# taz.de -- Sicherheitsberater über Spähsoftware: „Fressen oder Moral“ | |
> Simon hat eine digitale Waffe gebaut. Das Tool wurde an die Diktatoren in | |
> Oman und Turkmenistan verkauft. Ein Gespräch über das Debakel des | |
> Waffenschmieds. | |
Bild: Der FinFireWire umgeht die Passwort-Abfrage des PCs, dann kann Schadsoftw… | |
Simon war 16, als er sich von seinem Ausbildungsgehalt einen Computer | |
gekauft hat. Er hat hinterfragt: Was macht das Gerät, wie funktioniert es | |
und wie kriegt man das kaputt? Es faszinierte ihn, die Grenzen der Technik | |
zu finden und die Macht über das Gerät zu haben. Dann hatte er finanziell | |
zu kämpfen – und wurde Berufshacker. Als IT-Sicherheitsberater überprüfte | |
er Netze, suchte Schwachstellen, machte Sicherheitsanalysen. | |
Mit 32 Jahren wechselte Simon zu der Firma Dreamlab. Heute ist bekannt, | |
dass er dort ein Produkt entwickelte, dass die deutsche Firma Gamma an | |
Diktaturen verkauft hat. Simon ist daraufhin ausgestiegen. | |
taz: Bist du ein politisch engagierter Mensch? | |
Simon: Ja. Ich habe lange Wehrpflichtverweigerer betreut, gegen Faschismus | |
demonstriert und Häuser besetzt. Deshalb möchte ich meine Geschichte | |
erzählen. Um zu zeigen, dass durchaus auch linke Leute in so eine | |
Geschichte reinrutschen können. | |
Und mit dieser antimilitaristischen Einstellung konntest du trotzdem bei | |
Dreamlab arbeiten, obwohl deine Produkte an Diktaturen verkauft wurden? | |
Es ist ja nicht schlecht, Sicherheitsforschung zu betreiben. Aber es ist | |
schlecht, für einen Zulieferer zu arbeiten, wenn man weiß, was mit dem | |
Produkt passiert. Aber das wusste ich zu dem Zeitpunkt nicht. | |
Hast du nachgefragt, woran Dreamlab arbeitet? | |
Klar, ich habe auf der Webseite recherchiert. Für mich war das eine ganz | |
normale Firma, die IT-Security Beratung macht. Der erste Eindruck war cool, | |
alle waren locker drauf. Das hat sich auch nicht unterschieden von dem, was | |
ich vorher gemacht habe. Der Geschäftsführer Nicolas Mayencourt hatte | |
irgendwann mal angedeutet, dass sie Schweizer Behörden ihre Sachen für | |
Strafverfolgungsgeschichten anbieten. Aber das war für mich nicht | |
sonderlich problematisch. Man hat mir versichert, dass in der Schweiz ein | |
Missbrauch durch Behörden nicht statt findet. | |
Dann kam die deutsche Firma Gamma, die euer Produkt von Dreamlab gekauft | |
hat. Wann kamen dir Zweifel? | |
2005 hat jemand schon ein Tool veröffentlicht, das das Login von einem | |
Windows-XP umgeht. Wir sollten das für moderne Betriebssysteme erweitern. | |
Dann kam Gamma nach und nach an und bat uns, dieses und jenes Feature | |
hinzuzufügen. Irgendwann sollten wir Windows-Versionen in verschiedenen | |
Sprachen durchtesten. Wir haben dann viele Installations-CDs für | |
Windows-Betriebssysteme bekommen, aus dem östlichen und arabischen Raum. Da | |
hat man mitgekriegt, was in dem Laden läuft. Aber es war nicht daran zu | |
denken, alles hinzuschmeißen. | |
Warum nicht, wenn das schlechte Gewissen so groß ist? | |
Das ist nichts, was man von einer Minute zur anderen entscheidet. Es ist | |
schwierig zu beschreiben, dass man irgendwann eine rote Linie | |
überschreitet, aber nicht so richtig festzumachen ist, wann man die | |
überschritten hat – weil diese Linie unglaublich breit ist. Aber irgendwann | |
habe ich gemerkt, dass sie wirklich vollends überschritten ist. Dann habe | |
ich gesagt: Schluss jetzt. | |
Diese schlechten Tools können auch Gutes anrichten. Die Sauerlandgruppe | |
hätte vielleicht nicht gefunden werden können, hätte es nicht digitale | |
Werkzeuge gegeben? | |
Es gibt schwarz und weiß, aber das kann man in dieser Branche nicht | |
trennen. Die Sachen, an denen wir gearbeitet haben, die haben den | |
Dual-Use-Aspekt. Sie können für gute und schlechte Dinge genutzt werden. | |
Zum Beispiel der Infection Proxy. Das ist ein Computer, der zwischen dich | |
und deine Internetanbindung gehangen wird. Und der ist dann in der Lage, | |
alles was du runter lädst, in Echtzeit anzugucken und da Dinge | |
auszutauschen. Unser Geschäftsführer hat immer argumentiert, dass man den | |
auch für gute Zwecke nutzen kann, indem man Viren herausfiltert. | |
Du hast den FinFireWire gebaut, ein Tool, dass die Passwort-Abfrage eines | |
Computers umgeht und seinem Nutzer Adminrechte gibt. Was sind Vorteile | |
dieses Werkzeugs? | |
Für forensische Zwecke ist es ein sinnvolles Tool. Das heißt: Forschung in | |
Sachen Schadsoftware. Wenn in Rechner eingebrochen wurde, versucht man | |
herauszufinden: Wer hat da eingebrochen und was hat er hinterlassen? | |
Also du hast das Tool gebaut, aber wie es genutzt wird, hast du anderen | |
überlassen? | |
Nein, nein. Primär haben wir dieses Tool selber benutzt. Die meisten | |
Projekte, die wir gemacht haben, waren ziviler Natur. Wir haben für Firmen | |
der Wirtschaft, Banken und Softwarehersteller eine Sicherheitsanalyse | |
gemacht. Das Angriffswerkzeug für Gamma war nur ein Projekt von vielen. Und | |
Gamma hatte vorgegeben, die Tools für gute Zwecke einzusetzen, sie nur an | |
korrekte Staaten für Ermittlungsgeschichten zu verkaufen. | |
Aber du wusstest doch schon vorher, dass es den Dual-Use-Aspekt gibt? | |
Ja, aber man hat sich das schön geredet. Umso mehr man gesehen hat, dass | |
das negativ ist, was die da machen, desto mehr hat man sich das auch im | |
Kopf zurechtgelegt. Das muss man aber auch, sonst könnte man die Arbeit ja | |
nicht durchführen. | |
Hast du mit den Kollegen darüber geredet? | |
Wir haben uns schon mehr und mehr einen Kopf darüber gemacht. Wir haben | |
auch einen Ansprechpartner von Gamma damit konfrontiert, wie seine | |
ethisch-moralischen Vorstellungen sind | |
Aber dann müsst ihr ja auch welche gehabt haben? | |
Ja natürlich. Die Erkenntnis kam aber langsam. Ich bin halt ein Hacker. Ich | |
finde spannende technische Projekte gut. Und für mich war das technisch | |
herausfordernd. Und das war das, was primär zählte. Man blendet viel aus. | |
Aber du hast deine Arbeit ja reflektiert, als du bei Dreamlab gearbeitet | |
hast? | |
Es wäre verlogen zu behaupten, dass ich das alles gemacht habe, damit die | |
Welt sicherer oder besser wird. Ich hätte nie über etwas Negatives | |
nachgedacht, wenn ich dieses Tool für einen Antiviren-Hersteller gebaut | |
hätte. Diese Industrie, die Überwachungstechnik herstellen, die haben aus | |
Hacker Perspektive ein unglaublich spannendes Arbeitsfeld. Das Problem ist, | |
dass jüngere Leute an den Unis angequatscht werden, die moralisch nicht so | |
gefestigt sind. | |
Aber du warst damals schon 32, als du eingestiegen bist? | |
Im Nachhinein ist man halt immer schlauer. Heute bin ich sensibilisiert, | |
dass einem das leicht passieren kann. Aber es ist niemals in der | |
Öffentlichkeit thematisiert worden, dass man aufpassen muss, für wen man | |
was macht. Das ist halt einfach Naivität, ich bin unbedarft an die Sache | |
rangegangen. Das will ich nicht leugnen. | |
Es gibt ja auch Standards in der IT-Security. Also eine Richtlinie, woran | |
man sich halten kann: „Ethical Hacking“. Hast du das damals befolgt? | |
Nicht so sehr. Bei diesen Nischenthemen, die ich mache, da gibt es solche | |
Standards nicht. Dieses „Ethical Hacking“ ist interessant, wenn es um | |
Netzwerk-Security-Analysen geht, man weiß eben, dass man nicht in Daten von | |
Angestellten schnüffelt. Wenn ich aber Tools entwickle, dann folge ich der | |
Intuition und greife auf einen Erfahrungsschatz zurück. | |
Was arbeitest du jetzt? | |
Ich habe mit meinen Dreamlab-Kollegen aus Winterthur eine eigene Firma | |
gegründet. Wir machen alles, was wir früher auch gemacht haben. Mit der | |
Ausnahme, dass wir schauen: Wer sind unsere Auftraggeber? Wenn wir sie | |
nicht kennen, recherchieren wir. | |
Wie moralisch ist es jetzt, zu sagen: „Das ist schlecht, was die machen – | |
aber was ich mache, ist gut“? | |
Ich nehme nicht teil an irgendwelchen Prozessen oder Arbeiten, die | |
unmittelbar dazu geeignet sind, irgendjemanden zu unterdrücken oder | |
auszuspionieren. Mein Beruf besteht nicht daraus, irgendwelche | |
Angriffswerkzeuge zu bauen, ich mache Sicherheitsanalysen. | |
Wie differenzierst du gut und böse? | |
Ich glaube, da, wo man wirklich aktiv mit Behörden oder Firmen wie Gamma | |
zusammenarbeitet um Überwachungstechnik herzustellen oder zu verbreiten, da | |
ist eine Grenze. Wenn das BKA fragt, ob ich im Rahmen einer Ethik-Konferenz | |
einen Vortrag halte, dann werde ich das tun. Wenn sie mich aber fragen, ob | |
ich an ihrem neuen Staatstrojaner mit programmiere, dann würde ich nein | |
sagen. | |
Wenn du einen Vortrag hältst, dann ist die Information mündlich. Die kann | |
ja auch an andere Quellen gehen? | |
Es ist ein blöder Vergleich und er hinkt, aber wenn ich ein Küchenmesser | |
herstelle, dann kann man das eben auch verwenden, um jemanden umzubringen. | |
Aber der Messerhersteller kann das nicht kontrollieren. | |
Aber warum sagst du nicht: Dann produziere ich kein Messer mehr? | |
Ich möchte mich nicht aus der Branche zurückziehen, weil ich überwiegend | |
spannende und gute Sachen mache. Ich stehe nicht da und sage: Ich baue | |
gerne Werkzeuge, die zur Unterdrückung von Völkern genutzt werden. Ganz | |
bestimmt nicht. Ich bin halt ein Techniker, ich bin ein Hacker. Man ist da | |
in einer Zwickmühle, Fressen oder Moral. Das hat man in jeder Branche. | |
Moral ist auch ein finanzieller Luxus, den man sich leisten muss. | |
25 Sep 2013 | |
## AUTOREN | |
Julia Neumann | |
## TAGS | |
Hacker | |
Schwerpunkt Chaos Computer Club | |
Spionage | |
Waffenlieferung | |
Schwerpunkt Überwachung | |
Yahoo | |
Transparenz | |
Computer | |
## ARTIKEL ZUM THEMA | |
Verseuchte Online-Anzeigen: Schadsoftware auf Yahoo-Seiten | |
Am vergangenen Freitag wurde über europäische Yahoo-Seiten Malware | |
verbreitet. Yahoo versicherte, die Schadprogramme seien schnell entfernt | |
worden. | |
Grundsätze für Überwachung: Im Einklang mit Menschenrechten | |
Die Überwachung muss endlich gestoppt werden – weltweit. 13 Grundsätze für | |
mehr Privatsphäre und Meinungsfreiheit im Netz. | |
Geheimdienste mit Hacker-Methoden: USA infizieren Rechner mit Viren | |
Codename „Genie“: Einem Zeitungsbericht zufolge sollen die US-Geheimdienste | |
Zehntausende Rechner attackiert, um Zugriff auf ganze Netzwerke zu | |
bekommen. | |
Der Hacker, eine Typologie: Alarm! Eindringlinge! Alarm! | |
Nato, Sony und Blood & Honour: Regelmäßig dringen Computertüftler in fremde | |
Datennetze ein. Warum machen die das? Der Versuch einer Einordnung. | |
Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler" | |
Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der | |
IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung | |
für eine Zunft, die er eigentlich bekämpft. | |
Kleine Wortkunde: Hacker | |
Neuerdings haben Neckermann, das Pentagon und Sony etwas gemeinsam: Sie | |
alle wurden in den letzten Wochen Ziel von Hackerangriffen. Aber wer ist | |
das? | |
Wikileaks mangelnde Transparenz: Vom Hacker zum Popstar | |
Ursprünglich wollte Wikileaks einmal so viele Informationen wie möglich | |
frei zugänglich machen. Nun ist es selbst ein Schleusenwärter geworden. Ein | |
mächtiger. |