Russische Desinformationskampagne: Betrüger fälschten zahlreiche bekannte Nachrichtenseiten
Das Ziel ist eindeutig: das Vertrauen in die freiheitlich-demokratische Grundordnung zu schwächen. Unter dieser Maßgabe fälschen Propagandisten, mutmaßlich von Russland aus gesteuert, seit mittlerweile 14 Monaten systematisch Nachrichtenseiten bekannter Medienhäuser. Ziel waren vor allem Deutschland und Frankreich, die USA, Ukraine sowie Israel. Auf den vermeintlichen Medienportalen finden sich Falschnachrichten, die Propaganda verbreiten und russische Narrative unterstützen. Zuerst hatte das Recherchenetzwerk Correctiv von der Desinformations-Maschinerie berichtet. Jetzt zeigt eine Analyse des Bayerischen Landesamts für Verfassungsschutz (BayLfV), welche Medienhäuser betroffen sind und welche Mechanismen dahinterstecken.
Hinweise auf den russischen Ursprung lieferten (neben den prorussischen Inhalten) verschiedene Indizien. So wurden die Server beispielsweise über russische IP-Adressen verwaltet, ebenso erfolgten die Funktionstests der Desinformationswebseiten durch russische Admin-IP-Adressen. Die Datenbanken des Netzwerks wurden in russischer Sprache und kyrillischer Schrift verwaltet. Außerdem fiel den Behörden auf, dass die »Doppelgänger« genannte Kampagne an russischen Feiertagen überraschend wenig aktiv war und sich die Aktivitäten auf Bürozeiten konzentrierten, die zur Moskauer Zeitzone passen.
»Doppelgänger« ist bereits seit 2022 aktiv. Webseiten großer Medienhäuser wie »Spiegel«, »ZEIT« und »Süddeutsche Zeitung« wurden gefälscht; auch »Spektrum.de« war betroffen. Nach den Analysen des BLV erreichten die Fake News allein in acht Monaten mehr als 750 000 Nutzerinnen und Nutzer. Die gefälschten Seiten wurden vorrangig über Facebook und X gestreut.
Strategie 1: Nachrichtenseiten nachbauen
Um Inhalte zu verbreiten, die russische Narrative stützen und liberal-demokratische Werte in Frage stellen, bauten die Fälscher Nachrichtenseiten originalgetreu nach. Die gefälschten Seiten sind auf den ersten Blick nicht von den Originalen zu unterscheiden – bei genauerem Hinsehen aber schon. Wichtigstes Indiz ist die »Top Level Domain«, also der Beginn der Adresszeile im Browser. Statt »spektrum.de« stand dort beispielsweise »spektrum.cfd«, heißt es im Bericht des Bayerischen Landesamts für Verfassungsschutz. Die Domains mit spektrum.cfd sind inzwischen nicht mehr erreichbar. Auch die Domains ».ltd« oder ».pm« sind klare Hinweise auf Fakes.
Fake-Seiten erkennen
Top Level Domain (TLD) prüfen: Ein Blick auf den Beginn der Adresszeile zeigt, ob die Webadresse wie üblich beginnt (etwa mit https://www.spektrum.de) oder ob das Suffix (nach dem Punkt) verändert ist (»spektrum.cfd«). Eine falsche Top Level Domain weist auf einen Fake hin. Typische Fake-TLDs sind etwa ».ltd« oder ».pm«.
Strategie 2: Eigene Portale betreiben
Ein weiteres Vorgehen beinhaltet, Portale gezielt mit prorussischen Inhalten zu befüllen und die Portale dann wie seriöse Nachrichtenseiten aussehen zu lassen. Oder bestehende Portale, deren Inhalte ins Narrativ passen, zu nutzen und die Inhalte zu verbreiten. Der Bericht des BayLfV listet diese Portale konkret auf. Sie tragen Namen wie deutschlandkurier.de, compact-online.de, berliner-zeitung.de oder tichyseinblick.de. »Hierbei handelt es sich nicht um Fakeseiten, sondern um Originale, die durch den Akteur genutzt werden, um die Reichweite einzelner Inhalte zu erhöhen, da sie anscheinend grundsätzlich ins russische Narrativ passen« erläutert das BayLfV in seinem Bericht. Andere Seiten wiederum werden zentral von »Doppelgänger« mit Inhalten befüllt. Das ergab eine aktuelle Analyse des Auswärtigen Amts. Eine Liste findet sich im Bericht des BayLfV.
Strategie 3: Echte News gezielt einsetzen
Die dritte Masche ist vielleicht die am schwierigsten zu durchschauende: Einzelne Nachrichtenbeiträge bekannter Herausgeber werden gezielt aus dem Kontext gerissen und über soziale Netzwerke verbreitet.
6 Kriterien zur Einschätzung von Webseiten
In einer 2024 veröffentlichten Studie haben die Computerwissenschaftler Hendrik Heuer vom Center for Advanced Internet Studies (CAIS) und Elena L. Glassman von der Harvard University untersucht, wie sich vertrauenswürdige von nicht vertrauenswürdigen Nachrichtenseiten unterscheiden lassen. Demnach sind sechs Kriterien besonders relevant:
- Inhalte: Verbreitet eine Webseite als problematisch bekannte Slogans und Mythen, etwa rechtsextreme Verschwörungstheorien?
- Politische Positionierung: Stellt eine Webseite nur bestimmte politische Akteure oder Ideen in den Vordergrund? Wer teilt die Inhalte der Webseite in sozialen Medien? Dies liegt außerhalb der Kontrolle einer Webseite und ist schwer zu manipulieren.
- Autorschaft: Wer sind die Urheber einer Nachrichtenwebseite? Kann per Suchmaschine geprüft werden, ob sie existieren und für journalistische Arbeit qualifiziert sind? Stimmen die Inhalte und Meinungen auf einer Webseite mit früheren Äußerungen eines Autors oder einer Autorin überein?
- Professionelle Standards: Trennt eine Webseite klar zwischen Fakten und Meinung? Werden verschiedene Seiten eines Themas dargestellt?
- Quellenangaben: Enthält eine Webseite Quellenangaben? Werden die Quellen korrekt wiedergegeben?
- Reputation: Wie beurteilen Dritte, Qualitätszeitungen beispielsweise, eine Webseite als Quelle? Einschätzungen Dritter sind schwer zu manipulieren und daher aufschlussreich.
Heuer, H., Glassman, Elena L.: Reliability Criteria for News Websites. ACM Trans. Comput. Hum. Interact., 2024
Nach Bekanntwerden der Recherche im Juli 2024 gerieten einzelne »Doppelgänger«-Kampagnen ins Stocken. Die Fälscher hatten teils die Infrastruktur europäischer Hosting-Unternehmen für ihre Machenschaften genutzt. Erste Server-Dienstleister reagierten direkt und löschten Accounts.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.