Die vermeintlichen Server der russischen Propaganda
Im Februar berichteten CORRECTIV und taz, wie eine Luxemburger Firma dem russischen Staatssender RT half, Inhalte in Europa zu verbreiten. Das Luxemburger Staatsministerium versprach, einzuschreiten. Das tat es wahrscheinlich nur halbherzig. Die Luxemburger Firma weist die Vorwürfe zurück.
Peter Sodermans hatte einen guten Abend. Er und sein Chef waren zum Barbecue mit dem Luxemburger Premierminister Xavier Bettel eingeladen. „A Summer Night to remember“, schreibt Sodermans im Juni bei Linkedin, und postet ein Foto: Umringt von Männern der Luxemburger Tech-Szene, schauen Sodermans und sein Chef zufrieden in die Kamera. Harmlos, eigentlich. Doch die Bilder können einen Hinweis darauf geben, wieso man sich in der EU so schwer tut, die Sanktionen gegen Russland durchzusetzen. Genauer: gegen russische Propagandakanäle wie Russia Today (RT).
Bettel und sein Staatsministerium sind zuständig für die Kontrolle von Firmen. Firmen wie das Luxemburger Digitalunternehmen GCore Labs S.A.. Sodermans wiederum ist der Cheflobbyist von GCore. Und über das Netz von GCore wurde vermutlich RT, der Auslandssender des Kreml, in die Welt geschickt – zumindest noch bis Anfang 2023 Doch russische Propaganda ist seit dem Überfall auf die Ukraine strafbar. Die EU hat das Verbreiten diverser russischer Sender im März 2022 sanktioniert. GCore weist die Vorwürfe zurück.
GCore bietet Clouddienste an, also Server, Datenspeicher und ein Content-Delivery- Network. Solche CDNs helfen dabei, dass Informationen schnell durch das Internet fließen: große Dateien, Videos, Computerspiele, aber eben auch zweifelhafte oder verbotene Inhalte. Dazu gehören Inhalte von RT, sofern sie in der EU verbreitet werden oder sich an EU-Bürgerinnen richten. Im Februar 2023 analysierte das Team von CORRECTIV.Faktencheck die Rolle der russischen Propaganda für den Angriffskrieg, parallel veröffentlichten wir eine Liste von Faktenchecks zum Russland-Ukraine-Krieg.
CORRECTIV und die taz hatten im Februar 2023 aufgedeckt, dass Medieninhalte von RT noch bis Anfang 2023 über GCore liefen, über deren Server in Frankfurt am Main. GCore half also noch fast ein Jahr nach der Sanktionierung, Inhalte des Propagandasenders zu verbreiten. Nach unserer Veröffentlichung beteuerten die Luxemburger Behörden, man sei erfolgreich dagegen vorgegangen. GCore würde RT nun nicht mehr verbreiten. Auch GCore beteuert, dagegen vorgegangen zu sein, nachdem das Unternehmen davon Kenntnis erlangt habe.
Wird Russia Today dank der Luxemburger Firma weiterhin verbreitet?
Aber vermutlich stimmt das so nicht. Der taz und CORRECTIV liegen neue Hinweise vor, dass GCore sich Zeit gelassen haben könnte, um die aufgedeckten Sanktionsverstöße zu beheben. Der Verdacht: Wie bereits zuvor hat GCore seine Serverkapazitäten für Videos von RT zugänglich gelassen. Der Verdacht entstand, da wir sogenannte SSL-Zertifikate auf den russischen Servern gefunden haben, die mindestens bis Ende April 2023 auf dem Namen GCore liefen.
Ein SSL-Zertifikat ist wie ein Türschloss für eine Website. Es bestätigt die Identität der Website und schützt die Übermittlung der Daten vor dem Zugriff Dritter. Wenn ein Zertifikat auf einem Server mit dem Namen des ehemaligen Verantwortlichen versehen ist und nicht geändert wurde, dann ist das wie eine Tür, die mit einem alten Schloss versehen ist. In manchen Fällen haben die neuen Besitzer des alten Türschlosses auch die Schlüssel zu den anderen Servern des alten Besitzers. Das bedeutet, dass ein Angreifer potenziell Zugang zu den Daten aller Websites des alten Besitzers haben könnte. Eine fatale Sicherheitslücke.
Zudem: Bis Juni 2023 zeigten öffentliche Registrierungsdaten, dass ein Stream des russischen Staatssender RT über eine Domain abrufbar war, die auf die Firma GCore verwiesWer außerhalb der EU auf den englischen Videostream von RT oder auf das deutsche, französische oder spanische Online-TV-Programm zugriff, konnte also noch im Juni 2023 Streams empfangen, die über Domains liefen, die als GCore angemeldet waren. GCore erklärte dazu: „Dieser DNS-Eintrag ist ein technisches Überbleibsel.” Er sei nach der Trennung ihres Russland-Geschäfts „versehentlich nicht entfernt“ worden. „Dieser DNS-Eintrag spiegelt in keiner Weise die Verbreitung von RT-Inhalten über unsere Dienste wider“, erklärte GCore weiter.
GCore nicht irgendeine kleine Firma. In Luxemburg vertraut man dem Unternehmen bei sensibelsten Gesundheitsdaten. GCore hat bei der staatlichen Medizin-Plattform „eSanté“ mitgewirkt, bei der Ärztinnen und Patienten Befunde austauschen oder Sprechstunden abhalten können.
Die Verbindungen zwischen GCore und der Luxemburger Politik sind auch persönlich einigermaßen eng. Sodermans nennt Bettel auf seinem Linkedin Profil „unseren geliebten Premierminister“. Zwölf Jahre hat Sodermans für die Luxemburger Regierung gearbeitet, bis 2020 hat er sie in Digitalfragen beraten. Dann wechselte er die Seiten: Seit April 2022 arbeitet er für GCore. Er reist für die Firma durch die Welt und schüttelt die Hände von Diplomaten und Politikern.
Russische Verbindungen von GCore und RT: Unternehmen bestreitet Vorwürfe trotz belastender Hinweise
GCore bestreitet alle Vorwürfe. Auf Anfrage schreibt das PR-Team, GCore verurteile die „nicht zu rechtfertigende russische Invasion in die Ukraine“. GCore halte sich an alle Sanktionen. Weder stelle GCore die Streamingplattform für RT zur Verfügung, noch pflege die Firma eine geschäftliche Beziehung mit RT. Gegen die ursprüngliche Version des selben Textes bei der taz ging GCore gerichtlich vor, weshalb wir unsere Beleglage hier nun noch genauer präzisieren.
RT berichtet weiter tagesaktuell von Moskau aus auch auf Deutsch, Französisch und Englisch. Dagegen, dass RT die Inhalte produziert, kann die EU nicht vorgehen – wohl aber gegen die Verbreitung dieser Inhalte auf ihrem Gebiet.
Die Luxemburger Behörden gaben sich nach unserer ersten Recherche zunächst alarmiert. Die Staatsanwaltschaft beschäftigte sich mit GCore, das Staatsministerium kontaktierte das Unternehmen. Eine Recherche bei reporter.lu folgte, die größte Oppositionspartei Luxemburgs, die Christlich-Soziale Volkspartei, machte unsere Recherche zum Thema im Parlament und stellte eine Anfrage an den Premierminister Bettel, der der liberalen Demokratischen Partei angehört. Der antwortete im März, sein Ministerium habe mit GCore gesprochen. GCore habe die verbotenen Inhalte „prompt gelöscht“.
Allerdings stimmte das vermutlich nicht. Noch zwei Monate nach unserer Veröffentlichung und einen Monat nach der Stellungnahme des Premierministers sah es zwar oberflächlich so aus, als habe GCore die Verbindungen gekappt. Doch GCore und RT blieben wahrscheinlich weiter verbunden.
Belegen ließ sich das, wie teils oben bereits beschrieben, über ein sogenanntes SSL-Zertifikat. Diese sorgen für eine sichere Verbindung und sollen die Identität des Eigentümers einer Webseite bestätigen. Eine Art Internet-Passkontrolle. In jedem Browser kann man für Webseiten in der Adresszeile nachschauen, ob solch ein gültiges Zertifikat vorliegt und auf wen es ausgestellt wurde. Noch Ende April war das SSL-Zertifikat des russischen Servers, von dem RT-Videos nach Deutschland geliefert wurden, auf GCore in Luxemburg ausgestellt.
Pikantes Detail: Der russische Server mit dem GCore-Zertifikat ist auf die Firma Megafon registriert, einem der größten russischen Mobilfunkanbieter. Dahinter steht der Oligarch Alisher Usmanov. Megafon ist seit Februar 2022 von der EU sanktioniert, ebenso wie Usmanov persönlich. Laut EU ist er „ein kremlfreundlicher Oligarch, der besonders enge Verbindungen zum russischen Präsidenten Vladimir Putin unterhält“. Megafon und GCore sind 2019 eine Partnerschaft eingegangen.
Mit dem Onlinespiel War of Tanks fing alles an
GCore bestreitet, SSL-Zertifikate für RT zur Verfügung zu stellen. Das PR-Team antwortet stets freundlich. Man wolle „Missverständnisse“ ausräumen, man freue sich „über die Zusammenarbeit“ mit uns Journalistinnen und Journalisten. Erst streiten sie die Vorwürfe ab, bitten dann um genauere Informationen. Wir schicken Belege und bitten um ein Gespräch. Doch das bekommen wir nicht: Stattdessen bittet GCore um weitere Belege. Als wir auch die liefern, weicht GCore aus. Das SSL-Zertifikat sei im Mai 2023 von den Servern gelöscht worden. „Es war kein Bestandteil der von GCore für RT erbrachten Dienstleistungen.“ Man habe es nur so lange verwendet, bis man sich von seinem Russland-Geschäft getrennt habe.
CORRECTIV und die taz haben mit mehreren IT-Experten über die technischen Details gesprochen. Für alle ist klar: Entweder es stimmt, was GCore sagt, und das Unternehmen hat die Verbindung zu dem RT-Server sehr nachlässig getrennt und das wichtige Zertifikat auf einem Server „vergessen“, der nun auf eine sanktionierte Firma eines Putin-treuen Oligarchen verweist. Sollte das stimmen, wäre es nicht nur sehr unprofessionell für eine Digitalfirma. Es wäre auch ein eklatantes Sicherheitsproblem für GCore-Kunden.
Was wahrscheinlicher ist: GCore war bis mindestens Ende April weiter für die Server verantwortlich, über die Videos von RT zu empfangen sind. Um zu verstehen, warum, lohnt sich ein Blick in die Unternehmensstrukturen.
Hinter GCore stehen zwei Milliardäre aus Belarus mit zyprischem Pass: Victor Kislyi und Nikolai Katselapov sind mit einem Kriegsspiel reich geworden. Ihre Firma heißt Wargaming und hat eines der erfolgreichsten Onlinespiele der Welt entwickelt: „World of Tanks“. Für solche Spiele braucht es schnelles Internet. Das bietet GCore. Wargaming gab 2015 die Anschubfinanzierung für GCore. Einer der Wargaming-Gründer, Nikolai Katselapov, sitzt auch heute im Management von GCore.
Wargaming hat sich gegen die russische Invasion gestellt: Hat seine Büros in Moskau und Minsk geschlossen, hat Geld für die Ukraine gespendet. Der belarussische Geheimdienst führt den GCore-Manager Katselapov angeblich als Terroristen.
Offenlegen, wie das Ministerium den Sanktionsbruch von GCore überprüft hat, will man aber nicht
Ob er wirklich ein belarussischer Staatsfeind ist, bleibt auch nach unserer Recherche unklar. Spricht man mit Oppositionellen, sagen sie, Katselapov sei als Oppositioneller nicht in Erscheinung getreten. Er trete allerdings generell nirgends auf.
Ein weiteres Detail zu Katselapov macht stutzig: Nach der russischen Invasion in die Ukraine hat GCore sein Russlandgeschäft verkauft. Das Geschäftsmodell blieb, ein Teil des russischen Personals auch, Chef von Edgecenter blieb nach dem Verkauf Michael Shurygin, der früher Chef von GCore Russland war. GCore und Nick Katselapov gewährten Edgecenter Kredite. 1,6 Millionen Euro lieh Katselapov an Edgecenter, noch wenige Tage vor dem Verkauf.
Edgecenter ist mittlerweile etabliert in der russischen IT-Branche und nah an Putins Regime. Und ausgerechnet in die steckt ein belarussischer Oppositioneller sein Geld? Katselapov war nicht für uns zu erreichen.
Bleibt die Frage, warum die Luxemburger Behörden bei GCore nicht genauer hinschauen: Bei einer Firma, die in ein sensibles Gesundheitsportal involviert ist?
Bettels Staatsministerium schreibt, man nehme die Sanktionen sehr ernst. Offenlegen, wie genau das Ministerium den Sanktionsbruch von GCore überprüft hat, will man aber nicht. Die Staatsanwaltschaft Luxemburg hat die Ermittlungen gegen GCore eingestellt. Aus ihrer Sicht liege keine Straftat vor, schreibt ein Sprecher.
Richtigstellung: Correctiv hat an dieser Stelle berichtet, dass nach der russischen Invasion in die Ukraine G-Core sein Russlandgeschäft abgetrennt und eine neue Firma in Russland gegründet habe: Edgecenter. Wir haben den Satz dazu gestrichen. Edgecenter LLC wurde am 31.3.2022 von der G-Core Holding S.A. verkauft.
Weiterhin haben wir in einer älteren Version geschrieben, GCore würde die Kooperation verschleiern und noch heute sei Russia Today dank GCore außerhalb Europas abrufbar. Richtig ist: Die Firma GCore hat Technik zur Verfügung gestellt, die mit Streams von Russia Today bespielt wurden und SSL Zertifikate waren noch lange Zeit auf deren Namen bei Servern der Firma Edgecenter zu finden. Ob dies eine aktive Verschleierung der Kooperation oder ein Versehen ist, das zu erheblichen Sicherheitslücken führen könnte, ist nicht eindeutig festzustellen. Diese Stellen haben wir im Text entsprechend geändert, nachdem die Firma GCore gerichtlich gegen die taz vorgegangen war, die denselben Text als Kooperation veröffentlicht hatten. Das Verfahren läuft noch und wir werden den Text entsprechend aktualisieren.