Introduction
Introduction Statistics Contact Development Disclaimer Help
# taz.de -- Sicherheitsberater über Spähsoftware: „Fressen oder Moral“
> Simon hat eine digitale Waffe gebaut. Das Tool wurde an die Diktatoren in
> Oman und Turkmenistan verkauft. Ein Gespräch über das Debakel des
> Waffenschmieds.
Bild: Der FinFireWire umgeht die Passwort-Abfrage des PCs, dann kann Schadsoftw…
Simon war 16, als er sich von seinem Ausbildungsgehalt einen Computer
gekauft hat. Er hat hinterfragt: Was macht das Gerät, wie funktioniert es
und wie kriegt man das kaputt? Es faszinierte ihn, die Grenzen der Technik
zu finden und die Macht über das Gerät zu haben. Dann hatte er finanziell
zu kämpfen – und wurde Berufshacker. Als IT-Sicherheitsberater überprüfte
er Netze, suchte Schwachstellen, machte Sicherheitsanalysen.
Mit 32 Jahren wechselte Simon zu der Firma Dreamlab. Heute ist bekannt,
dass er dort ein Produkt entwickelte, dass die deutsche Firma Gamma an
Diktaturen verkauft hat. Simon ist daraufhin ausgestiegen.
taz: Bist du ein politisch engagierter Mensch?
Simon: Ja. Ich habe lange Wehrpflichtverweigerer betreut, gegen Faschismus
demonstriert und Häuser besetzt. Deshalb möchte ich meine Geschichte
erzählen. Um zu zeigen, dass durchaus auch linke Leute in so eine
Geschichte reinrutschen können.
Und mit dieser antimilitaristischen Einstellung konntest du trotzdem bei
Dreamlab arbeiten, obwohl deine Produkte an Diktaturen verkauft wurden?
Es ist ja nicht schlecht, Sicherheitsforschung zu betreiben. Aber es ist
schlecht, für einen Zulieferer zu arbeiten, wenn man weiß, was mit dem
Produkt passiert. Aber das wusste ich zu dem Zeitpunkt nicht.
Hast du nachgefragt, woran Dreamlab arbeitet?
Klar, ich habe auf der Webseite recherchiert. Für mich war das eine ganz
normale Firma, die IT-Security Beratung macht. Der erste Eindruck war cool,
alle waren locker drauf. Das hat sich auch nicht unterschieden von dem, was
ich vorher gemacht habe. Der Geschäftsführer Nicolas Mayencourt hatte
irgendwann mal angedeutet, dass sie Schweizer Behörden ihre Sachen für
Strafverfolgungsgeschichten anbieten. Aber das war für mich nicht
sonderlich problematisch. Man hat mir versichert, dass in der Schweiz ein
Missbrauch durch Behörden nicht statt findet.
Dann kam die deutsche Firma Gamma, die euer Produkt von Dreamlab gekauft
hat. Wann kamen dir Zweifel?
2005 hat jemand schon ein Tool veröffentlicht, das das Login von einem
Windows-XP umgeht. Wir sollten das für moderne Betriebssysteme erweitern.
Dann kam Gamma nach und nach an und bat uns, dieses und jenes Feature
hinzuzufügen. Irgendwann sollten wir Windows-Versionen in verschiedenen
Sprachen durchtesten. Wir haben dann viele Installations-CDs für
Windows-Betriebssysteme bekommen, aus dem östlichen und arabischen Raum. Da
hat man mitgekriegt, was in dem Laden läuft. Aber es war nicht daran zu
denken, alles hinzuschmeißen.
Warum nicht, wenn das schlechte Gewissen so groß ist?
Das ist nichts, was man von einer Minute zur anderen entscheidet. Es ist
schwierig zu beschreiben, dass man irgendwann eine rote Linie
überschreitet, aber nicht so richtig festzumachen ist, wann man die
überschritten hat – weil diese Linie unglaublich breit ist. Aber irgendwann
habe ich gemerkt, dass sie wirklich vollends überschritten ist. Dann habe
ich gesagt: Schluss jetzt.
Diese schlechten Tools können auch Gutes anrichten. Die Sauerlandgruppe
hätte vielleicht nicht gefunden werden können, hätte es nicht digitale
Werkzeuge gegeben?
Es gibt schwarz und weiß, aber das kann man in dieser Branche nicht
trennen. Die Sachen, an denen wir gearbeitet haben, die haben den
Dual-Use-Aspekt. Sie können für gute und schlechte Dinge genutzt werden.
Zum Beispiel der Infection Proxy. Das ist ein Computer, der zwischen dich
und deine Internetanbindung gehangen wird. Und der ist dann in der Lage,
alles was du runter lädst, in Echtzeit anzugucken und da Dinge
auszutauschen. Unser Geschäftsführer hat immer argumentiert, dass man den
auch für gute Zwecke nutzen kann, indem man Viren herausfiltert.
Du hast den FinFireWire gebaut, ein Tool, dass die Passwort-Abfrage eines
Computers umgeht und seinem Nutzer Adminrechte gibt. Was sind Vorteile
dieses Werkzeugs?
Für forensische Zwecke ist es ein sinnvolles Tool. Das heißt: Forschung in
Sachen Schadsoftware. Wenn in Rechner eingebrochen wurde, versucht man
herauszufinden: Wer hat da eingebrochen und was hat er hinterlassen?
Also du hast das Tool gebaut, aber wie es genutzt wird, hast du anderen
überlassen?
Nein, nein. Primär haben wir dieses Tool selber benutzt. Die meisten
Projekte, die wir gemacht haben, waren ziviler Natur. Wir haben für Firmen
der Wirtschaft, Banken und Softwarehersteller eine Sicherheitsanalyse
gemacht. Das Angriffswerkzeug für Gamma war nur ein Projekt von vielen. Und
Gamma hatte vorgegeben, die Tools für gute Zwecke einzusetzen, sie nur an
korrekte Staaten für Ermittlungsgeschichten zu verkaufen.
Aber du wusstest doch schon vorher, dass es den Dual-Use-Aspekt gibt?
Ja, aber man hat sich das schön geredet. Umso mehr man gesehen hat, dass
das negativ ist, was die da machen, desto mehr hat man sich das auch im
Kopf zurechtgelegt. Das muss man aber auch, sonst könnte man die Arbeit ja
nicht durchführen.
Hast du mit den Kollegen darüber geredet?
Wir haben uns schon mehr und mehr einen Kopf darüber gemacht. Wir haben
auch einen Ansprechpartner von Gamma damit konfrontiert, wie seine
ethisch-moralischen Vorstellungen sind
Aber dann müsst ihr ja auch welche gehabt haben?
Ja natürlich. Die Erkenntnis kam aber langsam. Ich bin halt ein Hacker. Ich
finde spannende technische Projekte gut. Und für mich war das technisch
herausfordernd. Und das war das, was primär zählte. Man blendet viel aus.
Aber du hast deine Arbeit ja reflektiert, als du bei Dreamlab gearbeitet
hast?
Es wäre verlogen zu behaupten, dass ich das alles gemacht habe, damit die
Welt sicherer oder besser wird. Ich hätte nie über etwas Negatives
nachgedacht, wenn ich dieses Tool für einen Antiviren-Hersteller gebaut
hätte. Diese Industrie, die Überwachungstechnik herstellen, die haben aus
Hacker Perspektive ein unglaublich spannendes Arbeitsfeld. Das Problem ist,
dass jüngere Leute an den Unis angequatscht werden, die moralisch nicht so
gefestigt sind.
Aber du warst damals schon 32, als du eingestiegen bist?
Im Nachhinein ist man halt immer schlauer. Heute bin ich sensibilisiert,
dass einem das leicht passieren kann. Aber es ist niemals in der
Öffentlichkeit thematisiert worden, dass man aufpassen muss, für wen man
was macht. Das ist halt einfach Naivität, ich bin unbedarft an die Sache
rangegangen. Das will ich nicht leugnen.
Es gibt ja auch Standards in der IT-Security. Also eine Richtlinie, woran
man sich halten kann: „Ethical Hacking“. Hast du das damals befolgt?
Nicht so sehr. Bei diesen Nischenthemen, die ich mache, da gibt es solche
Standards nicht. Dieses „Ethical Hacking“ ist interessant, wenn es um
Netzwerk-Security-Analysen geht, man weiß eben, dass man nicht in Daten von
Angestellten schnüffelt. Wenn ich aber Tools entwickle, dann folge ich der
Intuition und greife auf einen Erfahrungsschatz zurück.
Was arbeitest du jetzt?
Ich habe mit meinen Dreamlab-Kollegen aus Winterthur eine eigene Firma
gegründet. Wir machen alles, was wir früher auch gemacht haben. Mit der
Ausnahme, dass wir schauen: Wer sind unsere Auftraggeber? Wenn wir sie
nicht kennen, recherchieren wir.
Wie moralisch ist es jetzt, zu sagen: „Das ist schlecht, was die machen –
aber was ich mache, ist gut“?
Ich nehme nicht teil an irgendwelchen Prozessen oder Arbeiten, die
unmittelbar dazu geeignet sind, irgendjemanden zu unterdrücken oder
auszuspionieren. Mein Beruf besteht nicht daraus, irgendwelche
Angriffswerkzeuge zu bauen, ich mache Sicherheitsanalysen.
Wie differenzierst du gut und böse?
Ich glaube, da, wo man wirklich aktiv mit Behörden oder Firmen wie Gamma
zusammenarbeitet um Überwachungstechnik herzustellen oder zu verbreiten, da
ist eine Grenze. Wenn das BKA fragt, ob ich im Rahmen einer Ethik-Konferenz
einen Vortrag halte, dann werde ich das tun. Wenn sie mich aber fragen, ob
ich an ihrem neuen Staatstrojaner mit programmiere, dann würde ich nein
sagen.
Wenn du einen Vortrag hältst, dann ist die Information mündlich. Die kann
ja auch an andere Quellen gehen?
Es ist ein blöder Vergleich und er hinkt, aber wenn ich ein Küchenmesser
herstelle, dann kann man das eben auch verwenden, um jemanden umzubringen.
Aber der Messerhersteller kann das nicht kontrollieren.
Aber warum sagst du nicht: Dann produziere ich kein Messer mehr?
Ich möchte mich nicht aus der Branche zurückziehen, weil ich überwiegend
spannende und gute Sachen mache. Ich stehe nicht da und sage: Ich baue
gerne Werkzeuge, die zur Unterdrückung von Völkern genutzt werden. Ganz
bestimmt nicht. Ich bin halt ein Techniker, ich bin ein Hacker. Man ist da
in einer Zwickmühle, Fressen oder Moral. Das hat man in jeder Branche.
Moral ist auch ein finanzieller Luxus, den man sich leisten muss.
25 Sep 2013
## AUTOREN
Julia Neumann
## TAGS
Hacker
Schwerpunkt Chaos Computer Club
Spionage
Waffenlieferung
Schwerpunkt Überwachung
Yahoo
Transparenz
Computer
## ARTIKEL ZUM THEMA
Verseuchte Online-Anzeigen: Schadsoftware auf Yahoo-Seiten
Am vergangenen Freitag wurde über europäische Yahoo-Seiten Malware
verbreitet. Yahoo versicherte, die Schadprogramme seien schnell entfernt
worden.
Grundsätze für Überwachung: Im Einklang mit Menschenrechten
Die Überwachung muss endlich gestoppt werden – weltweit. 13 Grundsätze für
mehr Privatsphäre und Meinungsfreiheit im Netz.
Geheimdienste mit Hacker-Methoden: USA infizieren Rechner mit Viren
Codename „Genie“: Einem Zeitungsbericht zufolge sollen die US-Geheimdienste
Zehntausende Rechner attackiert, um Zugriff auf ganze Netzwerke zu
bekommen.
Der Hacker, eine Typologie: Alarm! Eindringlinge! Alarm!
Nato, Sony und Blood & Honour: Regelmäßig dringen Computertüftler in fremde
Datennetze ein. Warum machen die das? Der Versuch einer Einordnung.
Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler"
Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der
IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung
für eine Zunft, die er eigentlich bekämpft.
Kleine Wortkunde: Hacker
Neuerdings haben Neckermann, das Pentagon und Sony etwas gemeinsam: Sie
alle wurden in den letzten Wochen Ziel von Hackerangriffen. Aber wer ist
das?
Wikileaks mangelnde Transparenz: Vom Hacker zum Popstar
Ursprünglich wollte Wikileaks einmal so viele Informationen wie möglich
frei zugänglich machen. Nun ist es selbst ein Schleusenwärter geworden. Ein
mächtiger.
You are viewing proxied material from taz.de. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.