Geleakte interne Dokumente einer russischen Trollfabrik im Staatsauftrag beschreiben den Aufbau einer deutschsprachigen Wikipedia-Kopie mit aktuell über 200.000 Seiten. Die Inhalte richten sich primär an große Sprachmodelle (sogenannte LLMs, Large Language Models), nicht an menschliche Leser°Innen. Wer auf Deutsch ChatGPT, Gemini oder Copilot nach dem Ukraine-Krieg oder Alexei Nawalny fragt, soll bei seriös wirkenden, aber prorussisch gefärbten Antworten landen.
Inhalt des Leaks
Das Nachrichtenportal t-online hat einen Datensatz ausgewertet, der aus dem Inneren der russischen Social Design Agency (SDA) stammt. Die SDA arbeitet im Auftrag des Kremls und steht seit 2023 unter EU-Sanktionen. Bekannt wurde sie durch die Doppelgänger-Kampagne, in der gefälschte Versionen von Bild, Spiegel und anderen Nachrichtenseiten gehostet wurden.
In den geleakten Unterlagen findet sich ein Projektpapier mit dem Titel Projekte 2026, laut Metadaten erstellt am 15. Januar 2026. Beschrieben wird eine selbstaktualisierende Wissensdatenbank, die bereits über 200.000 Seiten umfasse. Pro Monat sollen etwa 500 manuell verfälschte Artikel hinzukommen, davon 200 mit zusätzlicher Suchmaschinenoptimierung.
Dem Bundesamt für Verfassungsschutz liegt der Datensatz nach eigener Aussage vor, die Auswertung läuft. Thomas Rid, Professor für Strategische Studien an der Johns Hopkins University, hält die Dokumente nach Sichtung für authentisch. Eine konkrete Domain des deutschen Klons ist bislang nicht öffentlich identifiziert worden. Greifbar sind nur die Planungspapiere.
Der Angriff zielt auf Sprachmodelle, nicht auf Leser°Innen
Klassische Desinformation will Menschen erreichen, möglichst viele, möglichst oft. Der Ansatz hat in den letzten Jahren an Wirkung verloren. Plattformen sperren gefälschte Domains, Browser markieren bekannte Falschnachrichten, die Trefferquote pro Einzelpost ist gering.
Eine Wikipedia-Kopie für KI-Trainings- und Retrieval-Prozesse setzt an einer anderen Stelle an. Große Sprachmodelle behandeln Wikipedia-artige Quellen in ihren Bewertungsheuristiken als besonders zuverlässig. Enzyklopädische Struktur, interne Verlinkung, neutraler Tonfall: Das sind technische Signale, auf die Crawler und Retrieval-Systeme positiv reagieren. Imitiert man die Form und optimiert gleichzeitig für KI-Zugriff, lässt sich diese Heuristik aushebeln.
Das Aufwand-Reichweite-Verhältnis ist hier deutlich günstiger als bei Social-Media-Kampagnen. Ein paar tausend gut platzierte Artikel können LLM-gestützte Recherche für Millionen Anfragen verzerren. Hinzu kommt das Verhalten auf Nutzerseite: LLM-Assistenten liefern Antworten als geschlossenen Fließtext ohne sichtbare Quellen. Viele halten so eine Antwort für vertrauenswürdiger als eine Trefferliste, weil sie kompetent klingt. Genau das macht den Angriffsweg über manipulierte Referenzquellen attraktiver als gefälschte Newsseiten.
Russlands Vorgeschichte mit Wikipedia-Kopien
Das Konzept ist nicht neu. Russland betreibt seit Januar 2024 Ruwiki, einen Klon der russischsprachigen Wikipedia mit bereinigten oder umgeschriebenen Einträgen zu kritischen Themen. Aus dem Angriffskrieg gegen die Ukraine wird dort eine Spezielle Militäroperation. Für Armenien hat die SDA laut einer Recherche von The Insider einen ähnlichen Klon aufgesetzt, flankiert vom Bot-Netz Matrjoschka. Ziel war die Parlamentswahl am 7. Juni 2026.
Die deutsche Variante wäre also die Ausweitung eines bereits erprobten Musters. Parallel dokumentieren die Leak-Unterlagen Aktionen unter falscher Flagge in Deutschland und Frankreich, darunter mutmaßlich die Bauschaum-Sabotage an hunderten Autos kurz vor der Bundestagswahl, die mit gefälschten Habeck-Aufklebern den Grünen angehängt werden sollte.
Das Problem ist breiter als Russland
Die russische Methode ist vergleichsweise plump. Sie muss Quellen außerhalb der Modelle platzieren und hoffen, dass Crawler und Retrieval-Systeme darauf hereinfallen. Das ist erkennbar, technisch abwehrbar und politisch eindeutig zuzuordnen.
Wesentlich subtiler wird es bei Akteuren, die direkten Zugriff auf die Modelle haben. Die marktbeherrschenden LLM-Anbieter sitzen alle in den USA: Google, OpenAI, Anthropic, Microsoft, Meta. Sie entscheiden über die Auswahl der Trainingsdaten, über die menschlichen Bewertungen, mit denen das Modell auf erwünschte Antworten getrimmt wird, über System Prompts, Output-Filter und Sicherheitsrichtlinien. Jede dieser Stellschrauben verändert, was am Ende beim Nutzer ankommt, ohne dass von außen erkennbar wäre, an welcher Schraube gedreht wurde.
Unter einer rechtsautoritären US-Regierung ist diese Hebelwirkung politisch relevant. Trumps zweite Amtszeit hat in kurzer Folge gezeigt, mit welchen Mitteln Druck auf US-Konzerne ausgeübt werden kann: Exekutivanordnungen, kartellrechtliche Verfahren, Lizenzentzüge, Zoll- und Exportregelungen, öffentliche Diffamierung einzelner Unternehmen über soziale Medien. Wer einen Konzern wie Meta oder Google dazu bringen will, in seinen Modellen bestimmte Themen anders zu behandeln oder bestimmte Positionen leiser ausfallen zu lassen, braucht keine Trollfabrik. Eine Untersuchung des Justizministeriums oder eine angedeutete Lizenzfrage genügen.
Hinzu kommt die Eigentümerlage einzelner Anbieter. Elon Musks xAI mit dem Modell Grok ist offen parteiisch geführt, der Eigentümer selbst tritt regelmäßig politisch in Erscheinung. Bei den anderen Anbietern ist die Lage weniger offensichtlich, was sie nicht weniger problematisch macht. Ein Modell, das Quellen einer bestimmten politischen Richtung systematisch leiser gewichtet oder bestimmte Begriffe vermeidet, lässt sich von außen kaum nachweisen. Externe Audits existieren de facto nicht, sind methodisch schwierig und werden von den Anbietern selten freiwillig zugelassen.
Aus europäischer Sicht ergibt sich daraus ein doppeltes Risiko. Russische Operationen versuchen die Quellen zu manipulieren, an die LLMs herankommen. Eine politisierte US-Anbieterseite könnte die Modelle selbst beeinflussen, und zwar in einer Form, die kein Domain-Filter und kein Quellen-Abgleich erkennen würde. Beide Vektoren wirken auf dieselben Werkzeuge ein, die zunehmend zum Standardweg für Wissensabruf werden. Digitale Souveränität ist in diesem Umfeld keine theoretische Forderung mehr, sondern eine ganz praktische Frage nach europäischen Alternativen und nach belastbaren Quellen jenseits geschlossener KI-Pipelines.
Konsequenzen für die Nutzung von KI-Tools
LLMs sind keine Wissensquellen. Sie sind rein auf statistischen Algorithmen basierende Sprachmodelle mit angeschlossener Webrecherche und beurteilen die Vertrauenswürdigkeit von Quellen nur eingeschränkt und im Rahmen ihrer halluzinationsgefährdeten Möglichkeiten. Wer politisch relevante Informationen über einen LLM-Assistenten abruft, verlässt sich auf eine Pipeline, die sich mit überschaubarem Aufwand vergiften lässt. Wikimedia Deutschland verweist deshalb auf die Wikipedia mit ihren etablierten Grundprinzipien: Belegpflicht, Nachprüfbarkeit, neutraler Standpunkt (wobei man ganz klar sagen muss, dass auch die Wikipedia selbst mit enormen Problemen zu kämpfen hat, weil auch dort immer wieder fragwürdige Inhalte durch rechte Kräfte platziert wird und weil manche Moderatoren selbst sehr fragwürdige Methoden an den Tag legen; Probleme die durch die demokratische Eigenverwaltung der Wikipedia durch ihre Community nicht beseitig werden können, das zeigen diverse Fälle von Admin-Machtmissbrauch in der Vergangenheit).
Was im Unternehmensalltag daraus folgt, ist überschaubar. Bei politisch, juristisch oder gesundheitlich relevanten Fragen gehört eine LLM-Antwort gegengeprüft, am besten an einer Quelle, die nicht selbst Teil des Trainingskorpus war. Originalstudien helfen, Gerichtsurteile, Pressestellen, die echte Wikipedia mit ihrer Versionsgeschichte. Nicht aber ein zweites Sprachmodell.
Werkzeuge mit offener Quellenangabe sind solchen vorzuziehen, die nur Fließtext liefern. Systeme, die ihre tatsächlich abgerufenen Webquellen direkt verlinken, lassen sich überhaupt erst sinnvoll prüfen. Und die eigene Belegschaft braucht ein realistisches Bild davon, was ChatGPT, Gemini oder Copilot eigentlich produzieren. Eine kurze Sensibilisierung kostet weniger Zeit als die Korrektur eines übernommenen Sachfehlers im Kundenprojekt.
Googles KI-Suche als zusätzlicher Verstärker
Das Risiko bleibt nicht auf den direkten Aufruf von ChatGPT, Gemini oder Copilot beschränkt. Google hat auf der I/O 2026 angekündigt, die klassische Suche schrittweise durch KI-Antworten zu ersetzen. Statt einer Trefferliste mit Links liefert die Suchmaschine künftig im Standardfall einen generierten Text. Wer die Folgen für Webseitenbetreiber und SEO im Detail nachlesen will, findet die Einordnung im älteren Artikel zur Google I/O 2026.
Im Kontext eines Wikipedia-Klons verschärft sich die Lage, bisher konnten Nutzer eine LLM-Antwort wenigstens ignorieren und sich die Trefferliste darunter ansehen. Diese Möglichkeit fällt mit der KI-Suche weg oder wird ans Ende der Seite gedrängt. Vergiftete Quellen schlagen damit direkt in der primären Antwort durch, ohne dass der Nutzer eine bewusste Entscheidung getroffen hat, eine KI zu befragen.
Hinzu kommt die Marktposition: Google hat in Deutschland einen Suchmaschinenanteil von über 90 Prozent. Eine erfolgreich platzierte Manipulation in der Trainings- oder Retrieval-Pipeline dieses einen Anbieters erreicht damit faktisch fast jeden Internetnutzer im deutschsprachigen Raum. Aus Sicht digitaler Souveränität ist diese Konzentration ohnehin problematisch. Im Zusammenspiel mit gezielten Desinformationskampagnen wird sie zu einer Strukturschwäche, die sich nicht mehr durch individuelles Quellenbewusstsein einzelner Nutzer ausgleichen lässt.
Technische Gegenmaßnahmen
Die Pflicht, einen identifizierbaren Desinformationsklon nicht als Quelle zu crawlen, liegt bei den Anbietern der Sprachmodelle. Es gibt Ansätze: Quellenreputation, Domainalter, Abgleich mit der echten Wikipedia, Erkennung von strukturellem Plagiat. Damit lassen sich die plumpen Klone aussortieren. Erledigt ist das Problem so nicht, weil sich Klone leicht neu aufsetzen und Domains rotieren lassen.
Eine grundsätzliche Antwort wäre, LLM-Ausgaben nur noch mit nachvollziehbarer Quellenangabe auszuliefern und Modelle so zu trainieren, dass sie zwischen formal ähnlichen Quellen unterschiedlicher Verlässlichkeit differenzieren. Davon sind die großen Anbieter aktuell noch ein gutes Stück entfernt.
Für LLM-Ausgaben gilt eine schärfere Prüfpflicht als für klassische Webquellen. Sprachmodelle halluzinieren regelmäßig, mischen Fakten mit Erfindungen und können manipulierte Quellen nicht zuverlässig erkennen. Jede Aussage gehört gegengeprüft, bevor sie in einem Text, einer Entscheidung oder einer Kundenkommunikation landet.
Und was die Suchergebnisse verschiedener Anbieter von Suchmaschinen angeht, die einem KI-Antworten aufzwingen wollen: Es gibt alternative Anbieter klassischer Suchmaschinen, also ohne LLM-Antworten, man sollte ernsthaft darüber nachdenken, diese zu nutzen.
Quellen
- Patrick Wildermann: Russlands Wikipedia-Klon: Wie Desinformation in Chatbots landet. Wikimedia Deutschland Blog, 11. Juni 2026. https://blog.wikimedia.de/2026/06/11/russlands-wikipedia-klon/
- t-online: Propaganda-Offensive gegen Deutschland: Leak enthüllt Russlands Vorgehen. Mai 2026. https://www.t-online.de/nachrichten/deutschland/innenpolitik/id_101262296/propaganda-offensive-gegen-deutschland-leak-enthuellt-russlands-vorgehen.html
- Watson: Geheime Dokumente enthüllen: Russland weitet verdeckte Operationen in Europa aus. https://www.watson.ch/digital/eu/451347104-geheime-dokumente-russland-weitet-verdeckte-operationen-in-europa-aus
- ComputerBase: Desinformation: Russland soll an Wikipedia-Klon für KI-Chatbots arbeiten. https://www.computerbase.de/news/netzpolitik/desinformation-russland-soll-an-wikipedia-klon-fuer-ki-chatbots-arbeiten.97911/
- The Insider: Russian propaganda Wikipedia clone in Armenia. https://theins.press/en/inv/293081
- Deutschlandfunk: Stirbt das Internet, wie wir es kennen? https://www.deutschlandfunk.de/google-suche-offenes-web-100.html
- Wikipedia: Ruwiki. https://de.wikipedia.org/wiki/Ruwiki
- Wikipedia: Doppelgänger (Desinformationskampagne). https://de.wikipedia.org/wiki/Doppelg%C3%A4nger_(Desinformationskampagne)