 |
# taz.de -- Sicherheitsberater über Spähsoftware: „Fressen oder Moral“ |
|
|
|
> Simon hat eine digitale Waffe gebaut. Das Tool wurde an die Diktatoren in |
|
> Oman und Turkmenistan verkauft. Ein Gespräch über das Debakel des |
|
> Waffenschmieds. |
|
|
 |
Bild: Der FinFireWire umgeht die Passwort-Abfrage des PCs, dann kann Schadsoftw… |
|
|
|
Simon war 16, als er sich von seinem Ausbildungsgehalt einen Computer |
|
gekauft hat. Er hat hinterfragt: Was macht das Gerät, wie funktioniert es |
|
und wie kriegt man das kaputt? Es faszinierte ihn, die Grenzen der Technik |
|
zu finden und die Macht über das Gerät zu haben. Dann hatte er finanziell |
|
zu kämpfen – und wurde Berufshacker. Als IT-Sicherheitsberater überprüfte |
|
er Netze, suchte Schwachstellen, machte Sicherheitsanalysen. |
|
|
|
Mit 32 Jahren wechselte Simon zu der Firma Dreamlab. Heute ist bekannt, |
|
dass er dort ein Produkt entwickelte, dass die deutsche Firma Gamma an |
|
Diktaturen verkauft hat. Simon ist daraufhin ausgestiegen. |
|
|
|
taz: Bist du ein politisch engagierter Mensch? |
|
|
|
Simon: Ja. Ich habe lange Wehrpflichtverweigerer betreut, gegen Faschismus |
|
demonstriert und Häuser besetzt. Deshalb möchte ich meine Geschichte |
|
erzählen. Um zu zeigen, dass durchaus auch linke Leute in so eine |
|
Geschichte reinrutschen können. |
|
|
|
Und mit dieser antimilitaristischen Einstellung konntest du trotzdem bei |
|
Dreamlab arbeiten, obwohl deine Produkte an Diktaturen verkauft wurden? |
|
|
|
Es ist ja nicht schlecht, Sicherheitsforschung zu betreiben. Aber es ist |
|
schlecht, für einen Zulieferer zu arbeiten, wenn man weiß, was mit dem |
|
Produkt passiert. Aber das wusste ich zu dem Zeitpunkt nicht. |
|
|
|
Hast du nachgefragt, woran Dreamlab arbeitet? |
|
|
|
Klar, ich habe auf der Webseite recherchiert. Für mich war das eine ganz |
|
normale Firma, die IT-Security Beratung macht. Der erste Eindruck war cool, |
|
alle waren locker drauf. Das hat sich auch nicht unterschieden von dem, was |
|
ich vorher gemacht habe. Der Geschäftsführer Nicolas Mayencourt hatte |
|
irgendwann mal angedeutet, dass sie Schweizer Behörden ihre Sachen für |
|
Strafverfolgungsgeschichten anbieten. Aber das war für mich nicht |
|
sonderlich problematisch. Man hat mir versichert, dass in der Schweiz ein |
|
Missbrauch durch Behörden nicht statt findet. |
|
|
|
Dann kam die deutsche Firma Gamma, die euer Produkt von Dreamlab gekauft |
|
hat. Wann kamen dir Zweifel? |
|
|
|
2005 hat jemand schon ein Tool veröffentlicht, das das Login von einem |
|
Windows-XP umgeht. Wir sollten das für moderne Betriebssysteme erweitern. |
|
Dann kam Gamma nach und nach an und bat uns, dieses und jenes Feature |
|
hinzuzufügen. Irgendwann sollten wir Windows-Versionen in verschiedenen |
|
Sprachen durchtesten. Wir haben dann viele Installations-CDs für |
|
Windows-Betriebssysteme bekommen, aus dem östlichen und arabischen Raum. Da |
|
hat man mitgekriegt, was in dem Laden läuft. Aber es war nicht daran zu |
|
denken, alles hinzuschmeißen. |
|
|
|
Warum nicht, wenn das schlechte Gewissen so groß ist? |
|
|
|
Das ist nichts, was man von einer Minute zur anderen entscheidet. Es ist |
|
schwierig zu beschreiben, dass man irgendwann eine rote Linie |
|
überschreitet, aber nicht so richtig festzumachen ist, wann man die |
|
überschritten hat – weil diese Linie unglaublich breit ist. Aber irgendwann |
|
habe ich gemerkt, dass sie wirklich vollends überschritten ist. Dann habe |
|
ich gesagt: Schluss jetzt. |
|
|
|
Diese schlechten Tools können auch Gutes anrichten. Die Sauerlandgruppe |
|
hätte vielleicht nicht gefunden werden können, hätte es nicht digitale |
|
Werkzeuge gegeben? |
|
|
|
Es gibt schwarz und weiß, aber das kann man in dieser Branche nicht |
|
trennen. Die Sachen, an denen wir gearbeitet haben, die haben den |
|
Dual-Use-Aspekt. Sie können für gute und schlechte Dinge genutzt werden. |
|
Zum Beispiel der Infection Proxy. Das ist ein Computer, der zwischen dich |
|
und deine Internetanbindung gehangen wird. Und der ist dann in der Lage, |
|
alles was du runter lädst, in Echtzeit anzugucken und da Dinge |
|
auszutauschen. Unser Geschäftsführer hat immer argumentiert, dass man den |
|
auch für gute Zwecke nutzen kann, indem man Viren herausfiltert. |
|
|
|
Du hast den FinFireWire gebaut, ein Tool, dass die Passwort-Abfrage eines |
|
Computers umgeht und seinem Nutzer Adminrechte gibt. Was sind Vorteile |
|
dieses Werkzeugs? |
|
|
|
Für forensische Zwecke ist es ein sinnvolles Tool. Das heißt: Forschung in |
|
Sachen Schadsoftware. Wenn in Rechner eingebrochen wurde, versucht man |
|
herauszufinden: Wer hat da eingebrochen und was hat er hinterlassen? |
|
|
|
Also du hast das Tool gebaut, aber wie es genutzt wird, hast du anderen |
|
überlassen? |
|
|
|
Nein, nein. Primär haben wir dieses Tool selber benutzt. Die meisten |
|
Projekte, die wir gemacht haben, waren ziviler Natur. Wir haben für Firmen |
|
der Wirtschaft, Banken und Softwarehersteller eine Sicherheitsanalyse |
|
gemacht. Das Angriffswerkzeug für Gamma war nur ein Projekt von vielen. Und |
|
Gamma hatte vorgegeben, die Tools für gute Zwecke einzusetzen, sie nur an |
|
korrekte Staaten für Ermittlungsgeschichten zu verkaufen. |
|
|
|
Aber du wusstest doch schon vorher, dass es den Dual-Use-Aspekt gibt? |
|
|
|
Ja, aber man hat sich das schön geredet. Umso mehr man gesehen hat, dass |
|
das negativ ist, was die da machen, desto mehr hat man sich das auch im |
|
Kopf zurechtgelegt. Das muss man aber auch, sonst könnte man die Arbeit ja |
|
nicht durchführen. |
|
|
|
Hast du mit den Kollegen darüber geredet? |
|
|
|
Wir haben uns schon mehr und mehr einen Kopf darüber gemacht. Wir haben |
|
auch einen Ansprechpartner von Gamma damit konfrontiert, wie seine |
|
ethisch-moralischen Vorstellungen sind |
|
|
|
Aber dann müsst ihr ja auch welche gehabt haben? |
|
|
|
Ja natürlich. Die Erkenntnis kam aber langsam. Ich bin halt ein Hacker. Ich |
|
finde spannende technische Projekte gut. Und für mich war das technisch |
|
herausfordernd. Und das war das, was primär zählte. Man blendet viel aus. |
|
|
|
Aber du hast deine Arbeit ja reflektiert, als du bei Dreamlab gearbeitet |
|
hast? |
|
|
|
Es wäre verlogen zu behaupten, dass ich das alles gemacht habe, damit die |
|
Welt sicherer oder besser wird. Ich hätte nie über etwas Negatives |
|
nachgedacht, wenn ich dieses Tool für einen Antiviren-Hersteller gebaut |
|
hätte. Diese Industrie, die Überwachungstechnik herstellen, die haben aus |
|
Hacker Perspektive ein unglaublich spannendes Arbeitsfeld. Das Problem ist, |
|
dass jüngere Leute an den Unis angequatscht werden, die moralisch nicht so |
|
gefestigt sind. |
|
|
|
Aber du warst damals schon 32, als du eingestiegen bist? |
|
|
|
Im Nachhinein ist man halt immer schlauer. Heute bin ich sensibilisiert, |
|
dass einem das leicht passieren kann. Aber es ist niemals in der |
|
Öffentlichkeit thematisiert worden, dass man aufpassen muss, für wen man |
|
was macht. Das ist halt einfach Naivität, ich bin unbedarft an die Sache |
|
rangegangen. Das will ich nicht leugnen. |
|
|
|
Es gibt ja auch Standards in der IT-Security. Also eine Richtlinie, woran |
|
man sich halten kann: „Ethical Hacking“. Hast du das damals befolgt? |
|
|
|
Nicht so sehr. Bei diesen Nischenthemen, die ich mache, da gibt es solche |
|
Standards nicht. Dieses „Ethical Hacking“ ist interessant, wenn es um |
|
Netzwerk-Security-Analysen geht, man weiß eben, dass man nicht in Daten von |
|
Angestellten schnüffelt. Wenn ich aber Tools entwickle, dann folge ich der |
|
Intuition und greife auf einen Erfahrungsschatz zurück. |
|
|
|
Was arbeitest du jetzt? |
|
|
|
Ich habe mit meinen Dreamlab-Kollegen aus Winterthur eine eigene Firma |
|
gegründet. Wir machen alles, was wir früher auch gemacht haben. Mit der |
|
Ausnahme, dass wir schauen: Wer sind unsere Auftraggeber? Wenn wir sie |
|
nicht kennen, recherchieren wir. |
|
|
|
Wie moralisch ist es jetzt, zu sagen: „Das ist schlecht, was die machen – |
|
aber was ich mache, ist gut“? |
|
|
|
Ich nehme nicht teil an irgendwelchen Prozessen oder Arbeiten, die |
|
unmittelbar dazu geeignet sind, irgendjemanden zu unterdrücken oder |
|
auszuspionieren. Mein Beruf besteht nicht daraus, irgendwelche |
|
Angriffswerkzeuge zu bauen, ich mache Sicherheitsanalysen. |
|
|
|
Wie differenzierst du gut und böse? |
|
|
|
Ich glaube, da, wo man wirklich aktiv mit Behörden oder Firmen wie Gamma |
|
zusammenarbeitet um Überwachungstechnik herzustellen oder zu verbreiten, da |
|
ist eine Grenze. Wenn das BKA fragt, ob ich im Rahmen einer Ethik-Konferenz |
|
einen Vortrag halte, dann werde ich das tun. Wenn sie mich aber fragen, ob |
|
ich an ihrem neuen Staatstrojaner mit programmiere, dann würde ich nein |
|
sagen. |
|
|
|
Wenn du einen Vortrag hältst, dann ist die Information mündlich. Die kann |
|
ja auch an andere Quellen gehen? |
|
|
|
Es ist ein blöder Vergleich und er hinkt, aber wenn ich ein Küchenmesser |
|
herstelle, dann kann man das eben auch verwenden, um jemanden umzubringen. |
|
Aber der Messerhersteller kann das nicht kontrollieren. |
|
|
|
Aber warum sagst du nicht: Dann produziere ich kein Messer mehr? |
|
|
|
Ich möchte mich nicht aus der Branche zurückziehen, weil ich überwiegend |
|
spannende und gute Sachen mache. Ich stehe nicht da und sage: Ich baue |
|
gerne Werkzeuge, die zur Unterdrückung von Völkern genutzt werden. Ganz |
|
bestimmt nicht. Ich bin halt ein Techniker, ich bin ein Hacker. Man ist da |
|
in einer Zwickmühle, Fressen oder Moral. Das hat man in jeder Branche. |
|
Moral ist auch ein finanzieller Luxus, den man sich leisten muss. |
|
|
|
25 Sep 2013 |
|
|
|
## AUTOREN |
|
|
 |
Julia Neumann |
|
|
|
## TAGS |
|
|
|
Hacker |
|
Schwerpunkt Chaos Computer Club |
|
Spionage |
|
Waffenlieferung |
|
Schwerpunkt Überwachung |
|
Yahoo |
|
Transparenz |
|
Computer |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Verseuchte Online-Anzeigen: Schadsoftware auf Yahoo-Seiten |
|
|
|
Am vergangenen Freitag wurde über europäische Yahoo-Seiten Malware |
|
verbreitet. Yahoo versicherte, die Schadprogramme seien schnell entfernt |
|
worden. |
|
|
|
Grundsätze für Überwachung: Im Einklang mit Menschenrechten |
|
|
|
Die Überwachung muss endlich gestoppt werden – weltweit. 13 Grundsätze für |
|
mehr Privatsphäre und Meinungsfreiheit im Netz. |
|
|
|
Geheimdienste mit Hacker-Methoden: USA infizieren Rechner mit Viren |
|
|
|
Codename „Genie“: Einem Zeitungsbericht zufolge sollen die US-Geheimdienste |
|
Zehntausende Rechner attackiert, um Zugriff auf ganze Netzwerke zu |
|
bekommen. |
|
|
|
Der Hacker, eine Typologie: Alarm! Eindringlinge! Alarm! |
|
|
|
Nato, Sony und Blood & Honour: Regelmäßig dringen Computertüftler in fremde |
|
Datennetze ein. Warum machen die das? Der Versuch einer Einordnung. |
|
|
|
Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler" |
|
|
|
Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der |
|
IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung |
|
für eine Zunft, die er eigentlich bekämpft. |
|
|
|
Kleine Wortkunde: Hacker |
|
|
|
Neuerdings haben Neckermann, das Pentagon und Sony etwas gemeinsam: Sie |
|
alle wurden in den letzten Wochen Ziel von Hackerangriffen. Aber wer ist |
|
das? |
|
|
|
Wikileaks mangelnde Transparenz: Vom Hacker zum Popstar |
|
|
|
Ursprünglich wollte Wikileaks einmal so viele Informationen wie möglich |
|
frei zugänglich machen. Nun ist es selbst ein Schleusenwärter geworden. Ein |
|
mächtiger. |
