Für US-Geheimdienste steht fest: Russische Trolle haben 2016 Debatten im Internet manipuliert, um Donald Trump zu helfen, Präsident zu werden. Getarnt hinter falschen Nutzerkonten sollen sie versucht haben, die USA innenpolitisch zu polarisieren, so lautet der Vorwurf. Angeblich geschah all das mit Rückendeckung des Kremls. Dabei gibt es Hinweise, dass auch westliche Staaten zu ähnlichen Mitteln greifen, um politischen Einfluss im Ausland auszuüben. Sie arbeiten mit falschen Identitäten und manipulieren Webseiten. "Das läuft schon eine Weile, nicht nur von Russland oder China aus", sagt Mustafa Al-Bassam. Der britische IT-Sicherheitsexperte hat auf dem 34. Jahreskongress des Chaos Computer Clubs in Leipzig gesprochen, wo derzeit das größte europäische Hackertreffen stattfindet.
Vermeintlich harmlose Seiten sollen Nutzer anlocken wie Honig einen Bären
Der 22-Jährige hat in digitaler Kleinarbeit zusammengepuzzelt, wie britische Agenten versuchten, politische Aktivisten in Iran, Syrien und Bahrain auszuspähen. Dass der britische Geheimdienst GCHQ so gegen Hackergruppen vorgeht, hatte Edward Snowden 2013 enthüllt. Al-Bassam fand nun heraus, dass dasselbe Manipulationsprogramm auch auf Oppositionelle im Ausland losgelassen wurde. Er kann nachweisen, dass die Spione immer dieselbe präparierte Webseite einsetzten. Die britische Regierung kommentiert Spionageaktivitäten naturgemäß nicht. Der Geheimdienst wollte ihre Opfer dazu bringen, auf bestimmte Links zu klicken, um so an persönliche Informationen zu kommen, sagt der Experte. Aktivisten landeten auf Webseiten, die als sogenannte Honigtöpfe dienen: vermeintlich harmlose Seiten, die Nutzer anlocken sollen wie Honig einen Bären. Al-Bassam zufolge wollten die Spione so Material über regimekritische Bewegungen sammeln, um diese zu beeinflussen.
Joint Threat Research Intelligence Group (JTRIG) heißt die Unterabteilung des britischen Geheimdienstes GCHQ, die Al-Bassam für die Tricks verantwortlich macht. Dokumente im Snowden-Leak zeigen, dass die Einheit vor praktisch nichts zurückschreckt: Infiltration und Aktionen unter "falscher Flagge", "Disruption" und "Diskreditierung" stehen demnach im Mittelpunkt ihrer Aktionen. Auch sexuelle "Honigfallen" gehören zu ihrem Repertoire. Außerdem bauten sie Facebook-Gruppen oder andere Online-Foren auf, um dort Debatten zu steuern. Es gehe darum, "Misstrauen zu säen, abzuschrecken".
Al-Bassam will auch entlarvt haben, wie JTRIG schmutzige Taktiken während Aufständen in Nahost einsetzte. Das hängt mit seiner persönlichen Geschichte zusammen. Er war Teil des Hacker-Kollektivs "LulzSec", das große Webseiten lahmlegte, indem es Server mit massenhaften Zugriffen überlastete. 2011 nahmen Ermittler die Gruppe fest. Al-Bassam, damals 16, bekam eine Bewährungsstrafe. Heute macht er seinen Doktor in IT-Sicherheit in London. Die Frage, wie sein Team auffliegen konnte, ließ ihn nicht los. Einen Hinweis entdeckte er in den Snowden-Dokumenten: Die "LulzSec"-Mitglieder hatten unter Pseudonymen in einem öffentlichen Chat kommuniziert. Ein getarnter Geheimdienstler lockte einen Hacker aus diesem Chat auf eine präparierte Seite, das zeigt eines der Snowden-Dokumente. Aus diesem ging auch hervor, dass GCHQ auf diese Weise die wahre Identität des Hackers herausfinden konnte - als der auf den Link klickte.
Al-Bassam fand heraus, dass dieselbe Methode noch anderswo im Netz eingesetzt wurde, um Nutzer zu ködern. Twitter-Accounts gaben sich als Konten iranischer, syrischer oder bahrainischer Oppositioneller aus und verbreiteten Links, die auf dieselbe Art manipuliert worden waren. Daraus schloss Al-Bassam, dass er JTRIG-Agenten aufgespürt habe, die Oppositionelle ködern wollten. Die Aktivisten, die auf die Links klickten, bekamen seiner Meinung nach Texte und Videos zu sehen, die der Geheimdienst hochgeladen hatte.
Die Agenten stellen Fake-Profile ins Netz, die sie steuern wie Puppenspieler
"Sockenpuppen" heißen solche Fake-Personen im Netz - als würden sie von einem Puppenspieler mit der Hand gesteuert. "Sie tun so, als würden sie dir helfen, aber sie schaden dir dabei auch", sagt Al-Bassam. Zum Schein machten die vom Geheimdienst gesteuerten "Puppenspieler" den Aktivisten auf den verlinkten Webseiten Informationen zugänglich, die von den Regimen ihrer Länder normalerweise zensiert werden. Doch der Geheimdienst instrumentalisierte die Aktivisten auch für seine eigenen Zwecke und versuchte, in den Aufständen mitzumischen, nimmt Al-Bassam an. Die Oppositionellen dachten, sie hätten es mit Gleichgesinnten aus ihrem Land zu tun.
Auch die Amerikaner haben "Sockenpuppen" mehrfach eingesetzt, um Debatten im Netz zu beeinflussen. Der Guardian enthüllte 2011, dass ein Unternehmen im Rahmen der "Operation Earnest Voice" gegen al-Qaida einen Auftrag für die entsprechende Technik von der US-Armee erhalten habe. Ziel damals war die muslimische Welt: Die erfundenen Personen sollten Paschtu, Arabisch, Farsi und Urdu sprechen. Für Kuba kreierte die US-Entwicklungsbehörde USAID ein ganzes Netzwerk, eine Art kubanisches Twitter. Deren Agenten hofften, damit Zehntausende Kubaner lenken zu können. Nachdem sie mit Nachrichten aus Sport und Unterhaltung angelockt worden waren, sollten die Nutzer im richtigen Moment zu politischen Protesten gegen die Regierung aufgewiegelt werden. Das Projekt kam 2014 durch eine Recherche der Nachrichtenagentur AP ans Licht.
In Leipzig fragt ein Besucher aus dem Publikum, wie sich denn echte Nutzer von Untergrund-Agenten schützen könnten. Al-Bassam fällt nur ein Tipp ein: "Teilen Sie keine Informationen, die ihnen schaden könnten - auch nicht mit Personen, denen Sie vertrauen."