Profil

E-Mail: author+251(at)correctiv.org

Social-Bots haben oft Zwilinge. Montage von Ben Nimmo.

Artikel

Aus Russland mit #Hass?

Wie funktioniert ein Bot-Angriff? Der Experte Ben Nimmo erklärt, wie die automatisierten Accounts arbeiten. Und vor allem fragt er: für wen?

weiterlesen 20 Minuten

von Sarina Balkhausen , Ben Nimmo

Am 24. August 2017 veröffentlichte ein angeblich russischer Twitter-Account mit nur 74 Followern namens „Lizynia Zikur“ (Handle @kirstenkellog_) einen wütenden Tweet, der die US-Nachrichtenseite „ProPublica“ als „Alt-left #HateGroup- und #FakeNews-Website“ verunglimpft. Dieser Post wurde innerhalb weniger Stunden über 23.000 Mal verbreitet. Ein weiterer Account folgte diesem Muster mit einem ähnlichen Angriff auf „ProPublica“ am darauffolgenden Tag.

Hassgruppe1.png

Die Analyse zeigt, dass beide Tweets massiv retweeted wurden. Dahinter liegt ein großes, vermutlich gemietetes Netzwerk an mutmaßlichen Bot-Accounts, die den Tweet verstärkten. Der Ursprung der Bots ist unbekannt.

Dem Profil, das den ursprünglichen Tweet veröffentlichte, folgten Konten, die in russischer Sprache aufgesetzt waren; es liegt nahe, dass diese Accounts tatsächlich russischsprachigen Ursprungs gewesen sind. Das Konto, das sich im zweiten Tweet als Russisch sprechend darstellte, scheint jedoch Google Translate benutzt zu haben.

Die große Verbreitung wurde durch Botnetze durchgeführt, deren Hauptzweck offenbar kommerziell zu sein scheint. Ihr Ursprung kann und sollte allerdings nicht Gruppen zugeordnet werden, ohne dafür entsprechende Beweise zu haben.

Englischer Tweet, russisches Profil

Der Artikel, der wahrscheinlich den Angriff ausgelöst hat, war einer, in dem ProPublica das russische und „Alt-right“-Engagement im Netz nach den Unruhen in Charlottesville unter die Lupe nahm. Nach der Recherche des DFR Labs zog die Schlagzeile „Pro-russische Bots nehmen den Rechtspopulismus nach Charlottesville auf“ teilweise die Aufmerksamkeit auf die Nachrichtenseite. „ProPublica“ teilte daraufhin einen Tweet des Angriffs mit dem DFR Lab.

Hassgruppe2.png

Die erste Frage ist die nach der Identität des „Lizynia“-Kontos, auch, ob es wahrscheinlich ist, dass es aus der russisch- oder englischsprachigen Welt stammt. Da das Profil auf einen Artikel reagiert hat, der sowohl die „Alt-Right“-Bewegung als auch Russland kritisiert, ist theoretisch beides möglich.

Der Ton des von „Lizynia“ auf Englisch abgesetzten Tweets ist charakteristisch für die „Alt-Right“-Bewegung. Die Sprache des Kontos an sich ist Russisch, zudem weist es als Ortsangabe die Stadt Bagrationovsk aus, die in Russland in der Region Kaliningrad liegt, nahe Polen und Litauen.

Hassgruppe3.png

Es gibt keinen Mechanismus, der es uns ermöglicht, den Standort oder die Identität zu überprüfen. Eine umgekehrte Suche des Profilbildes hat keine weiteren Ergebnisse ergeben. Die Google-Suche nach dem Account-Namen ergab nur Ergebnisse auf den abgesetzten Tweet.

Ein kleiner Hinweis auf einen fremdsprachigen Ursprung ist die Formulierung „ProPublica ist „alt-left“ #Hassgruppe“. Ein Muttersprachler oder eine Muttersprachlerin hätte dem Satz den Artikel „ein“ hinzugefügt. Das Weglassen von Artikeln ist charakteristisch für Russischsprechende, allerdings auch für andere Sprachgruppen. Doch grammatisch inkorrekte Formulierungen lassen sich leicht fälschen, zur gezielten Verwirrung.

Eine Sache, die gesagt werden kann, ist, dass das Konto „Lizynia“ zurückhaltend agiert. Bis zum 24. August 2017 veröffentlichte das Konto seit seiner Eröffnung vor drei Jahren lediglich zwölf Tweets. Davon wurde nur einer in der Chronik angezeigt, was darauf hindeutet, dass die elf anderen Tweets gelöscht wurden. An sich ist dieser Umstand bemerkenswert, denn er erschwert eine Beweisführung.

Lernen Sie die „B“-Team-Bots kennen

Von „Lizynias“ Anhängerschaft kann hingegen mehr abgeleitet werden. Die meisten scheinen automatisierte „Bots“ eines kleinen Netzwerks zu sein. Diese sind darauf programmiert, Online-Nachrichten zu verstärken; zudem scheint gerade dieses Netzwerk aus der russischsprachigen Welt zu stammen.

DFR Lab sah sich die Follower des Kontos an, bevor es suspendiert wurde und bemerkte dabei ein merkwürdiges Muster: Mit nur einer Ausnahme (ein Konto, das „Lizynia“ nach der Veröffentlichung des letzten Tweets folgte) hatte jeder einzelne der 76 Follower im Profil einen Nachnamen angegeben, der mit den Buchstaben A, B oder C begann. Die meisten Angaben begonnen mit B.

Hassgruppe4.png

Die Seite mit „Lizynias“ Followern wurde archiviert, dadurch konnten einige der Namen bewahrt werden, darunter: Marly Brideaux, Demi Bangs, Ona Buesnel, Jos Blofeld, Cilla Backshill, Juhana Blowin, Justinas Blunsom, Julijana Bloy, Hyacinth Bigby, Manel Breeton, Katlyn Boich, Eleanore Batch, Cedar Augie, Silas Cafe, Kelleigh Bollum, Jacinda Blackley und Kelebek Bollon.

Diese Accounts haben eine Reihe von Merkmalen gemeinsam. Sie wurden im Jahr 2014 eröffnet. Sie behaupten, aus dem Vereinigten Königreich zu stammen. Sie verfügen nur über ein paar Dutzend Tweets in der Chronik, folgen allerdings hunderten von Konten. Außerdem stimmen ihre Namensangaben im Profil nicht mit dem Twitter-Handle überein.

Hassgruppe5.png

Das Bild von „Marly Brideaux“ entspricht dem eines russischen Posts, der 2014 auf „Pikabu.ru“ geteilt wurde, dem russischen Equivalent des US-amerikanischen „Reddit“. Die Verwendung eines Bilds an anderer Stelle ist oftmals ein Zeichen für einen Fake-Account:

Hassgruppe6.png

Ein anderes Profil aus der Bot-Gruppe namens „Kelebek Bollon“ schrieb innerhalb von vier Stunden sagenhafte 1610 Tweets:

Hassgruppe7.png

Ungleich wichtiger ist, dass diese Accounts viel ähnlichen Inhalt veröffentlichen, unter der häufigen Verwendung von Emojis. Viele jener Tweets teilen sich Botschaften einer Reihe von Twitter-Accounts, die mit den Handle-Buchstaben „@Con“ beginnen. Die meisten davon sind mittlerweile deaktiviert worden.

Ihre Beiträge teilen sich oftmals eine identische Formulierung, aber unter Verwendung verschiedener Emojis.

Hassgruppe8.png

Zusammengenommen zeigen diese Faktoren, dass die Konten — die wohlgemerkt alle „Lizynia“ folgten — Teil eines kleinen und relativ inaktiven Botnetzes sind.  Sie automatisieren Beiträge, um andere, englischsprachige Konten zu verstärken.

Verstärker

Allerdings hatte die größte Verstärkung von „Lizynias“ Tweet einen anderen Ursprung. Diese Verstärkung war erstaunlich hoch: „Lizynia“ hatte zum Zeitpunkt des Tweets lediglich 74 Follower und folgte selbst keinem Account. Das Erreichen von über 23.000 Retweets innerhalb weniger Stunden unter diesen Voraussetzungen ist ein phänomenal unwahrscheinliches Vorkommen.

DFR Lab hat darum die Konten unter die Lupe genommen, die den „Lizynia“-Tweet retweeteten.

In diesem Fall reichte ein kurzer Blick aus, um Gewissheit zu haben, dass der Tweet durch Bots verstärkt wurde. Drei der Konten, die ihn kürzlich retweeteten, waren scheinbar attraktive Blondinen mit den Namen „Shelly Wilson”, „Bernadette White” und „Julia James”.

Hassgruppe9.png

„Shellys“ Twitter-Handle ähnelte zumindest dem Profilnamen (@ShellyW38433328), allerdings ergänzt um einer zufälligen Anreihung von Zahlen. Hingegen hatten sowohl „Bernadette“ als auch „Julia“ Handles aus zufälligen alphanumerischen Reihen (@KDpdX3QORYWWt5b und @4yML2iZDKEdpPJ0).

Diese Indizien sind ist ein klassisches Zeichen für ein großformatiges Botnet, bei dem die Benennung von Fake-Konten durch einen zufälligen Generator automatisiert wird.

Der Beweis liegt vor, da es sich bei den drei vermeintlichen Frauen nicht um drei einzelne Konten, die drei schöne Profilbilder hatten, handelt. Die Profilbilder zeigen ein und die selbe Person, wovon eines gespiegelt wurde. Alle Konten wurden zwischen Juni und Juli 2017 erstellt. Alle drei verbreiteten fast ausschließlich Retweets. Passend dazu die regelmäßige Verlinkung mittels URL-Shortener.

Unterstützen Sie unabhängigen Journalismus!
Unser Ziel ist eine aufgeklärte Gesellschaft. Denn nur gut informierte Bürgerinnen und Bürger können auf demokratischem Weg Probleme lösen und Verbesserungen herbeiführen. Jetzt spenden!

Das sind eindeutig Konten eines Botnets — ein Netzwerk von gefälschten Konten, das dazu eingerichtet wurde, unter Anschein des Menschseins Tweets anderer zu verstärken.

Gleiches Netz, anderer Tweet

Die schiere Anzahl an Retweets, die der Post von „Lizynia“ erhalten hat, gibt einen Hinweis auf die Größe des Botnetzes. Ein weiterer Hinweis ergibt sich aus einem separaten Tweet, der vom Twitter-Konto von Julia Davis (@JuliaDavisNews) abgesetzt wurde. Sie, eine Expertin für russische Desinformation und Propaganda, machte DFR Lab auf diesen separaten Tweet aufmerksam.

Julia Davis hat etwas mehr als 20.000 Anhänger auf Twitter. Ihre Posts weisen üblicherweise zwischen einigen Dutzend oder Hundert Retweets auf. Jedoch erhielt einer ihrer Tweets innerhalb weniger Stunden über 7000 Retweets:

Hassgruppe10.png

Die Konten, die den Tweet verstärkten, weisen große Ähnlichkeit mit denen „Lyzinias“ auf.

Hassangriffxxx.png

So wie zuvor wurden die Konten im Raum von ein paar Tagen erstellt, ihre Handles waren ausschließlich alphanumerisch, ebenfalls wiederholten sich Profilbilder, auch kam deren Spiegelung zum Einsatz. Aufgrund dieser Merkmale können diese Accounts nur Produkt einer sogenannten „Bot-Fabrik“ sein. Aller Wahrscheinlichkeit nach zählen dazu Tausende von Konten.

Hassgruppe14.png

Bots zur Miete?

Es scheint sich jedoch nicht primär um ein politisches Botnetz zu handeln.

Der „Lizynia“-Tweet griff einen Artikel an, der die Beteiligung pro-russischer Konten an der Reaktion auf „ProPublicas“ Charlottesville-Artikel vermutete. Der Tweet von Julia Davis legte Angriffe des russischen Militärs auf die Ukraine offen. Ein solcher Bericht ist kaum Grund, von pro-russischen Bots verstärkt zu werden, außer hinter ihnen liegt ein simpler Mechanismus, der auf Hashtags wie #Russland und #Ukraine reagiert.

Es ist wahrscheinlich, dass es sich bei diesem Botnet um ein kommerzielles Netzwerk handelt, sozusagen ein „Netzwerk zur Miete“. Es könnte zur Verstärkung von Werbeinhalten gekauft worden sein oder dazu umprogrammiert worden zu sein, per Zufall mehrsprachige Tweets zu verstärken. Auch beides ist möglich.

Allerdings gibt es keinen Aufschluss auf seinen Ursprung. Die Konten sind kürzlich erstellt worden. Deren sprachliche Mischung ist so breit gefasst, sodass es nicht möglich ist, eine Schlussfolgerung über den Account-Ursprung ziehen zu können. Die account-eigenen Tweets sind gering, jedoch kryptisch und nicht informativ. Ihr Verhalten scheint mit dem eines Retweets-zur-Miete- oder einem Folgen-zur-Miete-Netzwerks übereinzustimmen. Zu dieser Vermutung gehört auch, dass die geographische Herkunft des Netzwerks nicht anhand von verfügbaren Open-Source-Informationen abgeleitet werden kann.

Die nächste Runde

ProPublica meldete den Twitter-Angriff, daraufhin wurde der „Lizynia“-Account suspendiert. Wenige Stunden später erfolgte jedoch ein weiterer Angriff, wieder in vermeintlich russischer Sprache:

Hassgruppe15.png

Dieser Account ist älter als „Lizynia’s”, denn er wurde im März 2012 aufgesetzt. Er ist jedoch genauso inaktiv gewesen, da er lediglich sechs Tweets veröffentlichte, und zwar alle am 25. August:

Hassgruppe16.png

Er zielte auf „ProPublicas“ Account ab und verwendete aggressive Formulierungen auf vermeintlichem Russisch und Englisch:

Hassgruppe17.png

Als Ort des Profils war Kaliningrad angegeben, ebenfalls der Biografie-Zusatz „Der Süden wird sich wieder erheben“ — eine Referenz auf den US-amerikanischen Bürgerkrieg. Neben der üblichen grammatischen Fehler ist ein Tweet auffallend, der anstößige Sprache enthält. Er lässt vermuten, dass es sich bei diesem Profil nicht um ein russisches handelt, sondern um eines, das so tut als ob.

Der PostУ меня 1 миллион ботов“ ist grammatisch korrektes Russisch für „Ich habe eine Million Bots“. Allerdings schreibt der Post zuvor „удар мой член“ , was im Russischen absolut sinnfrei ist. Er verbindet das russische Wort für Gegenschlag oder Schlag, удар, mit dem Nominativ „mein Mitglied“.

Wenn man diese Formulierung in Google Translate eingibt, kommt im Ergebnis auf Englisch „Lutsch meinen Schwanz“ („Blow my dick“) heraus. Umgekehrt kommt im russischen Ergebnis das Kauderwelsch „удар мой член“ des Tweets heraus. Darum ist es wahrscheinlich, dass die Person hinter dem Profil „Victor Thawnzgauk“ ein Englischsprecher verbirgt, der Google Translate benutzt, um sich als russischsprechend auszugeben. Mittlerweile (Stand 18. September) ist „Viktors“ Account gesperrt.

Sein Angriff auf ProPublica erzielte über 12,000 Retweets. Obwohl die retweetenden Accounts nicht so offensichtlich zum gleichen Botnetzwerk gehören, weisen sie das gleiche Verhalten auf. Sie veröffentlichten Posts in mehreren Sprachen zu einer Vielzahl an Themen. Viele darunter wurden Ende Juni 2017 eröffnet und teilten den angreifenden Post in der fast gleichen Reihenfolge, was ein typisches Symbol für Automatisierung ist:

Hassgruppe18_Retweets.png

Anzahl der Retweets von “Victors” Post. Zu beachten ist die fast identische Anzahl an Likes und und Retweets, sowie die perfekte Übereinstimmung der Accounts beider Gruppen

Hassgruppe18_Likes.png

Alle Hinweise lassen darauf schließen, dass es sich bei diesen Accounts um ein weiteres Botnetz handelt, das darauf angesetzt wurde, „ProPublica“ zu belästigen.

There has been a general alignment of narratives between the alt-right and pro-Kremlin commentators, meaning that a Russian identification cannot be ruled out; however, there is no reliable evidence which would confirm such an identification. Zwischen der „Alt-Right“-Bewegung und Pro-Kreml-Kommentatoren gibt es eine allgemeine Überschneidung. Dies bedeutet, dass eine russische Beteiligung nicht ausgeschlossen werden kann. Allerdings sind die Beweise dafür nicht stichhaltig genug, das zu bestätigen.

Schlussfolgerung

Der Tweet, der ProPublica angegriffen hat, kann durchaus der russischsprachigen Welt entstammen. Der Account, der ihn veröffentlichte, präsentierte sich in russischer Sprache. Ihm folgte ein Netzwerk von Konten, die ihren Ursprung im russischsprachigen Raum hatten. Es ist anzumerken, dass dies nicht das gleiche ist wie „ihren Ursprung in Russland hatten“. Die früheren Tweets jener Konten betrafen Ereignisse in der ehemaligen UdSSR, nicht nur in Russland.

Obgleich solche Zuordnungen gefälscht werden können, ist es durchaus möglich, dass dieser Teil des Twitter-Angriffs von Russisch-Sprechenden ausgeübt wurde.

Jedoch scheint sich das „Victor“-Konto Google Translate zu bedienen, um russisch zu erscheinen. Dies kann natürlich ein gewisses Maß einer Doppelfälschung beinhalten, aber es wäre unklug, dieses Konto dennoch als „russisch“ zu identifizieren, lediglich auf der Grundlage der verfügbaren Indizien. Darum ist es korrekter, es als „pseudo-russisch“ zu bezeichnen.

Sowohl die Tweets von „Lizynia“ als auch „Victor“ wurden durch einen großen Einsatz von Bots verstärkt. Die verwendeten Netzwerke sind jünger, aktiver, weniger unauffällig und vor allem größer. Während ihr Bot-Ursprung klar ist, ist es ihre Herkunft nicht. Vernünftigerweise ist zu vermuten, dass das gesperrte „Lizynia“-Konto aus der russischsprachigen Welt stammte. Die Botnetze, die den Account verstärkten als auch „Victor“ scheinen dagegen nicht politischen, aber kommerziellen Ursprungs zu sein. Auch ihre geographische Herkunft ist fragwürdig.

Ben Nimmo ist Senior Fellow für Nachrichtenabwehr beim digitalen Forschungslabor des Atlantic Councils (@DFRlab). Übersetzt wurde Bens Artikel von Sarina Balkhausen, Fellow bei #Wahlcheck17, einem Pop-Up-Newsrooms zur Bundestagswahl, einer Initiative von CORRECTIV, First Draft, Google News Lab und Facebook. Weder Ben noch Sarina sind Bots.

Wir veröffentlichen den Artikel mit freundlicher Genehmigung von „Medium“.

bot-bundestagswahl_titel-1

von Ben Nimmo

Im Vorfeld der Bundestagwahl am jetzigen Sonntag rufen rechtsextreme Aktivisten auf Social Media-Plattformen wie Twitter ihre Unterstützer dazu auf, sich als freiwillige Beobachter der Wahl bereitzustellen, um einen möglichen Wahlbetrug zu verhindern. Auf Twitter werden deren Tweets durch ein Netzwerk von russischsprachigen Bots verstärkt.

Die Größe dieses Botnets ist verhältnismäßig klein. Eine Vielzahl ihrer Posts weisen kommerziellen oder pornografischen Inhalt auf, nur eine geringe Anzahl ist politischen Inhalts. Deshalb ist es nicht zutreffend, von einem politischen Botnet zu sprechen oder es einem eindeutigen politisch motivierten Akteur zuzuordnen.

Das Gespenst des Wahlbetrugs ist im rechtsextremen Umfeld allgegenwärtig. Das Gerücht könnte von diesen nationalistischen Kreisen dazu genutzt werden, die Rechtmäßigkeit des Wahlergebnisses am Sonntag in Frage zu stellen. Die Existenz des Botnets könnte ausschlaggebend dafür sein, ob der Vorwurf eines Wahlbetrugs im Nachgang der Wahl über den deutschen Sprachraum hinaus aufgegriffen werden könnte.

Aufruf zu „Wahlbeobachtern“

Der rechtsextreme Aufruf zur „Wahlbeobachtung“ wird auf einer Webseite namens wahlbeobachtung.de propagiert. Hierbei handelt es sich um eine offen parteiischen Seite, die Kanzlerin Angela Merkel diffamiert, wie die einleitende Broschüre verdeutlicht:

Bot-Bundestagswahl1.png

In der Broschüre wird ausschließlich Merkel erwähnt, ihrer Partei CDU wird am Sonntag weithin ein Wahlsieg prognostiziert.

Die diffamierende Webseite besteht aus zwei Teilen: aus der erwähnten PDF-Broschüre und aus einem einminütigen Video, das sich um freiwillige Wahlbeobachter bemüht und versucht, hierzu Tipps zu vermitteln. Das Video zeigt Stimmzähler, die die Abstimmung verfälschen, während ein Sprecher der Kamera versichert, dass das Wahlsystem untrüglich ist. Er endet mit den Worten „Wir schaffen das“, dem bekannten Ausspruch Merkels, den sie in Bezug auf die Flüchtlingskrise im Jahr 2015 verwendete.

Die Broschüre gibt potenziellen Wahlbeobachtern den Rat, eine Neuauszählung zu fordern, sollte eine verdächtig hohe Zahl an ungültigen Stimmen festgestellt werden. Die Originalversion der Broschüre (zu finden im Google Cache und im Web-Archiv) behauptet, sich auf Paragraf 31 des Bundeswahlgesetz zu beziehen, und erklärt:

„Während der Wahlhandlung sowie der Ermittlung und Feststellung des Wahlergebnisses hat jedermann zum Wahlraum Zutritt, soweit das ohne Störung des Wahlgeschäftes möglich ist.“

Bot-Bundestagswahl2.png

Dies ist ein verfälschtes Zitat. Der tatsächliche Paragraf 31 des Bundeswahlgesetz, der auf dem offiziellen Regierungsportal „Gesetze im Internet“ nachzulesen ist, lautet:

Die Wahlhandlung ist öffentlich. Der Wahlvorstand kann Personen, die die Ordnung und Ruhe stören, aus dem Wahlraum verweisen. „

Bot-Bundestagswahl3.png

Der Text der Broschüre entstammt nicht dem Bundeswahlgesetz, sondern Paragraf 54 der Bundeswahlordnung, der sich auf die Durchführung von Wahlen bezieht.

Bot-Bundestagswahl4.png

Am 21. September erschien eine überarbeitete Version der Broschüre, in der das Zitat korrekt zugeordnet war. Am 21. September gaben auf der zugehörigen Facebookseite 306 Nutzer an, sich als Wahlbeobachter bereitzustellen. Zur Mittagszeit des 22. September hatte sich diese Zahl nicht verändert. Die Zahl der Teilnehmer ist klein. Dem offiziellen Wahlbüro des Bundes zufolge wird die Abstimmung am Sonntag in rund 88,000 Wahllokalen mit knapp 650,000 Wahlhelfern stattfinden.

Bot-Bundestagswahl5.png

Allerdings ist trotz der bislang verhältnismäßig kleinen Zahl an rechtsextremen Aktivisten nicht auszuschließen, dass Behauptungen eines Wahlbetrugs am Tag der Wahl oder danach erhoben werden könnten.

Migrantenfeindliche Wurzeln

Auf der Wahlbeobachter-Facebook-Seite gibt es eine Referenz auf „EinProzent“, einer ausländer- und Merkel-feindlichen Webseite, die sich als „professionelle Widerstandsplattform für deutsche Interessen“ proklamiert.

Bot-Bundestagswahl6.png

Auf der Webseite steht:

„Die Flüchtlingsinvasion ist eine Katastrophe für Deutschland und Europa. Politik und Medien wollen uns vor vollendete Tatsachen stellen? Wir machen nicht mit! Wir brauchen eine Bürgerbewegung, eine breite Lobby für Deutschland. Unsere Vision: Tausende Mitglieder unterstützen unsere juristischen, medialen und politischen Aktionen, verbreiten die Informationen, die in den Medien nicht zu finden sind und wehren sich in ihren Gemeinden gegen die Auflösung unseres Staates.“

Ein separater „EinProzent“-Blog rät Unterstützern, bei politischen Ereignissen „unbequem” zu sein und die Mitglieder von Merkels Christlich-Demokratischer Union (CDU) und der Christlichen Sozialen Union (CSU) zu fragen, „warum noch mehr Illegale nach Deutschland kommen sollen und warum dies sogar im CDU-Wahlprogramm steht”. Keine weitere politische Partei findet auf der Seite Erwähnung.

Das Blog empfiehlt zudem, gegen Angela Merkel zu protestieren:

„Gerade Kanzlerin Merkel muss derzeit erfahren, dass die Zeiten der ruhigen, öden Wahlkampfveranstaltungen vorbei sind“, und weiter „Seid kreativ, seid laut und setzt ein Zeichen“.

Die Gruppe ist auf Facebook, Twitter und VK, dem russischsprachigen Pendant zu Facebook, aktiv und verbreitet regelmäßig migranten- und Merkel-feindliches Material, obwohl deren VK-Seite darauf besteht, dass sie nicht „rechts“, „Nazis“ oder „ein Pack“ sei.

Bot-Bundestagswahl7.png

Die Präsenz der Gruppe auf der VK-Seite ist mit 41 Mitgliedern sehr klein. Auf Twitter folgen dem Account um die 7000 User. Auf Facebook sind es jedoch knapp 63,000, die die Seite geliked haben — der erfolgreichste Post, den die Seite kürzlich veröffentlichte, ist ein Video. Es zeigt einen vermeintlichen Beweis für Ausländerkriminalität und wurde über 1300 Mal geteilt.

Bot-Bundestagswahl8.png

Die Gruppe hat Merkel und ihre Partei, die CDU, wiederholt angeklagt, Wahlen zu missbrauchen und tweetete den Slogan „Merkel auf die Finger schauen: Wahlbetrug verhindern!“ zum ersten Mal bereits im September 2016.

Bot-Bundestagswahl9.png

Am 31. August 2017 berichtete das rechtsextreme Magazin „compact.de“ über die Forderung der Gruppe nach Wahlbeobachtern und behauptete, die Größe der Bundestagswahl berge „enorme Fehler- und Manipulationspotenziale”. Die Überschrift des Artikels lautet: „Kriminell: So manipuliert die Merkel-Partei Wahlergebnisse“.

Bot-Bundestagswahl10.png

Trotz ihrer Tätigkeit und Unterstützung hatte die „EinProzent“-Gruppe bis kurz vor der Bundestagswahl wenig Einfluss. Der Tweet vom September 2016 wurde 24 Mal retweetet; ein Tweet, der Anhänger zu einem Vortrag über die Wahlbeobachtung am 12. September 2017 einlud, wurde 30 Mal retweeted.

Bot-Bundestagswahl11.png

Der „Compact“-Artikel wurde 1300 Mal über alle Plattformen geteilt. Laut einer Alexa-Analyse belegte „wahlbeobachtung.de“ Platz 38,704 der beliebtesten Webseiten in Deutschland; „einprozent.de“ belegte Platz 16,317. Bei jedem gemessenen Indikator erzielten beide Webseiten ein kleines Publikum und eine geringe Reichweite.

Bot-Bundestagswahl12_links.png

 

Bot-Bundestagswahl12_rechts.png

Bilder: Bot-Bundestagswahl12_links.png *und* Bot-Bundestagswahl12_rechts.png

Das russisch-sprachige Botnet

Am 18. September erhielt die „EinProzent“-Kampagne einen ungewöhnlichen Schub auf Twitter: einen Tweet von einem Twitter-User mit dem Handle @JonasBaua: „Wahlbetrug verhindern! Werde #Wahlbeobachter”, dazu der Link zu „wahlbeobachtung.de“.

Bot-Bundestagswahl13.png

Bis zum 20. September wurde der Tweet 169 Mal retweetet — trotz des Umstands, dass @JonasBaua nur fünfzehn Follower hatte.

Bot-Bundestagswahl14.png

Das ist eine bemerkenswert hohe Anzahl von Retweets für ein Konto mit so wenigen Followern. DFR Lab tätigte einen maschinellen Scan des Tweets und stellte fest, dass lediglich einer der fünfzehn Follower jenen Tweet retweetete.

Die anderen Retweets kamen aus einem Bot-Netzwerk, die vor allem auf Russisch posteten. Sie kombinierten hauptsächlich kommerzielle und pornografische Inhalte mit Inhalten zur Unterstützung der AfD und posteten außerdem Angriffe auf den russischen Anti-Korruptions-Aktivisten Alexey Navalny.

Es handelt sich dabei um ein Bot-Netzwerk, das in erster Linie auf Russisch eingesetzt wird — teilweise politisch, dann jedoch ausnahmslos pro-AfD, und immer gegen Navalny. Es ist nicht möglich, aus offenen Quellen herauszufinden, wer hinter der Erstellung des Botnets steht. Auf seine Inhalte schließend, arbeitet es in erster Linie im russischsprachigen Raum.

Unterstützen Sie unabhängigen Journalismus!
Unser Ziel ist eine aufgeklärte Gesellschaft. Denn nur gut informierte Bürgerinnen und Bürger können auf demokratischem Weg Probleme lösen und Verbesserungen herbeiführen. Jetzt spenden!

Der Handle des allerersten Accounts, der den Tweet von @jonasbaua retweetete, lautet etwa @NAME8888889i8 (Mit dem Profilnamen „Toilettenteufel”). Er wurde am 3. September erstellt und zeigt weder Profilbild, noch einen Hintergrund oder irgendwelche persönlichen Informationen. Alle seine Posts sind Retweets.

Bot-Bundestagswahl15.png

Diese Retweets sind hauptsächlich in russischer Sprache, darunter manche in englischer und wenige in deutscher Sprache. Die Retweets haben eine große thematische Spannweite, darunter Fußball, Plastikfenster …

Bot-Bundestagswahl16.png

… Finnische Fußbodenheizung …

Bot-Bundestagswahl17.png

… Autos und Schuhe …

Bot-Bundestagswahl18.png

… Kritik an einer Operationsmethode einer Klinik in Moskau …

Bot-Bundestagswahl19.png

… und ausgewählte Links pornografischen und Dating-Seiten. Dieses Retweet-Verhalten ist typisch für ein kommerziell verwendetes Bot-Netzwerk, das Follows, Likes und Retweets verkauft, gleich welchen Inhalt die Tweets enthalten.

Allerdings war unter den Retweets auch ein Angriff auf Navalny, der behauptete, dass dieser einen litauischen Pass besäße. Es handelte sich um einen Retweet des Posts von @NavalnyPravda (zu Deutsch „Die Wahrheit über Navalny“), einem auf russische Politik fokussierten Account.

Bot-Bundestagswahl20.png

Des weiteren waren die Retweets von @NAME8888889i8 durchsetzt von AfD-freundlichen Inhalten.

Bot-Bundestagswahl21.png

Die Sprache, die im Account Verwendung findet, ist beachtenswert. Die Posts in russischer Sprache sind hauptsächlich kommerziell, enthalten aber auch politische, Kreml-freundliche Inhalte. Die englischsprachigen Tweets sind hauptsächlich pornografisch. Die deutschsprachigen wiederum betreffen ausschließlich die Bundestagswahl und verstärken rechtsextreme Botschaften.

Daraus können wir schließen, dass es sich hierbei um einen Bot russischen Ursprungs handelt, der weithin für kommerzielle Zwecke, aber auch für politische verwendet wird. Es bleibt allerdings unklar, wer hinter seiner Betreibung steht und ob die Tweets in deutscher Sprache durch einen deutschen User in Auftrag gegeben wurden oder freiwillig von einem russischsprachigen User erstellt wurden.

Das gleiche gilt für @leeeeeeena546, ein weiteres neu erstelltes Konto (10. September) ohne Avatar oder Hintergrund, das die gleichen Beiträge zu finnischen Fußböden und dem verpfuschten chirurgischen Eingriff retweetete:

Bot-Bundestagswahl22.png

Auch dieses Konto verstärkt eine Mischung aus russischsprachigen Posts über Schuhe, Autos, Online-Credits und mehrsprachige Pornografie. Der Account bewarb zudem Wohnungen in Surgut (ungewöhnlich hierbei, dass dies nicht als Retweet geschah, sondern als Formulierung von einer Immobilien-Website):

Bot-Bundestagswahl23.png

@leeeeeeena546 verstärkte den Post von @jonasbaua und einige Angriffe auf Navalny. Außerdem verbreitete das Profil AfD-freundliche Inhalte und Posts gegen Angela Merkel.

Bot-Bundestagswahl24.png

Diese Retweets sind besonders interessant, da sie das Botnet mit früheren rechtsextremen Aktionen in Deutschland verknüpfen, die DFRLab archiviert hat, die jedoch keine offensichtliche Verbindung zu Russland haben.

Die Hashtags #NichtMeineKanzlerin, #LügenSpiegel, and #NichtMeinSpiegel stammen aus einer Reihe von Bot-Angriffen Anfang September. Das Konto @darksideofkek war eines der führenden bei diesen Angriffen.

Ein dritter Account, @u77W3XobwwkFLQd (Profilname „Алина Александрова“), teilte den Tweet von @jonasbaua und Retweets gegen Navalny und retweete eine Mischung aus bereits erwähnten Posts, aber auch pro-AfD-Memes.

Bot-Bundestagswahl25.png

Er teilte auch Tweets über Wohnungen in Surgut, Mietbussen in Samara, über Straßenrettung in Polen.

Immer wieder haben verschiedene Konten im Netzwerk die gleichen Botschaften geteilt, die nichtpolitische Inhalte in verschiedenen Sprachen mit Angriffen auf Navalny (auf Russisch), und Merkel und ihren Hauptkonkurrenten, Martin Schulz von der SPD, (auf Deutsch) mischen.

Dieses Verhalten deutet darauf hin, dass all diese Bot-Accounts zu demselben Netzwerk gehören und dass das Netzwerk selbst russischsprachigen Ursprungs ist. Es wird weitgehend für kommerzielle Zwecke verwendet, aber auch politisch genutzt.

Die Spitze des Eisbergs

Die @jonasbaua-Post wurde 169 Mal retweetet. Das spiegelt jedoch nicht das volle Ausmaß des Botnets wider. zurückgezogen.

Insgesamt wurde der Tweet über Navalnys Pass von @NAME8888889i8, den auch so viele der @jonasbaua-Bots geteilt hatten, bis zum 21. September um 1.600 Mal retweetet. Ein Großteil jener Verstärkung kam durch Bots zustande.

Unter diesen Konten befanden sich einige, die rein Russland-fokussiert und in russischer Sprache gehalten waren. Andere kombinierten den russischen Inhalt von @NavalnyPravda mit deutschsprachigen Tweets von rechtsextremen Konten wie @darksideofkek.

Bot-Bundestagswahl26.png
Bot-Bundestagswahl27.png

Immer wieder verstärkten sie die gleichen kommerziellen Tweets, was darauf hinweist, dass sie in der Tat Teil eines koordinierten Netzwerks sind.

Bot-Bundestagswahl28.png

Ein paar Bot-Konten veröffentlichten andere politische Inhalte auf Russisch, darunter Tweets des Bürgermeisters der ost-russischen Stadt Wladiwostok, Igor Puschkaryow. Jene Inhalte waren jedoch geringfügig und sollten nicht als Beweis für eine politische Zugehörigkeit gesehen werden.

Bot-Bundestagswahl29.png

Sie alle haben jedoch wiederholt AfD-freundliche und Merkel-feindliche Inhalte geteilt.

Bot-Bundestagswahl30.png

Wie bereits bei den Verteilern des @jonasbaua-Posts, legt dieser Beweis ein größeres Botnetz offen, das vorwiegend russischsprachig und kommerzieller Art ist. In regelmäßigen Abständen aber verstärkt es politische Botschaften in russischer und rechtsextreme Tweets in deutscher Sprache.

Fazit

Die Kampagne der „EinProzent“-Webseite, die die Frage nach einem Wahlbetrug zugunsten Merkels aufbringt, besteht seit langem. Sie ist eindeutig ausländer- und Merkel-feindlich, hat im Internet allerdings wenig Reichweite.

Ihre kürzliche Spitze auf Twitter wurde von einem russischsprachigen Bot-Netzwerk vorangetrieben. Jenes dient vornehmlich dazu, kommerzielle Tweets aus verschiedenen Quellen zu verstärken.

Dieses Botnetz ist in Russland überwiegend nicht zu politischem Zweck aktiv. Die Ausnahme hierzu stellt die Verbreitung der Angriffe auf Navalny dar, die von einem einzigen Account gepostet werden. Auch hat das Netzwerk einen Politiker in Wladiwostok verstärkt. Es scheint demnach ein Botnetz zu sein, das von seinen unbekannten Nutzern (ob vom Betreiber des Botnetzes oder von dessen Kunden) betrieben wird, um die Verbreitung politischer Botschaften anzukurbeln.

Seine aggressivste politische Aktivität fokussiert sich auf Deutschland. Das hat eindeutig zum Ziel, rechtsextremen Botschaften Vorschub zu leisten, einen Wahlbetrug inbegriffen. Der Grund dafür könnte entweder sein, dass das Bot-Netzwerk speziell dazu gemietet wurde oder weil es aus freien Stücken des Betreibers darauf programmiert wurde.

Mit der Bundestagswahl am Sonntag wird DFR Lab weiterhin Ereignisse rund um die Abstimmung als auch die Aktivität möglicher Botnets online überwachen.

Ben Nimmo ist Senior Fellow für Nachrichtenabwehr beim digitalen Forschungslabor des Atlantic Councils (@DFRlab). Übersetzt wurde Bens Artikel von Sarina Balkhausen, Fellow bei #Wahlcheck17, einem Pop-Up-Newsrooms zur Bundestagswahl, einer Initiative von CORRECTIV, First Draft, Google News Lab und Facebook. Weder Ben noch Sarina sind Bots.

Wir veröffentlichen den Artikel mit freundlicher Genehmigung von „Medium „. 

Visit @DFRLab for the original English version of the story. Ben Nimmo is Senior Fellow for Information Defense with the Atlantic Council’s DFRLab

© unsplash.com / Oliver Shou

von Ben Nimmo

Bots − vollautomatisierte Medienkonten, die sich als reale Personen ausgeben − haben eine immense Präsenz auf Plattformen wie etwa Twitter. Ihre Zahlen gehen in die Millionen, einem Botnetzwerk können bis zu 500.000 Konten zugeordnet werden.

Bots können Debatten ernsthaft beeinflussen, insbesondere, wenn sie orchestriert werden. Sie können dazu genutzt werden, um eine Aussage zu treffen oder einen Hashtag-Trend auszulösen, wie das @DFRLab an dieser Stelle zeigt; sie können zur Verstärkung einer Nachricht, eines Artikels oder als Angriff auf diese genutzt werden; sie können auch zur Belästigung anderer Nutzer verwendet werden.

Gleichzeitig ist es recht einfach, Bots und die sogenannten Botnetze zu erkennen, ohne Zugang zu speziellen Programmen oder kommerziellen Werkzeugen zur Analyse zu haben. Dieser Artikel zeigt ein Dutzend Möglichkeiten auf, die wir am nützlichsten finden, um falschen Konten, auch Fake Accounts genannt, auf die Spur zu kommen.

Erstes Prinzip

Ein Twitter-Bot ist, einfach gesagt, ein Konto, das von einem Programm gesteuert wird, ähnlich funktionierend wie ein Flugzeug, das im Autopilot-Modus geflogen wird. So wie der Autopilot-Modus beim Flugzeug an- und abgeschaltet werden kann, so können zu unterschiedlichen Zeiten auch Nutzerkonten wie Bots oder Menschen auftreten. Die unten aufgezeigten Möglichkeiten, die unten angeführt sind, sollten darum vielmehr als Indikatoren für bot-artiges Verhalten zu einer bestimmten Zeit angesehen werden, nicht als eine gegenpolige Definition dessen, ob ein Konto nun ein Bot ist oder von einem Menschen genutzt wird.

Nicht alle Bots haben einen bösartigen oder politischen Hintergrund. Automatisierte Nutzerkonten können beispielsweise etwa Gedichte, Fotografien oder aktuelle Nachrichten veröffentlichen, ohne dadurch eine Beeinflussung hervorzurufen.

Unser Fokus liegt darum auf Bots, die menschlich wirken und politische Botschaften verstärken.

In jedem Fall ist es wichtig anzumerken, dass ein einzelner Faktor nicht ausreicht, um bot-artiges Verhalten ausmachen zu können. Es ist die Zusammenstellung von Faktoren, die entscheidend ist. Nach unserer Erfahrung sind die bedeutendsten Faktoren zur Identifikation von Bot-Konten die  „Drei As“: Aktivität, Anonymität und Amplifikation (Verstärkung).

1. Aktivität

Der offensichtlichste Indikator für ein automatisiertes Nutzerkonto ist seine Aktivität. Anhand eines Blicks auf die Nutzerseite, die Anzahl an Veröffentlichungen und die Anzahl an Tagen, seitdem das Konto eröffnet wurde, ist eine hohe Aktivität per Division leicht zu berechnen. Um das genaue Datum der Kontoerstellung herauszufinden genügt bei Twitter ein Mauswisch über den „Beigetreten…“-Vermerk.

BILD1.png

Bildschirmfoto, das das Beitrittsdatum von @Sunneversets100 zeigt, aufgenommen am 28. August. Das Nutzerkonto wurde am 13. Januar 2017 und wiederum am 28. August 2017 archiviert und zeigt die Veränderung in der Art der Veröffentlichungen.

Der Richtwert für verdächtige Aktivität schwankt. Das Computer-Propaganda-Team des Oxford Internet Instituts wertet einen Mittelwert von mehr als 50 Veröffentlichungen am Tag als verdächtig; das ist ein weitgehend anerkannter und angewendeter Maßstab, mag sich jedoch im unteren Bereich befinden.

Das @DFRLab wertet 72 Tweets am Tag als verdächtig, das sind über einen Zeitraum von zwölf Stunden ein Tweet alle zehn Minuten. Mehr als 144 Tweets am Tag wertet es als hochverdächtig.

Beispielsweise wurde das Konto @sunneversets100, ein Verstärker von Kreml-nahen Botschaften, am 14. November 2016 erstellt. Am 28. August 2017 war es 288 Tage alt. In diesem Zeitraum veröffentlichte es 203.197 Tweets. Auch hier ist für eine genaue Anzahl wieder der Mauswisch über „Tweets“ anzuwenden.

Dieses Verhalten lässt sich in eine Aktivität von 705 Tweets am Tag übersetzen, das entspricht über einen Zeitraum von zwölf Stunden knapp einen Tweet pro Minute, jeden Tag über neun Monate. Das kann nicht als menschliches Verhaltensmuster gewertet werden.

2. Anonymität

Der zweite Indikator unserer „Drei As“ ist der Grad an Anonymität, die ein Konto aufweist. Je weniger persönliche Information ein Nutzerkonto grundsätzlich angibt, desto wahrscheinlicher handelt es sich um einen Bot. Zum Beispiel hat @sunneversets100 ein Bild einer Florentiner Kathedrale als Profilbild, ein unvollständiges Bevölkerungsdiagramm als Hintergrundbild sowohl einen anonymen Nutzernamen als auch einen Anzeigenamen. Das einzige Alleinstellungsmerkmal ist eine Verknüpfung zu einer in den Vereinigten Staaten liegenden politischen Aktionsgruppe; das ist jedoch überhaupt nicht ausreichend für eine persönliche Zuordnung.

Ein anderes Beispiel ist das Konto von @BlackManTrump, einem weiteren Nutzerkonto mit einer sehr hohen Aktivität, das zwischen dem 28. August 2016 und dem 19. Dezember 2016 89.944 Tweets veröffentlichte (siehe Archiv). Das entspricht einem Mittelwert von 789 Tweets am Tag.

BILD2.png

Bildschirmfoto, das das archivierte Profil von @BlackManTrump zeigt, aufgenommen am 28. August. Links unten befindet sich das Kontoerstellungsdatum, oben rechts befindet sich das Datum, an dem das Archiv erstellt wurde.

Dieses Konto gibt überhaupt keine persönlichen Informationen an. Das Profilbild als auch der Hintergrund sind unspezifisch, die Ortsangabe „USA“ ist ungenau und die Nutzerangaben sind politische Aussagen. Anhand dieser Allgemeinplätze ist kein Hinweis auf die Person hinter dem Profil zu erkennen.

3. Verstärkung

Der dritte Hauptindikator ist die Verstärkung von Botschaften. Eine zentrale Rolle von Bots ist es, Veröffentlichungen anderer Nutzer zu verbreiten, sei es durch sogenannte Retweets (das Teilen eines Tweets), Gefällt mir-Angaben (sogenannte „Likes“) oder deren Zitate. Die Chronik eines typischen Bots besteht darum überwiegend aus einer Parade von Retweets und wortgenauen Zitaten von Schlagzeilen aktueller Nachrichten, und nur vereinzelt oder gar nicht auftretenden individuellen Veröffentlichungen.

Die wirksamste Art, dieses Muster herzustellen ist eine maschinelle Überwachung einer großen Anzahl an Veröffentlichungen. Jedoch kann es auch einfacher sein, mit einem geschulten Auge Bots zu identifizieren, etwa durch das Anklicken des „Tweets und Antworten“-Reiters eines Nutzerkontos und des Lesens seiner letzten 200 Veröffentlichungen. Die Zahl 200 dient als Richtwert und wird angegeben, um Wissenschaftlern und Wissenschaftlerinnen eine vernünftige und verarbeitbare Probe zu ermöglichen; selbstverständlich können geübtere Augen ein Mehr an Datensätzen verarbeiten.

So waren zum Beispiel 195 der 200 von @sunneversets100 bis zum 28. August veröffentlichten Tweets sogenannte Retweets, darunter viele, die ursprünglich von Kreml-nahen Nachrichtenagenturen RT und Sputnik als Tweet veröffentlicht wurden.

BILD3.png

Bildschirmfoto, das die Chronik von @sunneversets100  am 28. August zeigt. Viele der Retweets sind ursprünglich Tweets vom Konto der kreml-nahen Nachrichtenagentur Sputnik. Bemerkenswert ist die Inaktivität von @sunneversets100 seit Ende April.

Ein weiterer Grad an Raffinesse zeigt die Veränderung des Veröffentlichungsmusters von @BlackManTrump bis zum 14. November 2016. Bis dahin beinhalteten alle Retweets die für Bots bis dato verratende Vorsilbe „RT @“, nach dem 14. November tauchte dieser Zusatz nicht mehr auf.

BILD4.png

Botschaften von @BlackManTrump im November 2016. Bemerkenswert ist der Beginn eines jeden Tweets mit einem Nutzernamen und einem Doppelpunkt, der den Eindruck vermittelt, dass diese Retweets sind, aus denen die typische Vorsilbe „RT @“ entfernt wurden.

Aufgrund der drei angewendeten Faktoren auf die Konten von @BlackManTrump als auch @sunneversets100, die klar erkennbar bothaftes Verhalten aufweisen, können diese Profile als Bots angesehen werden.

Beachtenswert ist, dass @BlackManTrump vom 14. November bis zum 13. Dezember 2016 keine Aktivität zeigte; als das Profil seine Veröffentlichungen wieder aufnahm, tat es das mit einer viel geringeren Frequenz und einer höheren Anzahl an scheinbar individuellen Tweets. Darum ist es korrekt zu sagen, dass dieses Konto bis Mitte November bothaftes Verhalten zeigte, jedoch nicht, dass es sich derzeit um einen Bot handelt.

Eine weitere Art der Verstärkung ist es, einen Bot zu programmieren, um aktuelle Nachrichten kommentarlos direkt von ausgewählten Seiten zu teilen. Direkte Retweets machen natürlich einen üblichen Anteil am Verkehr auf Twitter aus (Leser und Leserinnen sind etwa gern dazu eingeladen, diesen Artikel zu teilen), und an sich ist das nicht auffällig. Dennoch sind Konten, die über einen langen Zeitraum unkommentierte Veröffentlichungen teilen, vermutlich Bots, wie etwa dieses gegen US-Präsident Donald Trump gerichtete Profil, das im Juli als solches identifiziert wurde:

BILD5.png

Bildschirmfoto des Profils @ProletStrivings vom 28. August 2017; beachtenswert ist das kommentarlose Kopieren der Schlagzeile in den geteilten Tweet. Das Konto wurde am 28. August archiviert.

4. Wenig Veröffentlichungen/hohes Engagement

Die oben genannten Bots erzielen ihren Effekt durch die immense Verstärkung von Inhalten eines einzelnen Kontos. Ein anderer Weg mit dem gleichen Effekt ist es, große Anzahlen an Konten zu erstellen, die den selben Inhalt jeweils einmal retweeten: ein Botnetz.

Solche Botnetze können schnell identifiziert werden, wenn sie dazu genutzt werden, eine einzelne Botschaft zu verstärken, wenn das ursprüngliche Profil unregelmäßig aktiv ist.

Beispielsweise veröffentlichte ein Konto mit dem Namen @KirstenKellog_ (mittlerweile ist es gesperrt, aber hier archiviert worden) einen Tweet, der das Medienunternehmen ProPublica angreift.

BILD6.png

Profilseite von @KirstenKellog_, das die Anzahl an Tweets und folgenden Konten anzeigt als auch diese eine sichtbare Veröffentlichung. Archiviert am 24. August 2017.

Wie das Bild oben zeigt, handelte es sich hierbei um ein Profil mit sehr geringer Aktivität. Es hatte insgesamt nur zwölf Mal etwas veröffentlicht, elf Tweets davon wurden gelöscht. Es hatte 76 Konten, die ihm folgten und folgte selbst keinem.

Dennoch wurde dieser Tweet mehr als 23.000 Mal retweetet und als gemocht markiert (sogenannte „Likes““oder als Verb „liken“).

BILD7.png

Der Tweet und seine Anzahl an Retweets und Likes. Archiviert am 24. August 2017.

In ähnlicher Weise tätigte ein weiteres, offenbar russisches Profil eine fast identische Attacke, diese erzielte über 12.000 Retweets und Likes:

BILD8.png

Der darauffolgende Angriff. Archiviert am 25. August 2017. Bis zum 28. August erzielte er mehr als 20.000 Retweets und Likes. Dieses Konto ist ebenfalls inaktiv, bislang veröffentlichte er sechs Tweets, den ersten am 25. August, und er folgte fünf Profilen:

BILD9.png

Das Profil des nachfolgend angreifenden Nutzerkontos. Es ist nicht plausibel, dass zwei ähnlich inaktive Konten in der Lage sind, derart viele Retweets zu erzeugen, auch unter der Berücksichtigung der verwendeten mit Raute versehenen Schlagworte (sogenannte „Hashtags“) #FakeNews (zu Deutsch „Falschmeldungen“) und #HateGroup (zu Deutsch „Hassgruppe“). Die Diskrepanz zwischen ihrer Aktivität und ihres Einflusses lässt vermuten, dass die Profile, die die Tweets der beiden Konten verstärkten, einem Botnetz zuzuordnen sind.

5. Gemeinsame Inhalte

Die Wahrscheinlichkeit, dass Konten zu einem einzigen Netzwerk gehören, kann durch das Ansehen ihrer Tweets bestätigt werden. Sofern alle die gleichen Inhalte oder Arten von Inhalten zur gleichen Zeit veröffentlichen, ist es naheliegend, dass sie programmiert wurden, genau dies zu tun.

Innerhalb des im Verdacht stehenden Botnetzes, das den Tweet von @KirstenKellog_ beispielsweise verstärkte, fanden sich viele Konten, die dieselben Botschaften veröffentlichte, wie etwa diese hier:

Screenshot 2017-09-12 at 6.06.09 PM.png

Identische Retweets von „Gail Harrison“, „voub19“ und „Jabari Washington“, die ebenfalls @KirstenKellog_ verstärkten.

Manchmal teilen Bots ganze Reihen an Tweets in der gleichen Anordnung. Diese drei unten angeführten Konten sind Teil des selben Anti-Trump-Netzwerks, das als solches im Juli identifiziert wurde:

Screenshot 2017-09-12 at 6.06.32 PM.png

Von links nach rechts: Identische Tweets in derselben Reihenfolge, jeweils am 26. Juli von @CouldBeDelusion, @ProletStrivings und @FillingDCSwamp. Beachtenswert ist auch die Art, in der die Veröffentlichungen die Schlagzeilen der Artikel, die sie teilen.

Am 28. August haben diese drei Profile wieder in der gleichen Reihenfolge Tweets geteilt; @ProletStrivings fügte einen Retweet hinzu: 

Screenshot 2017-09-12 at 6.06.47 PM.png

Von links nach rechts: Bildschirmfotos der Profile von @CouldBeDelusion, @FillingDCSwamp und @ProletStrivings, die die gleiche Reihenfolge an geteilten Tweets aufweisen. Zu beachten ist der Text „Check out this link“ (zu Deutsch „Schaut euch diesen Link an“), in jeweils jedem ersten Tweet, vermutlich eine Markierung einer anderen automatisiert geteilten Botschaft. Die Bildschirmfotos und Archive wurden am 28. August erstellt.

Solche identischen Tweet-Reihen sind klassische Anzeichen für Automatisierung.

6. Die geheime Gesellschaft der Silhouetten

Die einfachsten Bots sind besonders leicht auszumachen, da sich ihre Ersteller und Erstellerinnen keine Mühe gemacht haben, den Konten ein Profilfoto zuzuweisen. Früher wurden solche Profile „Eier“ genannt, das entstammt einer Zeit als Twitter als Standard-Profilbild ein Ei anzeigte. Heute stellen diese standardisierten Profilbilder menschliche Silhouetten dar.

Einige Nutzer nutzen Silhouetten als Profilbild aus den unverfänglichsten Gründen, darum kann man dieses Phänomen nicht als einen Indikator für Botkonten werten. Allerdings ändert sich das, sobald eine Anzahl von Konten, die retweeten und liken, folgendermaßen aussehen:

BILD13.png

Bildschirmfoto einer Liste von retweetenden Konten eines Tweets von @AtlanticCouncil, der am 28. August signifikant von Bots verstärkt wurde.

… oder wenn die folgenden Konten (sogenannte „Follower“) eines Profils den Eindruck erwecken, einen Ort für die „geheime Gesellschaft der Silhouetten“ zu bilden …

BILD14.png

Bildschirmfoto der Follower-Seite der finnischen Journalistin @JessikkaAro, nachdem ihr Profil am 28. August unerwartet von Bots ausgemacht wurde.

… dann ist das ein sicheres Zeichen für Bot-Aktivität.

7. Entwendetes, beziehungsweise geteiltes Profilfoto

Andere Bot-Ersteller und -Erstellerinnen gehen sorgfältiger vor und verschleiern die Anonymität, indem sie Profilfotos von anderen Quellen verwenden. Das dient einer guten Möglichkeit, ein Konto und sein Profilbild auf Echtheit zu überprüfen, dazu bedient man sich Werkzeugen wie der sogenannten „Reverse Image Search“ („rückwärts gerichtete Bildersuche“). Nutzt man als Browser Google Chrome, genügt ein Rechtsklick auf das Bild und die Auswahl des Reiters „Mit Google nach Bild suchen“.

BILD15.png

Sie Suche mit Google nach dem Profilfoto von „Shelly Wilson“, einem wahrscheinlichen Bot.

Bei der Verwendung anderer Browser wählt man nach dem Rechtsklick „Bildadresse kopieren“ aus, gibt diesen Link dann in die Google-Suche ein, drückt „Enter“ und klickt dann auf den Reiter „Bilder“.

Screenshot 2017-09-12 at 6.07.12 PM.png

In beiden Fällen wird die Suche Seiten mit passenden Bildern anzeigen, die wiederum einen Hinweis darauf geben, ob ein Profilbild wahrscheinlich für ein Bot-Konto entwendet wurde:

BILDTTTTT.png

Im Fall von „Shelly Wilson“ teilen sich einige Twitterkonten das gleiche Profilbild, wodurch diese Konten Botkonten zugeordnet werden konnten:

Screenshot 2017-09-12 at 6.07.28 PM.png

8. Bot im Namen?

Ein weiterer Hinweis auf einen wahrscheinlichen Bot ist der gewählte Handle („Nutzername“, bei Twitter beginnend mit einem „@“). Viele Bots haben Handles, die lediglich alphanumerische Chiffren, die von einem Algorithmus erstellt wurden, enthalten. Dazu gehören etwa solche:

Screenshot 2017-09-13 at 12.52.43.png

Twitter-Handles mancher Bots, die @KirstenKellog_ retweetet haben, entsprachen diesem Muster. Bemerkenswert ist der einzig als Name erscheinende Handle, @ToddLeal3, auf den später eingegangen werden wird.

Andere Bots weisen einen menschlich erscheinenden Namen im Profil auf, der jedoch nicht mit dem Handle übereinstimmt:

Unterstützen Sie unabhängigen Journalismus!
Unser Ziel ist eine aufgeklärte Gesellschaft. Denn nur gut informierte Bürgerinnen und Bürger können auf demokratischem Weg Probleme lösen und Verbesserungen herbeiführen. Jetzt spenden!

Screenshot 2017-09-12 at 6.07.41 PM.png

Von links nach rechts: Sherilyn Matthews, Abigayle Simmons und Dorothy Potter, deren Handles sich NicoleMcdonal, Monique Grieze und Marina nennen.

Es gibt auch Bots, die einen typisch männlichen Namen aufweisen, aber deren Profilbild eine Frau zeigt (eine Begebenheit, die bei Bots weit häufiger aufzutreten scheint als dass sie einen weiblich klingenden Handle nutzen, jedoch einen Mann im Profilbild zeigen) …

Screenshot 2017-09-12 at 6.07.53 PM.png

Drei weitere Konten des selben Botnetzes: Todd Leal, James Reese und Tom Mondy, archiviert am 24. und 28. August 2017.

… oder männlich klingende Handles, mit weiblichen Namen und Profilbildern von Frauen…

Screenshot 2017-09-12 at 6.08.04 PM.png

Von links nach rechts: „Irma Nicholson“, „Poppy Townsend“ und „Mary Shaw“, deren Handles auf die männlichen Namen David Nguyen, Adrian Ramirez und Adam Garner verweisen.

… oder aber etwas gänzlich anderes.

Erik Young, eine Frau, die Jesus liebt, aus dem selben Botnetz.

Alles deutet darauf hin, dass das Konto ein Fake ist, das eine Person (oft eine junge Frau) vortäuscht, die Aufmerksamkeit auf sich zu ziehen versucht. Wie man feststellt, um welche Art von Fake es sich handelt oder ob es sich um einen Bot handelt, hängt von seinem Verhalten ab.

9. Das Twitter von Babel

Manche Bots sind politisch und twittern stets die gleiche Position. Andere wiederum werden kommerziell genutzt und machen den Anschein, vom höchsten Bieter erworben worden zu sein, ohne Rücksicht auf die Inhalte der Chronik des Botprofils. Die meisten jener Konten sind unpolitisch, können jedoch auch dazu genutzt werden, politische Botschaften zu verstärken.

Solche Botnetze sind oft von großer sprachlicher Unterschiedlichkeit gezeichnet. So zeigt etwa ein Blick auf die Retweets von Erik Young, der „Frau, die Jesus liebt“, dass dieses Konto Inhalte auf Arabisch, Englisch, Spanisch und Französisch verbreitet:

Screenshot 2017-09-12 at 6.08.17 PM.png

Ein ähnlicher Blick auf Inhalte vom anonymen und profilbildlosen Konto @multimauistvols (Anzeigename „juli komm“) zeigt Tweets auf Englisch …

Bild1.png

… Spanisch…

Bild2.png

… Arabisch…

Bild3.png

… Swahili (dem Übersetzungsdienst Google Translate zufolge)…

Bild4.png

… Indonesisch…

Bild5.png

… Chinesisch…

Bild6.png

… Russisch…

Bild7.png

… und auf Japanisch.

Bild8.png

Im physischen Leben hat vermutlich jeder und jede, der oder die all diese Sprachen beherrscht, vermutlich besseres zu tun als YouTube-Videos zu bewerben.

10. Kommerzielle Inhalte

Tatsächlich ist Werbung ein klassischer HInweis auf Botnetze. Wie oben ausgeführt, scheinen Botnetze vornehmlich für diesen Zweck zu existieren, mit geringerer Nutzung für politische Botschaften. Wenn sie dazu verwendet werden, verrät ihre vormalige Verwendung zu Werbezwecken sie oftmals als Bots.

Ein gutes Beispiel dafür ist das sonderbare Botnetz, das eine politische Botschaft des Kontos @every1bets retweetete, das üblicherweise zur Glücksspielwerbung genutzt wird.

Die retweetenden Konten wiesen unterschiedlichste Identitäten auf, wie die folgende Liste zeigt:

Retweet.png

Gemein hatten diese Konten lediglich die hohe Anzahl an Werbetweets.

Screenshot 2017-09-12 at 6.08.36 PM.png

Profile, die eine hohe Anzahl an Retweets dieser Art aufweisen, insbesondere in mehreren Sprachen, sond meistens Teil eines kommerziellen Botnetzes, die dazu erworben wurden, um Botschaften von Nutzern und Nutzerinnen zu bewerben und zu verstärken.

11. Automatisierungsprogramme

Ein weiterer Hinweis auf die wahrscheinliche Automatisierung von Konten ist die Verwendung von URL-Kürzungsdiensten (URL steht für Webadresse). Diese werden vornehmlich dazu genutzt, die Aufrufzahlen für einen bestimmten Link zu überwachen, allerdings kann die Häufigkeit der Verwendung solcher Dienste ein Automatisierungsindikator sein.

Zum Beispiel teilte das als Bot identifizierte Konto Angee Dixson, das als Profilbild das Gesicht des deutschen Supermodels Lorena Rae nutzte, eine große Anzahl an rechtspopulistischen Botschaften. Jeder dieser Tweets zeichnete sich durch die Verwendung von Links, die mithilfe des URL-Kürzungsdiensts ift.tt erstellt wurden, aus:

BIld9.png

URL-Kürzungsdienste sind Programme, die zum Beispiel von der Firma ifttt.com produziert werden. Deren Nutzung erlaubt es Profilen ihre Tweets nach einer Reihe von Kritierien zu automatisieren, etwa dem Retweeten eines Tweets mit einem festgelegten Hashtag. Eine Chronik, die voller ift.tt-Kürzungen ist, ist demnach wahrscheinlich die eines Botkontos.

Die Verwendung anderer URL-Kürzungsdienste kann ebenfalls ein Anzeichen für Automatisierung sein, wenn die sie wiederholt in einer Chronik auftauchen. Beispielsweise ist der Kürzungsdienst ow.ly an die Social-Media-Verwaltungsplattform HootSuite geknüpft; manche Botkonten sind dafür bekannt gewesen, lange Reihen von geteilten Tweets, die durch ow.ly erstellt wurden, aufzuweisen. Der Twitter-eigene Dienst TweetDeck ermöglicht es Nutzern und Nutzerinnen, eine Vielzahl an URL-Kürzungsdiensten zu verwenden, darunter bit.ly und  tinyurl.com.

Auch hier gilt, dass die Verwendung solcher Dienste Teil des virtuellen Lebens ist, allerdings sollten Konten, die diese Dienste inflationär nutzen, auf eine mögliche Botexistenz geprüft werden.

12. Retweets und Likes

Ein letzter Hinweis auf das Werk eines Botnetzes kann durch das Vergleichen von Retweets und Likes einer bestimmten Botschaft eingeholt werden. Manche Bots sind dazu programmiert, Tweets sowohl zu retweeten als auch zu liken. In jenem Fall ist die Anzahl der Retweets und Likes eines solchen Profils nahezu identisch, ebenso die Chronik-Reihenfolge mehrerer miteinander verglichener Konten. Dazu folgendes Beispiel:

Screenshot 2017-09-12 at 6.08.49 PM.png

Beim zweiten Konto des Angriffs auf  ProPublica.com sind links sind Retweets zu sehen, rechts Likes.

In diesem Beispiel ist die Differenz zwischen der Anzahl an Retweets und Likes lediglich elf Antworten  — das ist ein Unterschied von weniger als 0,1 Prozent. Ebendiese Konten retweeteten und liketen den Tweet, in der gleichen Reihenfolge und zur gleichen Zeit. Bei einer Probe von 13’000 Profilen ist es sehr unwahrscheinlich, dass es sich hierbei um einen Zufall handelt. Sie weist auf die Existenz eines koordinierten Botnetzwerks hin, das dazu programmiert wurde, denselben Angriff zu liken und zu retweeten.

Zusammenfassung

Bots sind ein existentieller Bestandteil des Lebens auf Twitter. Viele sind vollkommen legitim; jene, die es nicht sind, neigen dazu, Kerncharakteristika gemein zu haben.

Die häufigsten dieser Charakteristika sind Aktivität, Anonymität und Verstärkung (Englisch „amplification“), die sogenannten Drei „As“, doch es existieren weitere Merkmale. Die Nutzung entwendeter Profilbilder, alphanumerische Handles und zusammenhangslose Namen können ein falsches Konto verraten. Auch können dies eine Überzahl an kommerziellen Tweets oder eine Vielzahl an verwendeten Sprachen.

Das wichtigste beim Ausmachen von Bots ist jedoch die Aufmerksamkeit. Nutzer und Nutzerinnen, die Bots selbst identifizieren können, sind weniger anfällig für deren Manipulationsversuche. Sie können dazu fähig sein, Botnetze zu melden und zu deren Ausschluss beitragen. Schlussendlich existieren Bots, um Menschen zu beeinflussen. Das Ziel dieses Artikel ist es, menschlichen Nutzern und Nutzerinnen dabei zu helfen, die Anzeichen dafür ausfindig zu machen.


Ben Nimmo ist Senior Fellow für Nachrichtenabwehr beim digitalen Forschungslabor des Atlantic Councils (@DFRlab). Übersetzt wurde Bens Artikel von Sarina Balkhausen, Fellow bei #Wahlcheck17, einem Pop-Up-Newsrooms zur Bundestagswahl, einer Initiative von CORRECTIV, First Draft, Google News Lab und Facebook. Weder Ben noch Sarina sind Bots.

Wir veröffentlichen den Artikel mit freundlicher Genehmigung von „Medium“.