Der russischen IT-Firma NTC Vulkan wird Zusammenarbeit mit den russischen Geheimdiensten vorgeworfen. Dies geht aus zahlreichen veröffentlichten Dokumenten, den "Vulkan-Files" hervor. Brisant ist besonders die Verbindung zu westlichen Firmen und die Einflussnahme auf politische Prozesse.

Mehr aktuelle News

Russland hat laut Recherchen mehrerer internationaler Medien großangelegte Cyberangriffe mithilfe privater Softwarefirmen vorbereitet. Aus vertraulichen Dokumenten soll hervorgehen, dass die Moskauer IT-Firma NTC Vulkan Werkzeuge entwickelte, mit denen staatliche Hacker Cyberangriffe planen, Internetverkehr filtern sowie massenhaft Propaganda und Desinformation verbreiten könnten. Über die sogenannten Vulkan-Files berichteten als Erstes die Recherche-Gruppe um "Süddeutsche Zeitung", "Der Spiegel" und "ZDF".

Vulkan-Files: Woher kommen die Unterlagen?

Der "Süddeutschen Zeitung" wurden nach eigenen Angaben kurz nach Beginn des russischen Angriffs auf die Ukraine interne Unterlagen aus den Jahren 2016 bis 2021 von einer anonymen Quelle zugespielt. Die Zeitung wertete sie gemeinsam mit internationalen Medienpartnern aus. Demnach halten Cybersicherheitsexperten und mehrere westliche Geheimdienste die Unterlagen für authentisch.

Was steht in den Vulkan-Files?

Die Vulkan-Files bestehen laut SZ aus tausenden Tabellen, E-Mails, Bildern und Präsentationen. Darin werden verschiedene Hard- und Softwaresysteme beschrieben. Auch die Verbindung zu russischen Geheimdiensten gehen daraus hervor. Die geleakten Dokumente geben einen detaillierten Einblick in die Arbeitsweise des Unternehmens und dessen Verbindungen in Russland.

Die Files enthalten auch Schulungsdokumente, in denen den Berichten zufolge mögliche Angriffsziele benannt werden, darunter das "Lahmlegen von Kontrollsystemen von Eisenbahn-, Luft- und Schiffstransport" und die "Störung von Funktionen von Energieunternehmen und kritischer Infrastruktur".

Wer ist die Firma Vulkan?

Vulkan ist nach Angaben der SZ ein gut vernetzter IT-Konzern mit Sitz in Moskau. Auf der Internetseite des Unternehmens heißt es, man arbeite als Dienstleister für internationale Firmen – darunter auch Firmen aus dem Westen. So soll Vulkan 2020 und 2021 den Aufbau der IT-Infrastruktur der russischen Tochter der VW-Bank begleitet haben. Auch der amerikanische Computerhersteller Dell hatte mit Vulkan bis 2020 zusammengearbeitet. Mit dem Angriff auf die Ukraine 2022 wurden dann die letzten Verbindungen zwischen den beiden Firmen gekappt.

Die Firma Vulkan kooperiere außerdem mit den wichtigsten russischen Geheimdiensten FSB (Inlandsgeheimdienst), GRU (Militärgeheimdienst) und SWR (Auslandsgeheimdienst). Zudem soll es zwei Projekte zwischen dem Unternehmen und dem russischen Verteidigungsministerium gegeben haben. Weiter heißt es bei der SZ, die Firma sei staatlich lizenziert "für die Entwicklung und Herstellung von Mitteln zum Schutz von vertraulichen Informationen" oder "für die Ausübung von Tätigkeiten, die die Nutzung von Informationen beinhalten, die ein Staatsgeheimnis darstellen".

Weder die Firma noch der Sprecher des Kremls äußerten sich laut der Berichte zu den Darstellungen auf Anfrage.

Was hat Vulkan genau hergestellt?

Die Firma entwickelte verschiedene Softwareprodukte. Ein Programm soll beispielsweise die Schwachstellen von Netzwerken aufspüren und in geheimen Datenbanken abspeichern können. Ein weiteres gilt als "digitale Allzweckwaffe". Es kann wohl in bestimmten Regionen eingesetzt werden, um die dortige Bevölkerung vom Internet abzuschneiden und sie somit zu isolieren. Es soll aber auch ein Programm geben, mit dem soziale Medien überwacht werden und mit Propaganda überflutet werden können.

Ist Vulkan gefährlich?

"Vulkan ist eine Säule des russischen Polizeistaats. Vulkan entwickelt Software, die gegen das eigene Volk und gegen andere Länder eingesetzt werden kann", berichtete ein ehemaliger Vulkan-Mitarbeiter laut "ZDF". Ob und wo die Programme eingesetzt worden sind, lässt sich demnach nicht nachvollziehen. Die Dokumente belegten jedoch, dass die Programme beauftragt, getestet und bezahlt worden sind.

Derzeit arbeiten rund 135 Menschen für Vulkan. Doch laut der anonymen Quelle wüssten viele der Mitarbeiter nichts von den geheimen Geschäften mit der russischen Führungsetage. Die Firma habe einen "doppelten Boden", sagte ein früherer Angestellter. Ein Mitarbeiter eines westlichen Geheimdienstes sagt, es seien "Firmen wie Vulkan, die dem GRU helfen, Cyberangriffe auszuführen".

Bedenklich ist auch, dass zahlreiche Ex-Vulkan-Mitarbeiter inzwischen hohe Positionen in westlichen Unternehmen einnehmen. Demnach soll ein Ex-Chefentwickler der Firma als "Senior Software Development Engineer" bei Amazon Web Services (AWS) arbeiten, dem weltgrößten Anbieter von Cloud-Computing. Viele führende Firmen der Welt lagern hier ihre Daten oder gleich große Teile ihrer IT, darunter Netflix, Vodafone, die NASA, die US-Marine und die meisten Dax-Konzerne, von Allianz bis Volkswagen, heißt es beim "Spiegel".

Weitere Mitarbeiter arbeiten unter anderem für Siemens in München oder für Reiseportale wie Booking und Trivago. Laut "Spiegel"-Recherche sollen dutzende ehemalige Mitarbeiter von Vulkan in westlichen Firmen arbeiten, wollen aber nicht über ihre Vergangenheit bei Vulkan sprechen – ob aus Angst vor Vergeltung oder Sorge, ihre Tarnung könnte auffliegen, ist nicht ganz klar.

Innenministerin Nancy Faeser (SPD) ist jedenfalls alarmiert. Sie sagte im "Spiegel"-Interview: "In kritischen Bereichen brauchen wir strikte Sicherheitsüberprüfungen, das ist mir sehr wichtig. Wir wollen das Gesetz dazu verschärfen, um Personen in besonders sicherheitsrelevanten Bereichen – auch unserer kritischen Infrastruktur – strenger überprüfen zu können."

Was ist noch über Vulkan bekannt?

Mit den Dokumenten sollen sich auch zahlreiche Verbindungen zu bekannten russischen Hackergruppen nachweisen lassen. So soll laut SZ Vulkan Software für die Hackergruppe Sandworm hergestellt haben. Die Gruppe ist dem GRU unterstellt und soll für verheerende Cyberangriffe verantwortlich sein. Bereits 2012 sollen Mitarbeiter von Vulkan versucht haben, Sicherheitssysteme von Google zu umgehen. Später wurden über Gmail-Konten Schadsoftware und Phishing-Mails verschickt.

Dabei kam die Schadsoftware "MiniDuke" zum Einsatz. Diese gehört zum Repertoire der Hackergruppe APT29, die dem Auslandsgeheimdienst SWR zugerechnet wird. Man kennt sie auch unter den Namen "Cozy Bear" oder "The Dukes". Der Gruppe wird unter anderem vorgeworfen, die Demokraten im Vorfeld der US-Wahl 2016 ausspioniert zu haben. Außerdem sollen sie für Angriffe auf die Regierungen in Norwegen und den Niederlanden sowie für die Solar-Winds-Lieferkettenattacke verantwortlich gewesen sein.

Verwendete Quellen:

  • Material von der dpa
  • ZDF: "Vulkan Files": Russland plant den Cyberkrieg
  • Der Spiegel: Was treiben Moskaus Cyberkrieger in westlichen Konzernen?
  • Süddeutsche Zeitung: Was sind die Vulkan Files?
Interessiert Sie, wie unsere Redaktion arbeitet? In unserer Rubrik "So arbeitet die Redaktion" finden Sie unter anderem Informationen dazu, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte kommen. Unsere Berichterstattung findet in Übereinstimmung mit der Journalism Trust Initiative statt.
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.