Standort: fm4.ORF.at / Meldung: "Bundesheerkontakte zu Trojanerfirma "

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

13. 7. 2015 - 19:00

Bundesheerkontakte zu Trojanerfirma

In den geleakten Daten der Überwachungsfirma "Hacking Team" sind am Wochenende auch vier E-Mail-Sammeladressen des österreichischen Bundesheeres aufgetaucht.

Mehrere Dienststellen des österreichischen Bundesheers standen in Kontakt mit der italienischen Firma "Hacking Team", die sogenannte "Staatstrojaner" an Polizei und Geheimdienste vertreibt. Unbekannte hatten diesen einschlägig bekannten Produzenten von Schadsoftware gehackt, 400 GB Rohdaten landeten im Netz. In diesem enormen Datensatz, der langsam aufgearbeitet wird, kamen am Wochenende auch vier Mailadressen des Bundesheers zum Vorschein.

Update 15.7. 2012

Das Bundesheer hat am Dienstag geschäftliche Kontakte zur Firma Hacking Team dementiert. Mehr dazu in einen Follow-Up am Wochenende.

Dabei handelt es sich um Sammeladressen von vier Heeresdienststellen, die Kontakte müssen bereits vor 2009 begonnen haben. Drei dieser vier Mailadressen lauten nämlich noch auf "bmlv.gv.at", erst 2009 wechselten die Ѕportagenden zum Verteidigungsministerium, seither wird "bmlvs.gv.at" benutzt. Die Art dieser Kontakte ist noch unbekannt, da erst ein kleiner Teil des Leaks lesbar vorliegt. Es ist daher möglich, dass der Datensatz noch weitere Informationen dazu enthält. Seit Samstag läuft eine Anfrage von ORF.at beim Bundesheer, eine Antwort steht noch aus.

Screenshot aus der Mailingliste

Public Domain

Wer auf der Liste ist

Hacking Team ist seit Jahren für Deals mit repressiven Staaten bekannt. Auf den ISS-Überwachungsmessen, wo diese Geschäfte angebahnt wurden, ist die Firma stets präsent

Die Mailadressen des Bundesheers finden sich in einer alphabetisch sortierten Liste, die vom Mailserver der Firma automatisch erstellt wurde und als Anhang an den Geschäftsführer Hacking Team (HT), David Vincenzetti ging. Es ist dies eine Routinevorgang der den aktuellen Stand der Mailingliste vom Server abruft, um sie zu aktualisieren. Sie enthält mehr als 2.000 E-Mailadressen vor allem von Polizeibehörden und Ministerien rund um den Globus, wobei viele Adressaten aus Afrika und Asien enthalten sind. Das passt zur Untersuchung der Vereinten Nationen gegen HT, die verdächtigt wurden, ihre Spionagesuite RCS (alias Galileo) an den Sudan geliefert zu haben, gegen den UN-Sanktionen verhängt sind. Nun liegt eine Rechnung vor, die für 2012 einen Umsatz von 480.000 Dollar mit sudanesischen Behörden ausweist.

Deutsche Präsenz

Unter den EU-Staaten ist Deutschland mit drei Dutzend Adressen auffällig stark vertreten. Darunter sind zahlreiche Bundes- und Landespolizeibehörden, der Bundesverfassungsschutz aber auch Dienststellen - wie etwa eine aus dem deutschen Außenministerium - von denen man nicht gleich erwarten würde, dass sie sich für den Ankauf von Schadsoftware interessieren. Adressen, die eindeutig Militärs zugeordnet werden können, wіe im Fall des Bundesheers, sind hingegen weit spärlicher vertreten als Polizeibehörden.

Auszug aus der Liste mit deutschen Dienststellen

Public Domain

Zwischendurch e

Die dritte Gruppe von Adressaten besteht aus anderen Firmen, die ebenfalls für den Überwachungskomplex tätig sind. Hier finden sich bekannte Namen von "Üblichen Verdächtigen" wie die deutsche Digitask. Die war 2011 bekannt geworden, weil eine von Digitask gelieferte Software für "Fernforensik" in die Hände der Spezialisten des Chaos Computer Clubs geraten war, die in Folge analysiert wurde. "Fernforensik" oder "Onlinedurchsuchung" sind die gängigen deutschen Euphemismen für die amtliche Verseuchung eines PCs mit Schadsoftware. Für gewöhnliche Bürger steht derselbe Tatbestand unter Strafandrohung von bis zu fünf Jahren Haft, weil es sich um eine schwere Straftat handelt.

Spezielle Consultants

Dass hier neben staatlichen Interessenten - also potenzielle Kunden - auch andere Firmen aus dem Überwachungskomplex auf derselben Kundenliste stehen, ist nur scheinbar ein Widerspruch. In dieser Branche ist es völlig üblich, dass mehrere, jeweils anders spezialisierte Firmen an einem Überwachungsprojekt gemeinsam tätig sind. Typischerweise handelt es sich dabei um Consultants, die neben eigenen, auch Produkte von anderen Zulіeferern implementieren.

Weltweite Verbreitung von HT Galileo

CC BY-SA 2.0 /Citizenlab

Das betrifft vor allem des gesuchteste Modul, den sogenannten "Exploit", ein Stück Schadsoftware, das auf eine weit verbreitete Sicherheitslücke aufsetzt. Am teuersten sind sogenannte "Zero Day Exploits" (0day), die ein noch unbekanntes Loch in einem Betriebssystem oder einer weit verbreiteten Software zum Ersteindringen in einen PC oder ein Smartphone nützt.

Das kanadische Citizenlab hatte bereits 2014 den Einsatz von HT-"Galileo" in 21 Staaten nachgewiesen

Zugekaufte Exploits

Am Wochenende wurde im geleakten Konvolut der zweite solche 0day gefunden, beide betreffen die Adobe-Flash-Software für Videos. Dieser Exploit-Typus fällt in die obere Preisklasse von gefundenen Sicherheitslücken, weil Flash immer noch sehr weit verbreitet ist und überdies auf Windows, Mac und Linux sowie auf den Android- und iOS-Plattformen läuft.

Diese 0days werden vom "Hacking Team" längst nicht alle selbst entdeckt, sondern vor allem zugekauft. Wie aus geleakten E-Mails hervorgeht, kam ein Programmierer aus Russland, der einen 0day anbot, nach einem kurzen Test des Exploits mit Hacking Team ins Geschäft. Das wurde binnen 24 Stunden abgeschlossen, der Exploit kam auf 45.000 Dollar, obwohl das Angebot nicht einmal exklusiv war, die erste Rate floss sofort.

Screenshot aus der Untersuchung von Kroll

Public Domain

Die ISS-World Trainings finden als Roadshow statt, die über alle fünf Kontinente tourt.

Detektive kommen ins Spiel

Wikileaks hat eine Suchmaschine für die HT-Mailarchive. Ausgesuchte Dokument aus dem Datenwust finden sich bei Cryptome

Ein weiteres Dokument aus dem Fundus zeigt, wie die Geschäfte in dieser hochprofitablen Schattenbranche laufen. Da man bei HT vermutete, dass der Wiederverkäufer von "Galileo" in den USA Geschäfte auf eigene Rechnung machte, wurde die Wirtschaftsdetektei Kroll engagiert, um, diesen Geschäftspartner auf seine Lauterkeit zu überprüfen. Für die Ermittler von Kroll erwies sich die Angelegenheit als Heimspiel, denn die bei solch verdeckten Ermittlungen übliche Tarnung mit einer Scheinfirma war nicht notwendig.

Die Detektive zeigten ganz einfach als Vertreter der Detektei Kroll Interesse am Erwerb der Trojanersuite. Nach und nach ergaben die Ermittlungen, dass dieser Zwischenhändler namens "Velasco" auch Vizepräsident eines Start-Ups namens ReaQta ist. Beim CEO der Firma handelt es sich um einen ehemaligen leitenden Entwickler, der für HT jahrelang auf den ISS-Überwachungsmessen aufgetreten war. Das Produkt von ReaQta ist eine Netzwerküberwachungssuite für Unternehmen zur Erkennung und Abwehr von Trojanerangriffen, auch die Galileo-Suite wird erkannt.

Ausblick für die Überwachungsbranche

Diese Geschäftsmethoden erklären sich aus den Umsätzen, die in dieser Branche getätigt werden. Allein in Mexiko, Italien, Saudi Arabien und Chile wurden von HT mit etwa zwei Dutzend Angestellten fast 20 Millionen Dollar umgesetzt. Ähnlich profitabel muss die deutsch-britische Gamma Group, deren Spionagesuite FinFisher in direkter Konkurrenz zu HT-Galileo steht, gewesen sein, bis sie im August 2014 gehackt wurde. Die Geschäftspraktiken beider Firmen sind ebenso zum Verwechseln ähnlich, auch von Gamma wurden repressive Regimes rund um die Welt mit Überwachungssoftware ausgestattet. Nachdem sie so in Rampenlicht gezerrt wurde, ist es um Gamma zwischendurch ziemlich still geworden, zumal Öffentlichkeit auf Firmen aus dieser Schattenbranche Ähnliches bewirkt wie Tageslicht bei Vampiren.

Auf der ISS-World Afrika, die am 27. Juli in Johannesburg beginnt, stehen auch mehrere Vorträge von Hacking Team auf dem Programm, fraglich ist nur, ob sie auch stattfinden werden.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • unterton | vor 409 Tagen, 22 Stunden, 54 Minuten

    Bundesheerkontakte

    Digitale Kontakte entstehen aus ausgehendem und eingehendem Informationsfluss. Hat das Bundesheer den Kontakt seinerseits gepflegt oder wurde dass Bundesheer als Mittel zum Zweck benützt, d.h. die Kontaktadressen des österr. BH wurden als Ausweich- oder Irritationsroute verwendet?
    Wie immer - wenn von staatlicher Ebene Menschenrechte oder Datenschutz berührt ist - wird die Diskussion gerne auf Hacker-Ebene verlegt. Daher sind gerade in diesem Fall ALLE Ansatzpunkte zu betrachten.

    Auf dieses Posting antworten
    • tantejutta | vor 409 Tagen, 22 Stunden, 46 Minuten

      Right, und deshalb war es auch vorsichtig

      formuliert. Das Bundesheer hat schon angerufen und eine Stellungnahme angekündigt. Warte darauf, diese Infos dann mit dem HT-Dump gegenzuchecken.

    • unterton | vor 409 Tagen, 22 Stunden, 39 Minuten

      Ist es möglich, ein Statement von Herrn Dr. Gert-René Polli dazu zu erhalten?

    • tantejutta | vor 409 Tagen, 22 Stunden, 21 Minuten

      Der ist schon zu lang raus

      damals war Malware noch kaum ein Thema. P. weiß viel mehr über allgemeine Abläufe und vor allem viel zum Nahen Osten. Das BH hat ihn übrigens verdächtigt, die Königswarte-Story verpfiffen zu haben, wir haben beide herzlich gelacht. P. ist Analyst und kein Techniker, die Analysen hier waren aber rein technisch. Unsere gemeinsame Sorge galt dem BH, wenn deren Analysten nämlich so klassische Fehlschlüsse - post hoc ergo propter hoc - produzieren....

    • unterton | vor 409 Tagen, 22 Stunden, 1 Minute

      Ich schätze Herrn P. als ausgezeichneten Analysten. Daher gehe ich davon aus, dass es jetzt darum geht, technische Beweise auf den Tisch zu legen. Solange die Zeitbombe tickt lasse ich jedenfalls meine Kanäle offen ... besten Dank für Ihr Engagement in dieser ernsthaften Angelegenheit.

  • dergrossenagus | vor 410 Tagen, 18 Stunden, 14 Minuten

    kloa

    wemma selber z'deppert is, für ein Spionageprogramm zum Schreiben, muss man es eben teuer zukaufen... Der Steuerzahler wird sich freuen... als ob es nicht genug hungrige Studenten auf der TU gibt, die was das auch können - um wenige als d'Hälfte!!!

    Auf dieses Posting antworten
    • vergesstwahlenkauftaktien | vor 410 Tagen, 13 Stunden, 12 Minuten

      Geh bitte woanders ****posten.

      Denn dafuer ist das Thema leider zu ernst.