Nachdem Sicherheitsexperten von Microsoft dem Unternehmen DSIRF in Wien vorgeworfen haben, hinter einer Reihe von digitalen Einbrüchen in Banken, Anwaltskanzleien und strategischen Beratungsunternehmen in mindestens drei Ländern zu stecken, prüft nun der Staatsschutz. Das Innenministerium betonte am Freitag auf Anfrage der APA, die Direktion Staatsschutz und Nachrichtendienst (DSN) prüfe die Vorwürfe, es gebe aber bisher keinen Nachweis über den Einsatz von Spyware der Firma.

Wiener Firma dementiert

Die Firma DSIRF entwickelte die Spyware mit dem Namen "Subzero", die sogenannte Zero-Day-Exploits nutzt, um auf vertrauliche Informationen wie Passwörter oder Anmeldedaten zuzugreifen, so Microsoft in einem Blog-Post am Mittwoch. "Zu den bisher beobachteten Opfern gehören Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, Großbritannien und Panama", hieß es in dem Beitrag, ohne Opfer zu nennen.

DSIRF (DSR Decision Supporting Information Research Forensic GmbH) hatte am Donnerstag gegenüber dem "Kurier" (Freitagsausgabe) betont, dass Subzero "ausschließlich zur behördlichen Anwendung in Staaten der EU" entwickelt worden sei. "Sie wird gewerblich weder angeboten, verkauft noch zur Benutzung bereitgestellt", zitierte das Blatt aus einer Stellungnahme der Geschäftsleitung des Unternehmens. Man verwehre sich "mit aller Entschiedenheit gegen den Eindruck, Subzero-Software missbräuchlich verwendet zu haben". Zur Aufklärung habe man nun einen unabhängigen Gutachter beauftragt, der die durch das Microsoft-Sicherheitsteam aufgeworfenen Fragen untersuchen solle. "Darüber hinaus hat DSIRF eine interne Untersuchung der in Zusammenhang mit Subzero stehenden Betriebsabläufe eingeleitet", so das Unternehmen laut "Kurier".

Zero-Day-Schwachstellen sind schwerwiegende Software-Fehler, die sowohl für Hacker als auch für Spione von großem Wert sind, da sie auch dann funktionieren, wenn die Software auf dem neuesten Stand ist. Dem Hersteller ist die Sicherheitslücke noch nicht bekannt, Hacker können sie also nützen, bevor Entwickler eine Lösung dafür finden. Der Begriff leitet sich von der Vorwarnzeit ab, die den Benutzern zur Verfügung steht, um ihre Computer mit Patches zu schützen, also eine Lösung zu finden. Ein Zero-Day-Exploit ist die Technik, mit der die Schwachstelle zum Angreifen eines Systems ausgenutzt wird.

Einige Cybersicherheitsfirmen entwickeln solche Tools, um sie neben dem routinemäßigen "Pentesting" oder Penetrationstests (ein umfassender IT-Sicherheitstest, Anm.) einzusetzen, um die digitale Verteidigung eines Unternehmens gegen bösartige Angriffe zu testen. "Microsofts Interaktion mit einem Opfer bestätigte, dass es dem Red-Teaming und der Malware-Bereitstellung nicht zugestimmt hatte, und bestätigte, dass es sich um nicht autorisierte Aktivitäten handelte", sagte Cristin Goodwin, General Manager der Microsoft Security Unit, die den Bericht verfasst hat, gegenüber Reuters.

Kein Kontakt mit Innenministerium

Laut einer Kopie einer internen Präsentation, die vergangenes Jahr von der deutschen Nachrichten-Website Netzpolitik veröffentlicht wurde, wirbt DSIRF für Subzero als ein Werkzeug der "nächsten Generation der Cyber-Kriegsführung", das die vollständige Kontrolle über den PC eines Ziels übernehmen, dessen Standort herausfinden sowie Passwörter stehlen kann. Auf einer anderen Folie der Präsentation seien verschiedene Einsatzmöglichkeiten für die Spionagesoftware aufgezeigt worden, etwa im Kampf gegen Terrorismus und Menschenhandel oder bei Kinderporno-Ringen.

Das Innenministerium (BMI) betonte, DSIRF sei dem Ressort bzw. der DSN bekannt, "es gibt und gab keine Geschäftsbeziehungen des BMI mit dem Unternehmen". Derartige Vorfälle und Anzeigen in Österreich könne man nicht bestätigen. Außerdem wurde auf die Beantwortung einer parlamentarischen Anfrage der NEOS-Abgeordneten Stephanie Krisper durch Innenminister Gerhard Karner (ÖVP) im Jänner verwiesen. Karner hatte dabei betont, "Kontaktaufnahmen oder Gespräche mit der Firma DSIRF sind der Aktenlage nicht entnehmbar. Es besteht zwischen der genannten Firma und dem Bundesministerium für Inneres weder ein Vertragsverhältnis noch Kenntnisse über Gespräche mit den genannten Personen hinsichtlich der gegenständlichen Thematik." (APA, 29.7.2022)