Dem Inlandsgeheimdienst der Russischen Föderation ist der Zugang zu Daten russischer Internetdienstanbieter erleichtert worden. Fotomontage: Tetyana Lokot.
Angesichts all der Zwietracht und Konflikte zwischen Russland und der Ukraine im vergangenen Jahr, sollte man von ukrainischen Beamten einen besonders sorgfältigen Umgang mit ihrer Informationssicherheit erwarten. Aber dem ist nicht so. Es hat sich herausgestellt, dass mehr als 20 Prozent [1] der ukrainischen Staatsdiener und Behörden kostenfreie Email-Konten nutzen, die nicht bloß von russischen Unternehmen bereitgestellt, sondern sogar auf russischen Servern gehostet werden.
Warum ist das interessant? Die Nutzung russischer Email-Dienste garantiert Russlands Sicherheitsdiensten und Vollstreckungsbehörden einen leichten Zugang zur Kommunikation des ukrainischen Staates. Angesichts des offenen Kampfes der Ukraine um die Oberhand in den medialen Feindseligkeiten gegenüber Russland ist diese Nachlässigkeit in der regierungsinternen Informationsübermittlung schon ziemlich überraschend.
Die Ukrainer scheinen überhaupt kein Problem darin zu sehen, russische Internetdienstanbieter in Anspruch zu nehmen. Laut einer Studie [2] der ukrainischen PrivatBank verwenden 64 Prozent ihrer Kunden in der Ukraine russische Email-Dienste und weitere 14 Prozent Google-Mail. Auch Russlands soziale Netzwerke sind bei den Ukrainern sehr beliebt. Ungefähr 27 Millionen Ukrainer sind bei VKontakte [3] angemeldet und etwa 11 Millionen beim Kontaktnetzwerk Odnoklassniki [4].
All eure Emails gehören dem Inlandsgeheimdienst der russischen Föderation (FSB)
Die von einer Gruppe investigativer Journalisten aus der Ukraine betriebene Webseite Texty.org.ua [5] wollte die Aufmerksamkeit ukrainischer Beamter auf die potenziellen Gefahren der Nutzung russischer Email-Dienste lenken, indem sie diesen Bürokraten einen Schelmenstreich spielte. Zuvor [1] hatte Texty.org.ua eine offene Datenbank [6] analysiert, die tausende Emails des ukrainischen Staates und seiner Regierung umfasst (untersucht wurden nur zwei bis drei Prozent der gesamten Menge). Daraus ist eine Liste aller ru.-basierten Emails erstellt worden, ungefähr 1.700.
Iwanna Kobelewa, eine für Texty.org.ua tätige Reporterin, suchte anschließend 1.159 aktive .ru-Emails heraus und wollte wissen, ob den ukrainischen Nutzern klar ist, wie prekär die Lage ihrer elektronischen Kommunikation ist. Zu diesem Zweck erstellte sie eine gefakte Mailadresse des FSB und sendete den völlig arglosen ukrainischen Beamten folgende Mail:
Здравствуйте!
От имени ФСБ Российской Федерации благодарим Вас за то, что пользуетесь электронной почтой на российском почтовом домене.
Вся информация с Вашей электронной почты доступна Федеральной службе безопасности России.
В 2014 году ФСБ получило возможность по упрощенной процедуре официально получать данные с серверов любых интернет-служб, находящихся на российской территории. Все российские почтовые домены контролируются ФСБ.
На днях Роскомнадзор получил право проверять личную переписку пользователей социальных сетей, среди которых – “Одноклассники” и “ВКонтакте”, электронную почту и мессенджеры Агент.Mail.ru, ICQ, а также блог-платформы.
Спасибо за сотрудничество!
С уважением,
Александр Бортников,
Директор Федеральной службы безопасности Российской Федерации
Guten Tag!
Im Namen des FSB der Russischen Föderation möchten wir uns herzlich dafür bedanken, dass Sie Email-Dienste mit russischen Internetadressen verwenden.
Sämtliche Informationen aus dem Posteingang Ihres Email-Kontos stehen dem Geheimdienst der Russischen Föderation zur freien Verfügung.
Im Jahre 2014 ist dem FSB ein vereinfachter Zugang zu allen Servern eingeräumt worden, auf denen Internetdienstanbieter aus Russland ihre Daten speichern. Dadurch hat der FSB Emails mit russischen Internetadressen lückenlos unter seiner Kontrolle.
Vor kurzem erteilte Roskomnadsor die Befugnis, persönliche Nachrichten von Nutzern sozialer Medien aus Russland nachzuverfolgen. Dazu zählen: Odnoklasniki, Vkontakte, Messenger wiee ICQ, Agent.Mail.Ru und Blog-Plattformen.
Vielen Dank für Ihre Kooperation.
Mit freundlichen Grüßen,
Alexander Bortnikow
Präsident des Inlandsgeheimdienstes der Russischen Föderation
Zum Entsetzen der Journalisten haben auf die parodierte FSB-Email nur 173 Empfänger reagiert. Die meisten Antworten sind automatisch erzeugt worden, weil die Email-Adresse nicht mehr gültig war. Bei einer Handvoll Rückläufer gab es Hinweise auf neue Email-Kontakte, ansonsten waren es nur Empfangsbestätigungen. Das Schicksal des allergrößten Teils der 1.159 gesendeten Mails ist ein Rätsel geblieben.
Allerdings sind durchaus einige persönliche und offenbar von Menschenhand geschriebene Antworten ukrainischer Beamter eingegangen, die teilweise ziemlich verwirrend waren. Ein Beispiel: Die Archivabteilung einer Gemeindeverwaltung aus der Region Tscherkassy antwortete überschwänglich mit den Worten “Danke für Ihre Kooperation”. Eine andere Ratsverwaltung aus der Gegend um Tschernihiw schrieb, sie seien “stets erfreut, kooperieren zu können”; wobei deren Antwort nicht von der alten russischen Internetadresse kam, sondern von einer neuen ukrainischen.
Eine Handvoll der amtlichen Kontakte war angesichts der FSB-Mail etwas kritischer gestimmt. Das Büro eines Pensionsfonds im Südosten von Kirowohrad schrieb zurück: “Ich sch**ß drauf. Mit respektlosen Grüßen, Dmytro. Aus der Westukraine war folgendes zu vernehmen: “Das soll wohl ein Aprilscherz sein. Ruhm der Ukraine!”
Dieser listige Streich, der in Gestalt eines ausländischen Geheimdienstes vollführt wurde, ist vielleicht ethisch zu beanstanden, aber auch das schien Teil der dahintersteckenden Idee zu sein. Das Ganze erinnert in gespenstischer Weise an Fälle, in denen Beamte sich des Namens von Aktivisten bedienten, um Zugang zu den Netzwerken und persönlichen Informationen aus der Szene zu erhalten. Also exakt das Szenario, das die schelmischen Journalisten zu vermeiden hofften, als es ihnen um die Aufmerksamkeit der ukrainischen Behörden ging.
Auf was kann Russland tatsächlich zugreifen?
Der Inlandsgeheimdienst der Russischen Föderation hat tatsächlich einen vereinfachten Zugang [7] zu Daten, die durch russische Internetdienstanbieter transportiert und durch russische Internetunternehmen in Form von Nutzerinhalten verarbeitet werden. Am 8. April 2015 sind der russischen Aufsichtsbehörde Roskomnadsor vergleichbare Befugnisse eingeräumt worden. Deren Mitarbeiter haben seitdem die Möglichkeit der Nachverfolgung persönlicher Nachrichten aus Russlands sozialen Medien und von Email-Nutzern. Darin eingeschlossen sind Email-Dienste mit einer .ru-Domain, wie Odnoklassniki und Vkontakte (beide Netzwerke sind in Russland sehr beliebt) und Messenger, wie ICQ und Agent.Mail.Ru, sowie zahlreiche russische Blog-Plattformen.
Ein Regierungsbeschluss [8], der Bestandteil von “Anti-Terror-Gesetzen” ist, die von Prämierminister Dmitri Medwedew unterzeichnet wurden, räumt Roskomnadsor diese “vereinfachten Informationszugänge” als wichtigen Schritt zum “Schutz der Rechte russischer Bürger” ein. Die geänderte Gesetzeslage gestattet Roskomnadsor die Nachverfolgung von erhaltenen, gesendeten und weitergeleiteten Nachrichten, sowie das Analysieren von Informationen über den Absender. Ein weiterer Vorteil besteht im Zugang zu den Verlaufsdaten der privat aufgerufenen Webseiten, sodass Inhalte sichtbar werden, die normalerweise nur der Nutzer selbst betrachten kann. Gleichzeitig hebt Roskomnadsor allerdings hervor, dass diese Gesetzgebung der Behörde nur Zugang zu Metadaten gewähren würde und es ihr keineswegs erlaubt sei, den Inhalt von Emails oder Internetnachrichten zu lesen. Um das zu können, müsste sie einen richterlichen Beschluss vorweisen, der im Rahmen staatsanwaltlicher Ermittlungen ergangen ist .
Nach Ansicht der ukrainischen Journalisten, die das auf Texty.org.ua publizierte Experiment durchgeführt hatten, besteht die wichtigste Erkenntnis darin, dass ein stärkeres Bewusstsein entwickelt werden muss angesichts der Gefahren eines laxen Umgangs mit Informationen und Sicherheitsrichtlinien, die sich auf die interne Kommunikation des ukrainischen Staates beziehen. Dies vor Augen, veröffentlichten die Journalisten ihre Liste aller .ru-basierten Emails [9], die ukrainischen Beamten zugeordnet werden konnten und flehten ihre Leser an, wenigsten einigen dieser Kontakte Emails zu schreiben und zu fragen, ob es nicht sinnvoll wäre, den Email-Anbieter zu wechseln und besser aufzupassen, wer ihren Email-Verkehr mitverfolgen kann. Dadurch ließen sich Fortschritte erzielen, sofern Beamte und Einrichtungen auf sämtlichen Ebenen des ukrainischen Staatswesens ihre kostenlosen internetbasierten Mail-Konten vollständig löschen würden. Wenn das Ziel erreicht ist, dass die amtliche Kommunikation nur noch über staatliche Email-Dienste läuft und deren Sicherheit gestärkt wird, ist man auf gutem Wege, die Gefahr peinlicher Datenlecks zu vermindern.