An der Staatlichen Technischen Universität Moskau „N. E. Bauman“ lernen Studierende eines geheimen Lehrstuhls, wie man westliche Gesellschaften mit Propaganda destabilisiert oder in unterschiedlich gut gesicherte Rechner eindringen kann. Das und viel mehr hat ein internationales Rechercheteam anhand von mehr als 2000 internen Dokumenten der Universität herausgefunden, die „erstmals einen tiefen Einblick in diese Form der Agentenausbildung“ ermöglichen, wie „Der Spiegel“ ausführt. Es handelt sich demnach um Interna aus dem sogenannten „Lehrstuhl 4, Spezialausbildung“, der Ausbildungsaufgaben für den Militärgeheimdienst GRU übernimmt. Dem wurden eine ganze Reihe von Cyberangriffen der vergangenen Jahre zugeschrieben.

Direkte Einflussnahme auf die Ausbildung

Laut dem Spiegel ist der Lehrstuhl dafür verantwortlich, Agenten, Cyberangreifer und Saboteure für den Geheimdienst auszubilden. Dafür sei er in drei „militärische Fachrichtungen“ aufgeteilt, von denen der „Spezialdienst für Aufklärung“ für die IT-Ausbildung zuständig sei. Dort geht es demnach um „Informationskriegsführung, elektronische Aufklärung und IT-nahe Spezialkompetenzen“, wobei der GRU direkten Einfluss auf die Ausbildung nehmen würde. Laut den Dokumenten sendet der Geheimdienst Prüfer zu Examen, definiert die Anforderungen und genehmigt Kandidaten. Eingebunden seien einige der höchsten Personen aus den Bereichen für Cyberkriegsführung.

In einem Kurs „Abwehr technischer Aufklärung“ lernt man dem Bericht zufolge, „in insgesamt 144 Stunden über zwei Semester den kompletten Werkzeugkasten“ der modernen Cyberkriegsführung. Dabei gehe es etwa um das Eindringen in fremde Rechner mittels Passwortattacken, über das Ausnutzen von Sicherheitslücken oder mithilfe von Trojanern. Eine praktische Übung behandle „Penetrationstests mit Viren“, ein Modul „Computerviren und Würmer“. Am Kursende müssen die Studenten demnach einen Testserver hacken. Auch DDoS-Attacken gehören zum Lehrstoff. Zum Einsatz von Propaganda zitiert der Spiegel eine Praxisaufgabe folgendermaßen: „Erstelle ein Social-Video für ein beliebiges Thema, indem du Manipulation, Druck und versteckte Propaganda verwendest, um ein ‚heißes‘ Thema zu promoten oder zu entkräften“.

Die Dokumente geben dem Bericht zufolge auch einen Einblick in die jungen Männer selbst, die an dem geheimen Lehrstuhl ausgebildet werden. So konnten einigen von ihnen angeblich Konten in sozialen Netzen zugeordnet werden, die auf ein unverdächtiges Teenagerleben hindeuten. Am Lehrstuhl 4 sitzen sie dann aber wohl nicht ausschließlich vor dem Computer, zur Ausbildung gehört dem Bericht zufolge auch ein einmonatiges Trainingscamp, in das alle müssen. „Fotos zeigen junge, teils übergewichtige Männer in Tarnkleidung, die sich an Kletterstangen abstrampeln und Schießübungen mit einer Pistole machen“, schreibt der Spiegel zu Bildern dieses Teils der Ausbildung.

Zahlreiche Angriffe aus Russland

Wie die Medien an die Dokumente gelangt sind, schreibt der Spiegel nicht. Gleichzeitig weist das Nachrichtenmagazin darauf hin, dass Geheimdienste auch in Deutschland und anderen westlichen Staaten immer offener an Universitäten um Nachwuchs werben. Die Verbindung zwischen der Moskauer Universität und dem Militärgeheimdienst geht aber deutlich weiter. Zugleich geben die Dokumente Einblick in die Hintergründe teils verheerender Cyberattacken, die in den vergangenen Jahren für Aufsehen gesorgt haben. So schreibt der Spiegel, dass ein Absolvent kurz nach seinem Abschluss offenbar bei einer Spezialeinheit gelandet ist, die hinter der Malware NotPetya gesteckt haben soll. Die hat im Sommer 2017 weltweit für Chaos gesorgt.

(mho)

Die europäische Polizeibehörde Europol hat offenbar umfangreiche Mengen sensibler Daten auf einer Schatten-IT gesammelt und ausgewertet. Darunter Ausweisdokumente, Telefonverbindungen, Finanz- und Standortdaten – auch von Personen, die keiner Straftat verdächtigt wurden. Das zeigt eine gemeinsame Recherche von Correctiv, Computer Weekly und Solomon.

„Sie schützen das Gesetz – und brechen es“, zitiert Correctiv einen der anonym bleibenden Europol-Insider, die im Text vorkommen. Internen Dokumenten, geleakten E‑Mails sowie Insiderinformationen von Whistleblower:innen zufolge haben Europol-Mitarbeitende diese Daten entgegen bestehender Sicherheitsvorkehrungen und Datenschutzbeschränkungen abrufen können. Es sei nicht nachvollziehbar, wer zu welchem Zeitpunkt auf die Daten zugegriffen, sie geändert oder gelöscht habe.

Die Veröffentlichung der Recherche fällt für Europol in eine politisch sensible Phase. Noch in diesem Jahr will die EU-Kommission voraussichtlich ein Gesetz einbringen, das Europol in eine „wirklich operative Polizeibehörde“ umwandeln soll. Dafür will die Kommission das Personal und das Budget der Behörde verdoppeln.

Europol habe laut der Recherche zwar einige Datenschutzprobleme öffentlich gemacht. Doch weite Teile ihrer Schatten-IT hat die Behörde mutmaßlich vor dem Europäischen Datenschutzbeauftragten geheimgehalten – darunter ein irreguläres System namens „Pressure Cooker“, mit der Europol offenbar geltende EU-Gesetze umging. Das System ist möglicherweise noch heute im Einsatz.

Das „Schwarze Loch“ für die unregulierte Datenanalyse

Auslöser dafür, die Schatten-IT zu entwickeln, waren die Terroranschläge unter anderem auf das Bataclan-Theater in Paris im November 2015. Damals gründete Europol die Task Force „Fraternité“, der EU-Mitgliedstaaten große Datenmengen zuspielte. Europols Cybercrime-Einheit übernahm daraufhin das sogenannte Computerforensik-Netzwerk (CFN), das im Jahr 2012 mit der Absicht eingerichtet worden war, digitales Beweismaterial zu sammeln.

Obwohl Europol das CFN gemeinsam mit der eigenen IT-Abteilung verwalten sollte, entzog sich das Netzwerk bald jener Aufsicht. Innerhalb weniger Jahre habe sich das CFN weit über seinen ursprünglichen Zweck hinaus entwickelt. Ein ehemaliger hochrangiger Europol-Mitarbeiter bezeichnet es laut der Correctiv-Recherche als „Schwarzes Loch“ für die unregulierte Datenanalyse.

Bis 2019 hätten sich im CFN rund 2.000 Terabyte an Daten angesammelt – fast 420-mal so viele Daten wie die reguläre Kriminaldatenbank von Europol enthielt. In mindestens einem Fall – dem Projekt „Focal Point Travellers“ – sollen sie auch vom US-amerikanischen Inlandsgeheimdienst FBI stammen.

„Europol-Analysten konnten so riesige Mengen an personenbezogenen Daten durchforsten, darunter auch Informationen, die sie nicht hätten speichern dürfen, und diese für kriminalistische Analysen zweckentfremden“, heißt es bei Correctiv.

Datenschutzbeauftragter schlug Alarm

Im Jahr 2019, ein Jahr nachdem die EU-Datenschutzgesetze in Kraft getreten waren, schlug der hauseigene Datenschutzbeauftragte von Europol, Daniel Drewer, intern Alarm. Er warnte die drei stellvertretenden Europol-Direktoren, dass im CFN rund 99 Prozent aller Europol-Daten verarbeitet würden. Laut der Recherche reichen die Sicherheitslücken und Versäumnisse von der „ineffektiven Zuweisung von Sicherheitsrollen und ‑verantwortlichkeiten“ über eine „unzureichende Verwaltung privilegierter Zugriffsrechte“ bis hin zur „Nichteinhaltung der Europol-Sicherheitsvorschriften“. Sollte Europol nicht reagieren, warnte Drewer, könnte ein Verbot des CFN das gesamte operative Geschäft von Europol lahmlegen.

Die Direktorin Catherine De Bolle informierte daraufhin im April 2019 den Europäischen Datenschutzbeauftragten. Nach einer jahrelangen Auseinandersetzung ordnete die Datenschutzbehörde schließlich an, die rechtswidrig gespeicherten Daten zu löschen. Erst im Februar 2026 teilte die Aufsichtsbehörde der Gemeinsamen Parlamentarischen Kontrollgruppe, ein Aufsichtsausschuss für Europol aus europäischen und nationalen Abgeordneten, mit, die fast zehnjährige Prüfung des CFN einzustellen – obwohl Europol zentrale Sicherheitsvorkehrungen noch immer nicht umgesetzt hatte.

„Europol hat über Jahre ein paralleles Datensystem betrieben, das jenseits rechtsstaatlicher Kontrolle arbeitet“, sagt Birgit Sippel (SPD) auf Anfrage von netzpolitik.org. Sie ist Europaabgeordnete und Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. „Die Daten unschuldiger Menschen wurden gespeichert und analysiert, ohne dass nachvollziehbar war, wer darauf zugegriffen oder Einträge verändert hat. Das untergräbt das Vertrauen in die Beweissicherheit und die Rechtsstaatlichkeit europäischer Strafverfolgung.“

Obwohl Europol sich jahrelang der Kontrolle entziehen konnte, will die Kommission der Behörde nun mehr operative Befugnisse übertragen, sagt die Bürgerrechtsorganisation European Digital Rights gegenüber netzpolitik.org. „Es ist dringend erforderlich, dass die EU ihre Pläne überdenkt und Europol tatsächlich für seine rechtswidrigen Praktiken zur Rechenschaft zieht.“

Kocht der „Pressure Cooker“ noch?

Es ist derzeit unklar, ob etwa der „Pressure Cooker“ (zu Deutsch: Schnellkochtopf) weiterhin in Betrieb ist. Damit wird offenbar ein System bezeichnet, in dem operative Daten schnell und ohne Beschränkungen durch EU-Recht gespeichert und analysiert werden können.

Laut Europol sei der „Pressure Cooker“ lediglich eine interne Bezeichnung für das „Internet Facing Operational Environment“ (IFOE), das rechtskonform betrieben werde. Als Europol im Jahr 2025 die „IFOE-Quick Response Area“ dem Europäischen Datenschutzbeauftragten zur Konsultation vorlegte, warnte die Aufsichtsbehörde vor „einer vollwertigen Parallelumgebung zur regulären Betriebsumgebung von Europol“.

Der Europäische Datenschutzbeauftragte erklärte gegenüber Correctiv, er sehe „die Gefahr, dass Europol-Mitarbeiter ‚Angeltouren’ unternehmen könnten, also personenbezogene Daten sammeln, die für laufende strafrechtliche Ermittlungen irrelevant sind – und so Grundrechte verletzen“.

Wie solche Systeme trotz Inspektionen durch den Datenschutzbeauftragten lange Zeit verborgen blieben, beschreibt ein Europol-Insider. Demnach seien die Inspektionen „keine Razzia, bei der IT-Experten Systeme überwachen und Server beschlagnahmen“, sondern vielmehr ein „höfliches Gespräch“.

Stimmen die Voraussetzungen, können Angreifer auf einer Node.js-Instanz aus der vm2-Sandbox ausbrechen und Schadcode ausführen. Ein Proof-of-Concept-Exploit ist öffentlich, bislang gibt es aber keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Mittlerweile haben die Entwickler ein Sicherheitsupdate veröffentlicht.

Details zur Sicherheitslücke

Aus einer Warnmeldung auf GitHub geht hervor, dass die Schwachstelle (CVE-2026-26956) mit dem Bedrohungsgrad „kritisch“ eingestuft ist. Die Entwickler versichern, dass davon ausschließlich Node.js 25 bedroht ist. Sie geben an, die Lücke in v25.6.1 erfolgreich reproduziert zu haben. Von vm2 ist konkret die Versoin 3.10.4 verwundbar. Die Schwachstelle wurde in Version 3.10.5 geschlossen. Instanzen sind aber nur angreifbar, wenn WebAssembly exception handling und JSTag support aktiv sind.

Ist das gegeben, können Angreifer mit präparierten Anfragen Fehler auslösen, wodurch die vm2-Sicherheitsfilter umgangen werden. Im Anschluss können sie eigenen Code im Hostsystem ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. Weitere Details zur Lücke und einem möglichen Ablauf von Attacken führen die Entwickler in der Warnmeldung aus.

(des)