IT-Sicherheit:Dieser Mann weiß, wie man in Smartphones einbricht

IT-Sicherheit: Die Arbeit von IT-Sicherheitsforscher Benjamin Gnahm wirft heikle Fragen auf.

Die Arbeit von IT-Sicherheitsforscher Benjamin Gnahm wirft heikle Fragen auf.

(Foto: privat)

Benjamin Gnahm forschte an Wegen, um die Verteidigung von Smartphones auszuhebeln. Eine Begegnung mit einem, der sagt: Deutschland braucht einen Staatstrojaner.

Von Hakan Tanriverdi

Das Gespräch ist beendet, der Notizblock schon weggepackt, als Benjamin Gnahm doch noch über ein Thema reden will: die Türkei. Er wirkt besorgt über die Richtung, in die sich das Land unter Präsident Recep Tayyip Erdoğan entwickelt.

Gnahm ist nicht allein mit diesen Sorgen, aber das Besondere ist: Der 37-Jährige hat jahrelang für eine Firma gearbeitet, deren Produkte die türkische Regierung einsetzt, um unbemerkt die Kommunikation ihrer Bürger abzufangen, auszulesen und abzuhören. Diese Firma heißt Finfisher und sitzt in München.

Finfisher bietet eine ganze Palette an Werkzeugen an, um Menschen zu überwachen. Von Trojanern, die heimlich auf Smartphones installiert werden, bis zu Technik, mit der Internetanbieter im Staatsauftrag den Datenverkehr ihrer Kunden umleiten können, um Schadsoftware auf deren Systeme aufzuspielen. Auch das passiert heimlich, entsprechend der Überwachungsgesetze des jeweiligen Staates.

Menschenrechtsorganisationen wie das European Center for Constitutional and Human Rights (ECCHR) werfen Finfisher vor, "menschenrechtliche Verpflichtungen" zu ignorieren. Judith Hackmack von der Organisation sagt: "Autoritäre und repressive Regierungen nutzen die systematische Überwachung der Telekommunikation als Mittel zur Unterdrückung ihrer Kritiker und politischen Gegner." Diese Form der digitalen Überwachung sei oft Vorstufe physischer Gewalt: Verfolgung, Haft, Folter. Anfragen der SZ ließ Finfisher unbeantwortet.

Immer auf der Suche nach Schlupflöchern

Gnahm forschte daran, wie man Schlösser knacken kann, mit denen digitale Kommunikation abgesichert ist. Alle IT-Systeme verfügen über solche Schwachstellen: Laptops, Smartphones, internetfähige Kameras. Während Apple und Samsung viel Energie investieren, damit nicht Unbefugte auf Fotos, Kamera, Mikrofon und Chats zugreifen können, arbeitete Gnahm kontinuierlich daran, Schlupflöcher in der Verteidigung der Systeme zu finden.

Ein Treffen mit ihm findet unter ungewöhnlichen Bedingungen statt. Schon dass Gnahm mit seinem bürgerlichen Namen auftritt, ist beachtlich. Normalerweise wollen Menschen, die in diesem Bereich der Überwachungsbranche unterwegs sind, anonym bleiben - wenn sie überhaupt reden. Gnahm sagt: "Ich sehe schon einen Shitstorm auf mich zukommen." Deutschland habe viele technisch versierte Aktivisten, die medial sehr präsent seien und staatliche Überwachung prinzipiell ablehnten. "Aber das Thema ist wichtig und die Gegenseite muss man sich auch anhören", sagt Gnahm. Also Leute wie ihn. Daher wählt er den Klarnamen statt der Anonymität.

Außerdem: Gnahm wird nicht sagen, bei welcher Firma er für was genau zuständig gewesen ist. Über Interna spricht er nicht. Er hält sich an Geheimhaltungsverträge, die er unterschrieben hat. Er arbeitete für drei Firmen, die sich um IT-Sicherheit kümmern. Zwei Personen, die mit der Arbeit von Gnahm vertraut sind und anonym bleiben wollen, sagen: Es gehörte zu seinen Aufgaben, Schwachstellen zu identifizieren und zu zeigen, wie man diese technisch ausnutzen könnte. Gnahm kommentiert das nicht, er hat mittlerweile die Branche gewechselt.

Gnahm besitzt ein Talent, nach dem sich auch der deutsche Staat so sehr sehnt, dass dieser eigens eine neue Behörde geschaffen hat. Sie heißt Zitis (Zentrale Stelle für Informationstechnik im Sicherheitsbereich) und soll Menschen wie Gnahm anlocken. Eine der Aufgaben von Zitis ist es, Schwachstellen in IT-Technik zu finden und auszunutzen - solche Werkzeuge werden "Exploits" genannt - um sie Strafverfolgungsbehörden und Verfassungsschutz zur Verfügung zu stellen. Kritiker nennen diese Werkzeuge Staatstrojaner. Am Ende der vergangenen Legislaturperiode wurde der Einsatzbereich solcher Schadsoftware deutlich erweitert.

Deshalb ist es spannend, mit Gnahm über die Türkei zu reden. Da sitzt ein Mensch, der besorgt ist über die Situation in dem Land - seit dem Putschversuch wurden 50 000 Menschen inhaftiert - und der zugleich in seinem Xing-Profil damit wirbt, für eine Firma gearbeitet zu haben, deren Produkte die Regierung dieses Lander einsetzt - bis heute, wie IT-Sicherheitsexperten SZ.de bestätigen.

"Wir brauchen den Staatstrojaner"

"Ja, das ist ein Interessenkonflikt für Leute wie mich, die in einer Branche arbeiten, die auch offensive Techniken anwendet", sagt Gnahm. Aber es sei ein Konflikt, mit dem er persönlich leben könne. "Jede Technologie kann für moralisch verwerfliche Aktionen eingesetzt werden." Er sei der Meinung, dass Themen wie Staatstrojaner nur im Gesamten zu betrachten seien. "Also unter Berücksichtigung des Guten und des Schlechten. Wenn solche Techniken eingesetzt werden, um einen Fall von Kinderpornografie aufzuklären, dann begrüße ich das." Ansonsten müsste man zurück in die Steinzeit, da es heute kaum noch Technologien ohne Missbrauchspotenzial gebe.

Um diesen Interessenkonflikt zu verstehen, lohnt es sich, mit Gnahm über Staatstrojaner zu reden. Denn die findet er sinnvoll. "Niemand denkt sich freiwillig aus, mal eben Leute zu überwachen. Es liegt aber in der Natur des Staates, sich selbst und seine Bürger zu schützen, zum Beispiel gegen Bedrohungen wie Terrorismus und Kriminalität."

Seit Snowden riegeln sich Konzerne technisch ab

Spätestens seit Edward Snowdens Enthüllungen setzen IT-Konzerne alles daran, die Kosten für böswillige Angreifer - das kann aus Konzernsicht auch ein Staat sein - in die Höhe zu treiben. Alles wird abgeriegelt. Auch Server, die im Intranet eingesetzt werden, kommunizieren nur noch verschlüsselt. Selbst wenn jemand diesen Verkehr abfängt, kann er mit den Informationen nichts anfangen.

Außerdem setzen Firmen vermehrt eine Form der Verschlüsselung ein, mit der sie sich selbst quasi handlungsunfähig machen, wenn es um Überwachung geht. Werden Chats "Ende-zu-Ende" verschlüsselt, wie es etwa Whatsapp tut, können Staaten nicht länger bei der Firma anklopfen und eine Herausgabe der Daten verlangen. Denn diese kann gar keine lesbaren Daten herausgeben, selbst wenn sie wollte: Die Daten sind nur auf dem Smartphone des Nutzers selbst zu lesen.

Will ein Staat unbemerkt an Inhalte eines Smartphones kommen, bleibt ihm deshalb nur ein Weg: Die Geräte selbst aufzuknacken und die Chats zu lesen, bevor sie verschlüsselt werden. "Zero-Days sind unerlässlich", sagt Gnahm deshalb. Er spricht von Schwachstellen, die den Herstellern nicht bekannt sind und gegen die sie sich deshalb auch nicht schützen können. Sie sind der Dietrich, der das Schloss knackt.

"Wir brauchen den Staatstrojaner", sagt Gnahm. Es gebe nur eine andere Alternative: gesetzlich vorgeschriebene Hintertüren in Smartphones und Chatprogrammen. Davon wären allerdings alle Nutzer gleichermaßen betroffen. Die IT-Sicherheit aller Bürger wäre auf einen Schlag dahin. Mit einem Staatstrojaner sei es dagegen möglich, gezielt gegen verdächtige Einzelpersonen vorzugehen.

Bis zu anderthalb Millionen Dollar für Sicherheitslücken

Schwachstellen zu finden, kostet Geld. Firmen verlangen bis zu anderthalb Millionen Dollar für das Aufspüren einer Sicherheitslücke, über die sich zuverlässig ein iPhone aufbrechen lässt. Gnahm erzählt, dass es auch deutlich billigeren Code gibt: "Es gibt Zero-Days, die funktionieren zum Beispiel nur, wenn man das Browserfenster 30 Sekunden lang geöffnet lässt - und dann auch nur bei jedem dritten Versuch."

In der Diskussion um Staatstrojaner gebe es ein großes Missverständnis, sagt Gnahm: nämlich die Annahme, dass diese en masse eingesetzt würden. Ein Staat, der viel Geld dafür ausgeben muss, solche Sicherheitslücken entweder selbst zu suchen oder gleich einsatzbereit auf einem Markt einzukaufen, werde diese Lücken deshalb nicht leichtfertig einsetzen. Zumindest ist Gnahm überzeugt davon. "Ein Zero-Day ist nur dann wertvoll, wenn er nicht oft verwendet wird. Jedes Mal, wenn man ihn einsetzt, könnte er entdeckt werden." IT-Sicherheitsfirmen haben erkannt, dass es gute Werbung sein kann, den Einsatz solcher und ähnlicher Späh-Software zu enttarnen. Erst Ende September veröffentlichte das Unternehmen ESET einen Bericht, der zeigte, dass die Produkte der Firma Finfisher derzeit in sieben Ländern eingesetzt werden. Auch in der Türkei.

Gnahm findet, dass man konsequent sein müsse. Man könnte sämtliche Geschäfte mit Ländern, die als problematisch erachtet werden - das umfasse auch die Waffenindustrie und Bauunternehmen - verbieten. Allerdings dürfe sich das nicht nur gegen einzelne Branchen richten. "Man darf sich nicht die Rosinen herauspicken. Das ist Heuchelei."

Gnahm scheint den Interessenkonflikt für sich also gelöst zu haben. Auch Adriel Desautels, Chef der Firma Netragard, findet Zero-Days unerlässlich. So unerlässlich, dass er sie Firmen wie Hacking Team anbot, einem Finfisher-Konkurrenten also. Diese Firma wurde gehackt und es kam ans Licht, an welche Regime Hacking Team Produkte verkauft hatte: Bahrain, Äthiopien, Sudan. "Das hat einen üblen Nachgeschmack bei mir hinterlassen", sagt Desautels heute am Telefon. "Ich habe schon vor langer Zeit gesagt, dass wir Konsequenzen ziehen werden, wenn wir herausfinden, dass unsere Produkte bei solchen Regimen landen." Auch er hat den Konflikt für sich gelöst, aber anders als Gnahm. Desautels weigert sich nun, Zero-Days zu verkaufen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: