# taz.de -- Sicherheitsberater über Spähsoftware: „Fressen oder Moral“
       
       > Simon hat eine digitale Waffe gebaut. Das Tool wurde an die Diktatoren in
       > Oman und Turkmenistan verkauft. Ein Gespräch über das Debakel des
       > Waffenschmieds.
       
 (IMG) Bild: Der FinFireWire umgeht die Passwort-Abfrage des PCs, dann kann Schadsoftware installiert werden. Simon hat das Tool gebaut.
       
       Simon war 16, als er sich von seinem Ausbildungsgehalt einen Computer
       gekauft hat. Er hat hinterfragt: Was macht das Gerät, wie funktioniert es
       und wie kriegt man das kaputt? Es faszinierte ihn, die Grenzen der Technik
       zu finden und die Macht über das Gerät zu haben. Dann hatte er finanziell
       zu kämpfen – und wurde Berufshacker. Als IT-Sicherheitsberater überprüfte
       er Netze, suchte Schwachstellen, machte Sicherheitsanalysen. 
       
       Mit 32 Jahren wechselte Simon zu der Firma Dreamlab. Heute ist bekannt,
       dass er dort ein Produkt entwickelte, dass die deutsche Firma Gamma an
       Diktaturen verkauft hat. Simon ist daraufhin ausgestiegen. 
       
       taz: Bist du ein politisch engagierter Mensch? 
       
       Simon: Ja. Ich habe lange Wehrpflichtverweigerer betreut, gegen Faschismus
       demonstriert und Häuser besetzt. Deshalb möchte ich meine Geschichte
       erzählen. Um zu zeigen, dass durchaus auch linke Leute in so eine
       Geschichte reinrutschen können.
       
       Und mit dieser antimilitaristischen Einstellung konntest du trotzdem bei
       Dreamlab arbeiten, obwohl deine Produkte an Diktaturen verkauft wurden? 
       
       Es ist ja nicht schlecht, Sicherheitsforschung zu betreiben. Aber es ist
       schlecht, für einen Zulieferer zu arbeiten, wenn man weiß, was mit dem
       Produkt passiert. Aber das wusste ich zu dem Zeitpunkt nicht.
       
       Hast du nachgefragt, woran Dreamlab arbeitet? 
       
       Klar, ich habe auf der Webseite recherchiert. Für mich war das eine ganz
       normale Firma, die IT-Security Beratung macht. Der erste Eindruck war cool,
       alle waren locker drauf. Das hat sich auch nicht unterschieden von dem, was
       ich vorher gemacht habe. Der Geschäftsführer Nicolas Mayencourt hatte
       irgendwann mal angedeutet, dass sie Schweizer Behörden ihre Sachen für
       Strafverfolgungsgeschichten anbieten. Aber das war für mich nicht
       sonderlich problematisch. Man hat mir versichert, dass in der Schweiz ein
       Missbrauch durch Behörden nicht statt findet.
       
       Dann kam die deutsche Firma Gamma, die euer Produkt von Dreamlab gekauft
       hat. Wann kamen dir Zweifel? 
       
       2005 hat jemand schon ein Tool veröffentlicht, das das Login von einem
       Windows-XP umgeht. Wir sollten das für moderne Betriebssysteme erweitern.
       Dann kam Gamma nach und nach an und bat uns, dieses und jenes Feature
       hinzuzufügen. Irgendwann sollten wir Windows-Versionen in verschiedenen
       Sprachen durchtesten. Wir haben dann viele Installations-CDs für
       Windows-Betriebssysteme bekommen, aus dem östlichen und arabischen Raum. Da
       hat man mitgekriegt, was in dem Laden läuft. Aber es war nicht daran zu
       denken, alles hinzuschmeißen.
       
       Warum nicht, wenn das schlechte Gewissen so groß ist? 
       
       Das ist nichts, was man von einer Minute zur anderen entscheidet. Es ist
       schwierig zu beschreiben, dass man irgendwann eine rote Linie
       überschreitet, aber nicht so richtig festzumachen ist, wann man die
       überschritten hat – weil diese Linie unglaublich breit ist. Aber irgendwann
       habe ich gemerkt, dass sie wirklich vollends überschritten ist. Dann habe
       ich gesagt: Schluss jetzt.
       
       Diese schlechten Tools können auch Gutes anrichten. Die Sauerlandgruppe
       hätte vielleicht nicht gefunden werden können, hätte es nicht digitale
       Werkzeuge gegeben? 
       
       Es gibt schwarz und weiß, aber das kann man in dieser Branche nicht
       trennen. Die Sachen, an denen wir gearbeitet haben, die haben den
       Dual-Use-Aspekt. Sie können für gute und schlechte Dinge genutzt werden.
       Zum Beispiel der Infection Proxy. Das ist ein Computer, der zwischen dich
       und deine Internetanbindung gehangen wird. Und der ist dann in der Lage,
       alles was du runter lädst, in Echtzeit anzugucken und da Dinge
       auszutauschen. Unser Geschäftsführer hat immer argumentiert, dass man den
       auch für gute Zwecke nutzen kann, indem man Viren herausfiltert.
       
       Du hast den FinFireWire gebaut, ein Tool, dass die Passwort-Abfrage eines
       Computers umgeht und seinem Nutzer Adminrechte gibt. Was sind Vorteile
       dieses Werkzeugs? 
       
       Für forensische Zwecke ist es ein sinnvolles Tool. Das heißt: Forschung in
       Sachen Schadsoftware. Wenn in Rechner eingebrochen wurde, versucht man
       herauszufinden: Wer hat da eingebrochen und was hat er hinterlassen?
       
       Also du hast das Tool gebaut, aber wie es genutzt wird, hast du anderen
       überlassen? 
       
       Nein, nein. Primär haben wir dieses Tool selber benutzt. Die meisten
       Projekte, die wir gemacht haben, waren ziviler Natur. Wir haben für Firmen
       der Wirtschaft, Banken und Softwarehersteller eine Sicherheitsanalyse
       gemacht. Das Angriffswerkzeug für Gamma war nur ein Projekt von vielen. Und
       Gamma hatte vorgegeben, die Tools für gute Zwecke einzusetzen, sie nur an
       korrekte Staaten für Ermittlungsgeschichten zu verkaufen.
       
       Aber du wusstest doch schon vorher, dass es den Dual-Use-Aspekt gibt? 
       
       Ja, aber man hat sich das schön geredet. Umso mehr man gesehen hat, dass
       das negativ ist, was die da machen, desto mehr hat man sich das auch im
       Kopf zurechtgelegt. Das muss man aber auch, sonst könnte man die Arbeit ja
       nicht durchführen.
       
       Hast du mit den Kollegen darüber geredet? 
       
       Wir haben uns schon mehr und mehr einen Kopf darüber gemacht. Wir haben
       auch einen Ansprechpartner von Gamma damit konfrontiert, wie seine
       ethisch-moralischen Vorstellungen sind
       
       Aber dann müsst ihr ja auch welche gehabt haben? 
       
       Ja natürlich. Die Erkenntnis kam aber langsam. Ich bin halt ein Hacker. Ich
       finde spannende technische Projekte gut. Und für mich war das technisch
       herausfordernd. Und das war das, was primär zählte. Man blendet viel aus.
       
       Aber du hast deine Arbeit ja reflektiert, als du bei Dreamlab gearbeitet
       hast? 
       
       Es wäre verlogen zu behaupten, dass ich das alles gemacht habe, damit die
       Welt sicherer oder besser wird. Ich hätte nie über etwas Negatives
       nachgedacht, wenn ich dieses Tool für einen Antiviren-Hersteller gebaut
       hätte. Diese Industrie, die Überwachungstechnik herstellen, die haben aus
       Hacker Perspektive ein unglaublich spannendes Arbeitsfeld. Das Problem ist,
       dass jüngere Leute an den Unis angequatscht werden, die moralisch nicht so
       gefestigt sind.
       
       Aber du warst damals schon 32, als du eingestiegen bist? 
       
       Im Nachhinein ist man halt immer schlauer. Heute bin ich sensibilisiert,
       dass einem das leicht passieren kann. Aber es ist niemals in der
       Öffentlichkeit thematisiert worden, dass man aufpassen muss, für wen man
       was macht. Das ist halt einfach Naivität, ich bin unbedarft an die Sache
       rangegangen. Das will ich nicht leugnen.
       
       Es gibt ja auch Standards in der IT-Security. Also eine Richtlinie, woran
       man sich halten kann: „Ethical Hacking“. Hast du das damals befolgt? 
       
       Nicht so sehr. Bei diesen Nischenthemen, die ich mache, da gibt es solche
       Standards nicht. Dieses „Ethical Hacking“ ist interessant, wenn es um
       Netzwerk-Security-Analysen geht, man weiß eben, dass man nicht in Daten von
       Angestellten schnüffelt. Wenn ich aber Tools entwickle, dann folge ich der
       Intuition und greife auf einen Erfahrungsschatz zurück.
       
       Was arbeitest du jetzt? 
       
       Ich habe mit meinen Dreamlab-Kollegen aus Winterthur eine eigene Firma
       gegründet. Wir machen alles, was wir früher auch gemacht haben. Mit der
       Ausnahme, dass wir schauen: Wer sind unsere Auftraggeber? Wenn wir sie
       nicht kennen, recherchieren wir.
       
       Wie moralisch ist es jetzt, zu sagen: „Das ist schlecht, was die machen –
       aber was ich mache, ist gut“? 
       
       Ich nehme nicht teil an irgendwelchen Prozessen oder Arbeiten, die
       unmittelbar dazu geeignet sind, irgendjemanden zu unterdrücken oder
       auszuspionieren. Mein Beruf besteht nicht daraus, irgendwelche
       Angriffswerkzeuge zu bauen, ich mache Sicherheitsanalysen.
       
       Wie differenzierst du gut und böse? 
       
       Ich glaube, da, wo man wirklich aktiv mit Behörden oder Firmen wie Gamma
       zusammenarbeitet um Überwachungstechnik herzustellen oder zu verbreiten, da
       ist eine Grenze. Wenn das BKA fragt, ob ich im Rahmen einer Ethik-Konferenz
       einen Vortrag halte, dann werde ich das tun. Wenn sie mich aber fragen, ob
       ich an ihrem neuen Staatstrojaner mit programmiere, dann würde ich nein
       sagen.
       
       Wenn du einen Vortrag hältst, dann ist die Information mündlich. Die kann
       ja auch an andere Quellen gehen? 
       
       Es ist ein blöder Vergleich und er hinkt, aber wenn ich ein Küchenmesser
       herstelle, dann kann man das eben auch verwenden, um jemanden umzubringen.
       Aber der Messerhersteller kann das nicht kontrollieren.
       
       Aber warum sagst du nicht: Dann produziere ich kein Messer mehr? 
       
       Ich möchte mich nicht aus der Branche zurückziehen, weil ich überwiegend
       spannende und gute Sachen mache. Ich stehe nicht da und sage: Ich baue
       gerne Werkzeuge, die zur Unterdrückung von Völkern genutzt werden. Ganz
       bestimmt nicht. Ich bin halt ein Techniker, ich bin ein Hacker. Man ist da
       in einer Zwickmühle, Fressen oder Moral. Das hat man in jeder Branche.
       Moral ist auch ein finanzieller Luxus, den man sich leisten muss.
       
       25 Sep 2013
       
       ## AUTOREN
       
 (DIR) Julia Neumann
       
       ## TAGS
       
 (DIR) Hacker
 (DIR) Schwerpunkt Chaos Computer Club
 (DIR) Spionage
 (DIR) Waffenlieferung
 (DIR) Schwerpunkt Überwachung
 (DIR) Yahoo
 (DIR) Transparenz
 (DIR) Computer
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Verseuchte Online-Anzeigen: Schadsoftware auf Yahoo-Seiten
       
       Am vergangenen Freitag wurde über europäische Yahoo-Seiten Malware
       verbreitet. Yahoo versicherte, die Schadprogramme seien schnell entfernt
       worden.
       
 (DIR) Grundsätze für Überwachung: Im Einklang mit Menschenrechten
       
       Die Überwachung muss endlich gestoppt werden – weltweit. 13 Grundsätze für
       mehr Privatsphäre und Meinungsfreiheit im Netz.
       
 (DIR) Geheimdienste mit Hacker-Methoden: USA infizieren Rechner mit Viren
       
       Codename „Genie“: Einem Zeitungsbericht zufolge sollen die US-Geheimdienste
       Zehntausende Rechner attackiert, um Zugriff auf ganze Netzwerke zu
       bekommen.
       
 (DIR) Der Hacker, eine Typologie: Alarm! Eindringlinge! Alarm!
       
       Nato, Sony und Blood & Honour: Regelmäßig dringen Computertüftler in fremde
       Datennetze ein. Warum machen die das? Der Versuch einer Einordnung.
       
 (DIR) Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler"
       
       Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der
       IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung
       für eine Zunft, die er eigentlich bekämpft.
       
 (DIR) Kleine Wortkunde: Hacker
       
       Neuerdings haben Neckermann, das Pentagon und Sony etwas gemeinsam: Sie
       alle wurden in den letzten Wochen Ziel von Hackerangriffen. Aber wer ist
       das?
       
 (DIR) Wikileaks mangelnde Transparenz: Vom Hacker zum Popstar
       
       Ursprünglich wollte Wikileaks einmal so viele Informationen wie möglich
       frei zugänglich machen. Nun ist es selbst ein Schleusenwärter geworden. Ein
       mächtiger.