annahme, dass Wirtschaft und Wissenschaft in vergleichbarem Ausmaß betroffen sein dürften.

Auch chinesische Nachrichtendienste stehen weiterhin im Verdacht, elektronische Angriffe gegen Einrichtungen in Deutschland initiiert zu haben. Mit den Auslandsaktivitäten chinesischer Nachrichtendienste im Internet korrespondiert die Errichtung einer immer stärkeren elektronischen Mauer zur Abschottung des Internets in China.

In einem weiteren, nicht zugeordneten Fall, wurde durch einen sehr wahrscheinlich staatlichen Cyberakteur eine kritische Sicherheitslücke in Check Point Security Gateways vor ihrer Schließung ausgenutzt. Dabei wurde auch mindestens ein Ziel aus dem politischen Raum in Deutschland angegriffen. Durch die Ausnutzung der Sicherheitslücke erhielt der Angreifer Zugriff auf das gesamte lokale Dateisystem des verwundbaren Geräts. Sensibilisierungsmaßnahmen erbrachten keine Hinweise auf eine tatsächliche sächsische Betroffenheit.

Besondere Brisanz erhalten elektronische Angriffe dadurch, dass sie selbst bei ausgeprägtem Sicherheitsbewusstsein der Betroffenen und trotz Nutzung aktueller Schutzprogramme gegen Schadsoftware oft über längere Zeit unbemerkt bleiben können. Deshalb wendet sich das LfV Sachsen regelmäßig mit Warnmeldungen an potenzielle Opfer, um diese zu sensibilisieren.

Einflussnahme auf gesellschaftliche, politische und wirtschaftliche Entwicklungen

Sicherheitsgefährdende oder geheimdienstliche Tätigkeiten fremder Mächte galten auch im Berichtsjahr der Beeinflussung gesellschaftlicher, politischer und wirtschaftlicher Entwicklungen in Deutschland. Bereits in der Vergangenheit war zu verzeichnen, dass Russland mit zunehmender Intensität versuchte, die politische und öffentliche Meinung in Deutschland u. a. durch die mediale Verbreitung von Propaganda und Desinformationen in seinem Sinne zu beeinflussen. Als Mittel zum Zweck dienen dabei neben den sozialen Medien die russischen Staatsmedien. So verbreiten weltweit sendende TV-, Radio- und Internetkanäle gezielt Narrative im Sinne der russischen Führung. Einhergehend mit dem Angriffskrieg gegen die Ukraine setzt Russland seine Bemühungen fort, zentrale Narrative über seine Staatsmedien, sozialen Medien und Einflussakteure zu verbreiten.

Das Portfolio eingesetzter Mittel ist vielfältig und kann von dem bereits aus der Vergangenheit bekannten Einsatz von Einflussagenten über den zielgerichteten Aufbau und die Pflege von Kontakten zu Multiplikatoren in Politik und Wirtschaft, über regelrechte Propagandaoffensiven und dem damit verbundenen Versuch der Instrumentalisierung ganzer Bevölkerungsgruppen bis hin zu Einflussnahmeaktivitäten in der Wirtschaft reichen.

Die russischen Aktivitäten im Bereich der Propaganda und Desinformation bewegen sich weiterhin auf einem hohen Niveau. Dazu können auch Telefon- oder Videoanrufe der medial bekannten russischen »Prankster« Vladimir KUZNETSOV und Aleksey STOLYAROV, alias »Vovan und Lexus«, gezählt werden. Beide rufen seit längerem unter falscher Identität Politikerinnen und Politiker sowie Personen des öffentlichen Lebens in westlichen Staaten an. Die »Pranks« werden anschließend im Internet veröffentlicht und propagandistisch genutzt. Ausweislich entsprechender Medienberichte waren in Deutschland bereits mehrere aktive und ehemalige Politikerinnen und Politiker von solchen Anrufen betroffen.

Um das Risiko zu minimieren, selbst Opfer einer solchen Desinformations-/Einflussoperation zu werden, sensibilisierte das LfV Sachsen beispielsweise die Mitglieder des Sächsischen Landtages und der Staatsregierung sowie den Sächsischen Städte- und Gemeindetag in einem Schreiben für folgende Maßnahmen im Kommunikationsverhalten sowie für Verabredungen zu Video- oder Telefonanrufen:

Vergewissern Sie sich bezüglich der Identität des Kontakts durch Nutzung bereits bekannter Erreichbarkeiten und bekannter Kontakte.
Gleichen Sie die Kontaktdaten Ihres Kommunikationspartners genau mit bereits bekannten authentischen Erreichbarkeiten ab, um die Imitierung authentischer Erreichbarkeiten, etwa durch leicht abgewandelte E-Mail-Adressen, erkennen zu können.
Sofern bei Ihnen keine zur Verifizierung nutzbaren Kontakte vorliegen, binden Sie andere Stellen mit ein, die über solche Kontakte verfügen könnten.
Sehen Sie von der Durchführung von Video- oder Telefongesprächen im Zweifelsfall ab, wenn sich die Authentizität des Gegenübers nicht verifizieren lässt.

Chinesische Versuche der Einflussnahme zielen auf die deutsche Wirtschaft, insbesondere durch Direktinvestitionen. Gezielte chinesische Firmenbeteiligungen in ausgewählten Schlüsselbranchen im Ausland sind erklärter Bestandteil der Industriestrategie »Made in China 2025« und machen auch vor dem Freistaat Sachsen keinen Halt.

Telefon:	0351 8585-0
Telefax:	0351 8585-500
E-Mail:	Verfassungschutz