Hybride Angriffe
Verschleierungstaktiken, Ermittlungen und der Weg des Geldes

Am 20. Juli 2024 geht am Flughafen Leipzig ein Versandpaket in Flammen auf. Auch in Großbritannien und in Polen fangen Pakete Feuer. Die Spuren führen ins Baltikum: Die Generalstaatsanwaltschaft in Vilnius lässt mehrere Männer festnehmen. Der Vorwurf: Sie sollen die Pakete mit hochentzündlichen Brandsätzen von Litauen aus in andere EU-Länder und nach Großbritannien versandt haben. Medien berichten, der russische Militärgeheimdienst GRU könnte mutmaßlich hinter den Anschlagsversuchen stecken.

Die brennenden Pakete sind nur ein Beispiel für hybride Bedrohungen. Bei solchen wird kritische Infrastruktur wie Flughäfen, Kraftwerke oder Bahnanlagen angegriffen. Oder die Software von Behörden, Verwaltungen, Krankenhäusern oder Universitäten lahmgelegt. Auch die gezielte Verbreitung von Falschinformationen gehört zur hybriden Kriegsführung.

Das Ziel: spionieren, Infrastruktur für Angriffe austesten, Ängste schüren, ein politisches System - die Demokratie in Deutschland - destabilisieren. Charakteristisch für hybride Angriffe ist die Verschleierungstaktik. Die Täter operieren entweder anonym oder bestreiten Beteiligungen an Vorfällen und Konflikten. Wer steckt dahinter – und wie lassen sich die Drahtzieher ermitteln?

Bei solchen Anschlägen oder Sabotageaktionen werden selten Agenten eingesetzt, die eine lange Ausbildung absolviert haben und mit einer neuen, angepassten Identität eingeschleust werden. Stattdessen handele es sich um beliebige Akteure, "die mal Lust haben, ein bisschen Action zu machen, die gar nicht wissen, dass es da einen Spionage-, Sabotagehintergrund gibt“, sagt der Sicherheitsexperte Ralph Thiele.

Im Fokus bei Aktionen durch sogenannte Wegwerfagenten ist Polen. Immer wieder gibt es Drohnenüberflüge, Brandanschläge, zum Teil in großem Stil. Allein 2025 seien bisher 55 Personen festgenommen worden. Ihnen werde vorgeworfen, für russische Nachrichtendienste zu arbeiten, sagt Filip Bryjka, Experte für hybride Kriegstaktiken beim Polnischen Institut für Internationale Beziehungen (PISM) in Warschau.

Auch weil Polen etwa 600 russische Diplomaten und Geheimdienstmitarbeiter des Landes verwiesen habe, musste sich Russland einer neuen, „moderneren Art der Rekrutierung“ zuwenden, so Bryjka. „Soziale Netzwerke, hauptsächlich Telegram-Kanäle, werden genutzt, um nach Personen zu suchen, die die Bereitschaft zeigen, bestimmte Aufgaben gegen einen bestimmten Preis auszuführen."

Diese Personen hätten oft einen ukrainischen Pass. Das sei wahrscheinlich kein Zufall, sagt Bryjka. Berichte über ukrainische Täter könnten die Unterstützung der polnischen Bevölkerung gegenüber der Ukraine verringern. Außerdem gebe es noch andere Muster: Die Täter seien oft relativ jung, manche erst Teenager und auf der Suchen nach leicht verdientem Geld. „Sie befinden sich also meist in einer schlechten sozioökonomischen Lage. Und genau das ist der Grund, warum sie rekrutiert wurden.“

Zunächst würden sie mit einfachen Aufgaben beauftragt – zum Beispiel Slogans an Wände sprühen. Dann würden sie gebeten, anspruchsvollere Aufgaben auszuführen. „Das Netzwerk funktioniert jedoch so, dass verschiedene Aufgaben an eine Gruppe von Personen verteilt werden. So muss eine Person eine SIM-Karten kaufen, eine andere Person muss eine Drohne kaufen oder ein Kryptowährungskonto einrichten.“

In den Blick der Ermittler geraten auch sogenannte „Ransomware-Angriffe“. Hier verschlüsseln die Angreifer die IT-Systeme des Opfers und fordern Lösegeld in Kryptowährungen für die Freigabe der Daten. Ob es den Tätern allerdings allein um den finanziellen Gewinn geht, ist bei solchen Angriffen unklar. Denn Kriminelle und staatliche Akteure arbeiten bei hybriden Angriffen bisweilen zusammen.

Immer öfter gebe es diese „Mischformen“, sagt Markus Hartmann, Oberstaatsanwalt in Köln und Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen. Zum Beispiel, wenn Cyberkriminelle öffentliche Stellen angreifen. „Dann haben sie natürlich einen doppelten Effekt. Sie haben einmal die Erpressung, wo es ums Geld geht, aber sie haben natürlich auch eine erhebliche Verunsicherung der Bevölkerung, weil die staatliche Daseinsvorsorge nicht funktioniert.”

Die Dunkelziffer der Angriffe sei hoch - und die Erkenntnisse zu den Täterstrukturen begrenzt. Aber bestimmte geografische Schwerpunkte seien in der Praxis zu beobachten, sagt Hartmann. “Ein gewisser Schwerpunkt unserer Identifizierung, mit aller Vorsicht, was die statistische Aussagekraft angeht, ist bei Tätern mit russischer Staatsbürgerschaft.”

Um die Geldflüsse zu verschleiern, werden notwendige Geräte und Werkzeuge oft mittels Kryptowährungen gekauft. Auch die Bezahlung läuft per digitaler Währung. „Cryptocurrency brauchen sie bei allem: Bei kriminellen, bei terroristischen, aber auch bei staatlichen hybriden Einsätzen brauchen sie immer dieses Geld“, sagt Ralph Thiele von der Politisch-Militärischen Gesellschaft.

Der Geldfluss bei Kryptowährungen gilt als schwer nachverfolgbar. Denn die digitalen Zahlungsmittel kommen ohne Banken und ohne staatliche Stellen aus. Überweisungen finden direkt zwischen Nutzenden statt und werden in einem dezentral geführten digitalen Register gespeichert – der sogenannten Blockchain.

Dass Ermittler dem „Weg des Geldes“ nicht folgen können, stimmt aber nicht. Bei Bitcoin sind Transaktionen beispielsweise dauerhaft über die Blockchain dokumentiert – inklusive der beteiligten Konten, der Beträge und des zeitlichen Ablaufs. Zwar stehen keine Klarnamen von Sender und Empfänger in der Blockchain, sondern stattdessen Buchstaben und Zahlencodes. Aber die Zahlungswege lassen sich technisch unter bestimmten Voraussetzungen nachverfolgen und über Analysen miteinander verknüpfen.

"Es gibt die weitverbreitete Vorstellung, dass die Blockchain völlig anonym sei“, sagt Valerie Kennedy von „Chainalysis“, einem New Yorker Unternehmen, das bei Blockchain-Analysen führend ist. Doch das stimme nicht. Die Blockchain sei nicht anonym, sondern pseudonym. „Das bedeutet, dass die gesamte Blockchain-Aktivität, also die gesamte Kryptowährungsaktivität, in einem öffentlich zugänglichen Register existiert. Was Chainalysis und Blockchain-Analysefirmen nun tun, ist, die Aktivität in diesem Register bestimmten Personen, Orten und Dingen zuzuordnen."

Die Nachverfolgung wird erheblich erschwert, wenn Angreifer auf sogenannte „Privacy coins“ wie „Monero“ oder „Pirate Chain“ setzen. Diese Währungen verschlüsseln oder verschleiern standardmäßig Absender, Empfänger und Beträge. Werden zusätzlich Anonymisierungswerkzeuge oder Wechsel zwischen verschiedenen Blockchains genutzt, lässt sich die Spur des Geldes deutlich schwerer verfolgen – doch auch dies ist nicht unmöglich. Spezialisten nutzen hier „On Chain“-Daten. Das sind digitale Spuren der Kryptowährungen in der Blockchain. Diese werden mit Off-Chain-Erkenntnissen kombiniert: Spuren aus der analogen Welt wie Reiserouten oder Bankautomaten, bei denen Kryptogeld abgeholt wird oder in staatliche Währungen getauscht werden kann. Die Spur des Geldes sei also „keine Sackgasse“, sagt Valerie Kennedy.

Die Europäische Union will den Missbrauch von Kryptowährungen durch strengere Regeln und mehr Befugnisse für Behörden eindämmen. Die Vorgaben verpflichten regulierte Kryptodienstleister dazu, bei Überweisungen Angaben zu Sender und Empfänger zu übermitteln und wie bei klassischen Banküberweisungen Identitätsprüfungen durchzuführen. Ab 2026 müssen Transaktionsdaten außerdem an nationale Behörden gemeldet werden.

In Deutschland gibt es außerdem bereits eine nationale Kryptowertetransfer-Verordnung. Doch es gebe viele Lücken, sagt Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag sowie stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums. Es beaufsichtigt die deutschen Nachrichtendienste. “Wir haben was Sabotage, Spionage, Desinformation, diese ganzen hybriden Angriffsvektoren angeht, ein massives Sicherheitsproblem in der Bundesrepublik und das muss politisch, gesetzgeberisch angegangen werden”, fordert er.

Ein Ansatzpunkt zur Bekämpfung des Missbrauches von Kryptowährungen könnte aus der klassischen Kriminalitätsbekämpfung kommen, sagt Oberstaatsanwalt Markus Hartmann. Dort sei es üblich, „dass bestimmte Kryptowährungsbestände, die ersichtlich aus Straftaten kommen, gelistet sind und damit faktisch nicht handelbar, weil große Kryptodienstleister diese aus inkriminierten Quellen stammenden Coins bei sich nicht zum Handel annehmen.“ Damit werden sie für die Empfänger faktisch wertlos.

Audio: Anna Loll, Onlinebeitrag: lkn