Militärgeheimdienst - Der lange Arm des GRU

Cyberattacken, Putschversuche und auch Giftmord werden dem russischen Militärgeheimdienst GRU zugeschrieben. GRU Agenten sollen in Großbritannien den Ex-Agenten Skripal vergiftet und in Montenegro einen Staatsstreich geplant haben. Bei ihren Aktionen unterlaufen den russischen Agenten offenbar aber auch immer wieder spektakuläre Fehler, wie zuletzt in den Niederlanden, wo ein Hacker-Team des GRU festgenommen worden ist. Und: Der lange Arm des GRU reicht auch nach Deutschland.

Anmoderation: Manchmal ist Hacking auch staatlich gewollt. Wenn es darum geht, Wahlen zu manipulieren oder Wahrheiten zu verschleiern. Lautlos SOLL es sein - spurlos aber bleibt es nicht immer. Wie im Fall des russischen Millitär- geheimdienstes, der unter anderem für den Angriff auf den Bundestag verantwortlich sein soll.   Arndt Ginzel und Chris Humbs.

Der Bundestag wird angegriffen. 2014 stehlen Hacker 19.000 vertrauliche Emails.

2015 - Das Computernetz des Bundestages muss nun komplett heruntergefahren werden.

Wieder ein Cyberangriff - wieder das  gleiche Prinzip. Hacker erbeuten Kennwörter und 16 GB Daten.

Betroffen:  Abgeordnete, die sich mit Russlandthemen befassen. So wie

Marieluise Beck. Wer hinter dem Angriff steckt, wird sie erst zwei Jahre später erfahren.

Marieluise Beck, (Bündnis 90/Die Grünen)

"Ich wurde im September 2016 vom MBC angerufen, einer amerikanischen Fernsehstation, die mich fragten, ob sie bei mir im Büro filmen dürfen, denn mein Büro sei ja vom gleichen Hackerteam angegriffen worden, wie die Kampagne von Hilary Clinton."

2016 - die Hochphase im US-Wahlkampf. Hacker brechen in die Computersysteme der US-Demokraten ein.

Die gestohlenen Dokumente werden dann veröffentlicht. Es ist Vertrauliches dabei, auch Diskreditierendes. Clintons Umfragewerte fallen.

Die Staatsanwaltschaft ermittelt, wegen Wahlmanipulation durch einen fremden Staat.  Beschuldigt: zwölf Agenten von zwei speziellen Cyber-Abteilungen des russischen Militärgeheimdienstes, kurz GRU.

In diesem Moskauer Hochhaus firmiert nach Erkenntnissen der US-Ermittler eine der Cyber-Abteilungen des GRU.  Weitere GRU-Hacker  operieren von diesem unscheinbaren Haus aus, im Zentrum der russischen Hauptstadt.

Den Vorwurf, hinter den Attacken zu stecken, streitet der Kreml ab – es könnten höchstens irgendwelche Freiwilligen sein:

Wladimir Putin, Präsident Russland

 "Hacker sind freie Menschen, sie wachen morgens auf und lesen, was da los ist in internationalen Beziehungen. Und wenn sie patriotisch sind, dann leisten sie ihren, wie sie meinen, guten Beitrag im Kampf gegen die, die schlecht über Russland reden. Ist das denkbar? Theoretisch schon. Auf staatlicher Ebene machen wir so etwas nie."

Die US-amerikanische Sicherheitsfirma FireEye analysiert die Aktivitäten der  Hackergruppen seit über zehn Jahren – rund um den Globus – inzwischen in Realzeit. Sie haben den  mutmaßlichen Hackern des russischen Militärgeheimdienstes einen Namen gegeben: APT 28.

Mike Hart, FireEye

"APT28 ist ja keine klassische Form des Hackings. So wie man sich das bildlich vorstellt, dass eben da einer da sitzt. Sondern hier geht es um eine koordinierte Gruppe. Wir gehen davon aus, dass APT28 um die 50 Personen umfasst."

Dass es sich nicht um russische Freizeithacker handelt, zeigte eine Reihe von Indizien. die Arbeitszeiten der Programmierer von APT28 sind identisch mit Moskauer Bürozeiten. Zudem: Die Ressourcen sind enorm und die Ziele decken sich mit denen des Kreml.

Kontraste

"Wie wahrscheinlich ist es, dass APT28 in direkter Verbindung zum GRU steht?"

Mike Hart, FireEye

"Also die Wahrscheinlichkeit würde ich jetzt bei wir 95 Prozent plus einschätzen."

Podgorica, die Hauptstadt von Montenegro. 2016 ist ein besonderes Jahr: Das kleine Balkanland steht vor Parlamentswahlen und der Aufnahme in die NATO, was Russlands Interessen verletzt.

Putin lässt seine Sprecher ausrichten:

Zitat: "Die fortwährende Erweiterung der Nato … in den Osten kann unweigerlich dazu führen, dass … Russland Maßnahmen ergreift."

Russland will einen Hafen von Montenegro für seine Kriegsschiffe nutzen, was Montenegro ablehnt. Man sieht seine Verbündeten im Westen.

Dann geschieht Bemerkenswertes. Am Tag der Parlamentswahlen rollt in Montenegro eine Verhaftungswelle.

Ermittler sind überzeugt, dass von Russland aus ein Putsch geplant war.

Saša Čađenović, Generalstaatsanwalt Montenegro

"Das Hauptziel der kriminellen Vereinigung war der Sturz der Regierung und die Machtübernahme in Montenegro. Sie nutzten dazu den Tag der Parlamentswahlen in Montenegro -  Mit Hilfe von Waffen.

Die Beschuldigten stehen zurzeit vor Gericht. Der wichtigste Zeuge und zugleich mutmaßlich Tatbeteiligter ist Alexander Sindjelic, der serbische Extremist ist der Mann vor Ort. Seine Anweisungen bekam er  von Hintermännern in Russland.

Wie der Putsch konkret ablaufen soll, habe man ihm bei mehreren Treffen unter anderem in Moskau erklärt. Die beiden russischen Drahtzieher hätten  Instruktionen gegeben, das Parlament zu stürmen und einen genauen Ablauf erstellt. Einer der Russen gibt ihm Geld für Waffen:

Alexander Sindjelić, Kronzeuge

"Er wollte fünfzig Kalaschnikows und fünfzig Pistolen und so viel Munition wie möglich. Er hat mir gesagt, such und finde, wo du nur kannst."

Der Moskauer Journalist Roman Dobrochotow  folgte den Spuren der russischen Hintermänner im Montenegro-Fall. Sie führen direkt zum GRU.

Roman Dobrochotow, Chefredakteur The Insider

"Als wir den Putschversuch in Montenegro recherchierten und die Beteiligung des GRU dort, sahen wir dass einer der GRU-Offiziere  Geld zu einem serbischen Mann schickte – über Western Union. In das Überweisungsformular trug er die Adresse des GRU-Hauptquartiers ein. Also seinen echten Namen und die Adresse. Jetzt ist dieses Dokument ein offizielles Beweisstück vor Gericht in Montenegro."

Selbst die Pässe der Agenten stammten vom GRU – das Belegen die Passnummern. Die mutmaßlichen Putschisten werden nun von Interpool gesucht. Russland will sie nicht ausliefern.

2018 Sergej Skripal und seine Tochter Yulia werden vergiftet auf einer Parkbank in Salisbury in England gefunden.

Das extrem gefährliche Nervengift soll laut britischer Regierung Nowitschok sein. Einst entwickelt vom GRU.

Skripal war Offizier des GRU – dann wurde er 2004 als Doppelagent enttarnt. 300 GRU-Spione soll er gegenüber dem britischen Geheimdienst MI6 verraten haben.

Fünf Jahre später – ein Agentenaustausch in Wien, seither lebt er als Rentner in England. Für Putin ist Skripal weiterhin ein Problem:

Kontraste

"Sind sie in der Lage zu verzeihen?"

Wladimir Putin, Präsident Russland

"Ja - aber nicht alles."

Kontraste

"Was wäre unmöglich zu verzeihen?"

Wladimir Putin, Präsident Russland

"Verrat."

Am Tag der Tat sind zwei Männer in Salisbury unterwegs. Sie werden  von Überwachungskameras gefilmt. Sie sind Top-Agenten des GRU.

Und es sind wieder Journalisten, die die Agenten enttarnen – Auf einer Tafel zur Ehrung der "Helden von Russland" fanden sie einen der Männer:

Roman Dobrochotow, Chefredakteur, The Insider

"Einer der Leute auf der Tafel war ohne Biografie, er war also wahrscheinlich ein Geheimagent. Wir haben sein Geburtsdorf gefunden, dort bestätigten uns die Leute, dass er der Mann ist. Dann begannen wir mit der Suche nach dem zweiten Mann. Er hatte sein Auto in der Karoshovska Straße 76 registriert. Dass ist die Hauptzentrale des GRU.

Die Beleglage ist inzwischen zweifelsfrei. Im Hotel der beiden GRU-Agenten werden zudem Spuren von Nowitschok gefunden.

Während die Vergifteten mit dem Tod ringen erklärt der russische Präsident:

Vladimir Putin, Präsident Russland

 "Er ist einfach ein Spion, ein Landesverräter, verstehen sie, ein Bastard. Das ist alles"

Dann geschieht Seltsames. Die GRU-Agenten erklären sich im russischen Staatsfernsehen. Sie sagen, sie seien keine Spione, sie waren nur als Touristen in England.

Zwei Wochen nach dem Skripal-Anschlag reisen vier GRU-Agenten mit Diplomatenpässen am Flughafen von den Haag in die Niederlande ein. Sie werden von den holländischen Sicherheitsbehörden überwacht.

Die Agenten mieten einen Citroen an und hacken sich von einem Parkplatz aus in die Wi-Fi-Verbindung der Organisation für das Verbot chemischer Waffen – gleich gegenüber.

Hier gibt es Laborergebnisse zu Skripal sowie Berichte zum Giftgaseinsatz in Syrien. In flagranti werden sie erwischt. Die Agenten werden überwältigt.

Hier ein amtliches Foto von der Verhaftung. Alles, was die Spione dabei haben, wird beschlagnahmt. Darunter auch ein Notebook, mit dem bereits vorher gehackt wurde, unter anderem bei der Weltdopingagentur.

Wegen der Diplomatenpässe muss man sie aber ziehen lassen - sie werden ausgewiesen.

Der russische Außenminister in Erklärungsnot.

Sergei Lawrow, Außenminister Russland

"Sie wurden gebeten, auszureisen. Das sah alles aus wie ein Missverständnis."

Abmoderation: An ein “Missverständnis“ glaubt da mittlerweile kaum noch einer… auch die Kanzlerin nicht,  die in punkto Russland inzwischen deutlich von hybrider Kriegsführung spricht.

Beitrag von Arndt Ginzel und Chris Humbs

weitere Themen der Sendung

Bild: rbb

Cyberangriff aus dem Kinderzimmer

Emails, private Chatverläufe und intimste Fotos – der Datenangriff eines mutmaßlich 20-Jährigen aus Hessen hat die Republik erschüttert. Kontraste zeigt eine Szene von jungen Männern mit rechter Gesinnung, die den Islam, Flüchtlinge und engagierte Menschen ablehnen. Sie hacken persönliche Daten von Politikern, Prominenten und Journalisten, um sie zu veröffentlichen.

Angriff auf die Demokratie - Des Kremls treue Helfer

Aus Russland gesteuerte Medien verbreiten Fake News und hetzen gegen den Westen – dabei treten dort immer wieder Politiker von AfD und Linke als Experten und Interviewpartner auf. Sie reisen auch als "Wahlbeobachter" in selbsternannte Republiken wie Donezk oder auf die russisch besetzte Krim. Kontraste zeigt das Netzwerk der Helfer der russischen Propaganda. Eine Kooperation mit t-online.

Weltgrößter Fall von Geldwäsche - Millionen flossen auch nach Deutschland

Steuerhinterziehung, Korruption, Waffenhandel und Schmuggel – aus diesen Quellen sollen die rund 200 Milliarden Euro stammen, die über die estnische Filiale der Danske Bank gewaschen worden sein sollen. Ein Großteil des Geldes stammt ursprünglich aus Ländern der ehemaligen Sowjetunion. Mehr als 30 Millionen Euro sind dabei auch via Estland nach Deutschland geflossen – über deutsche Banken auf deutsche Firmenkonten. Bei den Unternehmen wurden zuvor Waren bestellt, die dann wieder gen Osten geliefert wurden. Firmen und Banken in Deutschland hätten oftmals Verdacht schöpfen können – doch offenbar war das Geschäft wichtiger. In monatelangen Recherchen mit internationalen Kooperationspartnern und der Wochenzeitung DIE ZEIT hat Kontraste ein weltweites Firmennetzwerk recherchiert und tausende Seiten Bankbelege gesichtet, um die Spur des Geldes nachzuvollziehen.