{
	"id": "d5222eee-38a7-4741-992b-0993f4d63852",
	"created_at": "2026-04-06T00:19:33.66901Z",
	"updated_at": "2026-04-10T03:26:22.201919Z",
	"deleted_at": null,
	"sha1_hash": "deb042a93dce9935c1d1fb6caee329d4b18e4e78",
	"title": "DSIRF: Wir enthüllen den Staatstrojaner „Subzero“ aus Österreich",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1756538,
	"plain_text": "DSIRF: Wir enthüllen den Staatstrojaner „Subzero“ aus\r\nÖsterreich\r\nBy Andre Meister\r\nPublished: 2021-12-17 · Archived: 2026-04-05 22:55:29 UTC\r\nIm August 2018 schickte Florian Stermann, ein „Geschäftsmann mit besten Kreml-Kontakten“, eine E-Mail an\r\nJan Marsalek, damals noch Vorstand der Skandal-Firma Wirecard, mittlerweile mit internationalem Haftbefehl\r\ngesuchter mutmaßlicher Wirtschaftskrimineller. Stermann sendete Marsalek „wie besprochen die\r\nFirmenbeschreibung“ des Unternehmens DSIRF inklusive Informationen zu ihrem Staatstrojaner-Produkt\r\n„Subzero“.\r\nDarüber hatte zuerst Focus berichtet. Wir haben jetzt die Original-Dokumente erhalten und veröffentlichen an\r\ndieser Stelle die Firmen-Präsentation als PDF, Text und Galerie. Aus juristischen Gründen mussten wir einige\r\npersonenbezogene Daten entfernen.\r\nLaut Firmenbeschreibung wurde DSIRF „im Juni 2016“ gegründet. Das bezieht sich auf die DSIRF GmbH in\r\nWien. Diese Firma gehört der DSR Decision Supporting Information Research Forensic GmbH an der selben\r\nAdresse. Die wiederum gehört der Deep Dive Research Lab AG in Liechtenstein. Bis vor kurzem gab es eine\r\nweitere Aktiengesellschaft in der Schweiz. Ein Firmengeflecht.\r\nDie Geschichte von DSIRF beginnt laut Eigenaussage damit, „Wahlen und Wahlkampfmethoden“ und\r\n„betrügerische Hacking-Operationen“ zu analysieren sowie „ausländische Taktiken der\r\nInformationskriegsführung“ zu entlarven. Mit diesen Fähigkeiten warb DSIRF genau zur Präsidentschaftswahl in\r\nden USA 2016, als Russland Hacking-Operationen und Einflussnahme auf den US-Wahlkampf vorgeworfen\r\nwurde.\r\nIn einem nächsten Schritt entwickelte DSIRF „fortgeschrittene Biometrie“ zur „Gesichts-, Objekt- und\r\nMustererkennung“ für „kommerzielle und öffentliche Sicherheit“. Parallel dazu widmete sich DSIRF der „Cyber-Kriegsführung“.\r\nCyber-Kriegsführung\r\nDer größte Teil der Firmen-Präsentation dreht sich um das Produkt Subzero, ein „hochmodernes\r\nComputerüberwachungs-Tool“ zur „Exfiltration sensibler/privater Daten“. Anwendungsfälle sind zum Beispiel\r\nTerrorismus, Kriminalität und Finanzbetrug. Ein Staatstrojaner. Auch Deutschland prüft den Kauf und Einsatz von\r\nSubzero.\r\nLaut Eigenwerbung kann Subzero über „mehrere Angriffsvektoren“ heimlich auf dem Zielgerät installiert werden,\r\nsowohl mit physischem Zugriff als auch aus der Ferne. Angeblich ermöglicht der Trojaner eine „unsichtbare\r\nÜberwachung durch die Verwendung einzigartiger Techniken zur Umgehung von Virenschutzprogrammen“.\r\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 1 of 10\n\nEinmal installiert übernimmt Subzero die „volle Kontrolle über den Zielcomputer“ und bietet „vollständigen\r\nZugriff auf alle Daten und Passwörter“, behauptet DSIRF. Die Subzero-Kunden können per Web-Interface\r\nPasswörter extrahieren, Screenshots anfertigen, aktuelle und frühere Standorte anzeigen sowie „auf Dateien des\r\nZielcomputers zugreifen, sie herunterladen, ändern und hochladen“.\r\nDSIRF bewirbt Subzero als „Cyber-Kriegsführung der nächsten Generation“, das Tool wurde „für das Cyber-Zeitalter entwickelt“. Zur Markteinführung 2018 unterstützte der Staatstrojaner jedoch nur Zielgeräte mit\r\nWindows. Die Unterstützung für macOS sowie Mobilgeräte mit Android und iOS sei ein „nächster Schritt“.\r\nAuf Anfrage von netzpolitik.org wollte der Geschäftsführer Drazen Mokic nicht sagen, ob Subzero diese Geräte\r\nheute unterstützt: „Zu technischen Spezifikationen geben wir keine Auskunft.“\r\nUnter Null\r\nDie Firmen-Präsentation von 2018 spricht von „einem Netzwerk von über 30 Mitarbeitern und Auftragnehmern“\r\nund listet fünf Mitarbeiter als Leiter im Subzero-Team. Drazen Mokic war damals „Produktmanager und\r\nTeamleiter“ für Subzero, er ist heute Geschäftsführer der DSIRF GmbH.\r\nMokic folgt auf Julian-Thomas Erdödy, der ehemalige Geschäftsführer hat DSIRF vor einem Jahr verlassen. Der\r\nEntwickler Cem Baykam ist laut Präsentation zuständig für maschinelles Lernen und Künstliche Intelligenz.\r\nDer leitende Ingenieur Kuba G. ist erfahrener Reverse-Engineer, der auf diversen Plattformen damit wirbt, ein\r\nMachine-in-the-Middle-Angriffswerkzeug zum Phishing von Zugangsdaten zu entwickeln. Da nicht öffentlich\r\nbestätigt ist, dass er für DSIRF arbeitet, dürfen wir seinen Nachnamen nicht nennen. Das gilt auch für den\r\nSicherheitsforscher Saša B., der sein LinkedIn-Profil seit der Gründung von DSIRF nicht aktualisiert hat.\r\nAlle vier Personen haben auf unsere wiederholten Presseanfragen nach ihrer Rolle und Position nicht geantwortet.\r\nGeschäftsführer Drazen Mokic sagt auf Anfrage: „Über die genaue Personalsituation des Unternehmens geben wir\r\nkeine Auskunft. Generell gilt aber: Die an einem Thema arbeitenden Teams werden jeweils entsprechend des\r\nBedarfs und der Anforderungen konfiguriert, so dass die Zahl der mit einem Projekt befassten Mitarbeiterinnen\r\nund Mitarbeiter sich häufig ändert.“\r\nSpuren nach Moskau\r\nIn der Präsentation von 2018 nennt DSIRF auch fünf Referenzen für die Firma und ihre Produkte. Die Firma wirbt\r\nmit bekannten und vernetzten Personen der internationalen Geschäftswelt, der Focus bezeichnet sie als ziemlich\r\nillustre Gesellschaft. Diejenigen, die mit uns gesprochen haben, kennen zwar die Firma DSIRF, aber nicht das\r\nStaatstrojaner-Produkt Subzero. Zwei davon wussten nichts von ihrer Nennung, es ist gut möglich, dass auch die\r\nanderen beiden nicht informiert waren.\r\nAls Referenz für „Politik und Handel“ nennt DSIRF Michael Harms, Geschäftsführer des Vereins Ost-Ausschuss\r\nder Deutschen Wirtschaft. Harms kommentiert gegenüber netzpolitik.org: „Die DSIRF GmbH ist ein\r\nMitgliedsunternehmen im Ost-Ausschuss. Die Nennung des Ost-Ausschusses als Referenz war nicht mit uns\r\nabgesprochen. Kontakte zu DSIRF bestehen im üblichen Rahmen einer Mitgliedschaft. Der Ost-Ausschuss selbst\r\nnutzt keine Produkte des Unternehmens und kennt das Produkt ‚Subzero‘ nicht.“\r\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 2 of 10\n\nDSIRF nennt für den Bereich „Handel“ Stephan Fanderl, damals Vorstandsvorsitzender des Warenhauskonzerns\r\nGaleria Karstadt Kaufhof, der mal die Einzelhandelskette, Walmart nach Russland bringen sollte. Auch Fanderl\r\nteilt mit, er „kennt diese Firmen-Präsentation nicht“ und „einer wie auch immer gearteten ‚Referenz‘ hat er nicht\r\nzugestimmt“. Es gab zwar „zwischen einem früheren Arbeitgeber und DSIRF einen Kontakt, in dessen Rahmen\r\ndas Unternehmen mit der Implementierung von Datensicherheit beauftragt wurde“. Fanderl kennt aber keine\r\nEinzel-Produkte von DSIRF, auch nicht Subzero.\r\nChristian Kremer dient DSIRF als Referenz für den Bereich „Produktion“. Er war früher Präsident von BMW in\r\nRussland und zur Zeit der Präsentation stellvertretender Geschäftsführer von Russian Machines. Die US-Regierung hat im Januar 2018 – sieben Monate vor der Nennung von DSIRF – Sanktionen gegen Russian\r\nMachines verhängt. Laut LinkedIn ist er dort seit März 2019 nicht mehr. Christian Kremer hat auf unsere Anfrage\r\nnicht geantwortet.\r\nFür den Bereich „Recht“ nennt DSIRF eine weitere Person aus Moskau: Florian Schneider, Partner bei der großen\r\nWirtschaftskanzlei Dentons. Auch Schneider hat auf unsere wiederholten Anfragen nicht geantwortet. Die\r\nReferenz zum Bereich „Bankwesen“ wird nicht namentlich genannt, laut Präsentation gibt es einen\r\nGeheimhaltungsvertrag.\r\nAlle namentlich genannten Referenzen haben gute Verbindungen nach Russland, laut Focus führen alle Spuren\r\nnach Moskau.\r\nMeistgesuchter Mann der Welt\r\nMittlerweile gibt es eine ganze Reihe an Firmen, die Staatstrojaner anbieten. Mit dem Branchenprimus NSO\r\nGroup aus Israel mit 700 Angestellten und Firmen wie FinFisher aus Deutschland kann DSIRF mit Subzero noch\r\nnicht mithalten.\r\nDoch mindestens die deutsche Hacker-Behörde ZITiS prüft den Kauf und Einsatz von Subzero durch Polizei und\r\nGeheimdienste.\r\nOb DSIRF Subzero überhaupt schon verkauft hat, konnten wir nicht in Erfahrung bringen. Geschäftsführer\r\nDrazen Mokic sagt auf Anfrage: „Bis zum heutigen Tage wurde Subzero weder operativ noch kommerziell\r\neingesetzt.“\r\nVermarktet wird der Staatstrojaner trotzdem. Dass der ehemalige Wirecard-Manager Jan Marsalek dabei\r\nmitmischt, ist nur auf den ersten Blick seltsam. Schon 2013 hat Marsalek offenbar versucht, den Staatstrojaner der\r\nitalienischen Firma Hacking Team an den Karibikstaat Grenada zu verkaufen. Das berichteten Spiegel und\r\nMotherboard mit Bezug auf E-Mails von Hacking Team bei WikiLeaks.\r\nLeider können wir Jan Marsalek nicht zu seiner Rolle befragen. Der mutmaßliche Wirtschaftskriminelle ist der\r\nmeistgesuchte Mann der Welt, nach ihm wird mit internationalem Haftbefehl gefahndet. Laut Bellingcat und\r\nHandelsblatt versteckt er sich in Moskau.\r\nHier die Slides aus dem PDF befreit:\r\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 3 of 10\n\nCover: DSIRF\r\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 4 of 10\n\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 5 of 10\n\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 6 of 10\n\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 7 of 10\n\nMit Folien wie dieser wirbt DSIRF für seinen Staatstrojaner „Subzero“.\r\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 8 of 10\n\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 9 of 10\n\nSource: https://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nhttps://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://netzpolitik.org/2021/dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich/"
	],
	"report_names": [
		"dsirf-wir-enthuellen-den-staatstrojaner-subzero-aus-oesterreich"
	],
	"threat_actors": [
		{
			"id": "a3687241-9876-477b-aa13-a7c368ffda58",
			"created_at": "2022-10-25T16:07:24.496902Z",
			"updated_at": "2026-04-10T02:00:05.010744Z",
			"deleted_at": null,
			"main_name": "Hacking Team",
			"aliases": [],
			"source_name": "ETDA:Hacking Team",
			"tools": [],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "e90c06e4-e3e0-4f46-a3b5-17b84b31da62",
			"created_at": "2023-01-06T13:46:39.018236Z",
			"updated_at": "2026-04-10T02:00:03.183123Z",
			"deleted_at": null,
			"main_name": "Hacking Team",
			"aliases": [],
			"source_name": "MISPGALAXY:Hacking Team",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "8e3cc644-b09e-4ed2-bdf8-b836e4f21319",
			"created_at": "2024-02-02T02:00:04.014083Z",
			"updated_at": "2026-04-10T02:00:03.523727Z",
			"deleted_at": null,
			"main_name": "Denim Tsunami",
			"aliases": [
				"DSIRF"
			],
			"source_name": "MISPGALAXY:Denim Tsunami",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434773,
	"ts_updated_at": 1775791582,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/deb042a93dce9935c1d1fb6caee329d4b18e4e78.pdf",
		"text": "https://archive.orkl.eu/deb042a93dce9935c1d1fb6caee329d4b18e4e78.txt",
		"img": "https://archive.orkl.eu/deb042a93dce9935c1d1fb6caee329d4b18e4e78.jpg"
	}
}