Russland-Connection: Wiener Cyberfirma DSIRF hatte Büro in Moskau
Manchmal ist es gar nicht so einfach ein Cyberunternehmen elektronisch zu kontaktieren. Ein erstes Email, eine Fehlermeldung. Auch die zweite Mailadresse auf der Homepage führt nicht zum Ziel. Ein altmodischer Anruf endet beim ebenso altmodischen Anrufbeantworter. Dabei gibt es einige offene Fragen an eine Firma, die von Microsoft als „Cyber-Söldner“ bezeichnet wurde und vom EU-Parlament als „Spyware-Provider“.
Das Wiener Unternehmen DSIRF ist seit rund einem Jahr nicht mehr nur in Expertenkreisen bekannt. Zunächst wurde öffentlich, dass sich ausgerechnet in den E-Mails des flüchtigen Wirecard-Vorstands Jan Marsalek eine Firmenpräsentation des Unternehmens fand. Und vor einigen Monaten erhob dann Microsoft den Vorwurf, das exklusive Hackingprogramm der Firma habe Unternehmen und Anwaltskanzleien angegriffen. Die Staatsanwaltschaft Wien ermittelt.
Bemerkenswert für ein Cyber-Unternehmen, das gerne in der Oberliga mitspielen würde: Die eigene Homepage weist einfache Sicherheitsmängel auf, analysierte nun das Wiener IT-Unternehmen Certitude. Und eine Testversion der Website ist noch online, hier wirbt DSIRF mit einem Büro in Moskau. Durchaus pikant: DSIRF hat die ihr unterstellte Russland-Nähe stets zurückgewiesen. Eine Geschichte über den schmalen Pfad zwischen Cybersicherheit und Cyberkriminalität mit Spuren nach Russland und Liechtenstein.
Nächste Generation im Cyberkrieg
Vor einem halben Jahr warnte Microsoft vor der Spionagesoftware Subzero der Wiener Firma DSIRF. Demnach griff die Software in Österreich, aber auch in England, Panama und anderen Staaten Unternehmen und Anwaltskanzleien an. Wie konnte das passieren? Laut DSIRF ist Subzero nämlich eine „strategische Monitoring- und Forensik-Lösung“ für Staaten und kritische Infrastruktur. Von Seiten der Firma hieß es, ein ehemaliger Mitarbeiter könnte die Software gestohlen und geleakt haben, schrieb damals die Zeitung „Die Presse“.
Nachdem Microsoft die Subzero-Attacken bekannt gemacht hatte, ergriff sogar der ehemalige Chef des deutschen Bundesnachrichtendienstes Partei für DSIRF. Gerhard Schindler sagte in der „Presse“: „Es ist kein Teufelswerk, sondern reiht sich in die Exekutivbefugnisse ein, ist eine Weiterentwicklung. (…) Wir müssten froh sein, dass wir in Österreich und Europa eigene Kapazitäten haben. Sonst bedeutet das, dass wir uns bei den Amerikanern, Israelis oder Chinesen einkaufen müssen — das ist momentan der Fall und aus meiner Sicht suboptimal.“
profil liegt jene Firmenpräsentation von DSIRF vor, die Wirecard-Vorstand Marsalek im Jahr 2018 zugeschickt worden ist. Zu Subzero heißt es darin durchaus unbescheiden: „Next Generation Cyber Warfare“ – die nächste Generation im Cyberkrieg. Beschrieben wurde ein Tool, das unter anderem die volle Kontrolle von Zielcomputern, den kompletten Zugang zu Daten und Passwörtern sowie Standortverfolgung („no matter where in the world“) ermöglichen sollte. Mit anderen Worten: Es handelt sich bei Subzero um kein Spielzeug.
Ermittlungen laufen
Umso unangenehmer für das Unternehmen, dass die Spionagesoftware auf Abwege geriet. Die Staatsanwaltschaft ermittelt wegen des Verdachts, dass mehr als zehn Unternehmen – darunter mehrere große Rechtsanwaltskanzleien – Opfer des Computerprogramms wurden. Bereits im vergangenen Herbst arbeiteten die Ermittler drei mögliche Wege heraus, über die Subzero in fremde Computersysteme eindringen kann, beziehungsweise konnte: über einen infizierten USB-Stick, über sogenannte Macros bei Excel-Dateien oder über eine Schwachstelle in Zusammenhang mit PDF-Files (letztere soll mittlerweile geschlossen sein). Zumindest bei einer der betroffenen Kanzleien soll ein Anwalt ein infiziertes E-Mail geöffnet haben.
Beschuldigt sind zwei ehemalige Mitarbeiter von DSIRF – einer davon hatte eine Management-Funktion inne. Er soll – so die Darstellung – dem anderen Mitarbeiter, der eigentlich im Personalbereich tätig war, die Subzero-Software zum Testen überlassen haben. Dieser habe sich dann quasi verselbständigt und die Software auch extern angewandt, wobei er auch fremde Daten heruntergeladen haben soll. Dieser Mitarbeiter ist geständig, was den Vorwurf des Eindringens in fremde Computersysteme anbelangt. Seine Anwältin Huberta Gheneff spricht gegenüber profil von einer „Unbesonnenheit“. Ihr Mandant sei jedoch der Einzige gewesen, der die heruntergeladenen Daten gesehen habe. Der DSIRF-Manager wiederum will vom widerrechtlichen Vorgehen des zweiten Beschuldigten nichts gewusst haben.
Welche Daten genau heruntergeladen wurden, lässt sich nicht mehr so einfach rekonstruieren. Der Beschuldigte hat sie vernichtet. profil-Informationen zufolge weist der Mann ein familiäres Naheverhältnis zu einem maßgeblichen Investor von DSIRF auf. Er ist russischer Staatsbürger und war zuletzt im vergangenen Jahr mehrere Wochen in Russland. Gheneff sagt, ihr Mandant wäre geplanterweise zu einer Hochzeit gereist – und er sei wieder zurückgekommen. Das ist Fakt. Für alle Beschuldigten gilt in vollem Umfang die Unschuldsvermutung.
Ein ehemaliges Büro in Moskau
Der bizarre Cyberkrimi um Subzero ist jedoch nicht die einzige Russland-Connection rund um DSIRF. Für eine Firma, die ihre Produkte an staatliche Akteure und Betreiber kritischer Infrastruktur in der EU verkaufen will, ist das in der augenblicklichen Situation nicht ganz unheikel. Wie die Wiener Cyberfirma Certitude beim genauen Durchleuchten des Mitbewerbers nun feststellte, gab es laut einer zwei bis drei Jahre alten Testversion der DSIRF-Website tatsächlich ein Büro in Moskau.
Vom aktuellen DSIRF-Geschäftsführer Stefan Steinwender heißt es dazu: „Der Bürostandort in Moskau ist veraltet. Dieser besteht bereits seit mehreren Jahren nicht mehr, jedenfalls seit meinem Eintreten in das Unternehmen im Jahr 2020 nicht mehr. Meines Wissens wurde dort Software für die Automobilindustrie programmiert. Seit meinem Eintritt in das Unternehmen bestand keinerlei Geschäftsbeziehung nach Russland.“
Doch Russland taucht noch ein weiteres Mal auf. Laut Firmenbuch gehört die DSIRF-Mutterfirma DSR einem Liechtensteiner Unternehmen namens Deep Dive Research Lab AG. Dort war der in Moskau wohnende Florian Wilhelm Schneider für ein gutes Jahr als Verwaltungsrat tätig. Er kümmerte sich auch bei DSIRF um rechtliche Angelegenheiten, wie die Seite „netzpolitik.org“ berichtete.
"Subzero kann noch viel mehr als wir bisher wissen"
Finanziell geht es rund um DSIRF und Deep Dive jedenfalls nicht um Peanuts. Die Mutterfirma aus Liechtenstein weist in ihrem einzigen bis dato im Firmenbuch veröffentlichten Jahresabschluss (jenem für das Geschäftsjahr 2019) sowohl Dienstleistungserlöse als auch Aufwendungen für bezogene Leistungen von mehr als 200 Millionen Schweizer Franken aus – genauso wie Verbindlichkeiten und Forderungen in ähnlicher Größenordnung. Im gleichen Jahr wurden wiederum die Rechte an der Software Subzero von DSIRF in ein Tochterunternehmen als Sacheinlage eingebracht. Dem Prüfbericht eines Wirtschaftsprüfers zufolge war diese Sacheinlage rund 200 Millionen Euro wert.
„Entweder wurde hier falsch bewertet, was ich nicht glaube, oder Subzero kann noch viel mehr als wir bisher wissen“, sagt Marc Nimmerrichter von Certitude. Denn Sicherheitslücken haben klare Preise. Sie werden online von Schwachstellenhändlern um tausende Euros gekauft und verkauft. Für die beiden im Vorjahr bei Microsoft aufgetretenen, würde einer der zentralen Händler in diesem Bereich aber jeweils nur maximal 80.000 US-Dollar zahlen. Bei Certitude geht man davon aus, dass die Spionagesoftware über Qualitäten verfügt, die weit über die bisher bekannten hinausgehen.
Der Einsatz von Spionagesoftware – selbst, wenn dieser rechtlich gedeckt ist – gilt als heikles Unterfangen. Auf der einen Seite erlässt die Europäische Union immer strengere Richtlinien für Cybersicherheit bei Unternehmen, auf der anderen Seite kaufen Nachrichtendienste und andere Akteure bei privaten Firmen ein, deren Produkte dazu da sind, diese Regeln zu brechen. „Das ist ein Widerspruch“, meint Ulrich Kallausch von Certitude. Sollten Staaten diese Art von Software brauchen, sollten sie sich dabei staatlicher, und nicht privatwirtschaftlicher Strukturen bedienen.