Chimki, ein Vorort von Moskau, knapp 20 Kilometer vom Zentrum entfernt. Einst standen hier ein paar Datschen, inzwischen dominieren Industrie und Hochhäuser. Eines davon ist der "Turm", ein Wolkenkratzer mit gewölbter Glasfassade. Es ist das Gebäude, für das Chimki auf der ganzen Welt bekannt ist. Aus dem Turm heraus agiert nämlich eine der gefährlichsten Cybereinheiten, die für den russischen Militärgeheimdienst GRU arbeiten. Eine längst legendäre Einheit, die für eine ganze Reihe prominenter russischer Hackerangriffe verantwortlich ist, eine Einheit, über die schon ganze Bücher geschrieben wurden. Ihr Spitzname: Sandworm.

Genau dorthin, nach Chimki, wollen im Jahr 2020 Mitarbeiter der Firma Vulkan reisen. Ein Besuch beim Kunden stehe an, teilt der Projektmanager ihnen per E-Mail mit, sie sollen dort etwas testen. Nämlich eine Software namens Scan-V. Hinter diesem Kürzel verbirgt sich ein bislang unbekanntes Werkzeug, das Experten als offensiv beschreiben, also geeignet zur Vorbereitung von Cyberangriffen. "Für die erfolgreiche Durchführung der Veranstaltung halte ich Eure Teilnahme für erforderlich", schreibt der Manager von Vulkan. "Teilt bitte eure Passdaten mit." Das Gelände sei geschlossen, die Kontrollen streng.

Einblick in die Cyberkriegsmaschinerie

Vulkan ist das russische Unternehmen, das im Mittelpunkt der Vulkan-Files steht: eines Datenleaks, das erstmals einen tiefen Einblick in das Innere der russischen Cyberkriegsmaschinerie ermöglicht. Die Firma sitzt im Nordosten Moskaus. Dort, in einem achtstöckigen Bürokomplex, arbeiten auf mehreren Stockwerken etwa 135 Mitarbeiter. Kameras überwachen die Zugänge zu den Arbeitsräumen.

Und doch wirkt Vulkan nach außen wie ein unscheinbares IT-Unternehmen, von denen es weltweit tausende gibt. Auf ihrer Website gibt die Firma an, Unternehmen dabei zu helfen, "ihre Geschäfte zu schützen". Tatsächlich bedient Vulkan auch eher unverdächtige Kunden wie die Moskauer Börse und die Sberbank. Ein Imagefilm, in dem Mitarbeitende Virtual-Reality-Brillen tragen, verspricht, man könne bei Vulkan die "Welt zum Besseren verändern". Aber hinter dieser Fassade versteckt Vulkan Aufträge, für die sich westliche Geheimdienste, Sicherheitsexperten und auch die ukrainische Regierung schon länger interessieren. Sie werden nicht geheim bleiben.

Enge Verbindungen zu berüchtigten Hackern

Im März 2022, als Russland gerade seinen Angriffskrieg ausweitet und die ersten Bomben auf die Ukraine fallen, wendet sich eine Quelle an Journalisten. Sie überbringt eine Warnung: "Der GRU und der FSB verstecken sich hinter dieser Firma." Der FSB ist Putins Inlandsgeheimdienst, der GRU der Militärgeheimdienst – zu dem auch jene Sandworm-Einheit aus Chimki gehört, die erwähnte Hackergruppe, die hinter einigen der großen Cyberangriffe der vergangenen Jahre stecken soll. Sandworm attackierte zum Beispiel die Olympischen Spiele in Südkorea 2018, nachdem russische Athleten wegen systematischen Dopings nicht für ihr Land hatten antreten dürfen. Die Gruppe legte an Weihnachten 2015 die Stromversorgung in Teilen der Ukraine lahm und verursachte 2017 mit einem Virus, das die Gruppe in einer populären ukrainischen Buchhaltungssoftware versteckte, laut einer Schätzung des Weißen Haus weltweit einen Schaden von etwa zehn Milliarden Dollar.

Ob die Vulkan-Mitarbeiter in Chimki tatsächlich Sandworm besuchen, geht aus den E-Mails nicht endgültig hervor. Eine Anfrage des STANDARD ließ Vulkan bis zum Redaktionsschluss unbeantwortet. Bislang geheime Dokumente, die die Quelle in den Tagen nach der ersten Nachricht überspielt, zeigen jedoch: Vulkan hat enge Verbindungen zum Militärgeheimdienst GRU, dem Inlandsgeheimdienst FSB und auch zum Auslandsgeheimdienst SWR. Sandworm ist eine Einheit des GRU. Es liegt damit nahe, dass der Besuch in Chimki der Hackergruppe galt. Das ist aber nicht alles: Die Firma befindet sich inmitten eines riesigen Geflechts aus Militär, Industrie und wissenschaftlichen Instituten, das bislang weitgehend undurchsichtig war – und in das die Vulkan-Files nun Einblick gewähren.

Dass Privatunternehmen und Geheimdienste zusammenarbeiten, ist grundsätzlich nicht ungewöhnlich. Auch der Whistleblower Edward Snowden, zum Beispiel, war nicht für den US-Geheimdienst NSA selbst tätig, sondern für eine Firma namens Booz Allen Hamilton, die wiederum für die NSA arbeitete. Spätestens seit Snowdens Enthüllungen weiß man, wie eng der amerikanische Staat mit Unternehmen aus der Privatwirtschaft kooperiert. Aus China und Indien ist ebenfalls bekannt, wie wichtig die private Industrie in diesem Bereich ist. In Bezug auf Russland wussten aber bislang selbst Experten nur wenig über die Cyberaktivitäten dieses militärisch-industriellen Komplexes.

"Nicht nur Daten sammeln"

Die geleakten Dokumente von Vulkan ermöglichen nun, in diese Welt einzutauchen. Die Firma wurde 2010 gegründet, von Alexander Alexandrowitsch Irschawski und Anton Wladimirowitsch Markow. Zumindest Irschawski hat enge Verbindungen zu Regierung und Geheimdiensten: Der Vulkan-Gründer ist regelmäßiger Gast bei Konferenzen des Verteidigungsministeriums – und bei einem Verkehrsverstoß gab er als seine Adresse die eines Instituts an, das mit dem Militärgeheimdienst GRU verbunden ist. Viele von Vulkan sind Absolventen der Moskauer Bauman-Universität, einer Kaderschmiede mit engen Verbindungen zu Verteidigungsministerium und FSB. Vulkan rekrutiert dort offenbar sehr aktiv und wirbt unter Bauman-Studierenden gezielt um Nachwuchs. Auch im russischen IT-Sektor gibt es Gerangel um die besten Fachkräfte. Dennoch sind sich wohl nicht alle Bewerber bewusst, für welche Art an Auftraggebern sie bei Vulkan tätig sein werden.

"Als ich angefangen habe, für die Firma Vulkan zu arbeiten, war mir nicht klar, woran ich arbeiten werde", sagt ein ehemaliger Angestellter von Vulkan dem STANDARD. Das Treffen findet Ende Februar statt, in einer grauen Betonbausiedlung, irgendwo in der westlichen Welt. Auf Linkedin hatte er angegeben, für Vulkan tätig gewesen zu sein. Anders als viele andere ehemalige Mitarbeiter, die DER STANDARD kontaktiert hat, gibt er bereitwillig Auskunft über seinen früheren Arbeitgeber. Das hat einen Grund: "Später habe ich mich mehr für Politik interessiert und verstanden, dass etwas nicht zusammenpasst", sagt er. "Dass wir nicht einfach nur Daten sammeln. Sondern dass wir sie für die russischen Geheimdienste nutzen." Er sympathisiert mit dem Oppositionellen Alexej Nawalny, will irgendwann nichts mehr mit der Arbeit für Vulkan zu tun haben – und beginnt ein neues Leben im Westen.

Geheimdienste haben Vulkan im Blick

Diese Zusammenarbeit zwischen Vulkan und Geheimdiensten nehmen IT-Sicherheitsfirmen schon seit längerem wahr, einzelne hatten das Unternehmen sogar schon 2012 auf dem Radar. Google ist die Firma bereits 2012 in Zusammenhang mit einem Angriff von "Cozy Bear" aufgefallen, einer Hackinggruppe, die wohl zum Auslandsgeheimdienst SWR gehört. Sie ist eine der beiden russischen Gruppen, die sich vor den US-Präsidentschaftswahlen 2016 in das Netzwerk der Demokraten gehackt haben sollen. Vulkan hat also offensichtlich schon wenige Zeit nach der Gründung Aufträge für die russische Regierung erledigt.

Auch mehrere westliche Geheimdienste haben Vulkan schon seit einiger Zeit im Blick. Es gebe dutzende Privatfirmen, die dem Staat helfen würden. Vulkan sei eine "sehr interessante" Firma, wie es ein Mitarbeiter eines europäischen Dienstes formuliert. "Vulkan ist ein sehr gutes Beispiel dafür, dass Geheimdienste in Russland auf Privatfirmen und Forschungseinrichtungen angewiesen sind." Die Firma helfe dem GRU bei seiner Mission. "Firmen wie Vulkan ermöglichen es dem GRU, seine Cyberoperationen durchzuführen." Die jetzt bekannt gewordenen Dokumente seien nie für die Öffentlichkeit bestimmt gewesen. "Es lohnt sich, ihnen Beachtung zu schenken. Denn durch die Dokumente versteht man viel besser, was der GRU vorhat." 2013 sei der erste Vertrag zwischen Vulkan und dem Militärgeheimdienst abgeschlossen worden. "Soweit wir wissen, gibt es Verträge, die bis heute laufen."

Die Sandworm-Spur

Die Vulkan-Files zeigen nun anhand von tausenden Seiten an Dokumenten und Nachrichten, wie eng das Unternehmen tatsächlich mit verschiedenen russischen Geheimdiensten zusammenarbeitet. Eines der besonders interessanten Dokumente ist die E-Mail über die Dienstreise nach Chimki, die erste Spur zu einem Geheimdienst. Die Hackergruppe Sandworm taucht zusätzlich an anderer Stelle im Leak auf, unter ihrer Feldpostnummer 74455. Dabei ist die Gruppe nicht die einzige Verbindung zwischen Vulkan und dem Militärgeheimdienst GRU: An Vulkans Projekt "Scan-V" ist auch ein Forschungszentrum beteiligt. Mehrere russische Medien und das amerikanische Finanzministerium ordnen das Institut dem GRU zu, es sei Teil der Bemühungen für "offensive Cyberoperationen". Dabei handelt es sich um genau das Institut, dessen Adresse der Vulkan-Gründer Irschawski bei der Hauptdirektion für Verkehrssicherheit angegeben hatte. Öffentlich nachvollziehbar ist auch, dass das Institut und Vulkan einen Prozess um offene Rechnungen geführt haben.

Zweitens finden sich in den Dokumenten Spuren zum Inlandsgeheimdienst FSB, es geht um die Zusammenarbeit mit einem weiteren Forschungsinstitut, dieses Mal in Rostow am Don. Dieses wurde von dem Geheimdienst gegründet – und hat mehr als drei Millionen Dollar an Vulkan überwiesen, wie geleakte Überweisungsdaten belegen, die dem "Spiegel" vorliegen und insgesamt Zahlungen von mehr als drei Jahren umfassen. Auch der frühere Mitarbeiter, der mit dem "Spiegel" gesprochen hat, sagt: "Ich denke, dass die Hauptauftraggeber von NTC Vulkan der FSB und andere Sicherheitsdienste der Russischen Föderation sind."

"Alle eventuellen Mängel identifizieren und beseitigen"

Im Sommer 2018 plant Vulkan laut den E-Mails, eines seiner großen Projekte in dem FSB-Forschungsinstitut in Rostow zu präsentieren: Amezit, eine Software zur umfassenden Informationskontrolle, die etwa in besetzten Gebieten eingesetzt werden könnte. Das ist ziemlich aufwendig: Zuerst muss ein Transportunternehmen die Ausrüstung nach Rostow bringen, zwei Tage lang sollen es dann Vulkan-Mitarbeiter vor Ort aufbauen ("alle eventuellen Mängel identifizieren und beseitigen"), frühestens am dritten Tag soll das Tool vorgeführt werden. Ob die Reise am Ende tatsächlich stattgefunden hat, ist aus den Dokumenten nicht ersichtlich.

Und es gibt noch eine dritte Spur zu einem Geheimdienst, die in den Daten auftaucht: dem SWR. Dieser russische Dienst schickt unter anderem Agenten ins Ausland, wie im Spionagethriller. 2011 flog zum Beispiel ein russisches Agenten-Ehepaar auf, das 23 Jahre lang unter den Tarnnamen Andreas und Heidrun Anschlag in Deutschland lebte. Die Agenten sollen dem SWR mehrere Hundert politische und militärpolitische Dokumente zu EU und Nato geliefert haben, unter anderem über USB-Sticks in Erdlöchern und Geheimbotschaften in den Kommentarspalten von Youtube. Eben dieser Auslandsgeheimdienst überwies von 2019 bis 2022 auch mindestens 2,8 Millionen Dollar an Vulkan, wie aus den Daten hervorgeht. Wofür? Das bleibt erstmal unklar, der Betreff der Überweisungen weist auf einen Vertrag hin, und es scheint einen Bezug zu einer Militäreinheit zu geben.

Vulkan ist offenbar bestens verdrahtet – mit drei verschiedenen Geheimdiensten und zahlreichen undurchsichtigen Instituten und Forschungseinrichtungen. Deutlich wird aus den geleakten Dokumenten auch, dass zumindest ein Teil der Tools von Vulkan für militärische Zwecke gedacht ist: für Aufklärung, für die Vorbereitung von möglichen Hackingangriffen, für die Umleitung des Datenverkehrs im Internet, für das Erstellen von Fake-Accounts in sozialen Medien. All das liest sich leicht weg, in jedem einzelnen dieser Fälle kann es aber zu massiven Konsequenzen kommen – für Menschen, die auf der anderen Seite dieser Aktionen stehen. Im Moment mutmaßlich Menschen in der Ukraine, generell kann das meiste davon überall geschehen, wo es Internet gibt. Auch in Österreich. (Sophia Baumann, Christo Buschek, Maria Christoph, Dajana Kollig, Hannes Munzinger, Hakan Tanriverdi, 30.3.2023)