Advanced German Technology: Deutsche Briefkastenfirma will neuen Staatstrojaner „made in Germany“ verkaufen (Updates)

There is also an English translation of this posting.

Klassentreffen der Überwacher

Seit Jahren berichten wir über die internationale Verkaufsmesse ISS (Intelligent Support Systems) World, das Klassentreffen der Überwachungsindustrie, auch genannt „Wiretapper’s Ball“. Im Juni 2014 fand wieder der jährliche Europa-Ableger in Prag statt.

Neben vielen anderen Überwachungsfirmen findet sich in der Liste der Sponsoren auch die bisher wenig beachtete Firma Advanced German Technology (AGT). Nicht nur mit Namen und Logo gibt man sich Deutsch, man betont gleich am Anfang der Selbstbeschreibung auch „vor über einem Jahrzehnt in Berlin gegründet“ zu sein. Diese Berliner Überwachungsfirma haben wir uns mal etwas genauer angeschaut.

Kerngeschäft Massenüberwachung

AGT selbst sagt: „‚Lawful interception‘-Operationen bilden den Grundpfeiler des Geschäfts.“ Man bewirbt „strategische und taktische Überwachung“ als Kernkompetenz, in allen Bereichen: Internet, Satelliten, Funk, Mobilfunk, Radar, Telefonie, Fax, SMS, E-Mail, Skype. Neben der beworbenen „Fähigkeit, landesweiten Datenfluss in Echtzeit zu analysieren“, ist uns vor allem die Internet-Überwachung mittels Trojaner aufgefallen (Rechtschreibung und Grammatik wie im Original):

Dieses Problem kann gelöst werden, wenn auf die abgefangenen IP-Daten direkt vom Ziel-PC zugegriffen werden kann, weil die Verschlüsselung „hinter“ dem Ziel-PC stattfindet. Dies kann durch die Benutzung von IT-Intrusion-Software bewerkstelligt werden. Selbstverständlich ist ein solcher Ansatz rein Ziel-basiert, d.h. das Ziel muss bekannt sein. Wenn ein Trojaner in den PC eingebaut wird, kann der gesamte IP-Datenverkehr abgefangen/überwacht werden (auch Skype, VPN etc.). Es ist eine Vielfalt von Methoden, einen Trojaner in einen PC einzubauen verfügbar; entweder ISP-basiert oder mit Tools, wenn realer Zugang zum Ziel-PC möglich ist. Eine starke landesweite IP-Überwachungslösung basiert auf der Realisierung von beiden Konzepten, vorzugsweise in einem System kombiniert: Passive IP-Überwachung und IT-Intrusion-Software.

Heimliche Fernüberwachung

Diesen Trojaner nennt AGT „Remote Stealth Surveillance Suite“ (Heimliche Fernüberwachung). Auf der ISS in Prag 2014 präsentierten sie dieses Produkt exklusiv für „Geheimdienste sowie Strafverfolgungs- und Sicherheitsbehörden“ unter dem Titel „Verschlüsselung der Massenkommunikation hat die Spielregeln verändert: lerne, wie man mit Remote Stealth Surveillance einen Schritt Vorsprung behält“. Und von dieser Werbe-Veranstaltung haben wir einen Flyer erhalten, den wir an dieser Stelle veröffentlichen: Remote Stealth Surveillance Suite (PDF, nebenan als PNG, unten als Text).

Die Werbung verspricht eine „nahtlose Ausführung auf allen gängigen Betriebssystemen, einschließlich Smartphones und Tablet-Computer“, darunter sind Logos von Windows, Linux, Apple und Android. Als „Erfassungs-Fähigkeiten“ werden genannt:

• Eingabe: Tastatur, Maus (einschließlich virtueller Eingaben)
• Browser-Aktivität
• Screenshots
• Audio- und Video
• Vollständige Überwachung von Skype
• Erfassung der aufgerufenen Dateien in Echtzeit
• Erfassung von verschlüsselten und sensiblen Daten
• Datei-Download und Fernsteuerung bei Bedarf
• und viel, viel mehr (sic)

Ein klassischer Trojaner mit Vollzugriff auf das System also.

Briefkastenfirma in Berlin

Auf dem Flyer finden wir auch eine Adresse in Berlin: Potsdamer Platz 11. Auf der Webseite wird behauptet, die „Firmenzentrale ist am prestigeträchtigen Potsdamer Platz gelegen“. Also sind wir da einfach mal hingegangen.

Vor Ort stellt sich heraus, dass das ein Business Center ist, wo man Büros mieten kann. Auf unsere Frage nach AGT antwortete die Empfangsdame: „Die sind nur ganz selten da.“ Man kann dort ein „virtuelles Büro“ mit „repräsentativer Geschäftsadresse“ mieten. Eine Briefkastenfirma.

Unsere wiederholten Telefonanrufe und E-Mails wurden wochenlang abgewiesen oder ignoriert. Also Internet-Recherche.

Firmengeflecht in Nahost

AGT wurde laut Firmen-Webseite (und Firmen-Profil auf LinkedIn) „2002 in Berlin / Deutschland gegründet“.

Die Firmen-Webseite enthält eine Seite mit Medienberichten zwischen 2003 und 2005, die meisten jedoch auf Arabisch. Eine erste wichtige Meldung in englischer Sprache ist von 2004 im libanesischen Daily Star. Dort wird der Syrer Anas Chbib als „Geschäftsführer (managing director) der in Berlin ansässigen AGT“ sowie „Leiter von AGT Nahost“ angegeben.

Das „AGT FZ LLC Middle East Regional Office“ in Dubai ist neben dem Büro in Berlin auch direkt auf der Firmen-Webseite angegeben. Laut Daily Star hatte AGT 2004 „Büros in Bahrain, Dubai und Saudi Arabien“. Zudem verzeichnet die „Syria Business Database“ eine „AGT Syria Ltd“ in Damaskus, wo AGT 2009 auch auf einem „ICT Security Forum“ war. Ein Firmen- und Büro-Geflecht.

Made in Germany?

Wie deutsch ist die „deutsche Technologie“ von „Advanced German Technology“? Auf der Webseite bewirbt man „Deutsche Technologie und Expertise auf dem globalen Markt“. Auf der englischen Seite beschreibt man die Mission damit, „modernste europäische Sicherheitstechnologie in die ganze Welt zu liefern, mit einem Fokus auf den Nahen Osten“.

Die Berliner „AGT Advanced German Technology GmbH“ existiert seit Handelsregister Amtsgericht Berlin-Charlottenburg erst seit 22. Oktober 2013, vorher war das eine „Vorratsgesellschaft“ von VRB. (Wer uns einen Auszug von Creditreform schenken will, bitte an die üblichen Kanäle.) Der „Experte für Organisations- und Führungskräfteentwicklung“ Christoph Stortz gibt an, seit August 2013 Geschäftsführer zu sein, vorher war er „Head of HR“.

Auch Stortz bestätigte gegenüber netzpolitik.org, dass die Zentrale der Firmen-Gruppe das Büro in Dubai ist. Das erklärt vermutlich auch, warum er sich nach unseren Informationen in der ersten Januar-Woche in den Vereinigten Arabischen Emiraten aufhielt. Dazu passt auch, dass die AGT-Gruppe laut Firmen-Profil auf LinkedIn zwischen 51 und 200 Mitarbeitern hat. In Deutschland konnten wir neben dem Geschäftsführer und der Assistentin der Geschäftsleitung [10.02. 13:00 Name entfernt] bisher keine weiteren Mitarbeiter identifizieren.

IT Security made in Germany

Dafür kann man auf LinkedIn 21 Profile von Angestellten finden, viele aus dem arabischen Raum. Der Syrer Anas Chbib war laut AMEInfo im Oktober 2014 noch immer Geschäftsführer (CEO) von „AGT“. Das alles sieht danach aus, als ob man das Label „made in Germany“ und das Büro in Deutschland nur aus Image-Gründen zur Werbung mit deutscher Technik verwendet.

Dieses Ziel hat auch die Initiative „IT Security made in Germany“, 2005 auf Initiative von Wirtschafts- und Innenministerium gegründet und heute ein Verein unter dem Dach von TeleTrusT. Wir haben das Gerücht gehört, dass AGT mal mit diesem – dem eigenen Logo nicht ganz unähnlichen – Label geworben hat, dann aber die erste Firma wurde, der das untersagt wurde. Seit Wochen versuchen wir, das zu verifizieren, was aufgrund mehrmaliger Umstrukturierungen aber noch nicht abgeschlossen ist. Ergebnisse werden wir hier ergänzen, sobald wir sie haben.

Kunden in Nah- und Mittelost

Laut Eigenauskunft hat die AGT-Gruppe „Projekte in zwölf Ländern, unter anderem in Europa, durchgeführt.“ Auf der englischen Seite ist das ergänzt mit „Nahost und Nordafrika“. Als wir den deutschen Geschäftsführer endlich erreichten, bestätige er, dass die Kunden von AGT hauptsächlich im Nahen Osten sind. Dazu passt auch die Meldung, dass AGT Haupt-Berater des neuen Rechenzentrums der Polizei im Emirat Abu Dhabi war.

Wie aus gewöhnlich gut unterrichteten Kreisen verlautete, soll AGT neben Nah- und Mittelost aber auch viele Geschäfte in der Region um Indien und Pakistan tätigen. Leider war es uns bisher nicht möglich, das zu verifizieren.

Verkäufer eingekaufter Produkte

Dem Vernehmen nach ist das Geschäftsmodell von AGT das eines Wiederverkäufers (Reseller). Auf der Webseite sind 36 „Partner“ aufgelistet. Nach unserem Verständnis produzieren diese Firmen Technologien und Dienstleistungen, die AGT dann an Endkunden verkauft (mit eigenem Gewinnanteil, natürlich).

So verkaufte AGT vor über zehn Jahren beispielsweise die CryptoPhone-Produkte der Berliner Firma GSMK. Diese Geschäftsbeziehungen sind allerdings bereits seit etlichen Jahren beendet. Die italienische Firma PrivateWave mit ihren Produkten zu verschlüsselter IP-Telefonie wird derzeit als Geschäftspartner aufgeführt. Ein Vertrauter des Deals bestätigte gegenüber netzpolitik.org die Geschäftsbeziehungen und das Wiederverkäufer-Geschäftsmodell von AGT.

Trojaner von TE4I

Auch den Trojaner „Remote Stealth Surveillance Suite“ hat AGT nicht selbst hergestellt. Dafür war die kleine italienische IT-Firma TE4I zuständig. TE4I wurde 2005 gegründet und beschreibt seine Zielgruppe im öffentlichen Sektor mit „Justizbehörden, Polizei, Verteidigung“. Mit der Firma vertraute Personen berichteten, dass TE4I neben anderen IT-Dienstleistungen auch „maßgeschneiderte Rootkits“ entwickelt.

Der Software-Entwickler Valerio Lupi gibt auf seinem LinkedIn-Profil an, dass er von 2005 bis Dezember 2014 bei TE4I gearbeitet und dort die „Entwicklung von kundenspezifischen Überwachungsmitteln für Desktops und mobile Geräte geleitet“ hat. Als Fähigkeit gibt er „über 20 Jahre Erfahrung in der Programmierung von Lawful Interception-Lösungen auf der Windows-Plattform“ an und fügt hinzu: „die oben genannten Erfahrungen führten auch zur Entwicklung von Android-Versionen.“ (Davor war er bei HBGary, heute ist er bei Verint.)

Aurelio Pascalucci, Gründer und Technischer Leiter (CTO) von TE4I, änderte erst im Laufe unserer Recherchen seinen Status auf LinkedIn. Gab er vor einem Monat noch an, dass er diese Positionen bei TE4I noch immer ausübt, steht da jetzt, dass er diese Position seit Dezember 2013 nicht mehr innehat.

Geschäftsbeziehung beendet

Wie aus gewöhnlich gut unterrichteten Kreisen verlautete, soll AGT die Firma TE4I erworben und die Entwickler nach Dubai geholt haben, um dort den Trojaner zu entwickeln. Sowohl AGT als auch TE4I bestätigten gegenüber netzpolitik.org, dass es Geschäftsbeziehungen zwischen beiden Firmen gegeben hat. Details wolle man aber nicht nennen.

Das dürfte daran liegen, dass beide Firmen im Streit auseinander gegangen sind. Ein ehemaliger Mitarbeiter von TE4I behauptete gegenüber netzpolitik.org:

Ja, das Verhältnis ist beendet, AGT hat den Vertrag nicht eingehalten.

Als wir nach wochenlangen Kontaktversuchen endlich Christoph Stortz von AGT Deutschland erreichen, behauptete er gegenüber netzpolitik.org:

Ja, das Verhältnis endete um September 2014 herum. TE4I hatte zu viele Probleme mit der Technik und konnte das Produkt nicht liefern. Also konnten wir es nicht verkaufen.

Verkauf ohne Besitz?

Gut möglich also, dass AGT den beworbenen Trojaner nie hatte und somit auch nicht verkaufen konnte. Komisch nur, dass auf den kommenden Messen ISS World Nahost im März und ISS World Europa im Juni AGT genau diesen Trojaner wieder bewerben wird. In Dubai will man die „Remote Stealth Surveillance Suite“ gegenüber Polizeibehörden und Geheimdiensten gleich zweimal präsentieren und in Prag sogar dreimal. (Weitere Präsentations-Themen von AGT sind „War on Social Media“ und „Social Media Steals Intelligence“.)

Wie kann man ein Produkt präsentieren und bewerben, das man nicht hat? Auch diese Frage wollten wir dem Geschäftsführer der deutschen Firma „AGT Advanced German Technology GmbH“ stellen und haben letzte Woche ein Treffen mit Christoph Stortz vereinbart. Leider ist er einfach nicht aufgetaucht und antwortet seitdem nicht mehr auf unsere wiederholten Telefonanrufe und E-Mails.

Die Werbung für die „Remote Stealth Surveillance Suite“ auf dem Klassentreffen der Überwachungs-Industrie läuft unterdessen weiter.

Update: (02.10. 13:00) Ein Anwalt von AGT hat uns kontaktiert. Wir haben daraufhin:

1. Den Namen der Assistentin der Geschäftsleitung im Artikel entfernt. Abwägung: Eingriff in ihre Persönlichkeitsrechte vs. Relevanz der Person für die Berichterstattung
2. In zwei Kommentaren Aufrufe zu Straftaten entfernt.
3. Einen Kommentar mit einer Liste an Namen ergänzt, das wir „derzeit keine Möglichkeit, das zu verifizieren“ haben.

Auf weitere Wünsche sind wir nicht eingegangen.

Update 2: Post vom Anwalt: Geschäftsführer von Überwachungs-Firma AGT droht uns mit Klage, wir knicken ein

Hier der Flyer von der ISS 2014:

Remote Stealth Surveillance Suite

AGT, the premier German security specialists, is proud to present the Remote Stealth Surveillance Suite („RSSS“), a product delivered from the Troy Software Division.

Each year society further embraces social media and the internet, and criminals adapt to use these tools to suit their needs. One of the challenges faced by law enforcement and intelligence agencies is finding a single solution to completely understand and monitor a targets digital life. RSSS provides a completely covert and untraceable system to monitor everything your target does online: using a mobile phone or a computer system.

Smart Deployment:

RSSS can be deployed using traditional methods such as email attachments or unpatched exploits, but we also offer our unique Aggressor technology.

The Aggressor subverts all IP traffic between the target and his or her ISP and is deployed from a trusted and commonly visited web site. This allows for injection of the agent independently from the network provider!

Stealth Technology:

Our proprietary stealth technology makes the agent invisible to all security and antivirus suites currently on the market. Each agent is custom designed specifically for each client for greater flexibility and security.

Technology

Secure by Design:

A monitored system will never make a direct connection to the command and control system. An anonymous reflector system will relay all encrypted traffic to ensure that your target will never know who is watching.

An RSSS agent executes seamlessly on all major operating systems, including smartphones and tablet computers.

Capture Capabilities:

• User input: keyboard, mouse. (including virtual input)
• Browser activity
• Screenshots
• Audio and video
• Complete monitoring of Skype
• Capture of accessed files in real time
• Encrypted and sensitive data capture
• On-demand file download and remote control
• and much, much, [more?]