Wie Facebook ab jetzt verdeckte Kampagnen jagen will
Von Erich Moechel
US-Geheimdienstdirektor Dan Coats bestätigte am Donnerstag die Existenz „einer weitreichenden Desinformationskampagne russischer Akteure“. Ob er sich damit auf die mysteriöse Facebook-Kampagne bezog, blieb allerdings offen. Facebook hatte am Mittwoch eine Inseratenkampagne aufgedeckt, die auffällige Parallelen zu den russischen Interventionen bei den US-Präsidentschaftswahlen 2016 zeigt.
Bei Facebook hütet man sich vor einer so direkten Zuweisung, zumal die vorliegenden Fakten nur methodische Ähnlichkeiten zeigen, auf Russland weisende Indizien aber fehlen. Deutlich mehr ist über die neuen Abwehrmethoden der Facebook-Techniker zu erfahren. Mit reichlicher Verspätung verfügt man nun über einen Algorithmus, der gefälschte Konten und deren Netze identifizieren kann.
Die „Black Elevation“ genannte Kampagne war die reichweitenstärkste von allen , „Mindful Being“ zielte auf eher esoterisch orientierte Bevölkerungsgruppen. Das vorläufige Statement von Facebook dazu.
„Organisiertes unauthentisches Verhalten“
Die russische Inseratenkampagne auf Facebook 2016 benutzte ähnlich indifferente Sujets und diente wie die aktuelle zur Ѕammlung echter Benutzer als Multplikatoren.
Der Algorithmus zum Entdecken „organisierter unauthentischer Verhaltensweisen“ von Facebook-Konten muss ziemlich neu sein, denn laut dem scheidenden Sicherheitschef Alex Stamos wurden die ersten Hinweise erst vor vierzehn Tagen gefunden. Da hatten die nun gelöschten Konten bereits 9.500 Postings abgesetzt, Werbung mit 150 verschiedenen Sujets geschaltet, und damit die stattliche Followerzahl von 290.000 großteils echten Accounts gesammelt.
Der Datenmoloch Facebook, der alle nur denkbaren Daten sammelt und zukauft, mehr als zwei Milliarden Nutzer nach Strich und Faden rastert und alle ihre Interaktionen mittels komplexer Algorithmenketten analysiert und Profilen zuordnet, hatte bis zum Auffliegen der jüngsten Skandale also überhaupt keine Instrumente gegen Datenmissbrauch- Manipulation entwickelt. Wie die Patente der Firma aus den letzten Jahren zeigen, hat Facebook eine Unzahl von Algorithmen zur Analyse aller nur denkbaren Verhaltensweisen entwickelt. Der Algorithmus zur Identifikation von „unauthentischem Verhalten“ kam ganz um Schluss dazu.
An dieser Veranstaltung, die wohl nicht wie geplant stattfinden wird, war ein halbes Dutzend echter Antifa-Gruppen interessiert, die von den Hintergründen natürlich keine Ahnung hatten.
Command, Control und Schlüsselkonten
Falls Facebook den Auflagen für politische Werbekampagnen nicht bis Oktober nachkommen sollte, droht auch Brüssel mit Regulation. Dort geht die Angst vor einer Manipulation der EU-Wahlen 2019 um.
Was da nun entdeckt wurde, sind offenbar die Schlüsselaccounts, die eine Desinformationskampagne steuern sollten. Sie sind in etwa mit den Command/Control-Servern zu vergleichen, die alle möglichen Cyberangriffe kontrollieren. Gerade einmal acht Facebook-Seiten und 37 gefälschte Profile reichten aus, um innerhalb eines Jahres insgesamt fast 300.000 Follower anzuziehen. Wie aus den Sujets hervorgeht, zielte die Kampagne auf Schwarze und Angehörige anderer Minderheiten, auf Linksliberale, Grüne und Antifaschisten ab.
Deren Stimmen gehen traditionell an die demokratischen Partei und ganz besonders dann, wenn wie 2016 ein Kandidat wie der linksliberale Senator Bernard Sanders zur Wahl steht. Die Unbekannten waren also hinter einem beträchtlichen Wählersegement der Demokraten her, was sie damit vorhatten, ist völlig unklar. Sicher ist dabei nur, dass die Unbekannten dabei keineswegs geplant hatten, einfach die Demokraten zu unterstützen, denn sie agierten absolut professionell getarnt.
Reuters/Steve Marcus
Alex Stamos, Chief Security Officer von Facebook seit 2015, wird das Unternehmen Mitte August verlassen und an der Universität Stanford lehren. Sein Posten wird nicht nachbesetzt, weil die zentrale Sicherheitsabteilung der Firma aufgelöst und und eigene Security Departments in den verschiedenen Ressorts eingerichtet werden.
Der Lernprozess der Trolle
Von Whistleblower Chris Wylie veröffentliche interne Dokumente zeigen, wie Cambridge Analytica über aggregierte Datensätze von Facebook Wahlmanipulation betrieben hat.
Dabei war diese Gruppe viel genauer und konsequenter als die Akteure von 2016, die eine ganze Reihe von Spuren hinterlassen hatten. Gleich mehrere davon waren IP-Adressen aus Russland, die auf die berüchtigte russische „Trollfabrik“ in St. Petersburg verwiesen, die davor bereits mit mehreren, viel kleineren Kampagnen aufgefallen war. Diesmal war eine deutlich besser in operativer Sicherheit trainierte Desinformationstruppe am Werk als 2016, die durchgehend nur über angemietete Virtual Private Networks agierte.
Nicht einmal in den Zahlungen für die Inserate fand sich bis jetzt irgendeine Spur, die weiterführen würde, denn die Transfers wurden allesamt über sonst offenbar unbeteiligte Dritte abgewickelt. Es gebe bis jetzt überhaupt nur eine einzige halbwegs konkrete Spur, die nach Russland weisen könnte, heißt es dazu von Facebook. Bei der Zuordnung dieser Angriffsvorbereitungen hakt es also gewaltig.
Eine Methode, zwei Kampagnen
Beim ersten Kurssturz von Facebook an der Börse ging Ende Juli Marktkapitalisierung von über 120 Milliarden über Nacht verloren, die Firma war damit theoretisch um dieselbe Summe weniger wert.
Was da entdeckt wurde, kann höchstens ein Element eines Angriffs auf der Informationsebene sein, denn bis jetzt griffen alle solche bisher bekanntgewordenen Attacken auf dem „Information Layer“ auf mindestens zwei solche Kampagnenelemente zurück. So hatten die russischen Akteure 2016 auf beiden Seiten des politischen Spektrums eingegriffen. Wie aus den Anzeigensujets, die Facebook dem Kongress vorgelegt hatte, hervorgeht, wurden in mehreren Fällen sowohl die konservative Seite wie auch deren Gegner unterstützt.
Im österreichischen Wahlkampf 2017 hatte der später geschasste Spindoktor Tal Silberstein ebenso mit zwei verschiedenen, verdeckten Kampagnen hantiert, wie auch seine Kollegen von der britischen SCL und deren Tochterfirma Cambridge Analytica stets auf zwei Standbeine zur Manipulation gesetzt hatten. Da niemand außer den Angreifern selber weiß, dass diese beiden Kampagnen zusammengehören, lässt sich damit ein Informationsspektakel inszenieren, etwa um andere, unerwüschte Nachrichten zu überdecken.
Wie es nun weitergeht
Was Facebook da ad hoc veröffentlicht hat, ist nach Angaben der Firma nur eine erste, provisorische Einschätzung der mysteriösen Kampagne. Eine genaue Analyse werde das „Atlantic Council“ liefern, da diese Organisation anders als Facebook über großes, außenpolitisches Knowhow verfüge. Dieser Thinktank - ein Relikt des Kalten Kriegs - ist auf Außen- und Wirtschaftspolitik spezialisiert und verfügt hier über beste weltweite Beziehungen. So war das „Atlantic Council“ eine der treibenden Kräfte hinter dem US-EU-Wirtschaftsabkommen TTIP, das nach dem Wahlsieg Donald Trumps sang- und klanglos gescheitert war.
Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Verbindungen via TOR-Netz willkommen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Nun verfügt das Council plötzlich über ein forensisches Laboratorium, was gegenüber der bisherigen Mission doch zіemnlich aus dem Rahmen fällt, denn für besonderes Knowhow in Informationstechnik war dieser Thinktank bis jetzt nicht bekannt. Das scheint sich grundlegend geändert zu haben: Facebook beruft sich nun auf eine ganz neue Expertise zur Einordnung und Zuweisung von Informationsangriffen (siehe Screenshot) aus dieser Denkfabrik des Kalten Kriegs. Und diese unscheinbare Expertise enthält nichts weniger als die neue außenpolitische Doktrin der USA, wie mit Cyberangriffen aus Drittstaaten umzugehen ist. Mehr darüber gibt es im nächsten Teil zu lesen.
Publiziert am 05.08.2018
