Die neue Eskalation im digitalen Kalten Krieg: Warum Moskau jetzt Cloudflare und Fastly der Spionage bezichtigt

Am 2. Juni 2026 lancierte der russische Inlandsgeheimdienst FSB eine dramatische Behauptung: Westliche Geheimdienste hätten, unterstützt durch die Infrastruktur der US-Webdienstleister Cloudflare und Fastly, die Smartphones hochrangiger russischer Regierungsbeamter gehackt . Die Anschuldigung kommt ohne öffentlich zugängliche Beweise daher und ist die aggressivste rhetorische Eskalation in einem seit Jahren andauernden Bestreben Russlands, den Zugang zu westlichen Internetdiensten im eigenen Land zu kappen.

Die FSB-Anschuldigung vom 2. Juni im Detail

Der FSB beschrieb eine "groß angelegte Operation", bei der Schadsoftware auf den Mobilgeräten hochrangiger russischer Funktionäre installiert worden sei . Laut der Behörde wurde diese Spyware genutzt, um heimlich gespeicherte Daten abzugreifen, laufende Gespräche abzuhören und die Umgebung der Geräte aus der Ferne zu überwachen . Ein von der staatlichen Nachrichtenagentur TASS zitierter FSB-Mitarbeiter deutete an, ausländische Spionagechefs seien zu dem Schluss gekommen, es sei "einfacher und billiger, Mobiltelefone zu hacken, als hochbezahlte Informanten unter den Trägern von Staatsgeheimnissen anzuwerben" .

Entscheidend ist, dass die FSB-Erklärung die Mitarbeiter von Cloudflare und Fastly nicht direkt beschuldigt, die Malware geschrieben oder die Hacks gesteuert zu haben. Stattdessen behauptete die Behörde, die "technischen Möglichkeiten" dieser Unternehmen seien bei der Operation "genutzt" worden – eine Formulierung, die weit genug gefasst ist, um zu implizieren, ihre Content-Delivery-Netzwerke, Sicherheitsdienste oder Reverse-Proxy-Infrastruktur hätten eine Rolle beim Datenabfluss oder der Kommunikation gespielt . Als Begleitmaterial veröffentlichte der FSB Videoaufnahmen von Cloudflares Büro in San Francisco, den Fastly-Standorten in San Francisco und London sowie einem nicht identifizierten Gebäude in New York und stellte so eine Verbindung zur Entwicklung oder operativen Kontrolle der Spyware her .

Der FSB nannte die Vereinigten Staaten nicht ausdrücklich beim Namen, hob aber hervor, dass britische Ministerien, darunter das Verteidigungsministerium, Kunden der Netzwerksicherheitsdienste von Cloudflare und Fastly seien . Russische Staatsmedien charakterisierten das angebliche Komplott dennoch als von "US-amerikanischen und britischen Geheimdiensten" inszeniert .

Keine unabhängige Untersuchung hat bislang einen Teil der Behauptung bestätigt. Weder Cloudflare noch Fastly haben sich öffentlich zu dem konkreten Vorwurf geäußert, und der FSB legte keine forensischen Beweise vor – weder die Malware selbst, noch Netzwerkprotokolle, die Datenflüsse durch die beschuldigte Infrastruktur zeigen, oder technische Details, die serverseitige Konfigurationen mit einer Spionageaktion in Verbindung bringen. Das US-Justizministerium hat in der Vergangenheit selbst FSB-Offiziere wegen der Leitung krimineller Hacking-Operationen angeklagt, einschließlich der Kompromittierung von Millionen Yahoo-Konten . Dies unterstreicht die eigene Rolle des FSB als offensiver Cyber-Akteur und macht seine unbelegten Behauptungen zu der Aussage eines rivalisierenden aktiven Geheimdienstes.

Ein Muster der Beschuldigung von Technologie-Infrastruktur

Es ist nicht das erste Mal, dass der FSB westliche Technologieunternehmen beschuldigt, aktive Teilnehmer an Geheimdienstoperationen zu sein. Im Juni 2023 behauptete der FSB, die US-amerikanische NSA habe eine Sicherheitslücke in Apple iPhones ausgenutzt, um die Geräte tausender russischer Bürger und ausländischer Diplomaten zu kompromittieren, und erklärte öffentlich, Apple habe mit der NSA für diese Angriffe "kooperiert" . Apple wies die Vorwürfe zurück, und es wurden keine forensischen Beweise veröffentlicht. Die strukturelle Ähnlichkeit ist frappierend: eine unbelegte Behauptung, dass die Infrastruktur oder Software eines prominenten westlichen Technologieunternehmens ein direktes Instrument staatlicher Spionage sei, untermauert mit Video- oder Bildmaterial, aber ohne überprüfbare technische Daten.

Von technischen Sperren zu Spionagevorwürfen: Die Cloudflare-Kampagne

Die Spionagevorwürfe des FSB vom 2. Juni landen mitten in einem dokumentierten, ein Jahr währenden Feldzug der russischen Regierung, um Cloudflare zu drosseln, zu blockieren und zu diskreditieren.

Im Oktober 2024 blockierte Roskomnadzor – die föderale Aufsichtsbehörde für Kommunikation – tausende Webseiten, die das Encrypted Client Hello (ECH)-Protokoll von Cloudflare nutzten. Dabei handelt es sich um eine TLS-Erweiterung, die den initialen Handshake verschlüsselt und es einem Netzbetreiber erschwert, zu erkennen, welche Webseite ein Nutzer besucht . Damals erklärte die Regulierungsbehörde, ECH "verstoße" gegen russische Vorschriften, die die Möglichkeit zur Verkehrskontrolle vorschreiben.

Am 20. März 2025 eskalierte die Kampagne dramatisch, als Roskomnadzor vorübergehend ganze Cloudflare-Subnetz-Bereiche blockierte – die mehr als 500.000 IP-Adressen umfassten, ein technischer Experte der russischen Digitalrechtsorganisation Roskomsvoboda schätzte, dass etwa 1,5 Millionen IP-Adressen in mehreren Regionen betroffen waren . Die Sperre verursachte weitreichende Ausfälle bei Online-Banking-Systemen wie Sberbank und Alfa-Bank, Regierungsportalen, Kommunikations-Apps und Spieleplattformen – die allesamt auf das CDN von Cloudflare angewiesen waren . Als Nutzer und Unternehmen die Störungen meldeten, gab Roskomnadzor "ausländischer Server-Infrastruktur" die Schuld und empfahl russischen Organisationen, zu einheimischen Hosting-Anbietern zu migrieren .

Der nachhaltigste technische Angriff begann am 9. Juni 2025, als große russische ISPs – darunter Rostelecom, Megafon, Vimpelcom, MTS und MGTS – eine landesweite Drosselungskampagne gegen sämtlichen über Cloudflare geleiteten Datenverkehr einleiteten . Die Drosselung war chirurgisch präzise: Sie erlaubte Endgeräten, nur die ersten 16 Kilobyte einer beliebigen Web-Komponente herunterzuladen, bevor die Verbindung gekappt wurde . Für einen modernen Browser reichen 16 KB vielleicht für einen einzigen HTTP-Header und die ersten Textzeilen, aber bei Weitem nicht, um eine funktionsfähige Seite, ein Skript oder ein Stylesheet zu laden. Das Ergebnis war, dass Millionen von durch Cloudflare geschützte Webseiten für Nutzer innerhalb Russlands faktisch unsichtbar wurden, während sie bei oberflächlichen Netzwerktests den Anschein von Erreichbarkeit erweckten .

Cloudflare bestätigte die Drosselung öffentlich am 26. Juni 2025 und bezeichnete sie als staatliche Einmischung, die außerhalb der Kontrolle des Unternehmens liege . Die internen Daten des Unternehmens zeigten, dass die 16-KB-Deckelung durch mehrere gleichzeitige Mechanismen wie Paketinjektion und Ratenbegrenzung erzwungen wurde, was auf aktives Management und nicht auf eine Netzwerk-Fehlkonfiguration hindeutet . Freedom House und unabhängige Internetbeobachter dokumentierten, dass der gesamte Cloudflare-Verkehr aus Russland erheblich zurückgegangen war und dass die Störungen zeitlich mit der Aufnahme Cloudflares in das Register der "Organisatoren der Informationsverbreitung" durch Roskomnadzor zusammenfielen . Dieses Register ist ein Überwachungssystem, das gelistete Unternehmen verpflichtet, Daten russischer Nutzer auf lokalen Servern zu speichern und dem FSB auf Anfrage Entschlüsselungs-Schlüssel zur Verfügung zu stellen. Unternehmen, die dem nicht nachkommen, drohen verpflichtende Drosselung oder vollständige Sperrung – genau das Ergebnis, das seit Juni 2025 beobachtet wird.

Betrachtet man die Drosselung vom Juni 2025 zusammen mit den Subnetz-Sperren vom März 2025 und dem ECH-Verbot vom Oktober 2024, ergibt sich eine klare Abfolge: Russland nahm zunächst ein bestimmtes Verschlüsselungsprotokoll ins Visier, blockierte dann ganze Netzwerkbereiche und setzt nun technische Kontrollen ein, um den gesamten Cloudflare-Dienst auf unbestimmte Zeit zu beeinträchtigen. Der Spionagevorwurf des FSB vom 2. Juni 2026 fügt dieser bereits voll im Gange befindlichen technischen Unterdrückungskampagne die narrative Schicht einer kriminellen Komplizenschaft hinzu.

Das größere Vorhaben: Ein souveränes russisches Internet

Die Maßnahmen gegen Cloudflare und Fastly sind Teil eines viel größeren, mehrjährigen Projekts des Kremls, das russische Internet unter vollständige inländische Kontrolle zu bringen – ein politischer Rahmen, den die Regierung "digitale Souveränität" nennt.

Eine neue Gesetzgebung verlangt nun von Telekommunikationsbetreibern, staatlich kontrollierte Deep Packet Inspection (DPI)-Ausrüstung zu installieren, bekannt als das System der "Technischen Mittel zur Bedrohungsabwehr" (TSPU). Dieses System gibt dem FSB die Möglichkeit, den Datenverkehr auf Netzwerkebene zu überwachen, zu filtern und zu drosseln . Telekommunikationsanbietern, die sich nicht bei Roskomnadzor registrieren oder den Datenanfragen des FSB nicht nachkommen, drohen Bußgelder und Service-Einschränkungen.

Im September 2025 führten die russischen Behörden ein "Register sozial bedeutsamer Dienste" ein, eine formelle Positivliste von zunächst 57 vorab genehmigten Webseiten – darunter die staatliche Nachrichtenagentur RIA Novosti, große Banken, das Regierungsportal Gosuslugi, inländische soziale Netzwerke und ausgewählte Dienste von Yandex –, deren Zugänglichkeit bei Netzwerkstörungen und Abschalttests garantiert bleibt . Jeder im Ausland gehostete Dienst, der nicht auf der Liste steht, kann jederzeit gekappt werden.

Die Regierung ist zudem massiv gegen verschlüsselte Kommunikation und Umgehungstools vorgegangen. Bis Anfang 2026 hatte Roskomnadzor hunderte VPN-Anwendungen und -Protokolle eingeschränkt . Im August 2025 wurden Sprach- und Videoanrufe über Telegram und WhatsApp eingeschränkt, und direkte Einschränkungen für Telegram selbst folgten bald .

Die Entwicklung ist eindeutig. Russlands Ansatz hat sich von gezielten Webseiten-Sperren vor einem Jahrzehnt über großflächige DPI-basierte Filterung bis zur aktuellen Phase entwickelt, in der ganze westliche Content-Delivery- und Infrastrukturanbieter systematisch beeinträchtigt, abgeklemmt oder mit offiziellen Kriminalvorwürfen überzogen werden. Das Ziel ist ein russischer Internetraum, in dem der gesamte Datenverkehr für den FSB einsehbar ist und ausländische Infrastruktur keinen operativen Fuß mehr fassen kann .

Die Anschuldigung vom 2. Juni 2026 gegen Cloudflare und Fastly ist die jüngste Wendung in diesem Projekt. Es ist ein unbelegter Spionagevorwurf gegen genau die Unternehmen, deren Infrastruktur Russland seit zwei Jahren methodisch für seine eigenen Bürger unzugänglich macht.