Während die finale Staffel der Serie Andor derzeit weltweit Fans begeistert, werden die fiktiven Ereignisse um ein verborgenes Rebellen-Netzwerk und den faschistoiden Geheimdienst des Imperiums von der Realität eingeholt:

Wie das Online-Magazin 404Media berichtet, hat der Amateurforschers Ciro Santilli ein verstecktes Kommunikations-Tool des CIA aufgedeckt. Offenbar dienten mehrere harmlos wirkenden Webseiten dem US-Auslandsgeheimdienst als Plattformen, um sich mit Agent:innen und Quellen auf der ganzen Welt auszutauschen.

Bei einer der Internetseiten handelt es sich um das Star-Wars-Fanportal starwarsweb.net. Santillis ausführlicher Bericht liefert einen spannenden Einblick in die Arbeit von Geheimdiensten – und erinnert daran, welche katastrophalen Auswirkungen es hat, wenn sie schlampig arbeiten.

Laut Santilli mussten CIA-Informant:innen nur ein Passwort in die Suchzeile von Starwarsweb.net eingeben, um einen Log-In-Prozess in Gang zu setzen, der ihnen die Kommunikation mit dem Geheimdienst ermöglichte.

Damit gehörte die Fanseite zu einem geheimen Netzwerk aus scheinbar banalen Webauftritten, das in den frühen 2010er-Jahren schließlich aufflog – mit tödlichen Konsequenzen: Dutzende CIA-Quellen in China verloren damals ihr Leben. Die Spur führt zurück zu einem schweren Sicherheitsleck, das iranische Behörden entdeckt hatten.

Laut Santillis Recherchen gehörten auch Fanseiten zu Comedy, Extremsport oder brasilianischer Musik zu dem Netzwerk. Viele der Inhalte und Sprachen auf den Seiten deuteten auf Zielregionen wie Deutschland, Frankreich, Spanien und Brasilien hin.

Der Amateur-Geheimdienstforscher nutzte öffentlich verfügbare Tools, um seine Erkenntnisse zu gewinnen. Er analysierte HTML-Code, durchforstete historische Domainlisten und entdeckte IP-Zusammenhänge. Außerdem verwendete er eine „kleine Armee von Tor-Bots“, um Sperren der Wayback Machine zu umgehen.

Ausgangspunkt waren Metadaten aus einem Reuters-Artikel von 2022. Dieser legte offen, wie der iranische Informant Gholamreza Hosseini durch schlampig konfigurierte CIA-Websites enttarnt worden war. Der Artikel enthielt Screenshots mit Dateinamen, die URL-Fragmente preisgaben.

Ein zentrales Problem des damaligen Kommunikationsnetzwerks: Die Domains der CIA-Websites lagen teils auf aufeinanderfolgenden IP-Adressen. Wer eine Seite fand, konnte relativ einfach weitere aufspüren.

Auch die kanadische Forschungseinrichtung Citizen Lab war durch diesen Fehler zuvor schon auf insgesamt 885 potenziell CIA-gesteuerte Seiten gestoßen. Santilli konnte auf dieser Basis mehrere hundert Domains manuell untersuchen.

Seine Analysen geben nicht nur Aufschluss über damalige Kommunikationsmethoden der CIA, sondern auch über geopolitische Schwerpunkte: Besonders viele Sites waren offenbar auf den Nahen Osten ausgerichtet.

Zach Edwards, ein unabhängiger Cybersecurity-Forscher, hält Santillis Ergebnisse für durchaus plausibel. Gegenüber 404Media gab der Experte an: „Ja, die CIA hatte definitiv eine Star-Wars-Fanseite mit eingebettetem Kommunikationssystem“.  Obwohl Fehler nun einmal vorkämen, bezeichnete er den Fall der CIA-Websites als „sicherheitstechnisches Desaster“.

Santilli selbst betont, dass die historische Aufarbeitung wichtiger sei als potenzielle Risiken: „Es ist auch einfach schön, dass man so etwas wie ein Spionage-Gadget im Wayback-Archiv quasi ‚live‘ erleben kann.“

Die CIA äußerte sich bisher nicht zu den Vorwürfen. Was bleibt, ist die bizarre Erkenntnis, dass ein Star-Wars-Fanportal einst Teil eines geheimen Kommunikationssystems war – und heute als digitales Denkmal für eine der größten Sicherheitslücken in der Geschichte der US-Geheimdienste gilt.