US-Geheimdienste sagen: Russische Trolle haben 2016 Debatten im Internet manipuliert, um Donald Trump zu helfen, Präsident zu werden. Getarnt hinter falschen Nutzerkonten sollen sie Vorwürfe gegen Hillary Clinton ins Maßlose übertrieben und versucht haben, die USA innenpolitisch weiter zu polarisieren. Angeblich geschah all das mit Rückendeckung des Kremls.
Dabei greifen westliche Staaten zu ähnlichen Mitteln, um politischen Einfluss im Ausland auszuüben. Sie arbeiten mit falschen Identitäten und manipulieren Webseiten. "Das läuft schon eine Weile, nicht nur von Russland oder China aus", sagt Mustafa Al-Bassam auf einer Bühne in den Leipziger Messehallen. Der britische IT-Sicherheitsexperte spricht auf dem 34. Jahreskongress des Chaos Computer Clubs in Leipzig, wo das größte europäische Hackertreffen erstmals stattfindet.
Sogar "New York Times" und BBC zitierten die Tweets von Jenna Abrams. Dahinter steckt keine junge Amerikanerin, sondern eine Trollfabrik aus Sankt Petersburg.
Der 22-Jährige hat in digitaler Kleinarbeit zusammengepuzzelt, wie britische Agenten undercover versuchten, politische Aktivisten in Iran, Syrien und Bahrain auszuspähen. Sie wollten ihre Opfer dazu bringen, auf bestimmte Links zu klicken, um so an persönliche Informationen zu kommen. Es ist eine Taktik, die sonst von Cyberkriminellen angewendet wird.
Die Aktivisten wurden über die Links weiter auf Webseiten geleitet, die als sogenannte Honigtöpfe dienten: vermeintlich harmlose Seiten, die Nutzer anlocken wie Honig einen Bären. Al-Bassam zufolge wollten die Spione Material über regimekritische Bewegungen sammeln, um diese zu beeinflussen.
Joint Threat Research Intelligence Group (JTRIG) heißt die Unterabteilung des britischen Geheimdienstes GCHQ, die Al-Bassam für die Tricks verantwortlich macht. Ihre Existenz wurde 2013 von NSA-Whistleblower Edward Snowden enthüllt. Dokumente zeigten, dass die Einheit vor praktisch nichts zurückschreckt: Infiltration und Aktionen unter "falscher Flagge", "Disruption" und "Diskreditierung" stehen im Mittelpunkt ihrer Aktionen. Auch sexuelle "Honigfallen" gehören demnach zum Repertoire der Einheit. Außerdem bauten sie Facebook-Gruppen oder andere Online-Foren auf, um dort Debatten zu überwachen und zu steuern. Es gehe darum, "Misstrauen zu säen, abzuschrecken".
Das Geheimnis in den Snowden-Dokumenten
Dass Al-Bassam entlarvt hat, wie JTRIG schmutzige Taktiken während Aufständen in Nahost einsetzte, hängt mit seiner persönlichen Geschichte zusammen. Er war einst Teil des berüchtigten Hacker-Kollektivs "LulzSec", das etliche große Webseiten mit sogenannten DDoS-Angriffen lahmlegte. Dabei ging es ihnen aber eher um Anarchie als um Geld. 2011 nahmen Ermittler die Gruppe fest. Al-Bassam, damals 16, bekam Bewährung. Heute macht er seinen Doktor in IT-Sicherheit in London.
Die Frage, wie sein Team auffliegen konnten, ließ ihn nicht los. Einen Hinweis entdeckte er in den Snowden-Dokumenten: Die "LulzSec"-Mitglieder hatten unter Alias in einem öffentlichen Chat kommuniziert. Ein Besucher lockte einen Hacker aus diesem Chat auf eine präparierte Adresse. Offenbar hatten Geheimdienstmitarbeiter die URL so manipuliert, dass sie die wahre Identität des Hackers herausfinden konnten, als der auf den Link klickte. Dazu diente ein sogenannter URL-Shortener, der lange Adressen verkürzt und dabei mitunter das wahre Ziel des Links verschleiert.
In einer Anhörung zeigt der US-Kongress erstmals die Postings, mit denen russische Trolle die Stimmung im Wahlkampf 2016 verändern wollten. Selbst Demonstrationen wurden in den USA von Russland aus organisiert.
Al-Bassam fand heraus, dass dieser Kürzungsdienst noch an anderen Orten im Netz eingesetzt wurde, um Nutzer mit Links zu ködern. Einige Twitter-Accounts imitierten iranische, syrische oder bahrainische Oppositionelle und verbreiteten URLs, die auf dieselbe Art und Weise manipuliert worden waren. Daraus schloss Al-Bassam, dass er JTRIG-Agenten aufgespürt habe, die Oppositionelle auf ihre Links locken wollten. Die Aktivisten, die auf die Links klickten, bekamen Texte und Videos zu sehen, die der Geheimdienst hochgeladen hatte.
Die USA operieren auch mit "Sockenpuppen"
"Sockenpuppen" heißen solche Fake-Personen im Netz - als würden sie von einem Puppenspieler mit der Hand gesteuert. "Sie tun so, als würden sie dir helfen, aber sie schaden dir dabei auch", sagt Al-Bassam. Zwar machten sie Aktivisten auf den verlinkten Webseiten auch Informationen zugänglich, die ihre Regime normalerweise zensierten. Doch die Briten benutzten die Aktivisten auch für ihre eigenen Zwecke und versuchten, in den Aufständen mitzumischen. Die Oppositionellen dachten dabei, sie hätten es mit Gleichgesinnten aus ihrem Land zu tun.
Auch die Amerikaner versuchten schon, mit "Sockenpuppen" Debatten im Netz zu beeinflussen. Der Guardian enthüllte 2011, dass ein Unternehmen im Rahmen der "Operation Earnest Voice" gegen al-Qaida einen Auftrag für die entsprechende Technik von der Armee erhalten habe. Ziel damals war die muslimische Welt: Die Fake-Personen sollten Paschtu, Arabisch, Farsi und Urdu sprechen.
Für Kuba kreierte die US-Entwicklungsbehörde USAID sogar ein komplettes Textnachrichten-Netzwerk, eine Art kubanisches Twitter. Deren Agenten hofften, damit zehntausende Kubaner lenken zu können, die das Netzwerk nutzten. Nachdem sie mit Nachrichten aus Sport und Unterhaltung angelockt worden waren, sollten die Nutzer im richtigen Moment zu politischen Protesten gegen die Regierung aufgewiegelt werden. Nur durch eine Recherche der Nachrichtenagentur AP kam das Projekt 2014 ans Licht. Der Erfolg all dieser außenpolitischen Programme ist aber unklar.
In Leipzig fragt ein Besucher aus dem Publikum, wie sich denn echte Nutzer von Untergrund-Agenten unterscheiden ließen. Al-Bassam fällt nur ein Tipp ein: "Teilen Sie keine Informationen, die ihnen schaden könnten - auch nicht mit Personen, denen Sie vertrauen."
