Das Gespräch ist beendet, der Notizblock bereits weggepackt, doch Benjamin Gnahm will noch über ein Thema reden: die Türkei. Er wirkt besorgt über die Richtung, in die sich das Land unter Präsident Recep Tayyip Erdoğan entwickelt. Gnahm ist nun sicher nicht allein mit diesen Sorgen, das Besondere aber ist: Der 37-Jährige hat jahrelang für eine Firma gearbeitet, deren Produkte die türkische Regierung einsetzt, um die Kommunikation ihrer Bürger abzufangen, auszulesen und abzuhören. Diese Firma heißt "Finfisher" und sitzt in München.
Finfisher bietet Werkzeuge an, um Menschen zu überwachen. Von Trojanern, die heimlich auf Smartphones installiert werden, bis zu Technik, mit der Internetanbieter im Staatsauftrag den Datenverkehr ihrer Kunden umleiten können, um Schadsoftware auf deren Systeme aufzuspielen. Auch das geschieht heimlich, geregelt durch die Überwachungsgesetze des jeweiligen Staates.
Menschenrechtsorganisationen wie das European Center for Constitutional and Human Rights (ECCHR) werfen Finfisher vor, "menschenrechtliche Verpflichtungen" zu ignorieren. Judith Hackmack von der Organisation sagt: "Autoritäre und repressive Regierungen nutzen die systematische Überwachung der Telekommunikation als Mittel zur Unterdrückung ihrer Kritiker und politischen Gegner." Diese Form der digitalen Überwachung sei oft Vorstufe physischer Gewalt: Verfolgung, Haft, Folter. Anfragen der SZ ließ Finfisher unbeantwortet.
Gnahm forscht daran, wie man jene Schlösser knacken kann, mit denen die digitale Kommunikation abgesichert ist. Alle IT-Systeme verfügen über Schwachstellen: Laptops, Smartphones, internetfähige Kameras. Während Apple und Samsung viel Energie darauf verwenden, dass Unbefugte nicht auf Fotos, Kamera, Mikrofon und Chats zugreifen können, arbeitete Gnahm kontinuierlich daran, Löcher in der Verteidigung der Systeme zu finden.
Ein Treffen mit ihm findet unter ungewöhnlichen Bedingungen statt. Dass Gnahm mit seinem bürgerlichen Namen auftritt, ist beachtlich. Gnahm sagt: "Ich sehe schon einen Shitstorm auf mich zukommen." Denn Deutschland habe viele technisch versierte Aktivisten, die staatliche Überwachung prinzipiell ablehnten. "Aber das Thema ist wichtig und die Gegenseite muss man sich auch anhören." Also Leute wie ihn.
Außerdem: Gnahm hält sich an Geheimhaltungsverträge, die er unterschrieben hat. Er arbeitete für drei Firmen, die sich um IT-Sicherheit kümmern, und er wird nicht sagen, bei welcher Firma er für was zuständig gewesen ist. Über Interna spricht er nicht. Gnahm hat mittlerweile die Branche gewechselt.
Der Mann sorgt sich um die Situation in der Türkei - für die er Spionagesoftware entwickelte
Er besitzt ein Talent, nach dem der deutsche Staat offenbar so sehr lechzt, dass er eigens eine neue Behörde zu ihrer Förderung geschaffen hat. Sie heißt "Zitis" (Zentrale Stelle für Informationstechnik im Sicherheitsbereich). Eine ihrer Aufgaben ist es, Schwachstellen in IT-Technik zu finden und auszunutzen - die Werkzeuge hierzu werden "Exploits" genannt - um sie Strafverfolgungsbehörden und Verfassungsschützern zur Verfügung zu stellen. Kritiker nennen diese Werkzeuge auch Staatstrojaner. Am Ende der vergangenen Legislaturperiode wurde der Einsatzbereich für solche Schadsoftware deutlich erweitert.
Deshalb ist es spannend, mit Gnahm über die Türkei zu reden. Da sitzt ein Mensch, der besorgt ist über die Situation in dem Land - seit dem Putschversuch wurden 50 000 Menschen inhaftiert - und der zugleich in seinem Xing-Profil damit wirbt, für eine Firma gearbeitet zu haben, deren Produkte die Regierung dieses Lander einsetzt - bis heute, wie IT-Sicherheitsexperten bestätigen.
"Ja, das ist ein Interessenkonflikt für Leute, die in einer Branche arbeiten, die auch offensive Techniken anwendet", sagt Gnahm. Aber es sei ein Konflikt, mit dem er persönlich leben könne. "Jede Technologie kann für moralisch verwerfliche Aktionen eingesetzt werden." Er ist der Meinung, dass man Themen wie Staatstrojaner nicht nur einseitig betrachten könne. "Wenn solche Techniken eingesetzt werden, um einen Fall von Kinderpornografie aufzuklären, dann begrüße ich das." Und: "Es liegt in der Natur des Staates, sich selbst und seine Bürger zu schützen, zum Beispiel gegen Bedrohungen wie Terrorismus und Kriminalität."
Spätestens seit Edward Snowdens Enthüllungen setzen IT-Konzerne alles daran, es böswilligen Angreifern - das kann aus Konzernsicht auch ein Staat sein - immer schwerer zu machen. Alles wird abgeriegelt. Auch Server, die nur im Intranet eingesetzt werden, kommunizieren nur noch verschlüsselt. Außerdem setzen Firmen vermehrt eine Form der Verschlüsselung ein, mit der sie sich selbst quasi handlungsunfähig zeigen können, wenn man sie zur Herausgabe von Daten zwingt. Werden etwa Chats "Ende-zu-Ende" verschlüsselt, wie dies bei Whatsapp geschieht, dann können Firmen gar keine lesbaren Daten mehr herausgeben, selbst wenn sie wollten: Die Daten sind nur auf dem Smartphone eines Nutzers lesbar, nicht aber auf den Servern, die sie durchlaufen.
Will ein Staat unbemerkt an die Inhalte eines Smartphones kommen, bleibt ihm deshalb nur ein Weg: Die Geräte aufzuknacken und die Chats zu lesen, bevor sie verschlüsselt werden. Gnahm spricht von Schwachstellen, die den Herstellern nicht bekannt sind und gegen die sie sich deshalb auch nicht schützen können. Sie sind der Dietrich, der das Schloss knackt.
"Wir brauchen den Staatstrojaner", sagt er. Andernfalls gebe es nur eine Alternative: gesetzlich vorgeschriebene Hintertüren, die in Smartphones und Chatprogrammen eingebaut sein müssen. Davon wären alle Nutzer gleichermaßen betroffen. Die IT-Sicherheit aller Bürger wäre auf einen Schlag dahin. Mit Staatstrojanern sei es dagegen möglich, gezielt gegen verdächtige Einzelpersonen vorzugehen.
Schwachstellen für sie zu finden, kostet viel Geld. Firmen verlangen bis zu anderthalb Millionen Dollar für das Aufspüren einer einzige Sicherheitslücke, über die sich ein Smartphone aufbrechen lässt. In der Diskussion um Staatstrojaner gebe es ein großes Missverständnis, meint Gnahm: die Vorstellung, dass sie en masse eingesetzt würden. Ein Staat, der viel Geld dafür ausgeben muss, Sicherheitslücken ausbeuten zu können, werde sein Wissen nicht leichtfertig einsetzen. Zumindest ist Gnahm überzeugt davon. "Ein Trojaner ist nur dann wertvoll, wenn er nicht oft verwendet wird. Jedes Mal, wenn man ihn einsetzt, kann er auch entdeckt werden." Für IT-Sicherheitsfirmen ist es mittlerweile eine gute Werbung, den Einsatz von Späh-Software zu enttarnen. Ende September etwa veröffentlichte das Unternehmen ESET einen Bericht, der belegte, dass die Produkte von Finfisher derzeit in sieben Ländern eingesetzt werden. Auch in der Türkei.
Die angeblich unerlässlichen Trojaner landeten in Bahrain, Äthiopien, im Sudan
Gnahm findet, man könne ja sämtliche Geschäfte mit Ländern, die als problematisch erachtet werden, konsequent verbieten, aber nicht nur einzelne Branchen ächten. "Das ist Heuchelei."
Gnahm scheint den Interessenkonflikt für sich also gelöst zu haben. Auch Adriel Desautels, Chef der Firma Netragard, findet Trojaner unerlässlich. So unerlässlich, dass er sie Firmen wie "Hacking Team" anbot, einem Finfisher-Konkurrenten. Diese Firma wurde selber gehackt, und es kam ans Licht, an welche Regimes Hacking Team Produkte verkauft hatte: Bahrain, Äthiopien, Sudan. "Das hat einen üblen Nachgeschmack bei mir hinterlassen", sagt Desautels. "Ich habe schon vor langer Zeit gesagt, dass wir Konsequenzen ziehen werden, sollten wir herausfinden, dass unsere Produkte dann bei solch zweifelhaften Regimes landen." Auch er hat den Konflikt für sich gelöst, aber anders als Gnahm. Desautels weigert sich nun, Trojaner zu verkaufen.