Russlands GRU-Universität – wie eine Eliteschule zur Kaderschmiede für Cyberkriminelle wurde
Welche Rolle spielt eine der renommiertesten Universitäten Russlands bei der Ausbildung von Cyberkriminellen? An der Staatlichen Technischen Universität Moskau „N. E. Bauman“ (kurz Bauman MSTU oder nur MSTU) sollen Studierende Angriffs- und Infiltrationstechniken erlernen, bevor sie zum russischen Geheimdienst wechseln.
Ein internationales Investigativ-Konsortium berichtet über eine bislang kaum beleuchtete Talent-Pipeline für Russlands militärischen Nachrichtendienst GRU (Glawnoje Raswedywatelnoje Uprawlenije, auf Deutsch Hauptverwaltung für Aufklärung). In Dokumenten aus einer geheim gehaltenen Einheit an der Moscow State Technical University in Moskau – intern als „Department 4“ / „Special Training“ bezeichnet – sollen Lehrpläne, interne Listen und Ausbildungsunterlagen zeigen, wie Studierende systematisch auf Aufgaben vorbereitet werden, die von offensiver Cyber-Operation bis Informationskrieg reichen. Das Ergebnis der Recherche entspricht dem Bild, das westliche Behörden seit Jahren von russischen GRU-Einheiten und deren hybriden Fähigkeiten zeichnen.
Was die Leaks nahelegen: „Department 4“ als verdeckte Kaderschmiede
Nach Darstellung der Partnerrecherchen umfasst der Dokumentenbestand mehr als 2.000 interne Unterlagen (u. a. Curricula, Verträge, Präsentationen, Lehrmaterial, Fotos und Namenslisten aus den Jahren 2022 bis 2024). Die Unterlagen sollen belegen, dass „Department 4“ in die formale Universitätsstruktur eingebettet ist, aber in öffentlichen Organigrammen bzw. Webauftritten nicht auftaucht – und dass der GRU direkt Einfluss auf Anforderungen, Kandidatenauswahl und organisatorische Freigaben nimmt.
Aus den Dokumenten soll eine Ausbildung hervorgehen, die klassische Cyber-Fähigkeiten (z. B. Das Ausnutzen von Schwachstellen, Spearphishing, Trojaner, DDoS, „eigene Malware programmieren“) mit Aufklärung/Signals Intelligence und Informationskriegsführung kombiniert. Für Fortgeschrittene wird demnach auch ein verpflichtendes Format zu Propaganda- bzw. Einflusskampagnen geschildert – inklusive praktischer Aufgaben zur Erstellung von Social-Media-Inhalten mit „Manipulation, Druck und versteckter Propaganda“.
Ein zentraler Punkt der Recherche: Absolventen und Lehrende werden mit bekannten GRU-Strukturen verknüpft. Genannt werden die Einheiten Unit 26165 (in westlicher Zuordnung häufig mit „APT28/Fancy Bear“ verbunden) und Unit 74455 (häufig „Sandworm“), und beschreibt, wie Personen/Signaturen aus dem Umfeld der Einheiten in Dokumenten bzw. als Lehrpersonal auftauchen sollen.
Ausbildung als skalierbare Hybrid-Waffe
Die strategische Sprengkraft liegt weniger in einzelnen Tools als im Industrialisierungsgrad: Wenn Ausbildung, Rekrutierung und Anschlussverwendung institutionell verzahnt sind, wird aus ad-hoc-Rekrutierung eine planbare Personalstrategie – passend zu dem, was Thinktanks als breiter angelegte russische Schatten- bzw. Subversionskampagne gegen westliche Ziele beschreiben.
CSIS dokumentiert über die Jahre eine Zunahme von Sabotage- und Subversionsaktivitäten und ordnet sie auch russischen Strukturen, u. a. dem GRU, zu. Der Authoritarian Interference Tracker wiederum katalogisiert Fälle autoritärer Einmischung (inkl. Cyber-Operationen und Informationsmanipulation) als Muster, nicht als Ausreißer.
Das US-Justizministerium hat 2018 die Anklage gegen 12 russische GRU-Offiziere veröffentlicht, denen u. a. Hacking und Veröffentlichung erbeuteter Daten mit dem Ziel der Einflussnahme auf die US-Wahl 2016 vorgeworfen werden; die Mitteilung verknüpft die Vorwürfe mit GRU-Einheiten (u. a. Unit 26165 und Unit 74455). Das FBI führt eine entsprechende Fahndungs- und Fallseite zu den Vorwürfen.
Ukraine-Krieg, kritische Infrastruktur, Destruktion
Im Zuge der Recherche wird betont, dass sich das Lehrmaterial auch auf Erfahrungen aus Russlands Krieg gegen die Ukraine stütze; das „Department 4“ wird als Zulieferer für Einheiten beschrieben, denen destruktive Operationen zugeschrieben werden. In der westlichen Einordnung sind diese Einheiten seit Jahren Bestandteil von Warnungen und Abwehrarbeit. Die CISA veröffentlicht fortlaufend Advisories zu russischen staatlich gestützten Cyberbedrohungen sowie zu zugehörigen TTPs und Schutzmaßnahmen.
Faktencheck: Was ist gesichert – und was bleibt Behauptung?
Gesichert ist, dass westliche Behörden/Regierungen konkrete GRU-Einheiten als Bedrohungsakteure benennen, sanktionieren oder strafrechtlich verfolgen.
Behauptet wird – und das ist der zentrale investigative Befund –, dass die geleakten Uni-Dokumente eine konkrete interne Struktur („Department 4“) samt Ausbildungsinhalten und Personalspuren zeigen, die genau diese Fähigkeiten und Anschlussverwendungen systematisieren.
Dass mehrere Medienhäuser im Konsortium denselben Dokumentenfundus auswerten, erhöht die Plausibilität – ersetzt jedoch nicht eine unabhängige Prüfung und Bestätigung jedes Einzeldetails.
Konsequenzen für Unternehmen und Behörden
Die CISA verweist in seinen Russland-Advisories fortlaufend auf typische Angriffspfade und Resilienzmaßnahmen, konkret u. a. die Härtung internetexponierter Systeme und Anomalieerkennung.
Privatwirtschaft und öffentliche Hand sollten die Bedrohung ernst nehmen und Sicherheitskonzepte entsprechend anpassen und umsetzen.