Bundesheer: Tarnen und Täuschen um Spionagesoftware
Manche Unternehmen wollen nicht allzu bekannt werden, weil das dem Geschäft so gar nicht zuträglich ist. Eines ist die in Wien ansässige Software-Entwicklungsfirma Dsirf, die an der Entwicklung eines sogenannten Staatstrojaners arbeitet. Also an einer Software, die auf Computern eingeschleust werden kann, um Daten abzugreifen. Immer mehr Regierungen setzen derartige Schadsoftware im Kampf gegen Terrorismus oder Spionage ein. Im Sommer des vergangenen Jahres landete Dsirf auf einer Warnliste von Microsoft, weil der US-Riese aufdeckte, dass der Trojaner illegal mehrere Anwaltskanzleien infiltriert hatte. Einige davon befanden sich in Österreich. Hinter vorgehaltener Hand wird dem Unternehmen außerdem Russlandnähe nachgesagt, was die Eigentümer vehement bestreiten.
Seit dem Spätsommer 2022 laufen Ermittlungen der Staatsanwaltschaft Wien, die dabei von der Direktion für Staatssicherheit und Nachrichtendienst (DSN) unterstützt wird. Der bisherigen Ergebnisse sind brisant: In Österreich gibt es keine Rechtsgrundlage, die Software einzusetzen. Dennoch verhandelten die Nachrichtendienste des Verteidigungsministeriums intensiv mit Dsirf (beziehungsweise seinen Tochterunternehmen) – und bezahlten auch für ein Projekt. Dsirf sagte der Staatsanwaltschaft Kooperation zu und entfernte die verdächtigen Mitarbeiter, denen ein Alleingang unterstellt wird. Das Ministerium stritt bisher jegliche Verbindung öffentlich ab, bezeichneten entsprechende Berichte als „Falschmeldungen“. profil liegt nun aber umfangreiche Kommunikation vor, die Gegenteiliges beweist. Warum geht das ÖVP-geführte Ministerium so vor?
Ein Exkurs in das Firmennetzwerk von Dsirf ist notwendig, um die verzweigten Fäden zu verstehen. Der Bis-vor-Kurzem-Geschäftsführer von Dsirf ist einer der Beschuldigten in der aktuellen Causa. An der Unternehmensadresse im dritten Wiener Gemeindebezirk wurde auch die Tochterfirma „Machine Learning Solutions“ (MLS) gegründet. MLS teilte sich den Geschäftsführer mit Dsirf. Neben dem Softwareunternehmen ist auch die B&C-Stiftung über eine Tochterfirma mit 35 Prozent an MLS beteiligt. Die B&C-Stiftung wurde im Jahr 2000 von der Bank Austria gegründet und hat sich „die Förderung des Industriestandorts“ auf die Fahnen geschrieben. Sie hält Anteile an bedeutenden österreichischen Industriebetrieben wie Lenzing, Amag, Semperit und Vamed. In der MLS steckt das Gold der Softwareentwicklungs-Boutique, wie sich Dsirf gern nennt: die Software „Subzero“, der Staatstrojaner. Das ist aus den Bilanzen und Bewertungen des Unternehmens herauszulesen und wird auf Anfrage auch bestätigt. Seit die Ermittlungen begannen, haben sich die Eigentümerstrukturen und Funktionen rund um Dsirf ein wenig verschoben. Ein Teil wurde nach Liechtenstein transformiert und Firmen umbenannt – grosso modo stehen dahinter aber noch immer dieselben Personen.
Eine Software für den Geheimdienst
Das österreichische Verteidigungsministerium hat zwei militärische Nachrichtendienste: Das Abwehramt und den Heeresnachrichtendienst (HNA). Ersteres befasst sich mit dem „Eigenschutz des Bundesheers“ und bekämpft Gefahren vornehmlich im Inland. Zweiteres kümmert sich um nachrichtendienstliche Informationen aus dem Ausland, die militärischen Entscheidungsprozessen als Grundlage dienen sollen. Laut profil vorliegenden Unterlagen entwickelte MLS für beide Dienste ein Verschleierungsnetzwerk, um die Identität von Mitarbeitern bei Internetrecherchen zu schützen. Das Vorhaben wurde laut vorliegenden Unterlagen als „Projekt Crow" bezeichnet, Kostenpunkt: 180.000 Euro für die erste Testphase. Insgesamt wurden die Aufwendungen des Ministeriums für die Software bis 2025 auf 707.832 Euro kalkuliert. Im Juni 2022 kam es in den Räumlichkeiten von MLS im dritten Wiener Gemeindebezirk zu einer Testphase, die erfolgreich abgeschlossen wurde.
Das erste aktenvermerkte Treffen zwischen dem Dienst und MLS erfolgte am 11. Februar 2021. An dem Tag wurde dem Abwehramt auch die Spionagesoftware Subzero mittels Präsentation in dem mit Dsirf geteilten Büro vorstellt. Dort wurde auch gleich per Organigramm die Verbindung der beiden Gesellschaften erläutert. Als erstmals „Die Presse“ im Vorjahr über Dsirf und die Verhandlungen mit den Nachrichtendiensten berichtete, stritt ein Sprecher des Bundesheeres solche auf Twitter vehement ab: „Diese Behauptung ist erfunden: das Heeresnachrichtenamt verhandelte nicht mit dieser Firma; es gibt auch sonst keinen wie immer gearteten Bezug.“
Eine klare Ansage. Allerdings: Unterlagen beweisen das Gegenteil. Warum setzt das Heer sogar bei der Flucht nach vorne auf Tarnen und Täuschen?
Das Verteidigungsministerium hält sich zu der Beschaffung bedeckt: Detaillierte Informationen zur Thematik wurden bereits im Vorjahr dem mit Nachrichtendienstlichen Belangen befassten, vertraulichem ständigen parlamentarischen Unterausschuss zugeführt“. Und: „Festzuhalten ist, dass die Einhaltung der den Nachrichtendiensten rechtlich zugewiesenen Kompetenzen, die einer mehrstufigen Kontrolle unterliegt, und ich im genannten Fall jederzeit gewährleistet war.“
Es gibt jedenfalls eine weitere bemerkenswerte Verbindung: Unter den Mitarbeitern der Softwarefirma findet sich auch eine Person, die beim Abwehramt beschäftigt war, aber zu diesem Zeitpunkt im Ministerium karenziert war. Der Mann stellte den Kontakt her.
Vom Abwehramt wurde eine oberflächliche Sicherheitsprüfung des Unternehmens durchgeführt – tiefergreifend sollte das erst erledigt werden, wenn die angeforderte Software im System etabliert wird. Der Quellcode der Software wurde nicht angefordert und überprüft. Weiters sei auch kein Vergleichsangebot eingefordert worden – die Interne Revision kritisiert die Vorgänge. Verständlich, denn das Unternehmen ist seit dem Auffliegen der Wirecard-Causa mit Negativberichten konfrontiert. Das hätte im Besonderen hellhörig werden lassen müssen – egal, ob die Vorwürfe nun stimmen oder nicht.
Die Marsalek-Achse
Denn die Vorwürfe wiegen schwer: Der deutsche Finanzdienstleister Wirecard legte im Sommer 2020 eine historische Firmenpleite hin. Seitdem ermittelt die Staatsanwaltschaft gegen zwei Österreicher am der Unternehmens-Spitze. Ex-Vorstand Markus Braun muss sich derzeit in einem epischen Prozess wegen des Verdachts der Bilanzfälschung verantworten: 1,9 Milliarden Euro sind nicht mehr auffindbar – oder waren nie da. Brauns Kompagnon, der Ex-Finanz-Vorstand Jan Marsalek, setzte sich wenige Tage nach Bekanntwerden des Skandals mithilfe österreichischer Ex-Nachrichtendienstmitarbeiter ins Ausland ab. Sein Aufenthaltsort wird in Moskau vermutet, dass Marsalek als Doppelagent arbeitete, gilt als wahrscheinlich.
Was hat Dsirf damit zu tun? profil liegt Marsaleks Email-Account vor. Darin findet sich eine Präsentation des Staatstrojaners Subzero. In der Powerpointpräsentation ist auch von Kunden mit guten Russland-Kontakten die Rede – darunter „Russian Machines“, ein Unternehmen des Oligarchen Oleg Deripaska, mit dem wiederum der österreichische Investor Siegfried Wolf geschäftlich eng verwoben war. „Alles ein Missverständnis“, heißt es dazu von Dsirf zu profil. Man habe nie mit Wirecard oder Marsalek über Subzero gesprochen. Die Präsentation war vielmehr in dieser Form für einen anderen potenziellen Kunden erstellt worden: Das österreichische Innenministerium, das damals von FPÖ-Chef Herbert Kickl geführt wurde. Man habe dort präsentiert. Die darin genannten Kunden mit gutem Russlandgeschäft habe es nie gegeben. „Wir haben ehrlicherweise ein wenig angegeben, um gut dazustehen“, sagt ein Mitarbeiter von Dsirf zu profil. Die Präsentation müsse über blaue Kanäle aus dem Innenministerium zu Wirecard gekommen sein. Anders könne man sich das nicht erklären.
Es wäre wohl bedenklich, wenn derartige Informationen aus dem Innenministerium an Dritte gelangen würden - gänzlich unplausibel ist es freilich nicht: Denn die Präsentation wurde von einem gewissen Florian Stermann an Marsalek versendet. Er bewirbt die Software in seinem Email: Sie übernehme „volle Kontrolle über den Zielcomputer“. Stermann war Generalsekretär der Österreichisch-Russischen Freundschaftsgesellschaft (ORFG), die er wegen seiner engen Kontakte zu Marsalek nach Auffliegen der Wirecard-Verstrickungen verlassen musste. Er pflegte ausgezeichnete Kontakte zu hochrangigen FPÖ-Politikern – Ex-Klubobmann Johann Gudenus gilt als einer seiner besten Freunde. Äußern möchte er dazu allerdings nicht.
„Detaillierte Informationen zur Thematik wurde bereits im Vorjahr dem mit nachrichtendienstlichen Belangen befassten, vertraulichem, ständigen parlamentarischen Unterausschuss zugeführt“, heißt es aus dem von Klaudia Tanner geführten Ministerium.
Dsirf jedenfalls fühlt sich in der Causa ungerecht behandelt – ja, es habe einst Geschäftsbeziehungen nach Russland gegeben, diese lägen aber schon seit einiger Zeit auf Eis. Es habe Verwerfungen gegeben, heißt es von der Dsirf-Spitze. Im Gegenteil: Man habe das Land auch schon vor dem Krieg in der Ukraine nicht mehr in Ruhe bereisen können. Die Software sei für europäische Regierungen hergestellt worden, die in solchen technischen Sicherheitsfragen von Weltmächten wie Israel und den USA abhängig seien. Subzero sollte der Erhöhung der europäischen Sicherheit dienen, wird argumentiert. Laut profil-Recherchen hat Dsirf in diesem Zusammenhang auch mit dem deutschen Geheimdienst BND verhandelt. Dort soll die die behördliche Sicherheitsüberprüfung der potenziellen Geschäftspartner allerdings stattgefunden haben.
Die Software Subzero ist nach dem Outing durch Microsoft wohl nicht mehr einsetzbar. Schließlich hat Microsoft offengelegt, wie die Software funktioniert. Die Ermittlungen der Staatsanwaltschaft tun das ihre dazu – wie aus den Ermittlungsakten hervorgeht, behauptet Dsirf, ein Mitarbeiter habe das Produkt auf eigene Faust testen wollen und sich zu diesem Zweck offenbar ein paar Anwaltskanzleien ausgesucht. Auch wenn die dem profil bekannten Anwälte beteuern, es sei kein Datenabfluss bekannt, wird wohl auf Schadenersatz geklagt. Dsirf wird sich ein neues Betätigungsfeld suchen müssen – den Staatstrojaner wird das Unternehmen nach diesem Skandal zumindest in der EU wohl kaum monetarisieren können. In Österreich gibt es laut profil-Informationen eine informelle Order an Behörden, mit dem Unternehmen nicht mehr zu arbeiten.
Europas unbeantwortete Sicherheitsfragen
Die Aufregung um Dsirf ändert nichts an einer grundsätzlichen, sicherheitspolitischen Frage, die europäische Staaten nur zögerlich beantworten: Ob die innere und äußere Sicherheit ohne eine derartige Software, wie Dsirf sie herstellt, heutzutage überhaupt noch gewährleistet werden kann. Terroristen vernetzen sich im Internet, der russische Angriffskrieg zeigt täglich, dass hybride Kriegsführung und Spionage hauptsächlich im Netz stattfinden. In Österreich gibt es besonders viel Aktivität: Hier operieren Nachrichtendienste aus aller Welt auf engstem Raum. Das hat mehrere Gründe: Weil das Land neutral ist und somit einige wichtige internationale Organisationen beheimatet. Weil die Gesetzeslage zu Spionage für ausländische Mächte angenehm ist – der Strafrahmen ist gering, es gibt kaum Verurteilungen. Und nicht zuletzt, weil die heimischen Nachrichtendienste als nicht besonders schlagkräftig gelten. Österreich ist klein, die Dienste sind im internationalen Vergleich auf einem schlechten Niveau, das Personal nicht gut qualifiziert, die technologischen Möglichkeiten gering. In der Vergangenheit hatte die Politik nur wenig Motivation, ernsthaft zu investieren oder Gesetze zu adaptieren.
Momentan existiert in Österreich keine Rechtsgrundlage für einen Staatstrojaner, zumindest was den Einsatz im Inland betrifft. Seitens ÖVP und FPÖ gab es in der Vergangenheit immer wieder Vorstöße, Trojaner im Kampf gegen Kriminalität einzusetzen. Weil eine derartige Software auch Möglichkeiten des Missbrauchs mit sich bringt, konnten die notwendigen parlamentarischen Mehrheiten bisher nicht gefunden werden.
Omar Haijawi-Pirchner, Chef der Direktion Staatsschutz und Nachrichtendienst im Innenministerium, ermittelt zwar gegen Dsirf, forderte zuletzt im „Standard“ aber dennoch Trojaner im Kampf gegen Terrorismus. „Der Verfassungsschutz ist vor allem im technischen Bereich auf mehr Befugnisse angewiesen, um effizientere Gefahrenforschung und Gefahrenabwehr betreiben. Da das Recht der Technik hinterherhinkt, ist das „Going Dark“-Phänomen im Vormarsch: Wenn Ermittler die Kommunikation von Gefährdern und Terroristen nicht mehr überwachen können, da sie verschlüsselt stattfindet – ein immer größer werdendes Ermittlungshindernis. Es geht also darum, unter Einhaltung des strengsten Rechtsschutzes die Befugnisse an technische Gegebenheiten anzupassen, um die Aufklärung optimieren zu können.“
„Die kriminellen Personen gewinnen an Freiheit, zulasten der Freiheit und Sicherheit der Allgemeinheit“, Omar Haijawi-Pirchner, DSN-Direktor
Ähnlich sieht das Gerhard Schindler, einst Chef des deutschen Geheimdienstes BND: „Wir entwickeln uns in die Steinzeit zurück. Die Regeln des Völkerrechts, die Vereinten Nationen oder Internationale Gerichtshöfe verlieren immer mehr an Einfluss zur Krisenbewältigung. Das Recht des militärisch Stärkeren ist dagegen auf dem Vormarsch. Eine Krise folgt der anderen. Wer in dieser unsicheren geopolitischen Gemengelage die Sicherheit vernachlässigt, handelt fahrlässig. Wir brauchen daher nicht nur eine Zeitenwende, sondern auch eine konkrete Debatte über den Stellenwert von Sicherheit“, sagt er zu profil. Auch innenpolitisch wirkten sich die geopolitischen Krisen durch illegale Migration, organisierte Kriminalität, Terrorismus und Cyberangriffe aus.
„Nicht die Sicherheitsbehörden sind bei der Bekämpfung dieser Gefahren die Datenkraken, sondern Provider und Social-Media-Betreiber sammeln ungleich mehr persönliche Daten ihrer Nutzer. Nicht der Staat ist eine Gefahr für unsere Gesellschaft, sondern die Straftäter und kriminellen Organisationen. Das muss man einmal einsehen und sich dementsprechend technisch weiterentwickeln", sagt Schindler.
„Nicht der Staat ist eine Gefahr für unsere Gesellschaft, sondern die Straftäter und kriminellen Organisationen. Das muss man einmal einsehen und sich dementsprechend technisch weiterentwickeln", Gerhard Schindler, Ex-BND-Chef
Aber wer sollte eine derartige Software für Staaten entwickeln? Nationalstaatlich, behördlich ist das kaum machbar – zu teuer und langwierig ist das Erstellen und Aktuell-halten der Trojaner. Eine europäische Lösung ist nicht in Sicht: Anders als die Polizei sind die Nachrichtendienste nicht gemeinschaftlich vernetzt. Zu groß sind die Eigeninteressen, zu groß ist das Misstrauen. Darum gibt es auf europäischer Ebene derzeit keine Bemühungen, Standards und Richtlinien für den Einsatz von Spionagesoftware zu entwickeln.
Daneben hat es in Europa einige Versuche privater Unternehmen gegeben, eine solche Software zu entwickeln – das Projekt von Dsirf war im Vergleich weit gediehen – sie scheiterten am Ende aber alle. Auch, weil der Markt in Europa dann doch zu klein ist. Bliebe, sich solche Software bei Weltmächten einzukaufen. Länder wie die USA, Israel aber auch China oder Russland verfügen darüber. Der Nachteil: Es schafft Abhängigkeiten.
Debatte im österreichischen Parlament
Im kleinen Österreich nimmt die Debatte um den Trojaner derzeit wieder an Fahrt auf. ÖVP und FPÖ setzten sich in der Vergangenheit immer wieder für die Trojaner ein. Der Neos-Abgeordnete Douglas Hoyos-Trautmannsdorf hat zuletzt auch einen Vorstoß gewagt. Die Neos brachten einen Initiativantrag zur „Anpassung der Befugnisse der militärischen Nachrichtendienste zur Aufklärung und Abwehr an die Internet-Ära“ ein. Konkret: Ein neues Militärbefugnisgesetzes – allerdings „kein Schnellschuss, sondern eine sorgfältige Prüfung der Limitierung bei Aufklärung und Abwehr, durch das BMLV in Kooperation mit den Diensten“. Sprich: Eine Kompetenzerweiterung auch hinsichtlich Technologien wie Spionagetrojaner – zumindest zur Außenverteidigung.
Auch die SPÖ ist prinzipiell der Meinung, dass Trojaner für die Verteidigung wichtig sind. Robert Laimer, Landesverteidigungssprecher, sagt zu profil: „Grundsätzlich bestehen hier Notwendigkeiten – externe Einflussnahmen, außerhalb der EU, die nach Österreich wirken, mit technischen Hilfsmittel zu erkennen. Der Staat hat Sicherheit zu gewährleisten, damit ist unser innerer Frieden verbunden, der von außen gefährdet bzw. bedroht werden kann. Wenn wir den technischen Entwicklungen als Politik Rechnung tragen wollen und sollen, dann bedeutet ein Mehr an Befugnissen von Sicherheitsbehörden – ebenfalls zwingend – ein Mehr an parlamentarischer Kontrolle. Das jahrelange BVT-Versagen soll uns hier als Mahnung dienen.“
„Auch wenn ich verstehe, dass eine derartige Software eine nützliche und zeitgemäße Waffe sein kann, muss man aufpassen, dass sie nicht in falsche Hände gerät oder missbraucht wird“, David Stögmüller, Grüner Heersprecher
Ohne die Grünen wird aber nichts gehen – immerhin sind sie Koalitionspartner, und eine Anpassung des Militärbefugnisgesetzes steht nicht im Koalitionsabkommen. Grünen-Heeressprecher David Stögmüller hat Sicherheitsbedenken: „Die Grünen und ich als Heeressprecher verweigere mich den bisher vorgelegten Vorschlägen dazu. Zuerst braucht es einen größeren Diskurs darüber, welche konkreten Befugnisse wer bekommen soll, wofür sie eingesetzt werden – und wie das kontrolliert werden kann. Weil auch wenn ich verstehe, dass eine derartige Software eine nützliche und zeitgemäße Waffe sein kann, muss man aufpassen, dass sie nicht in falsche Hände gerät oder missbraucht wird. Die parlamentarische Kontrolle ist für uns unabdingbar. Bisher besteht hier große Intransparenz“.
Die Diskussion, ob Trojaner mehr Schutz oder mehr Gefahr mit sich bringen, wird also noch lange dauern – die Entwicklung und allfällige Implementierung aber noch ungleich länger.