Überwachungssoftware Hacker auf der dunklen Seite

Wie wird aus einem linken Hacker ein Zulieferer für die Überwachungsindustrie? Hersteller von Späh-Software suchen begabte Programmierer. Viele wissen gar nicht, was sie da eigentlich bauen - und werden so zu Spionagehelfern. Ein Aussteiger berichtet über seinen Weg in die Schattenbranche.

Programmierer (Symbolbild): "Man überschreitet eine Linie, aber merkt es gar nicht"
DPA

Programmierer (Symbolbild): "Man überschreitet eine Linie, aber merkt es gar nicht"

Von


Eigentlich dachte Simon*, er wäre einer von den Guten. Sein Herz schlug links, er hat demonstriert und Häuser besetzt; er engagierte sich gegen Krieg und Unrecht, gegen Faschismus und Rassismus, gegen einen Überwachungsstaat und für die Freiheit aller Menschen. Dass ausgerechnet er eines Tages Überwachungssoftware programmieren könnte, hätte er wohl entrüstet von sich gewiesen. "Doch ich wachte quasi eines Morgens auf und stellte fest, dass ich einen wichtigen Baustein für eine digitale Waffe gebaut habe. Die kann zum Beispiel an Regierungen verkauft werden, die damit ihr Volk ausspähen und unterdrücken."

Der Mann, der das erzählt, wird in der Mitgliedszeitung des Chaos Computer Clubs (PDF-Datei) Simon genannt, obwohl er anders heißt. Es wäre zu gefährlich, seinen Namen zu nennen. Er hat Geheimhaltungsklauseln unterschrieben, und als CCC-Mitglied hätte er einen Ruf zu verlieren. In der Hackerszene geht es um zentrale Fragen: In wessen Dienst sollte ein begabter Programmierer seine Fähigkeiten stellen? Fühlt man sich einer Hackerethik verpflichtet?

Simon ist ein großer Mann mit gutmütigem Lächeln, er sitzt in einem Konferenzraum in Hamburg und verhakt seine Finger. Blick und Stimme bleiben aber fest, als er seine Geschichte erzählt. Damals, vor Jahren, hat er für eine Schweizer Firma gearbeitet, die Dreamlab heißt, Traumlabor. Die Firma hat sich Informationssicherheit auf die Fahnen geschrieben und erbringt diverse Leistungen, eine Art IT-Gemischtwarenladen. Simon sagt, er habe gern dort gearbeitet, mit Überwachung oder "schwarzen Sachen" hätte sein Job eigentlich nichts zu tun gehabt.

Erst als er fertig war, sah er, was er gebaut hatte

"Wir durften machen, was wir wollten, das war schon ein angenehmes Arbeiten", sagt er. Er konnte forschen und experimentieren, zwischendurch habe er eben programmiert, was ihm aufgetragen wurde. Oft ohne zu wissen, wofür es später genutzt wurde. "Es gab Teams an mehreren Standorten, die unabhängig voneinander gearbeitet haben", sagt er. Den Überblick über die Projekte habe er nie gehabt. "Dabei lässt sich manchmal erst durch das Zusammensetzen erkennen, was man da eigentlich baut." Dann kam dieser eine Auftrag. "Erst als wir mit dem fertig waren, wurde mir klar, was für ein mächtiges Instrument wir erschaffen hatten."

Dieses "Instrument" schaffe die Voraussetzungen, um einen Trojaner zu installieren. Es ermöglicht selbst technisch Unkundigen, sich Zugang zu einem Rechner zu verschaffen, ohne das Passwort zu haben. Das könnte ein Schweizer Ermittler sein, der an die Daten auf dem Rechner eines Straftäters heran muss. Es könnte aber auch jemand in einer Diktatur sein, der den Rechner eines Dissidenten ausforschen will.

Manche Werkzeuge lassen sich im Guten einsetzen, aber eben auch für moralisch fragwürdige Zwecke. "Dual use" nennt man das, doppelter Verwendungszweck. Der Begriff fällt oft, wenn Simon erzählt.

Mit Dokumenten oder Verträgen belegen kann er seine Geschichte nicht, er konnte nicht einmal beweisen, dass das Unternehmen überhaupt etwas mit Überwachung zu tun hat. Doch wer den Firmennamen in eine Suchmaschine eingibt, wird heute rasch fündig.

Strategische Partnerschaft mit Gamma

Schnell landet man bei BuggedPlanet.info, einer Webseite, die der CCC-Veteran Andy Müller-Maguhn aufgesetzt hat. Dort werden Informationen über Firmen zusammengetragen, die Überwachungssoftware herstellen: Verträge, Dokumente, Zeitungsartikel. "Fast alle in 'BuggedPlanet' aufgenommenen Unternehmen betreiben Überwachung als Kerngeschäft", sagt Müller-Maguhn.

Dreamlab hat auf dieser Seite schon länger einen Platz. Neuerdings einen prominenteren: Kürzlich veröffentlichte Wikileaks gemeinsam mit Bürgerrechtsorganisationen Dokumente, den dritten Teil der sogenannten Spy Files. Daraus geht hervor, welche Firmen Spähtechnik im Angebot haben. Auf etlichen Dokumenten steht der Name Dreamlab: auf Angeboten etwa oder auf einer Bestellung, in der es auch um digitale Angriffswerkzeuge geht. Und es gibt die "Vereinbarung einer strategischen Partnerschaft" zwischen Dreamlab und Gamma International, einer Firma, die dafür bekannt ist, Überwachungssysteme anzubieten.

Um künftig auch Aufträge übernehmen zu können, welche "die Möglichkeiten des einzelnen übersteigen", heißt es im Vertrag, wolle man "zusammenarbeiten und Aufträge gemeinsam akquirieren und erfüllen." Gamma verpflichtet sich dabei, Dreamlab in der Schweiz, Bulgarien, Chile und Ungarn nicht in die Quere zu kommen; für die Schweizer sind dafür Afrika sowie "Naher, Mittlerer- und ferner Osten" tabu.

Mit Trojanern will der Chef nichts zu tun haben

Ja, den Vertrag habe es gegeben, gibt Dreamlab-Chef Nicolas Mayencourt zu. In einer öffentlichen Stellungnahme schreibt er, ein Mitarbeiter habe damals den Vertrag mit Gamma angebahnt und seinen Chef, ihn selbst also, "überzeugen können", dass die Zulieferung eines Bausteins unproblematisch sei. Auf einen Fragenkatalog von SPIEGEL ONLINE antwortete der Dreamlab-Chef wortreich, untersagte uns aber, aus dieser Antwort zu zitieren.

Dreamlab habe nur eine unterliegende Netzwerkkomponente zugeliefert, heißt es in der veröffentlichen Stellungnahme. "Diese Komponente wird grundsätzlich für verschiedenste Anwendungen eingesetzt" und sei zu einem anderen Zweck entwickelt worden. Das ist er wieder, der doppelte Verwendungszweck.

Dass die geleakten Dokumente heikel sind, sieht auch der Firmenchef: Er würde einen solchen Vertrag nicht mehr abschließen, schreibt er, das Unternehmen habe "zu keinem Zeitpunkt sogenannte 'Staatstrojaner' selber entwickelt" und werde das auch nie tun. "Für mich haben derartige Technologien keine legitime Anwendung im rechtsstaatlichen Bereich."

Es geht um Menschenleben

Durch eine breite Anwendung von Informationstechnologie könne "sogar eine Gefährdung von Menschenleben nicht ausgeschlossen werden", schreibt der Dreamlab-Chef weiter, "daher widersprechen derartige Technologien meinem gesellschaftlichen Verständnis, meiner persönlichen Ideologie und dem Ziel unseres Unternehmens."

"BuggedPlanet"-Betreiber Müller-Maguhn hält das für unglaubwürdig: Er selbst habe viele Gesprächen mit Ex-Mitarbeitern der Firma geführt, daraus ergebe sich für ihn ein anderes Bild.

Es gehe nicht nur um die Entwicklung von Trojaner-Bauteilen. Es gebe auch Hinweise auf die Installation und die Wartung von sogenannten Lawful-Interception-Strukturen (LI), die der Überwachung auf einer klaren Gesetzesgrundlage dienen. Allerdings werde auch in Diktaturen mit solchen Werkzeugen überwacht. Viele engagierte Hacker haben mit solcher Technologie ein grundsätzliches Problem.

"Ich habe die Verantwortung weggeschoben und gespielt"

Simon sagt, er sei fast unmerklich in die Szene abgerutscht. Heute sagt er, er habe in seiner Zeit bei Dreamlab wohl "die Verantwortung weggeschoben und gespielt." Als er den Überblick über die Verwendung seiner Projekte verlor, stieg er aus.

Die Gewissensbisse kamen später. Schließlich habe er sogar mit Sicherheitsexperten für Betriebssysteme geredet: "Ich habe gefragt, ob man da vielleicht ein paar Hürden einbauen kann." Er wollte die Nutzer schützen vor einem Angriff, für den er selbst die Möglichkeit geschaffen hat. Was aus dieser Möglichkeit geworden ist, weiß er nicht, er ist ja gegangen. Vielleicht ist das Projekt auch in der Schublade geblieben.

Auf dem CCC-Kongress in Hamburg Ende Dezember 2012 saß Simon abseits auf einer Treppe und beobachtete das Treiben. Tagelang wurde hier über Technik und Freiheit diskutiert, über Ethik und Politik. Der Aktivist Jake Appelbaum hatte mit einer flammenden Rede den Kongress eröffnet: Jeder müsse sich überlegen, was er mit seiner Arbeit bewirkt. Statt an Überwachungssystemen mitzuarbeiten, solle ein Hacker den Menschen doch zur Freiheit verhelfen. Die Zuhörer jubelten.

"Man überschreitet eine Linie, aber man merkt es gar nicht"

Simon schüttelt den Kopf. "Ich habe selbst Jake Appelbaum schon mal im Restaurant sitzen sehen mit Leuten, die für Gamma arbeiten", das sehe man ihnen ja nicht an. Die Szene ist eng vernetzt, aber nicht jeder weiß, was der andere macht. Und selbst wenn: "Niemand wird hier ausgegrenzt, weil er einen bestimmten Job hat." Es wird auch selten gefragt. Die meisten hier wären wohl überrascht, dass ausgerechnet Simon etwas programmiert hat, gegen das sie alle zu kämpfen glauben.

"Man überschreitet eine Linie, aber man merkt es gar nicht", sagt er, "weil die Linie so breit ist." Er hofft, dass andere ihre Arbeit genauer hinterfragen, sich vielleicht auf "Bugged Planet" über Firmen informieren, von denen sie Angebote bekommen. Und dass sie sich trauen, auszusteigen - selbst wenn so ein Geständnis in der Szene vielleicht für Naserümpfen sorgt. Das muss übrigens nicht sein: Simon gilt selbst bei denen, die seine Geschichte kennen, immer noch als einer von den Guten.

* Name geändert

Forum - Diskutieren Sie über diesen Artikel
insgesamt 32 Beiträge
Alle Kommentare öffnen
Seite 1
QPDO 13.09.2013
1. Weißer Hut mit schwarzer Schnur...
So merkt ein angeblicher "White Hat" Hacker, dass er nicht nur ein Black Hat ist. Ob sich die Herren Oppenheimer und Co. irgendwann auch so gefühlt haben als sie die ersten Fotos aus Hiroshima und Nagasaki gesehen haben, oder während der Kubakrise vor dem Fernseher saßen? Ob sich Chemiker und Ingenieure in den Zuliefererfirmen so gefühlt haben als sie die Opfer von Napalm und Entlaubungsmitteln in Vietnam und Korea, oder die Opfer von Giftgasangriffen wie erst kürzlich in Syrien gesehen haben? Dieses "Dilemma des Waffenschmieds" besteht schon seitdem der erste Faustkeil nicht zum Flisch schneiden sondern zum Töten von Menschen verwendet wurde. Nur weil die Waffe heute Information heisst, steht der Schöpfer eines Werkzeugs heute nicht weniger in der Pflicht seine moralische und ethische Grundlage zu durchdenken BEVOR er (oder sie) "einfach macht was er will, oder eben was er gesagt bekommt".
diplpig 13.09.2013
2. Wie naiv kann man sein?
Den Hackern steht nicht nur die Welt des www offen, sondern sie verstehen auch die technischen Mechanismen des Systems. Wie naiv muss man sein, um völlig unreflektiert herumzuprogrammieren? Darüber hinaus ist dem ersten Beitrag nichts hinzuzufügen.
donload 13.09.2013
3.
@QPDO Der größte Zulieferer für Entlaubungsmittel war imho Monsanto, und die Menschen von Monsanto sind noch viel schlimmer, als die Prismleute.
hmueller0 13.09.2013
4. Wie wird aus einem linken Hacker ein Zulieferer für die Überwachungsindustrie?
... mal kurz nachdenken ... evtl. GELD??? Lässt sich doch in beliebigen Bereichen genauso sehen, Gesundheitswesen, Polit, Banken, Industrie ... bei der Entscheidung zwischen Gewissen und Geld (Wahlweise in Form von Prestige, Macht, "Naturalien") entscheiden sich wohl die Wenigsten für das Gewissen/Ideale. Liegt meiner Meinung nach auch daran, dass eben Geld/Erfolg einfach viel angesehener ist - man bewundert doch eher den erfolgreichen Investment Banker als die erfolgreiche Altenpflegerin.
Luna-lucia 13.09.2013
5. ja was sagt man dazu!!??
Zitat von sysopCorbisWie wird aus einem linken Hacker ein Zulieferer für die Überwachungsindustrie? Hersteller von Späh-Software suchen begabte Programmierer. Viele wissen gar nicht, was sie da eigentlich bauen - und werden so zu Spionagehelfern. Ein Aussteiger berichtet über seinen Weg in die Schattenbranche. http://www.spiegel.de/netzwelt/netzpolitik/spionage-software-hacker-berichtet-ueber-ausstieg-bei-dreamlab-a-921705.html
jetzt sind wir vollends überzeugt, dass derartige "Fachleute" es locker schaffen, Drohnen beliebiger Hersteller funktechnisch zu übernehmen, und an Ziele ihrer eigenen Vorstellung zu lenken - logo, sofern es die Spritmenge erlaubt ... Vom Gegenteil kann uns NIEMAND mehr, überzeugen!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.