Datenschleuder 097-ausstieg-gewissen

download Datenschleuder 097-ausstieg-gewissen

of 11

  • date post

    28-Nov-2015
  • Category

    Documents

  • view

    42
  • download

    0

Embed Size (px)

Transcript of Datenschleuder 097-ausstieg-gewissen

  • die datenschleuder. #97 / 2013

    How I ended up beIng a deatH star trooper

    2323

    CLetzter Ausstieg Gewissen

    von frank, 46halbe und erdgeist

    In den letzten Monaten ist eine recht lichtscheue Industrie verstrkt in den Fokus der ffentlichkeit geraten, deren Hauptakteure mit dem auf der Welle der Terrorhysterie schwimmenden Geld ein eintrgliches Geschft wittern und den technologisch berfor-derten Polizeien und Geheimdiensten der Welt versprechen, Licht ins Dunkel der Festplat-ten und Internetforen von Verdchtigen aller Coleur zu bringen.

    Zu sagen, die dort vermarkteten Technologien der IT-Sicherheitsforschung seien ein zweischneidiges Schwert, wre dabei eine gewaltige Untertreibung. Direkt an den Lebensadern der Kommunikationsgesellschaft den intimsten Austausch aller Gedanken seiner Brger in Erfahrung zu bringen, ist seit Urzeiten der heilige Gral aller repressiven Regimes. Doch zeigt sich, da es fr die technische Umsetzung der Werkzeuge zum Spio-nieren und Fernsteuern schlaue Kpfe braucht, um peinliche Debakel, wie sie der Firma DigiTask mit ihrem an deutsche Kriminalmter verkauften Bundestrojaner passiert sind, zu vermeiden.

    Akt 1 Die AkteureWer sind diese Berufshacker, die ganz in der Tradition der Atomwaffenforscher an der vor-dersten Front der Entwicklung stehen, wie sehen sie ihre Arbeit, wie gehen sie mit Nach-richten aus Regionen um, wo der Einsatz ihrer Software zu nchtlichen Hausbesuchen der Geheimpolizei fhrt. Was sind Motive und Sachzwnge, und stimmt es, da es keine Option gibt, zu Auftrgen dieser Art nein zu sagen vielleicht aus finanziellen Verpflichtun-gen, oder da es gar egal ist, weil es sonst halt jemand anderes tut?

    Im Diskurs mit zwei Aussteigern aus der Indu-strie der IT-Angriffswerkzeuge bekommen wir in der Redaktion Die Datenschleuder einen Eindruck von den Mechanismen und Entwick-lungen der dort Forschenden und Arbeitenden. Es wird klarer, wie eine Mischung aus Ehrgeiz, Loyalitt, dem Anspruch sich professionell zu verhalten und natrlich dem Gedanken an die nchste Miete, gepaart mit Naivitt und fehl-gerichtetem Vertrauen zu einem Wendepunkt fhrt. An diesem Punkt wurde eine Ausein-andersetzung mit dem Lebensentwurf unaus-

    weichlich, da die Widersprche zu ihren eige-nen berzeugungen so offenbar wurden.

    Wir treffen Simon*, Mittdreiiger, groer, uri-ger Berliner Typ mit dem festen Hndedruck eines Handwerkers und nachdenklichem Lcheln. Simon trgt eine Kluft, die viel ber seine Vergangenheit verrt: Aus dem politisch aktiven Umfeld Berlins stammend, hat er Jahre seiner Jugend in diversen Initiativen gegen die Militarisierung der deutschen Gesellschaft, gegen Kriegs- und Zwangsdienste, Rassismus und Faschismus gekmpft, verloren oder gefei-ert. Als klar wurde, da die Staatsgewalt zuneh-mend im Digitalen ausgebt wird, hat er sich autodidaktisch wie er sagt das mit den Computern beigebracht und seinen erlernten Beruf an den Nagel gehngt weil er Hacker werden wollte.

    Als klassischer Quer-Einsteiger in die IT- und somit auch in die IT-Security-Branche hat er seine Neugier zum Beruf gemacht: Neugier und den Drang, alle Hintergrnde verstehen zu wollen, den Spa, sich in absurden technischen Details festzubeien, um die Lcke im System

  • die datenschleuder. #97 / 2013

    How I ended up beIng a deatH star trooper

    24 24

    zu finden. Simon sagt, Hacker beziehen ihr Lob und die Anerkennung aus Diskussionen mit Anderen, aus unkonventionellem Lernen und Lehren und von zahlenden Kunden aus der Branche. Es gibt auch Hacker, fr die ist ein Diplom der Mathematik oder Informatik Aner-kennung und Besttigung genug. Zu denen zhlt er sich jedoch nicht. Simons politische Aktivitten wurden aufs Internet ausgedehnt, es gab neue Bedrohungen durch Regierungen, die das Netz sofort als feindlich klassifizierten aus ihrer Sicht mglicherweise zu Recht, denn alles wurde transparenter, und Informationen konnten schneller transportiert werden.

    Nachwuchssorgen

    Es war Simons Idee, seine Geschichte aufzu-schreiben, als Warnung einerseits, wie sich selbst politisch bewute und reflektierte Men-schen pltzlich auf der falschen Seite einer vorher unvermuteten Barrikade wiederfin-den, doch auch als Signal, da dieser Weg kei-neswegs unausweichlich zur Karriere auf der dunklen Seite fhren mu. Er erzhlt uns, da er whrend er sich auf der einen Seite poli-tisch gegen die drohenden Zensurmechanis-men in Gesetzen und in der Technik zur Wehr setzte, gegen die allgegenwrtigen berwa-chungstechnologien, gegen die Kriminalisie-rung von Hackern und die verdachtsunabhn-gige Speicherung von Verbindungsdaten, doch eines morgens aufwachte und feststellen mute, einen nicht unwichtigen Baustein fr eine digi-tale Waffe gebaut zu haben, die von einer Firma

    namens Gamma/Elaman an Regierungen verkauft wird, an Regierungen, die damit das eige-ne Volk aussphen, kompromit-tieren und unterdrcken.

    Simon erzhlt, da ein Gro-teil dieser Industrie in Deutsch-land und Europa ein Problem mit der Rekrutierung neuer Mit-arbeiter hat. Mit dieser Indu-strie meint er vor allen Dingen die kleinen Firmen wie Gamma oder DigiTask, die eine sehr spe-zielle Nische bedienen. In die-

    ser Nische wird eine Nachfrage nach Werkzeu-gen fr die Phasen vor und nach einer Infektion mit einer berwachungssoftware bedient und allem, was technisch minderbegabte Bedarfs-trger brauchen, um noch geheime Schwach-stellen in fremden Systemen auszunutzen. Des-weiteren und das ist insbesondere fr Staaten von besonderem Interesse, die eine allumfng-liche berwachung des eigenen Volkes anstre-ben verkaufen, installieren und warten diese Firmen Hard- und Software fr Netzwerkkom-ponenten, die an geeigneten zentralen Knoten und bergabepunkten in den internationalen Internet-Verkehr eingehngt werden knnen gerne auch persnlich vor Ort.

    In Anlehnung an den Signal Intelli gence genannten Teil geheimdienstlicher Arbeit, dem Abschpfen elektronischer Signale aller Art, wird die Branche auch unter dem Krzel SIGINT zusammengefat.

    Am dringlichsten sucht die Branche und neu-erdings auch ihre Behrdenkunden erfahre-ne Malware-Autoren, also Programmierer von Schadsoftware, die nicht in vermutlich profi-tableren, illegalen Netzwerken fischen. Ziel sind Leute, die Spa am Hacken und Forschen haben, die bestimmte Fhigkeiten mitbringen, welche man nicht an Hochschulen lernt. Natr-lich zhlen hierzu auch viele der professionel-len IT-Sicherheitsberater.

    Diese haben jedoch meist entweder bereits eine Anstellung oder besitzen eine gefestigte und

  • die datenschleuder. #97 / 2013

    How I ended up beIng a deatH star trooper

    2525

    gesunde ethisch-moralische Grundeinstellung und wollen keine Malware schreiben egal fr wen. Da reines technisches Fachwissen nicht ausreicht, haben Firmen und Behrden bereits mehrfach unter Beweis gestellt: Die meisten Manahmen und Techniken erwiesen sich als vllig ungeeignet umgesetzt und als Lachnum-mer. Woher bekommt man nun also fortge-schrittene Hacker-Kompetenz, die einem aber

    technopolitisch bei der Umsetzung von mora-lisch fragwrdigen Projekten nicht in die Quere kommen?

    Firmen wie Gamma oder DigiTask mssen in der Regel selber Forschung betreiben, um inhaltlich und technisch am Ball zu bleiben, das heit ihren Warenbestand an Sicher-heitslcken und Exploits frisch zu halten. Das Geschft in der Grauzone beruht darauf, digi-tale Einbruchs- und berwachungswerkzeuge zu entwickeln, fr deren Nutzung man nicht das gesamte Wissen und Knnen der Hacker braucht, die die Lcken entdeckt haben. Die Kunden: vor allem Geheimdienste und Poli-zeibehrden, die klandestin in Computer und Netzwerke einbrechen und Informationen abschpfen wollen. Die Entwicklung solcher Werkzeuge ist forschungsintensiv, oft nicht gut planbar und komplex. Grundlagenforschung an neuen Methoden der Umgehung von Sicher-heitsmanahmen wirft aber nicht unmittelbar Profit ab.

    Daher wird solche Forschung oft in Form von externer Expertise bei Selbstndigen oder klei-nen Sicherheitsboutique-Firmen eingekauft. Die stehen dann vor dem Dilemma lehnen sie zwielichtige Ausschreibung ab oder nehmen sie teil? Wer heutzutage an eine Firma wie Gamma Wissen und Werkzeuge verkauft, um elektroni-sche Alltagsgegenstnde zu kompromittieren, wei auch, da im Grunde eine Waffe geliefert wird, die in undemokratischen Regimes gegen Oppositionelle eingesetzt werden wird.

    Das wei man aber nicht nur dann, wenn man an Gamma verkauft: Wer bei solchen Techni-ken mit Dual Use, also einer friedlichen Nut-zung digitaler Angriffswaffen argumentiert, bewegt sich oft auf sehr dnnem Eis. Die Frage,

    wofr Forschung und Werkzeuge aus solchen Auftrgen benutzt werden, ist keine akademi-sche mehr.

    Die Szene der Computersicherheitsforscher im deutschsprachigen Raum ist eher ber-sichtlich, bei einem gemeinsamen Kunden in der Schweiz lief Simon dem Schweizer Hak-ker Bernd* ber den Weg, der aufgrund diver-ser gemeinsamer Projektinteressen schnell ein guter und bester Freund wurde. Bernd erlang-te bereits Jahre vor ihrer ersten Begegnung mit diversen neuen Techniken und Werkzeugen eine gewisse Bekanntheit. Schon damals ent-wickelte er, gemeinsam mit rund einem knap-pen Dutzend Hackern und Forschern aus der ganzen Welt Werkzeuge, die heute in jedem Werkzeugkoffer von Sicherheitsberatern anzu-treffen sind. Schluendlich entwickelte die Gruppe von Freizeithackern, die mittlerweile einen gewissen Bekanntheitsgrad in der Szene erreicht hatte, eine Linux-Distribution von Hak-kern fr Hacker: Backtrack, den vollstndig-sten Werkzeugkoffer, den ein IT-Sicherheitsbe-rater heutzutage mit sich herumtragen kann.

    Eines Tages ging eine britische Firma namens Gamma International auf die Gruppe zu: Etwa 2006 fragte das seinerzeit in der Szene wenig bekannte Unternehmen an, ob ein Mitglied die-ser Entwicklergruppe zur Verfgung stnde, fr die britische Gamma ein technisches Pene-tratio