Russland : Doppelgängerkampagne: Sind wir gewappnet gegen den Informationskrieg-as-a-service?

Russische Desinformation und Beeinflussungskampagnen kennen wir spätestens seit der US-Wahl 2016. Die damaligen Beeinflussungsversuche durch Nachrichtendienste und die „Internet Research Agency” waren vergleichsweise krude, billig, improvisiert und im Umfang begrenzt. Spult man einige Jahre vor, zeigt sich aber die Evolution der Kampagnen. Im Herbst 2022 wurde die Doppelgänger-Desinformationskampagne aufgedeckt, die bis heute läuft und viel breiter und systematischer ist als angenommen. Ihr Kern ist, dass russische Desinformationsakteure westliche Webseiten wie „Der Spiegel“, „Washington Post“, Fox News, „Bild“ oder „Le Monde“ nachgebaut und dort neben den richtigen Inhalten auch News mit russischen Desinformationsnarrativen platziert hatten. Links zu diesen Fake-News wurden dann tausendfach über Social Media und Kommentarspalten legitimer Medien geteilt.

Während die Inhalte der Kampagne mittlerweile von vielen Initiativen gegen Desinformation ausgewertet werden, war bisher weniger über die Infrastruktur dahinter bekannt. Vom FBI ermittelte Dokumente in Form von PR-Material und aufgezeichneten Gesprächen zeichnen erstmals ein umfassenderes Bild. Beteiligt sind demnach diverse russische PR- und Social-Media-Agenturen. Zu ihren Dienstleistungen zählen das Sähen von Angst, Unsicherheit, Zweifel und Hass. Langfristiges Ziel ist es, soziale Unruhen zu schüren, die westlichen demokratischen Systeme und politischen Parteien zu delegitimieren und nationalistische Parteien in Regierungspositionen zu bringen (die Dokumente verbergen nicht, welche Parteien damit gemeint sind).

KGB-Techniken im digitalen Marketing

Analysiert man Doppelgänger, zeigt sich eine Kombination von alten KGB-Zersetzungstaktiken vermischt mit Elementen moderner Cyberkriminalität und digitalem Marketing. In den 1980er Jahren beschrieb der tschechische KGB-Überläufer Ladislav Bittmann diesen Desinformationszyklus: Zunächst werden irreführende Informationen mit überzeugenden Narrativen (zum Beispiel „Flüchtlinge belasten den Sozialstaat“) erzeugt. Diese werden dann über anonyme Quellen an Journalisten gegeben oder über unwissende, ideologienahe Sprachrohre mit großem gesellschaftlichem Einfluss verbreitet. Zuletzt verstärkt man die Botschaften durch Wiederholung und flankierende Berichterstattung über RT, Sputnik und Co.. Die Operation hat Erfolg, wenn die Narrative von etablierten Medien und Politikern aufgegriffen und weit verbreitet werden.

Die vom FBI veröffentlichten Dokumente verdeutlichen, wie einfach es im Zeitalter von generativer KI geworden ist, plausibles Desinformationsmaterial in Form von Bildern, Videos und Text in Masse zu produzieren. Besonders glaubhafte Narrative vermischen Fakten mit suggestiven Halbwahrheiten und verwenden Emotionalisierung und Empörung. Die Qualität der Informationen spielt weniger eine Rolle als ihre Quantität. Relevanter scheint, dass die Veröffentlichung und Amplifikation mit modernen Methoden des digitalen Marketings, in Form von Daten-Analyse-Pipelines und einem Hauch cyberkriminellem Know-how einfacher und effektiver geworden ist und eine historisch nie dagewesene Reichweite erzeugt. Die russischen PR-Agenturen bieten einen „Informationskrieg-as-a-Service” an.

Analyse des westlichen Informationsraums

Dazu gehören eine Reihe von Diensten, wie die systematische Beobachtung ukrainischer und westlicher Medien durch dezidierte Analyseteams, um gesellschaftliche Narrative und Spannungslinien zu identifizieren. Dazu verwendet man scheinbar moderne Data-Science-Methoden, um diverse Nachrichtenfeeds zu aggregieren, semi-automatisch zu analysieren und die Ergebnisse visuell aufzubereiten. Desinformationsdashboards messen Resonanz und Click-rates von authentischen und gefälschten Narrativen und verfolgen deren Lebenszyklus. Auch wird der Erfolg westlicher Gegenkommunikation beziehungsweise „antirussischer Narrative“ etwa durch die ukrainische Regierung oder zivilgesellschaftliche Maßnahmen zur Desinformationsbekämpfung („fact checking“, „debunking“) gemessen.

Die Agenturen behaupten zudem, systematisch ukrainische und westliche Influencer zu analysieren. In den Dokumenten ist von mehr als 2800 Personen in 81 Ländern die Rede. Die Posts von Influencern werden gesammelt und in Datenbanken gespeichert, um Rückschlüsse auf die Resonanz bei ihren Followern zu schließen und ihre Reichweite zu messen. Ziel ist es, jene Posts zu identifizieren, die (unwissentlich) russische Positionen vertreten, um diese dann massiv zu verstärken. Das geschieht durch Retweets und Likes durch Social-Media Accounts (inklusive der berühmten Bots). Dabei werden die „Like-Algorithmen“ moderner Social-Mediaplattformen ausgenutzt. In den USA beginnt man gerade damit, die Rolle von instrumentalisierten Influencern zu begreifen. In Deutschland gibt es noch viele Fragezeichen.

Giftige Kommentare x 100000

Russische PR-Agenturen analysieren außerdem die Kommentarfunktionen ukrainischer und westlicher Nachrichtenseiten und verfolgen die meistdiskutierten Themen. Das bedeutet, dass sie vermutlich im Hintergrund mehrere Website-Crawling-Dienste eingerichtet haben, die automatisch Nachrichten-Websites durchsuchen, alle Kommentare im Kommentarbereich sammeln, sie in einer Datenbank speichern und mit den Daten eine linguistische Analyse durchführen. Dazu gehören eine Themen- und Stimmungsanalyse, also welche Themen viel „Engagement” produzieren und welche Stimmungen sie auslösen. Das Ganze wird laut des veröffentlichten Berichts mit KI ausgewertet. Ziel ist es, Verhaltensmodelle von Nutzerinnen und Nutzern zu erstellen und ihre Empfänglichkeit für bestimmte Narrative zu berechnen. Man will messen, wie sie auf bestimmte Geschichten reagieren. Die Narrative, die am besten wirken, werden dann besonders stark verstärkt. Zudem kann die Sensibilität für bestimmte Themen gezielt für die Amplifikation, zum Beispiel mittels Micro-Targeting gekaufter Werbeanzeigen ausgenutzt werden – wie es etwa im Fall von Cambridge Analytica der Fall gewesen ist. Von bis zu einer Million Werbemaßnahmen im Monat ist in den Dokumenten die Rede.

Ergänzend dazu hat man offenbar eine automatisierte „Kommentar-Maschine” programmiert, die massenhaft Kommentare in ukrainische und westliche Nachrichtenseiten eingibt. Zielmarke 100.000 Kommentare pro Monat – für Deutschland und Frankreich soll sie allein bei 60.000 Kommentaren im Monat liegen. Wir gelten als besonders vulnerabel. Aber nicht nur Nachrichtenseiten, Twitter und Facebook sind im Visier, sondern alle sozialen Medien. Für Tiktok und Instagram bieten die Agenturen die Erstellung von 30 Sekunden Clips an (50 pro Monat). Für Meme-Plattformen wie 9Gag und 4chan wurde ein Meme-Generator für lustige, politisierte Bildchen entwickelt (etwa 200 pro Monat). Zudem werden Schreibdienste für Kurzbeiträge (200 pro Monat) oder längere Analysestücke, zum Beispiel für Fake-Nachrichtenseiten, angeboten (circa 70 pro Monat). Die Agenturen erstellen auf Wunsch auch Telegramkanäle. Der Service beinhaltet 40 News-Items pro Tag.

Desinformations-KPI

Es zeichnet sich das Bild einer umfassenden, teilautomatisierten Desinformations-, Produktions- und Amplikfationspipeline, die Tools bereithält, um einfach Fake-Material zu erstellen und automatisiert in alle erdenklichen Kanäle des Informationsraums moderner Gesellschaften einzuspeisen. Dazu kommt die Verbreitung über „offene” Propagandakanäle wie RT, Sputnik oder offizielle Regierungsaccounts. Die Amplifikation übernehmen die Algorithmen der Social-Media-Plattformen und die Marktdynamiken.

Dahinter scheinen umfassende Datenanalysetools zu laufen, die den Erfolg der produzierten Inhalte messen. Wie für PR-Agenturen üblich, werden für alle Dienstleistungen Key-Performance-Indikatoren (KPI) angegeben, die den Erfolg der Desinformationskampagne messbar machen sollen. Zudem werden in Zielgesellschaften soziologische Schlüsselindikatoren erfasst, wie beispielsweise Meinungsumfragen zu bestimmten Themen, die im Desinformationsmaterial aufgegriffen wurden.

Cyberkriminelle Energie

Technisch betrachtet nutzt die Kampagne einige Elemente aus, die wir aus der Cyberkriminalität kennen, wie etwa Typosquatting. Das bedeutet, dass man eine Internetdomäne registriert, die wie eine legitime Domäne aussieht, aber nicht dieselbe ist. Sie kann Tippfehler (typo) enthalten, beispielsweise www.tagesspeigel.de anstelle von www.tagesspiegel.de. Die russischen Desinformationsakteure nutzen dabei einen Umstand des freien und offenen Internets aus: Jeder kann eine DNS-Adresse registrieren, eine Website hosten und sie mit einer DNS-Adresse verknüpfen. Wo es Hintergrundchecks gibt, können sie leicht mit gestohlenen Identitäten und Kreditkartendaten umgangen werden. Die russischen Akteure verschleierten ihren Zugriff offenbar auf diese Online-Services mittels Proxyservern. Das ist ein etabliertes Vorgehen von Cyberangreifern.

Das FBI gab an, insgesamt 30 DNS-Domänen mit gefälschten Nachrichtenseiten von den DNS-Registries übernommen und auf eigene IP-Adressen umgeleitet zu haben. Zudem wurden die Daten einiger dieser Proxy-Dienste auf US-Territorium beschlagnahmt. Dabei zeigte sich, dass diese teils über IP-Adressen aus Deutschland gesteuert oder mit deutschen E-Mail-Adressen registriert wurden. Die Beschlagnahmung zeigt auch eine andere Schwachstelle des freien und offenen Internets: Häufig wurden diese Dienste mit Kryptowährungen bezahlt.

Zudem wurden „Virtual Currency Exchanges” (VCE), also Währungsbörsen, ausgenutzt. Das sind Internetplattformen, die den Kauf, Verkauf und Handel von digitalen Währungen wie Bitcoin mit Echtgeld ermöglichen. Einige dieser VCE wurden vom FBI beschlagnahmt. Damit erhielt man Zugang zu allen Transaktionsprotokollen, Konten und IP-Adressen. Das FBI fand heraus, dass der Zugriff auf diverse Geldwäschekonten von IP-Adressen mit Sitz in Moskau während der Moskauer Bürozeiten stattfand.

Fazit

Die Mischung aus KGB-Desinformationstechniken, generativer KI, Data-Science, Verhaltensanalyse, Cyberkriminalität und der hohe Grad der Automatisierung dieses Informationskrieg-as-a-service sind erstaunlich. Allerdings handelt es sich bei den Dokumenten um PR-Material, was natürlich die eigenen Fähigkeiten überzeichnet gegenüber eigenen Geldgebern darstellt. Zudem sind einige der Annahmen und verwendeten Methoden wissenschaftlich umstritten. Aber selbst wenn nur die Hälfte von dem funktioniert, was in den Dokumenten genannt wird, dürfte das eine gewisse Schlagkraft qua seiner Masse haben. Zudem zeichnet es den Entwicklungspfad für die Zukunft voraus: Selbst, wenn das heute so alles bisher nicht funktioniert, zeigt es die Ziele, die man in Zukunft erreichen will.

In Informationskriegsstrategien wird oft von „Informationsüberlegenheit” gesprochen. Die Doppelgängerkampagne zeigt, was das bedeuten kann. Denn ihre Werkzeuge können einen enormen „Intelligence-Vorteil“ generieren. Die systematische KI- und datengetriebene Auswertung sämtlicher Informationskanäle und Verhaltensanalyse ganzer Gesellschaften birgt einige schwierige grundrechtliche Fragen für Demokratien. Autoritäre Staaten kümmert dies nicht und so dürfte man gegenwärtig, quantitativ und qualitativ in einer anderen Liga spielen. Man kann auch schlussfolgern, dass eine so systematische Bemühung mit hohem Personal- und Geldaufwand Ad-hoc-Initiativen aus der Zivilgesellschaft zum „fact-checking” und „debunking” von Desinformation überlegen sein dürfte. Denn wie wirksam ist „fact-checking” gegen einen Akteur, der solche Maßnahmen bereits antizipiert und die eigene Kampagne längst darauf eingestellt hat?

Es ist auch fraglich, ob unsere eigenen eher digital-konservativen Sicherheitsbehörden mit den gezeigten technischen Innovationen mithalten können und rechtlich dürfen. Mit ein paar analogen Kontaktstellen, interministeriellen Austauschformaten und verhältnismäßig langsamen Aufklärungskampagnen, die vermutlich nicht die gleiche Reichweite entfalten wie Influencer im Social-Media-Zeitalter, wird es in Zukunft nicht getan sein.

Matthias Schulze ist der Leiter des Forschungsschwerpunkts Internationale Cybersicherheit am Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg (IFSH).

In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Bisher von Schulze erschienen: Wie wir resilienter gegen russische Beeinflussungsversuche werden können