Methoden und Arbeitsweisen ausländischer Nachrichtendienste

Beschaffung öffentlich zugänglicher Informationen

Ausländische Nachrichtendienste können einen großen Teil ihrer Informationen bereits aus offen zugänglichen Quellen gewinnen. Solche Informationen ergeben sich etwa bei dem Besuch öffentlicher Tagungen, Vortragsveranstaltungen oder Messen, aus den Sozialen Medien, bei der Lektüre von Werbebroschüren oder Tageszeitungen sowie aus Radio und Fernsehen. Selbst brisante Informationen sind oft ohne weiteres und legal zugänglich, etwa über Fachzeitschriften und -bücher, über Bachelor-, Master- oder Diplomarbeiten oder über Dissertations- oder Habilitationsschriften, für die im Regelfall sogar eine Veröffentlichungspflicht besteht. Nicht zuletzt erweitert die rasante technische Entwicklung im Bereich der Digitalisierung das Spektrum frei zugänglicher Informationen in einem stetig wachsenden Ausmaß. Das reguläre Informationsangebot der digitalen Medien bietet fremden Nachrichtendiensten zahlreiche Informationen, die als Grundlage und Ausgangspunkt für weitere Aktivitäten von erheblicher Bedeutung sein können.

Beschaffung von nicht öffentlich zugänglichen Informationen

Die Beschaffung von nicht öffentlich zugänglichen Informationen gehört zu den grundlegenden Aufgaben ausländischer Nachrichtendienste. Die konspirative Informationsbeschaffung erfolgt über den Einsatz menschlicher Quellen, durch technische Mittel oder durch eine Kombination beider Wege.

Einsatz menschlicher Quellen

Als menschliche Quelle kommt in Betracht, wer über nachrichtendienstlich relevante Informationen verfügt oder solche Informationen gewinnen kann. Der möglichen Bandbreite sind hierbei keine Grenzen gesetzt. Sie reicht von einflussreichen Politikern oder Wirtschaftslenkern über Wissenschaftler, Groß- und Kleinunternehmer, leitende Beamte und Offiziere bis hin zu Angestellten, Studenten und Praktikanten. Jede „hierarchische“ Position ist geeignet, Ausgangspunkt oder Ziel einer Ausspähung zu sein. Beispiele aus der Vergangenheit belegen, dass langjährige persönliche Kontakte in relevanten Bereichen zur Gewinnung menschlicher Quellen genutzt werden. Menschliche Schwächen spielen dabei eine herausragende Rolle. Fremde Nachrichtendienste greifen dabei immer wieder gern auf die Möglichkeiten zwischenmenschlicher Beeinflussung zurück, um Informationen zu erhalten. Dabei werden menschliche Eigenschaften wie Dankbarkeit, Hilfsbereitschaft, Habgier, Autoritätshörigkeit, Geltungssucht oder Unsicherheit ausgenutzt, um Zugang zu sensiblen Daten zu erhalten. Dieses Vorgehen ist auch als „Social Engineering“ bekannt.

Einsatz technischer Mittel, insbesondere elektronischer Angriffe

Die Informationsbeschaffung ausländischer Nachrichtendienste durch den Einsatz technischer Mittel, insbesondere über moderne Kommunikationsmedien, gehört zum Alltag. Dies gilt umso mehr, als auch nicht öffentlich zugängliche Informationen in Zeiten zunehmender Digitalisierung oft leicht und ohne größere Risiken erreichbar sind. Vor allem elektronische Angriffe, also gezielte Maßnahmen mit und gegen IT-Infrastrukturen, sind ein probates und wichtiges Mittel der Informationsgewinnung und -beeinträchtigung. Die Möglichkeiten reichen vom Ausspähen, Kopieren oder Verändern von Daten (z. B. von Kundenlisten oder Strategiepapieren) über den Missbrauch von Identitäten bis hin zur Übernahme und Sabotage von Produktions- und Steuerungseinrichtungen. Das Risiko, von Cyberangriffen betroffen zu sein, betrifft generell neben dem wirtschaftlichen und wissenschaftlichen auch den politischen Bereich als klassischem Betätigungsfeld von Nachrichtendiensten. Derartige technische Maßnahmen können zügig erfolgen, sind kostengünstig und weitgehend risikoarm, auch wenn eine Identifizierung der Urheber durchaus möglich ist.

Im Zusammenhang mit Cybersabotage ist an dieser Stelle die Ransomware-Gruppe „RagnarLocker“ zu erwähnen, die Daten verschlüsselte und im Falle der Verweigerung von Lösegeldzahlungen mit deren Veröffentlichung drohte. Erste Hinweise zu dieser international aktiven Gruppe gab es im April 2020. Mit ihren Angriffen auf die kritische Infrastruktur schädigte sie mehrere deutsche Unternehmen bzw. Organisationen. Unter den Angriffszielen befanden sich auch sächsische Firmen. Der Verfassungsschutzverbund – und somit auch die Spionageabwehr des LfV Sachsen – gaben Anfang 2022 einen Warnhinweis zur „RagnarLocker-Ransomware“ für KRITIS-Unternehmen heraus. Die Unternehmen wurden dabei über die damals bekannten Kompromittierungsindikatoren, einschließlich einer entsprechenden Warnung des FBI, informiert und entsprechend sensibilisiert. Vom 16. bis 20. Oktober 2023 gingen Strafverfolgungs- und Justizbehörden mehrerer Länder gegen die „RagnarLocker“- Gruppe in einer international koordinierten Exekutivmaßnahme vor und versetzten damit einem der gefährlichsten Ransomware-Akteure der vergangenen Jahre einen schweren Schlag. Es wurden Durchsuchungen in mehreren europäischen Ländern durchgeführt, wobei wesentliche Teile der Infrastruktur in Deutschland beschlagnahmt werden konnten. Der Haupttäter wurde festgenommen. Die Infrastruktur der „RagnarLocker-Ransomware“ und die zugehörige Datenleck-Website wurden gelöscht.

Neben der sogenannten Ransomware werden im Rahmen von Cyberangriffen u. a. klassische Trojaner-E-Mails oder Wasserloch-Angriffe mit Drive-By-Infektionen eingesetzt. Ausgangspunkt ist auch hier oft ein ausgefeiltes „Social Engineering“. Insbesondere Phishing- bzw. Spear-PhishingAngriffe sind für die potenziellen Opfer nur schwer zu identifizieren und stellen einen der Hauptangriffsvektoren dar. Ein Beispiel hierfür sind die anhaltenden Aktivitäten des Cyberakteurs „Ghostwriter“ im politischen Raum.

Das Sächsische Verwaltungsnetz ist nachweislich seit Jahren und mit steigender Tendenz Ziel zahlreicher Cyberangriffe, bei denen ein nachrichtendienstlicher Hintergrund nicht auszuschließen ist. Sie geben Anlass zu größter Wachsamkeit. Die Jahresberichte des Beauftragten für die Informationssicherheit des Freistaates Sachsen (zuletzt aus dem Jahr 2022) führen exemplarisch Angriffsmethoden und Angriffsmittel auf. Obwohl vergleichbare Erhebungen zu elektronischen Angriffen außerhalb der Verwaltung in Sachsen noch fehlen, besteht Grund zu der Annahme, dass Wirtschaft und Wissenschaft in vergleichbarem Ausmaß betroffen sind.

Bekanntermaßen haben die Nachrichtendienste Russlands in den vergangenen Jahren zunehmend Möglichkeiten zur Überwachung und Beeinflussung des Internetverkehrs erhalten, etwa durch Zugriffsmöglichkeiten auf IP- und E-Mail-Adressen, Telefonnummern und Daten aus sozialen Netzwerken. Sie gelten als Initiatoren verbreiteter und berüchtigter Angriffskampagnen, wie Sofacy, Sandworm, Snake und Energetic Bear. Solche hochkomplexen und mit hoher Professionalität geführten Kampagnen können über Jahre verborgen bleiben. Die Angreifer ändern immer wieder einzelne technische Komponenten, sodass sie die Kampagnen in abgewandelter Form auch weiterhin einsetzen können. Es zeigt sich deutlich, dass sich ein elektronischer Angriff keineswegs in einer einmaligen, punktuellen Maßnahme erschöpfen muss, sondern zu einer länger andauernden, komplexen, herausfordernden und mit großem Aufwand betriebenen Bedrohung heranwachsen kann (sog. Advanced Persistent Threat [APT]).

Der am 24. Februar 2022 durch die Russische Föderation begonnene und fortdauernde völkerrechtswidrige Angriffskrieg gegen die Ukraine wird begleitet durch das Agieren Russlands im Cyberraum. Desinformations- und Propagandakampagnen stellen die NATO und den Westen dabei als eigentliche Aggressoren dar. Das Bedrohungspotenzial und mögliche Auswirkungen des Krieges auf Deutschland sind auch im Cyberraum erheblich. Durch eine Vielzahl von beteiligten Akteuren entwickelte sich die Cyberlage sehr dynamisch und unübersichtlich. Neben Phishing-Kampagnen von APT29 gegen europäische Außenministerien ist auch der bereits bekannte Akteur „Ghostwriter“ weiterhin aktiv. Dieser ist in Deutschland seit 2021 bekannt und richtet sich vorrangig gegen Politiker. Grundsätzlich kann aber auch jeder Bürger dessen Opfer werden. Im Berichtsjahr wurden erneut Hinweise auf Angriffe von „Ghostwriter“ gegen deutsche E-Mail-Adressen des Providers „T-Online“ bekannt. In Sachsen richteten sie sich gegen E-Mail-Accounts im niedrigen einstelligen Bereich. Die Nutzer wurden vom LfV Sachsen informiert und entsprechend sensibilisiert. Eine tatsächliche Betroffenheit bestätigte sich in der Folge nicht.

Darüber hinaus sind insbesondere Unternehmen der Kritischen Infrastruktur (KRITIS) durch Cyberangriffe russischer APT’s bedroht. Im Verfassungsschutzverbund wurden umgehend Maßnahmen getroffen, um potenzielle Opfer zu kontaktieren und zu sensibilisieren. Im Verfassungsschutzverbund werden kontinuierlich technische Indikatoren, sogenannte Indicators of Compromise (IoC), analysiert und an die entsprechenden Bedarfsträger, insbesondere Unternehmen der KRITIS, zur Stärkung ihrer Resilienz übermittelt. Tatsächliche Anhaltspunkte für ein schädigendes Ereignis im Zusammenhang mit russischen APT’s liegen für den Freistaat Sachsen bislang nicht vor.

Chinesische Nachrichtendienste stehen gleichfalls im Verdacht, elektronische Angriffe gegen Einrichtungen in Deutschland initiiert zu haben. Im Jahr 2023 gab es Hinweise zu Aktivitäten der Cyberspionagegruppierung APT15 und APT 31. Die Cyberangriffe richteten sich dabei gegen Heimnetzwerk- bzw. Small Office/Home Office (SOHO)-Endgeräte. Diese Endgeräte, die für den Einsatz in Unternehmen geringerer Größe oder von Privatanwendern konzipiert sind, werden in wachsender Anzahl durch Cyberangreifer übernommen und in der Folge in Cyberangriffskampagnen durch die APT-Gruppierungen APT 15 und APT 31 gegen staatliche und politische Stellen genutzt. Sensibilisierungsmaßnahmen erbrachten keine Hinweise auf eine tatsächliche sächsische Betroffenheit. Mit den Auslandsaktivitäten chinesischer Nachrichtendienste im Internet korrespondiert die Errichtung einer immer stärkeren elektronischen Mauer zur Abschottung des Internets in China.

Weitere Akteure auf dem Feld der elektronischen Angriffe sind Angreifer aus dem Nahen und Mittleren Osten sowie aus Südostasien. Die Angreifer-Gruppierung Lazarus Group, der Verbindungen nach Nordkorea nachgesagt werden, richtete ihre Angriffe weltweit gegen zahlreiche Unternehmen und Forschungseinrichtungen, so auch in Deutschland. Sensibilisierungsmaßnahmen ergaben keine Betroffenheit sächsischer Einrichtungen.

Besondere Brisanz erhalten elektronische Angriffe dadurch, dass sie selbst bei ausgeprägtem Sicherheitsbewusstsein der Betroffenen und trotz Nutzung aktueller Schutzprogramme gegen Schadsoftware oft über längere Zeit unbemerkt bleiben können. Deshalb wendet sich das LfV Sachsen regelmäßig mit Warnmeldungen an potenzielle Opfer, um diese zu sensibilisieren.

Einflussnahme auf gesellschaftliche, politische und wirtschaftliche Entwicklungen

Sicherheitsgefährdende oder geheimdienstliche Tätigkeiten fremder Mächte galten auch im Berichtsjahr der Beeinflussung gesellschaftlicher, politischer und wirtschaftlicher Entwicklungen in Deutschland. Bereits in der Vergangenheit war zu verzeichnen, dass Russland mit zunehmender Intensität versuchte, die politische und öffentliche Meinung in Deutschland u. a. durch die mediale Verbreitung von Propaganda und Desinformationen in seinem Sinne zu beeinflussen. Als Mittel zum Zweck dienen dabei neben den sozialen Medien die russischen Staatsmedien. So verbreiten weltweit sendende TV-, Radio- und Internetkanäle gezielt Narrative im Sinne der russischen Führung. Einhergehend mit dem Angriffskrieg gegen die Ukraine setzt Russland seine Bemühungen fort, zentrale Narrative über seine Staatsmedien, sozialen Medien und Einflussakteure zu verbreiten.

Das Portfolio eingesetzter Mittel ist vielfältig und kann von dem bereits aus der Vergangenheit bekannten Einsatz von Einflussagenten über den zielgerichteten Aufbau und die Pflege von Kontakten zu Multiplikatoren in Politik und Wirtschaft, über regelrechte Propagandaoffensiven und dem damit verbundenen Versuch der Instrumentalisierung ganzer Bevölkerungsgruppen bis hin zu Einflussnahmeaktivitäten in der Wirtschaft reichen.

Die russischen Aktivitäten im Bereich der Propaganda und Desinformation bewegen sich weiterhin auf einem hohen Niveau. Dazu können auch Telefon- oder Videoanrufe der medial bekannten russischen „Prankster“ Vladimir KUZNETSOV und Aleksey STOLYAROV, alias „Vovan und Lexus“, gezählt werden. Beide rufen seit längerem unter falscher Identität Politikerinnen und Politiker sowie Personen des öffentlichen Lebens in westlichen Staaten an. Die „Pranks“ werden anschließend im Internet veröffentlicht und propagandistisch genutzt. Ausweislich entsprechender Medienberichte waren in Deutschland bereits mehrere aktive und ehemalige Politikerinnen und Politiker von solchen Anrufen betroffen.

Um das Risiko zu minimieren, selbst Opfer einer solchen Desinformations-/Einflussoperation zu werden, sensibilisierte das LfV Sachsen beispielsweise die Mitglieder des Sächsischen Landtages und der Staatsregierung sowie den Sächsischen Städte- und Gemeindetag in einem Schreiben für folgende Maßnahmen im Kommunikationsverhalten sowie für Verabredungen zu Video- oder Telefonanrufen:

Vergewissern Sie sich bezüglich der Identität des Kontakts durch Nutzung bereits bekannter Erreichbarkeiten und bekannter Kontakte.
Gleichen Sie die Kontaktdaten Ihres Kommunikationspartners genau mit bereits bekannten authentischen Erreichbarkeiten ab, um die Imitierung authentischer Erreichbarkeiten, etwa durch leicht abgewandelte E-Mail-Adressen, erkennen zu können.
Sofern bei Ihnen keine zur Verifizierung nutzbaren Kontakte vorliegen, binden Sie andere Stellen mit ein, die über solche Kontakte verfügen könnten.
Sehen Sie von der Durchführung von Video- oder Telefongesprächen im Zweifelsfall ab, wenn sich die Authentizität des Gegenübers nicht verifizieren lässt.

Chinesische Versuche der Einflussnahme zielen auf die deutsche Wirtschaft, insbesondere durch Direktinvestitionen. Gezielte chinesische Firmenbeteiligungen in ausgewählten Schlüsselbranchen im Ausland sind erklärter Bestandteil der Industriestrategie „Made in China 2025“ und machen auch vor dem Freistaat Sachsen keinen Halt.

Telefon:	0351 8585-0
Telefax:	0351 8585-500
E-Mail:	Verfassungschutz