Spionage-Software Wie ein Start-up mit "Cyberwaffen" scheiterte
Mitten in Berlin stellten Weltklasse-Hacker Spionage-Software her. Verkauft werden sollten diese "Cyberwaffen" nur an Demokratien. Doch das Start-up scheiterte - Einblicke in einen Schattenmarkt.
Es ist eine elegante, aber auch umstrittene Form der Überwachung: Ein bisschen Code, der heimlich und vor allem effizient arbeitet. Spionage-Software, die Behörden einsetzen. Diese sogenannten Exploits nutzen Sicherheitslücken zum Beispiel von Smartphones aus. Ermittler können auf Fotos, Notizen und Chats zugreifen, ohne dass die Zielperson etwas merkt.
Diese Software wird auf einem Markt angeboten, auf dem pro Lücke mitunter mehr als eine Million Euro gezahlt wird. Es ist ein Markt, auf dem sich auch deutsche Sicherheitsbehörden seit Jahren bewegen.
Viele der Anbieter, die sich in diesem Markt tummeln, verkaufen ihre Spionage-Software nicht nur an Demokratien, sondern auch an autoritäre Regime, die anschließend Dissidenten ausspionieren lassen. Wer hier einkauft, fördert ein zwielichtiges Geschäftsmodell, sagen Kritiker deshalb. Ein hochrangiger Beamter sieht das ähnlich: "Wir können nicht einfach bei irgendeiner Bude im Internet Exploits kaufen."
Brisante Software
Mitten in Berlin wird im Jahr 2017 ein Start-up gegründet, das mit einem anderen Anspruch antritt. Es wirbt mit einem moralischen Kompass und will ausschließlich an Demokratien verkaufen. Die Hacker beziehen sechsstellige Jahresgehälter, um brisante Software zu entwickeln. Mit dieser sollen sich Systeme aus der Ferne hacken lassen.
Das Start-up nennt sich Go Root, Geschäftsführer ist damals Sandro Gaycken. Seit mehr als einem Jahrzehnt gilt er als Experte mit exzellenten Kontakten in militärische Kreise und Behörden. In Zeitungen und auf Podiumsdiskussionen plädiert er dafür, dass demokratische Staaten offensive Werkzeuge brauchen, sowohl militärisch als auch diplomatisch. Gaycken teilt auf Anfrage mit, es sei "fahrlässig und verantwortungslos", wenn Demokratien auf "offensive Cybermaßnahmen" verzichteten.
Deutsche Behörden stellten, zumindest mündlich, Aufträge in Aussicht. So erzählen es Beteiligte. Doch verkauft wurde anscheinend wenig. Wenige Jahre später hat das Start-up einen Millionenbetrag verbraucht, sich neu aufgestellt, der Gründer Gaycken ist weg. Reporter des Bayerischen Rundfunks und des "Spiegel" haben interne Dokumente eingesehen, mit knapp einem Dutzend Involvierten gesprochen und Einblicke in einen Schattenmarkt gewonnen, der beinahe komplett unter Ausschluss der Öffentlichkeit existiert.
Sicherheitslücken eine Gefahr für die Gesellschaft
Politiker der Opposition sprechen sich dafür aus, technische Schwachstellen umgehend zu schließen. Zu groß sei die Gefahr für die deutsche IT-Infrastruktur.
Hackerangriffe wie Wannacry verbreiteten sich binnen weniger Stunden auf weit mehr als 100.000 Rechnern weltweit. Später berichtete die "Washington Post", dass die für diesen Angriff ausgenutzte Lücke beim amerikanischen Geheimdienst NSA über fünf Jahre hinweg bekannt gewesen war. Statt sie schließen zu lassen, wurde sie für eigene Operationen eingesetzt. Offene Sicherheitslücken gefährden nach Ansicht vieler IT-Sicherheitsexperten die Gesellschaft.
Die Große Koalition erwägt, ein geheim tagendes Gremium zu schaffen, in dem Sicherheitsbehörden über entdeckte Lücken debattieren. Wenn eine Schwachstelle zu große Risiken birgt, soll sie umgehend geschlossen werden. Bei überschaubaren Risiken dürften Nachrichtendienste sie für ein paar Monate ausnutzen, danach würde neu diskutiert.
Produkte von Go Root zeigen beispielhaft, wie wichtig klare politische Vorgaben wären. Eines ihrer digitalen Werkzeuge zielte darauf ab, nach Fertigstellung das Internet in bestimmten Regionen abzuschalten. In militärischen Konflikten könnte beispielsweise die Bundeswehr die Kommunikation des Gegners stören.
SAP im Visier
Besonders brisant ist ein Projekt, an dem Go Root arbeitete und das eines der wertvollsten deutschen Unternehmen betrifft: SAP. Bei dem Produkt handelt es sich um einen Computerwurm, der zwischenzeitlich als "strategische Cyberwaffe" bezeichnet wurde. In fertigem Zustand wäre er angeblich in der Lage gewesen, SAP-Systeme zu infiltrieren, zu verschlüsseln oder gar zu löschen. Das zeigen Recherchen von BR und "Spiegel".
SAP hat nach eigenen Angaben mehr als 400.000 Kunden weltweit, darunter Regierungen und Behörden. Auch die Bundeswehr gehört dazu. Unklar ist, ob deutsche Behörden, die das SAP-Projekt von Go Root kannten, den DAX-Konzern gewarnt haben. "Uns sind keine Gespräche zwischen deutschen Behörden und SAP zu Go Root im Speziellen bekannt", heißt es von SAP.
Gaycken spricht von "Forschungsprojekt"
Auf Nachfrage schreibt Gaycken, dass das SAP-Projekt "nie funktional gemacht" und "definitiv nicht in dieser Form 'vermarktet'" worden sei. Es habe sich lediglich um ein "Forschungsprojekt" gehandelt, für dessen Fertigstellung "sechs bis zehn weitere Personenjahre Entwicklung erforderlich gewesen" wären.
Den Begriff "Cyberwaffe" weist er grundsätzlich zurück. Sein Team habe "präzise, offensive Zugänge für IT-Systeme entwickelt", in vielen Fällen nur konzeptionell. Fertige Produkte entwickle man aus "Sicherheits- und aus Kostengründen erst dann, wenn ein Kunde Interesse äußert, meist mit erheblichen Anpassungen", sagt Gaycken.
Go Root schickt auf Anfrage ein anwaltliches Schreiben, in dem ausgeführt wird, dass das Unternehmen Forschung betrieben habe, um die "Verletzlichkeit von Systemen" aufzuzeigen. Ein SAP-Produkt sei "nie entwickelt, angeboten oder verkauft" worden.
Die Hacker-Behörde Zitis schreibt auf Anfrage, dass ihr "kein SAP-basiertes Produkt vorgestellt oder angeboten" wurde. Generell begrüße man deutsche Gründer und Firmen, die versuchen "mit ihren Produkten die Aufgaben der Sicherheitsbehörden zu unterstützen". Ein Bundeswehr-Sprecher teilt mit, dass es Gespräche mit Go Root im "Rahmen einer grundsätzlichen Marktanalyse" gab, Verträge hingegen nicht. Fragen zu SAP blieben unbeantwortet. Das Innenministerium reagierte nicht auf eine Anfrage.
Behörden mitverantwortlich für Scheitern?
Mehrere Personen, die die Abläufe von Go Root kennen, sprechen davon, dass deutsche Behörden und bürokratische Prozesse für das Scheitern des Start-ups mitverantwortlich seien. "Wenn ich mir andere Länder anschaue, USA und Israel zum Beispiel, die fackeln nicht lang", sagt einer von ihnen. "In Deutschland scheint das nicht zu gehen. Und was machst du dann? Mitarbeiter kosten viel Geld, die Produkte auch. Geld und Produkte verbrennen nach und nach." Es heißt aber auch, das Team von Gaycken habe am Markt vorbei produziert.
Go Root lässt über Anwälte mitteilen, dass das "Geschäftsmodell unter den selbst gesetzten hohen ethischen" Richtlinien "nicht erfolgreich umgesetzt werden konnte". Ex-Geschäftsführer Gaycken sagt, dass deutsche Behörden "noch zu unflexibel für eine agile Zusammenarbeit mit Start-ups in diesem Feld" seien.
Wer die Webseite von Go Root heute aufruft, findet ein beinahe klassisches Angebot einer IT-Sicherheitsfirma. Gaycken ist von der ursprünglichen Idee weiterhin überzeugt, hat sich aber aus diesem Feld zurückgezogen: "Mir reicht’s damit."