Sicherheitsberater über Spähsoftware: „Fressen oder Moral“

Simon war 16, als er sich von seinem Ausbildungsgehalt einen Computer gekauft hat. Er hat hinterfragt: Was macht das Gerät, wie funktioniert es und wie kriegt man das kaputt? Es faszinierte ihn, die Grenzen der Technik zu finden und die Macht über das Gerät zu haben. Dann hatte er finanziell zu kämpfen – und wurde Berufshacker. Als IT-Sicherheitsberater überprüfte er Netze, suchte Schwachstellen, machte Sicherheitsanalysen.

Mit 32 Jahren wechselte Simon zu der Firma Dreamlab. Heute ist bekannt, dass er dort ein Produkt entwickelte, dass die deutsche Firma Gamma an Diktaturen verkauft hat. Simon ist daraufhin ausgestiegen.

taz: Bist du ein politisch engagierter Mensch?

Simon: Ja. Ich habe lange Wehrpflichtverweigerer betreut, gegen Faschismus demonstriert und Häuser besetzt. Deshalb möchte ich meine Geschichte erzählen. Um zu zeigen, dass durchaus auch linke Leute in so eine Geschichte reinrutschen können.

Und mit dieser antimilitaristischen Einstellung konntest du trotzdem bei Dreamlab arbeiten, obwohl deine Produkte an Diktaturen verkauft wurden?

Es ist ja nicht schlecht, Sicherheitsforschung zu betreiben. Aber es ist schlecht, für einen Zulieferer zu arbeiten, wenn man weiß, was mit dem Produkt passiert. Aber das wusste ich zu dem Zeitpunkt nicht.

Hast du nachgefragt, woran Dreamlab arbeitet?

Klar, ich habe auf der Webseite recherchiert. Für mich war das eine ganz normale Firma, die IT-Security Beratung macht. Der erste Eindruck war cool, alle waren locker drauf. Das hat sich auch nicht unterschieden von dem, was ich vorher gemacht habe. Der Geschäftsführer Nicolas Mayencourt hatte irgendwann mal angedeutet, dass sie Schweizer Behörden ihre Sachen für Strafverfolgungsgeschichten anbieten. Aber das war für mich nicht sonderlich problematisch. Man hat mir versichert, dass in der Schweiz ein Missbrauch durch Behörden nicht statt findet.

Dann kam die deutsche Firma Gamma, die euer Produkt von Dreamlab gekauft hat. Wann kamen dir Zweifel?

2005 hat jemand schon ein Tool veröffentlicht, das das Login von einem Windows-XP umgeht. Wir sollten das für moderne Betriebssysteme erweitern. Dann kam Gamma nach und nach an und bat uns, dieses und jenes Feature hinzuzufügen. Irgendwann sollten wir Windows-Versionen in verschiedenen Sprachen durchtesten. Wir haben dann viele Installations-CDs für Windows-Betriebssysteme bekommen, aus dem östlichen und arabischen Raum. Da hat man mitgekriegt, was in dem Laden läuft. Aber es war nicht daran zu denken, alles hinzuschmeißen.

Warum nicht, wenn das schlechte Gewissen so groß ist?

Das ist nichts, was man von einer Minute zur anderen entscheidet. Es ist schwierig zu beschreiben, dass man irgendwann eine rote Linie überschreitet, aber nicht so richtig festzumachen ist, wann man die überschritten hat – weil diese Linie unglaublich breit ist. Aber irgendwann habe ich gemerkt, dass sie wirklich vollends überschritten ist. Dann habe ich gesagt: Schluss jetzt.

Diese schlechten Tools können auch Gutes anrichten. Die Sauerlandgruppe hätte vielleicht nicht gefunden werden können, hätte es nicht digitale Werkzeuge gegeben?

Es gibt schwarz und weiß, aber das kann man in dieser Branche nicht trennen. Die Sachen, an denen wir gearbeitet haben, die haben den Dual-Use-Aspekt. Sie können für gute und schlechte Dinge genutzt werden. Zum Beispiel der Infection Proxy. Das ist ein Computer, der zwischen dich und deine Internetanbindung gehangen wird. Und der ist dann in der Lage, alles was du runter lädst, in Echtzeit anzugucken und da Dinge auszutauschen. Unser Geschäftsführer hat immer argumentiert, dass man den auch für gute Zwecke nutzen kann, indem man Viren herausfiltert.

Du hast den FinFireWire gebaut, ein Tool, dass die Passwort-Abfrage eines Computers umgeht und seinem Nutzer Adminrechte gibt. Was sind Vorteile dieses Werkzeugs?

Für forensische Zwecke ist es ein sinnvolles Tool. Das heißt: Forschung in Sachen Schadsoftware. Wenn in Rechner eingebrochen wurde, versucht man herauszufinden: Wer hat da eingebrochen und was hat er hinterlassen?

Also du hast das Tool gebaut, aber wie es genutzt wird, hast du anderen überlassen?

Nein, nein. Primär haben wir dieses Tool selber benutzt. Die meisten Projekte, die wir gemacht haben, waren ziviler Natur. Wir haben für Firmen der Wirtschaft, Banken und Softwarehersteller eine Sicherheitsanalyse gemacht. Das Angriffswerkzeug für Gamma war nur ein Projekt von vielen. Und Gamma hatte vorgegeben, die Tools für gute Zwecke einzusetzen, sie nur an korrekte Staaten für Ermittlungsgeschichten zu verkaufen.

Aber du wusstest doch schon vorher, dass es den Dual-Use-Aspekt gibt?

Ja, aber man hat sich das schön geredet. Umso mehr man gesehen hat, dass das negativ ist, was die da machen, desto mehr hat man sich das auch im Kopf zurechtgelegt. Das muss man aber auch, sonst könnte man die Arbeit ja nicht durchführen.

Hast du mit den Kollegen darüber geredet?

Wir haben uns schon mehr und mehr einen Kopf darüber gemacht. Wir haben auch einen Ansprechpartner von Gamma damit konfrontiert, wie seine ethisch-moralischen Vorstellungen sind

Aber dann müsst ihr ja auch welche gehabt haben?

Ja natürlich. Die Erkenntnis kam aber langsam. Ich bin halt ein Hacker. Ich finde spannende technische Projekte gut. Und für mich war das technisch herausfordernd. Und das war das, was primär zählte. Man blendet viel aus.

Aber du hast deine Arbeit ja reflektiert, als du bei Dreamlab gearbeitet hast?

Es wäre verlogen zu behaupten, dass ich das alles gemacht habe, damit die Welt sicherer oder besser wird. Ich hätte nie über etwas Negatives nachgedacht, wenn ich dieses Tool für einen Antiviren-Hersteller gebaut hätte. Diese Industrie, die Überwachungstechnik herstellen, die haben aus Hacker Perspektive ein unglaublich spannendes Arbeitsfeld. Das Problem ist, dass jüngere Leute an den Unis angequatscht werden, die moralisch nicht so gefestigt sind.

Aber du warst damals schon 32, als du eingestiegen bist?

Im Nachhinein ist man halt immer schlauer. Heute bin ich sensibilisiert, dass einem das leicht passieren kann. Aber es ist niemals in der Öffentlichkeit thematisiert worden, dass man aufpassen muss, für wen man was macht. Das ist halt einfach Naivität, ich bin unbedarft an die Sache rangegangen. Das will ich nicht leugnen.

Es gibt ja auch Standards in der IT-Security. Also eine Richtlinie, woran man sich halten kann: „Ethical Hacking“. Hast du das damals befolgt?

Nicht so sehr. Bei diesen Nischenthemen, die ich mache, da gibt es solche Standards nicht. Dieses „Ethical Hacking“ ist interessant, wenn es um Netzwerk-Security-Analysen geht, man weiß eben, dass man nicht in Daten von Angestellten schnüffelt. Wenn ich aber Tools entwickle, dann folge ich der Intuition und greife auf einen Erfahrungsschatz zurück.

Was arbeitest du jetzt?

Ich habe mit meinen Dreamlab-Kollegen aus Winterthur eine eigene Firma gegründet. Wir machen alles, was wir früher auch gemacht haben. Mit der Ausnahme, dass wir schauen: Wer sind unsere Auftraggeber? Wenn wir sie nicht kennen, recherchieren wir.

Wie moralisch ist es jetzt, zu sagen: „Das ist schlecht, was die machen – aber was ich mache, ist gut“?

Ich nehme nicht teil an irgendwelchen Prozessen oder Arbeiten, die unmittelbar dazu geeignet sind, irgendjemanden zu unterdrücken oder auszuspionieren. Mein Beruf besteht nicht daraus, irgendwelche Angriffswerkzeuge zu bauen, ich mache Sicherheitsanalysen.

Wie differenzierst du gut und böse?

Ich glaube, da, wo man wirklich aktiv mit Behörden oder Firmen wie Gamma zusammenarbeitet um Überwachungstechnik herzustellen oder zu verbreiten, da ist eine Grenze. Wenn das BKA fragt, ob ich im Rahmen einer Ethik-Konferenz einen Vortrag halte, dann werde ich das tun. Wenn sie mich aber fragen, ob ich an ihrem neuen Staatstrojaner mit programmiere, dann würde ich nein sagen.

Wenn du einen Vortrag hältst, dann ist die Information mündlich. Die kann ja auch an andere Quellen gehen?

Es ist ein blöder Vergleich und er hinkt, aber wenn ich ein Küchenmesser herstelle, dann kann man das eben auch verwenden, um jemanden umzubringen. Aber der Messerhersteller kann das nicht kontrollieren.

Aber warum sagst du nicht: Dann produziere ich kein Messer mehr?

Ich möchte mich nicht aus der Branche zurückziehen, weil ich überwiegend spannende und gute Sachen mache. Ich stehe nicht da und sage: Ich baue gerne Werkzeuge, die zur Unterdrückung von Völkern genutzt werden. Ganz bestimmt nicht. Ich bin halt ein Techniker, ich bin ein Hacker. Man ist da in einer Zwickmühle, Fressen oder Moral. Das hat man in jeder Branche. Moral ist auch ein finanzieller Luxus, den man sich leisten muss.