SubzeroHacker-Behörde ZITiS prüft Staatstrojaner aus Österreich

Die Hacker-Behörde ZITiS ist mit der Firma DSIRF aus Österreich in Kontakt und lässt sich ihren Staatstrojaner „Subzero“ vorführen. Ob deutsche Geheimdienste oder Polizeien den Trojaner haben und nutzen, verrät die Bundesregierung nicht mal dem Parlament.

Software erkennt Gesichter und Personen mit Name und Anschrift
DSIRF verkauft Staatstrojaner und Gesichtserkennung. – Alle Rechte vorbehalten DSIRF

Schon wieder lernt die Öffentlichkeit eine neue Staatstrojaner-Firma kennen – und schon wieder prüft die Hacker-Behörde ZITiS, ob Deutschland genau diese Schadsoftware kauft und einsetzt.

Vor zwei Wochen berichteten Medien über die Spionagefirma „DSR Decision Supporting Information Research Forensic GmbH“ (DSIRF) mit Sitz in Wien.

Laut Schweizer Tages-Anzeiger bewirbt DSIRF „eine Software namens Subzero, die in jeden Computer eindringen und Passwörter absaugen könne“. Der Focus beschreibt Subzero als „spezielles Hacking-Tool“ mit „Dienstleistungen, die in der EU so gut wie nicht legal zu erbringen sind“.

Dem Standard zufolge ist „das hauseigene Programm „Subzero“ […] ‚Cyber Warfare‘ der nächsten Generation; man könne damit Standorte nachverfolgen, die ‚volle Kontrolle‘ über einen Zielrechner übernehmen und alle Daten und Passwörter erlangen.“ Ein Staatstrojaner also.

DSIRF und Subzero

Martina Renner, Bundestags-Abgeordnete der Linken, hat die Bundesregierung gefragt, ob auch deutsche Bundesbehörden Produkte der Firma DSIRF wie den Staatstrojaner Subzero prüfen oder begutachten. Wir veröffentlichen die Antwort der Bundesregierung (wie gewohnt) im Volltext.

Darin gibt das Innenministerium zu, dass die Hacker-Behörde ZITiS seit 2020 mit DSIRF in Kontakt steht, zur „Weiterentwicklung von Cyberfähigkeiten im Bereich der Informationstechnischen Überwachung“.

Ob auch andere Behörden wie Geheimdienste und Polizeien mit DSIRF verhandeln oder Produkte wie Subzero gekauft haben, verrät die Bundesregierung nicht. Das ist so geheim, dass es das Parlament nicht einmal als streng geheim eingestufte Verschlusssache in der Geheimschutzstelle erfahren darf – wegen der „erheblichen Brisanz“.

Renner kritisiert diese Geheimhaltung: „Die Bundesregierung und ihre Behörden vermeiden weiterhin, ihre Kontakte in das intransparente Geflecht von Überwachungsfirmen und Cyberkriegern offenzulegen.“

Quadream und InReach

Erst vor zwei Wochen hat das Innenministerium eine andere Frage von Martina Renner fast wortgleich beantwortet.

Auch mit der Firma Quadream aus Israel bzw. ihrer Vertriebsfirma InReach aus Zypern ist ZITiS seit 2019 in Kontakt. Laut Haaretz verkauft Quadream Staatstrojaner für iPhones unter anderem an Saudi-Arabien. Globes zufolge tätigt Quadream seine Geschäfte über die Firma InReach in Zypern, also der EU.

Die neue Antwort von Staatssekretär Markus Richter ist identisch zur alten Antwort. Nur die angefragten Firmen-Namen sind ausgetauscht, sogar Rechtschreibfehler sind beim Copy+Paste erhalten geblieben.

Kontakte sofort beenden

Die Liste hier bekannter Trojaner-Firmen wird immer länger: DigiTask, FinFisher, NSO, Candiru, jetzt Quadream und DSIRF. Das Geschäftsmodell der Überwachung durch staatliches Hacking geht einher mit Menschenrechtsverletzungen durch Diktaturen und einer Schwächung der IT-Sicherheit der ganzen Welt.

Die neue Bundesregierung will laut Koalitionsvertrag „für den Einsatz von Überwachungssoftware, auch kommerzieller, die Eingriffsschwellen [hochsetzen] und das geltende Recht [anpassen]“. Zudem will die Ampel „Transparenz und effektive Kontrolle durch Aufsichtsbehörden und Parlament […] sicherstellen“.

Martina Renner kommentiert das gegenüber netzpolitik.org: „Es wird sich zeigen, ob die Ampel ihren eigenen Koalitionsvertrag wirklich ernst nimmt. Dann müssen Kontakte mit solchen Unternehmen sofort beendet werden.“

Boykott und Sanktionen

Unterdessen fordern 86 Menschenrechts-NGOs und Fachleute, Staatstrojaner-Firmen wie NSO zu sanktionieren. Vor einem Monat hat die US-Regierung die israelischen Firmen NSO und Candiru auf ihre Sanktionsliste gesetzt, weil ihre Produkte die internationale Ordnung bedrohen.

Die Ampel-Koalitionspartner haben auf wiederholte Anfrage von netzpolitik.org nicht geantwortet, ob sie ebenfalls Sanktionen planen.


Hier die Dokumente in Volltext:


  • Datum: 30. November 2021
  • Vorgangstyp: Schriftliche Frage
  • Abgeordnete: Martina Renner, Die Linke
  • Antwort: Dr. Markus Richter, Bundesministerium des Innern, für Bau und Heimat
  • Arbeitsnummer: 11/226
  • Drucksache: 20/175

Frage

Hat die Bundesregierung Kenntnis darüber, ob bspw. bei der Marktsichtung durch die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder durch Bedarfsträger in ihrem Geschäftsbereich, Produkte und Leistungen zur informationstechnischen Überwachung des Unternehmens „DSR Decision Supporting Information Research Forensic GmbH“ (DSIRF) aus Wien/Österreich wie beispielsweise das Programmtool „Subzero“ geprüft, begutachtet oder seitens der Hersteller- bzw. Vertriebsfirma der betreffenden Behörde vorgeführt wurden, und wenn ja, wann durch welche Bundesbehörde bzw. vor welcher Bundesbehörde (https://dsirf.eu/dichtung-und-wahrheit/)?

Antwort

Im Kontext der Fragestellung geht die Bundesregierung davon aus, dass sich die Frage auf die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) sowie auf die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, einschließlich der Nachrichtendienste des Bundes, bezieht.

Dementsprechend werden ausschließlich diese in die Beantwortung einbezogen.

Zur Wahrnehmung ihrer Aufgaben hinsichtlich der Weiterentwicklung von Cyberfähigkeiten im Bereich der Informationstechnischen Überwachung steht ZITiS seit 2020 mit Vertretern des Unternehmens DSR Decision Supporting Information Research Forensic GmbH (DSIRF) in Kontakt, um im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten.

Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.

Im vorliegenden Fall ist die Bundesregierung nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Schriftlichen Frage bezüglich der oben genannten weiteren Behörden nicht, auch nicht in eingestufter Form, erfolgen kann.

Das verfassungsrechtlich verbürgte Frage- und Informationsrecht des Deutschen Bundestages gegenüber der Bundesregierung wird insoweit durch das gleichfalls Verfassungsrang genießende schutzwürdige Interesse des Staatswohls begrenzt.

Die erbetenen Informationen zielen durch die Abfrage von Kontakten zu Herstellern von Produkten für die technische Aufklärung mittelbar auf die Offenlegung bestimmter Arbeitsmethoden und Vorgehensweisen der erwähnten Dienststellen im Bereich der technischen Aufklärung. Solche Arbeitsmethoden sind im Hinblick auf die künftige Erfüllung des gesetzlichen Auftrags der betroffenen Dienststellen jedoch besonders schutzwürdig; der Schutz der technischen Aufklärungsfähigkeiten stellt für deren Aufgabenerfüllung einen überragend wichtigen Grundsatz dar.

Schon die Angabe, mit welchen Unternehmen die Sicherheitsbehörden in Kontakt stehen und damit die Angabe, mittels welcher technischen Produkte die Sicherheitsbehörden z. B. von der Telekommunikationsüberwachung Gebrauch machen bzw. zukünftig Gebrauch machen könnten, könnte somit zu einer Änderung des Kommunikationsverhaltens der betreffenden beobachteten Personen führen, die eine weitere Aufklärung der von diesen verfolgten Bestrebungen und Planungen unmöglich machen würde. In diesem Fall wäre ein Ersatz durch andere Instrumente nicht möglich.

Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden. Es würde dabei die Gefahr entstehen, dass ihre bestehenden oder in der Entwicklung befindlichen operativen Fähigkeiten und Methoden aufgeklärt würden und damit der Einsatzerfolg gefährdet würde. Es könnten entsprechende Abwehrstrategien entwickelt werden. Dies könnte einen erheblichen Nachteil für die wirksame Aufgabenerfüllung dieser Dienststellen und damit für die Interessen der Bundesrepublik Deutschland bedeuten.

Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftige evidente Geheimhaltungsinteressen berühren, dass auch ein geringfügiges Risiko des Bekanntwerdens, wie es auch bei einer Übermittlung dieser Informationen an die Geheimschutzstelle des Deutschen Bundestags nicht ausgeschlossen werden kann, aus Staatswohlgründen unter keinen Umständen hingenommen werden kann.

In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen.

2 Ergänzungen

  1. Ich finde die Antwort der Regierung in sich nicht schlüssig: Es werden folgende Behauptungen aufgestellt:
    1. Wenn bekannt wird, dass – sagen wir der BND – Subzero einsetzt, dann wird die Software nutzlos, weil wer auch immer das Ziel ist, Gegenmaßnahmen ergreift.
    2. Wenn Subzero nicht mehr funktioniert, gibt es keine alternative Software.

    Wenn wir beides glauben, was hindert dann irgendwen daran, sich prophylaktisch vor Subzero zu schützen? Wenn das die einzige Gefahr ist, sollte es das wert sein. Laut 2. ist es ja gerade nicht so, dass die Zielpersonen sich deshalb nicht verteidigen, weil sie nicht wissen, wogegen sie sich wehren müssten.
    Dadurch wird 1. hinfällig und damit die Begründung für die Geheimhaltung.

    Mal ganz abgesehen davon, dass die ganze Prämisse von „wir brauchen hier Überwachungssoftware und keiner darfs wissen“ natürlich absolut unmöglich ist. Aber das scheint die Regierung ja leider anders zu sehen.

  2. „Erst vor zwei Wochen hat das Innenministerium eine andere Frage von Martina Renner fast wortgleich beantwortet. “

    Man darf darauf gespannt sein, ob und inwiefern sich Duktus und Schreibstil nach dem noch zu vollziehenden Wechsel im Ministerium des Inneren verändern werden.

    Die geschätzten Anfragen von Martina Renner dürften sich in der Sache auch künftig kaum verändern.

    Fortschritt ist das Zauberwort der Ampelitionäre. Werden Staatstrojaner jetzt fortschrittlich, oder gibt es weiterhin gelbes Dauerblinken?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.