Stimmen aus Moskau: Russian Influence Operations Target German Elections
Executive Summary
Die für den 23. Februar 2025 angesetzte Bundestagswahl in Deutschland ist Ziel bösartiger Einflussnahme, die mit Russland und in Russland ansässigen Akteuren in Verbindung stehen. Mitte Februar 2025 schätzt die Insikt Group, dass diese Bemühungen trotz ihrer Beharrlichkeit sehr wahrscheinlich das Wählerverhalten nicht wesentlich verändert oder die öffentliche Meinung in einer Weise beeinflusst haben, die für die breiteren geopolitischen Interessen Russlands vorteilhaft ist, was mit den Einschätzungen bezüglich russischer Einmischungsversuche in früheren deutschen Wahlzyklen übereinstimmt.
Die in diesem Bericht betrachteten Einflussnahmen und entsprechenden Netzwerke – Doppelgänger, Operation Overload, CopyCop, Operation Undercut und die in Russland ansässige Foundation to Battle Injustice – sind seit langem etabliert und werden zumindest teilweise vom Kreml finanziert. Diese Operationen zielen mit ziemlicher Sicherheit darauf ab, die innenpolitischen Konflikte in Deutschland zu schüren und zu eskalieren, den deutschen Informationsraum durch manipulierte Inhalte zu verunreinigen, Kritik an den Vereinigten Staaten (USA) und der Europäischen Union (EU) sowie der europäischen Integration zu fördern und den Zusammenhalt der NATO im Einklang mit den strategischen Zielen des Kremls zu untergraben.
Während des Wahlzyklus 2025 in Deutschland haben sich mehrere dieser Aktivitäten weiterentwickelt, aber die Kernaussagen bleiben unverändert. Zum Beispiel haben sich Doppelgänger und Operation Overload über die Mainstream-Social-Media-Kanäle hinaus auf Bluesky Social (Bluesky) ausgeweitet, um migrierende Zielgruppen zu erfassen. Doppelgänger und CopyCop haben neue Marken und Websites eingeführt, um angesichts der verstärkten Überprüfung ihrer Aktivitäten Einfluss zu projizieren und ihre Botschaften zu verstärken. Operation Overload setzt weiterhin KI-basierte Werkzeuge ein, darunter KI-gestützte Stimmklontechnologie zur Erstellung von Audio-Deepfakes. Sowohl Operation Overload als auch Operation Undercut geben sich als echte Nachrichtenagentur aus, um ihre Glaubwürdigkeit zu steigern.
Trotz begrenzter Beweise dafür, dass diese Operationen das Wählerverhalten signifikant beeinflusst haben, stellen sie dennoch ein größeres Risiko für die Integrität der Medien und das Vertrauen der Öffentlichkeit dar. Narrative, die die Sicherheit oder Integrität von Wahlen untergraben, könnten die Wahlbeteiligung verringern, während die Medien durch den Umgang mit nicht authentischen Inhalten – anstatt die dahinterliegenden Taktiken aufzudecken – bösartige Botschaften verstärken könnten. In Bezug auf die Operation Overload gehen wir weiterhin davon aus, dass das Potenzial für einen signifikanten Ausbruch besteht, wie die virale Verbreitung eines kürzlich diesem Netzwerk zugeschriebenen Videos zeigt, das die United States Agency for International Development (USAID) in den sozialen Medien verunglimpft. Um diese Risiken zu mindern, sollten Medienunternehmen, der öffentliche Sektor und Forscher bekannte Netzwerke, die mit einer Einflussnahme in Verbindung gebracht werden, weiterhin überwachen und gleichzeitig ihre Beteiligung an Operationen wie Doppelgänger, Operation Overload und Operation Undercut einschränken. Imitierte Organisationen sollten Takedown-Dienste für bösartige Domains beauftragen, mit den Vertrauens- und Sicherheitsteams der Plattformen zusammenarbeiten und proaktiv Taktiken des Markenmissbrauchs wie Typosquatting und Logomanipulation erkennen.
Wichtige Erkenntnisse
- Die deutschen Bundestagswahlen sind das Ziel bösartiger Einflussnahme, die Russland und in Russland ansässigen Akteuren zugeschrieben werden.
- Russland zugeschriebene Einflussoperationen haben deutsche politische Parteien gefördert und werden sehr wahrscheinlich weiterhin Parteien unterstützen, die Russland als vorteilhaft für seine geopolitischen Interessen ansieht, insbesondere die Alternative für Deutschland (AfD).
- Doppelgänger übt sehr wahrscheinlich Einfluss durch mindestens sieben neue, nicht authentische Nachrichtenmarken aus, zusätzlich zu den anhaltenden Aktivitäten der Operation, Medien zu imitieren, um politische Spaltungen zu verschärfen und den politischen Diskurs über die europäische Integration, Einwanderung und wirtschaftliche Angelegenheiten anzuheizen.
- Die Medienimitationen von Operation Overload zielen darauf ab, bei den deutschen Bürgern Misstrauen hinsichtlich der Sicherheit und Integrität der Wahlen zu säen, die Charaktere wichtiger politischer Führungspersönlichkeiten anzugreifen und Deutschland als eine wachsende Brutstätte des Antisemitismus und Extremismus darzustellen.
- Die Insikt Group entdeckte mindestens 94 neue nicht authentische Websites, deren Erstellung im November 2024 nach der Ankündigung von vorgezogenen Neuwahlen begann, die wir CopyCop zuschreiben, der sich als deutschsprachige Nachrichten-Websites ausgibt.
- Nach der Untersuchung der Operation Undercut durch die Insikt Group im November 2024 haben wir beobachtet, dass das Netzwerk weiterhin deutschsprachige Inhalte veröffentlicht, die die AfD unterstützen und den deutschen Bundeskanzler Olaf Scholz untergraben.
- Die Foundation to Battle Injustice versucht sehr wahrscheinlich, den Ruf deutscher politischer Führungspersönlichkeiten zu untergraben, während sie politische Plattformen fördert, die mit russischen Interessen übereinstimmen, indem sie unechte investigative Artikel veröffentlicht.
Neue Doppelgänger-„Marken“ nehmen zentrale Themen der deutschen Wahlen ins Visier
Die Insikt Group hat mindestens acht neue Websites entdeckt, die als originale Nachrichtenmarken fungieren. Zusätzlich gibt es weiterhin Mediennachahmungen mit Werbung in sozialen Medien, die wir der langjährigen russischen Einflussoperation Doppelgänger zuschreiben. Doppelgänger ist sehr wahrscheinlich dabei, diese neu eingerichteten Websites – die zuvor nicht mit dem Netzwerk verbunden waren – zu positionieren, um seine Einflussoperationen auf die europäische politische Führung aufrechtzuerhalten und politische Spannungen in Bezug auf die europäische Integration, Einwanderung, wirtschaftliche Angelegenheiten und mehr zu verschärfen. Im Jahr 2024 setzten Forscher, Regierungsbehörden und Technologieunternehmen ihre Bemühungen fort, die Aktivitäten von Doppelgänger in Europa und Nordamerika aufzudecken. Dies führte zu einer Anklage des US-Justizministeriums gegen die Betreiber der Social Design Agency (SDA), internationalen Sanktionen gegen die SDA und verbundene Unternehmen sowie zu zumindest teilweisen, wenn auch oft nur vorübergehenden, Unterbrechungen ihrer Aktivitäten durch Takedowns und Beschlagnahmungen. Als Reaktion darauf versuchte die SDA in der Regel, ihre Operationen innerhalb von Stunden bis Tagen durch den Einsatz neuer Infrastruktur wiederherzustellen.
Obwohl Doppelgänger vor allem für die direkte Nachahmung legitimer westlicher Nachrichtenagenturen bekannt ist, hat die Einflussoperation auch mehrere eigene digitale Medienportale verwaltet, die jeweils auf ein bestimmtes Land (wie etwa Deutschland) abzielen und deren Inhalte direkt auf die wichtigsten innen- und außenpolitischen Themen dieser Zielgruppe zugeschnitten sind, wie z. B. die Einwanderungspolitik, die anhaltenden sozioökonomischen Herausforderungen in Deutschland und die Frage nach Deutschlands Rolle als treibende Kraft Europas (siehe Abbildung 1). Die Insikt Group hat beobachtet, dass Doppelgänger mehrere seiner „Legacy“-Nachrichtenseiten aufgegeben hat, um neue Marken zu etablieren, darunter mehrere Websites, die sich speziell mit der deutschen Politik befassen, wahrscheinlich aufgrund einer Kombination aus wiederholter Entdeckung und Störung mehrerer dieser Websites.
Während wir weiterhin beobachten, wie Doppelgänger seine Taktiken weiterentwickelt und versucht, sich der Abwehr zu entziehen, bleibt seine Fähigkeit, den öffentlichen Diskurs sinnvoll zu beeinflussen, sehr wahrscheinlich begrenzt. Trotz anhaltender Bemühungen, sein Netzwerk zu erweitern, bleibt Doppelgänger durch ein geringes Maß an Engagement eingeschränkt und auf den gestarteten Domains und sozialen Medienmarken, mit minimalen Ansichten und Interaktionen auf seinen neu gestarteten Domains und Beiträgen auf Social-Media-Plattformen.
Nutzung neuer Infrastruktur zur Bereitstellung alter Themen
Seit Oktober 2024 verfolgt die Insikt Group eine Reihe neuer Domainregistrierungen und hat dabei Webseiteninfrastrukturen entdeckt, die sich mit zuvor der Doppelgänger-Kampagne zugeschriebenen Domains überschneiden. Ab Februar 2025 hat Doppelgänger zehn Domains registriert, darunter acht neue Websites und zwei „geparkte“ Domains. Die aktiven Domains repräsentieren sieben Nachrichtenseiten, die auf ein deutschsprachiges Publikum abzielen:
| herzheim[.]org kriminalradar[.]com militarblatt[.]net ostlicherwind[.]com stolzvolk[.]ac stolzvolk[.]org (currently offline) tageswirtschaft[.]org weltwahl[.]com (currently offline) detechplus[.]com (parked) sportbericht[.]net (parked) |
Figure 1: New Doppelgänger domains specific to Germany and German-speaking audiences (Source: Recorded Future)
Figure 2: The seven new Doppelgänger brands targeting Germany and German-speaking audiences
(Source: Recorded Future)
Each of the active websites uses distinct IP addresses, listed below, with the exception of weltwahl[.]com and stolzvolk[.]org, which both share 15.197.130[.]221. Administrators of these domains use web hosting provider resources provided by Hosting Concepts B.V. (d/b/a Registrar.eu), QHoster, NameSilo, Namecheap, or Vicetemple. Stolzvolk’s newest domain, stolzvolk[.]ac, uses web hosting services provided by Ultahost, Inc.
| IP-Adresse | ASN | Name der Organisation |
| 15.197.130[.]221 | AS16509 | Amazon Technologies, Inc. |
| 162.255.118[.]67 | AS22612 | Namecheap, Inc. |
| 162.255.118[.]68 | AS22612 | Namecheap, Inc. |
| 179.43.183[.]46 | AS51852 | Private Layer, Inc. |
| 185.224.81[.]168 | AS204196 | AbleoHost B.V. |
| 185.224.81[.]75 | AS204196 | AbleoHost B.V. |
| 185.38.151[.]11 | AS25369 | Hydra Communications Ltd |
| 79.133.41[.]61 | AS44066 | firstcolo GmbH |
Table 1: IP Addresses and ASNs associated with new Doppelgänger domains (Source: Recorded Future)
Ähnlich wie die alten Marken von Doppelgänger befassen sich diese neu beobachteten deutschsprachigen Websites mit zentralen sozioökonomischen und politischen Themen – wie Deutschlands Rolle in Europa, den Zustand der deutschen Wirtschaft, Migration und die Unterstützung der Ukraine – und das auf eine Weise, die für deutsche Wähler von großer Relevanz ist, und sie spiegeln die thematischen Ansätze wider, die in früheren Kampagnen zur Beeinflussung von Wahlen in Frankreich und den USA zu sehen waren. Ein konkretes Beispiel ist die Doppelgänger-Marke „Kriminal Radar“, die verwendet wird, um bei den Deutschen Angst um ihre Sicherheit und insbesondere Angst vor Migranten zu schüren. Östlicher Wind ist eine ostdeutsch orientierte Publikation, die Euroskepsis, Misstrauen gegenüber den USA und der Ukraine, „traditionelle“ Werte und die Förderung rechter politischer Parteien wie der AfD unterstützt.
| Wahlthema | Auf Doppelgänger ausgerichtete Website | Übersetzung |
| Kriminalität, Einwanderung, Strafverfolgung | Kriminal Radar | „Crime Radar“ |
| Militär und Sicherheit | Militärblatt | „Military Bulletin“ |
| Ost-/Westdeutschland, konservative Ansichten | Östlicher Wind | „Ostwind“ |
| Deutsche Wirtschaft | Tageswirtschaft | „Daily Economy“ |
| Deutscher Stolz | Stolzvolk | „Stolze Menschen“ |
| Soziale Werte | HerzHeim | „Heart Home“ |
| Weltnachrichten und Deutschlands globale Position | WeltWahl | „World Choice“ |
Table 2: Each of Doppelgänger’s new German-language “brands” thematically focuses on a core election issue for German voters (Source: Recorded Future)
Figures 3 and 4: (Left) New Doppelgänger brand “Kriminal Radar”. (Right) Doppelgänger brand Tageswirtschaft shares an “advertisement” for Alternative für Deutschland. Doppelgänger has incorporated external links and images posing as advertisements to make the ad seem legitimate (Source: Recorded Future)
Nachahmung von Medienunternehmen und Nutzung sozialer Medien
Zusätzlich zur Etablierung neuer Nachrichtenmarken identifizierte die Insikt Group Doppelgänger-Aktivitäten, die sich als deutsche Medien DER SPIEGEL und Welt ausgeben, und zwar über folgende Domains: spiegel[.]bz, welt[.]cx, welt[.]ink, und welt[.]pm. Das Flaggschiff unter den Nachrichtenkanälen von Doppelgänger, Reliable Recent News (RRN), veröffentlicht weiterhin deutschsprachige Inhalte über seine Website rrn[.]com[.]tr in den sozialen Medien über die Persona @RapidRespNews und über den Telegram-Kanal @reliablerecentnews.
Figures 5 and 6: (Left) Doppelgänger clone of DER SPIEGEL via spiegel[.]bz; (Right) Doppelgänger clone of Welt via welt[.]cx (Source: URLscan.io)
Doppelgänger erstellt und betreibt weiterhin Massenkonten in sozialen Medien, um seine Botschaften mithilfe von Domain-Verschleierungstechniken zu verbreiten, die die Insikt Group im Dezember 2023 erläutert hat. Darüber hinaus nutzt Doppelgänger auch weiterhin verschiedene gebrandete Social-Media-Konten, die mit seinen auf Deutschland ausgerichteten Websites übereinstimmen, darunter „Arbeitspause_1.0“, „Bayerischer Löwe“ und „Der Rattenfänger“. Viele dieser Personas spiegeln die historischen Taktiken der Doppelgänger wider, indem sie an den jeweiligen Ort angepasste Narrative, gefälschte Nachrichtenformate und Verstärkung durch Netzwerke nutzen, um die Glaubwürdigkeit bei den Zielgruppen zu erhöhen. Laut einer Analyse des Deutschen Center für Monitoring, Analyse und Strategie (CeMAS) vom Januar 2025 wurden über 630 Beiträge in den sozialen Medien, die Doppelgänger zugeschrieben werden, zwischen Dezember 2024 und Januar 2025 veröffentlicht. Diese Beiträge zeigten Coordinated Inauthentic Behavior (CIB, koordiniertes unechtes Verhalten) und förderten unglaubwürdige Narrative über die deutsche Politik, Wirtschaft und Einwanderung.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandte Nachrichten & Forschung