BR24 Logo
BR24 Logo
Startseite
© picture alliance/dpa | Nicolas Armer
Bildrechte: picture alliance/dpa | Nicolas Armer

Mitten in Berlin saßen Weltklasse-Hacker. Sie stellten hochbrisante Software her, die nur an Demokratien verkauft werden sollte.

5
Per Mail sharen

    "Cyberwaffen" made in Berlin

    Mitten in Berlin saßen Weltklasse-Hacker. Sie stellten hochbrisante Software her, die nur an Demokratien verkauft werden sollte. Nach wenigen Jahren scheiterte das Start-up mit diesem Geschäftsmodell. Einblicke in einen Schattenmarkt.

    5
    Per Mail sharen
    Von
    • Hakan Tanriverdi

    Es ist eine elegante, aber auch umstrittene Form der Überwachung. Ein bisschen Code, der heimlich und vor allem effizient arbeitet. Spionage-Software, die Behörden einsetzen. So genannte Exploits nutzen Sicherheitslücken aus – zum Beispiel von Smartphones. Ermittler können auf Fotos, Notizen und Chats zugreifen – die Zielperson merkt nichts. Diese Software wird auf einem Markt angeboten, auf dem pro Lücke mitunter mehr als eine Million Euro gezahlt wird. Es ist ein Markt, auf dem sich auch deutsche Sicherheitsbehörden seit Jahren bewegen.

    Viele der Anbieter, die sich in diesem Markt tummeln, verkaufen ihre Spionage-Software nicht nur an Demokratien, sondern auch an autoritäre Regimes, die anschließend Dissidenten ausspionieren lassen. Wer hier einkauft, fördert ein zwielichtiges Geschäftsmodell, sagen Kritiker deshalb. Ein hochrangiger Beamter sieht das ähnlich: "Wir können nicht einfach bei irgendeiner Bude im Internet Exploits kaufen."

    Weltklasse-Hacker, brisante Software

    Mitten in Berlin wird im Jahr 2017 ein Start-up gegründet, das mit einem anderen Anspruch antritt. Es wirbt mit einem moralischen Kompass und will ausschließlich an Demokratien verkaufen. Die Hacker beziehen sechsstellige Jahresgehälter, um brisante Software zu entwickeln. Mit dieser sollen sich Systeme aus der Ferne hacken lassen.

    Das Start-up nennt sich Go Root, Geschäftsführer ist damals Sandro Gaycken. Seit mehr als einem Jahrzehnt gilt er als Experte mit exzellenten Kontakten in militärische Kreise und Behörden. In Zeitungen und auf Podiumsdiskussionen plädiert er dafür, dass demokratische Staaten offensive Werkzeuge brauchen, sowohl militärisch als auch diplomatisch. Gaycken teilt auf Anfrage mit, es sei "fahrlässig und verantwortungslos", wenn Demokratien auf "offensive Cybermaßnahmen" verzichteten.

    Die Geschäfte liefen schlecht

    Von deutschen Behörden wurden, zumindest mündlich, Aufträge in Aussicht gestellt, so erzählen es Beteiligte. Doch verkauft wurde scheinbar wenig. Wenige Jahre später hat das Start-up einen Millionenbetrag verbraucht, sich neu aufgestellt und der Gründer Gaycken ist weg. Reporter des Bayerischen Rundfunks und des "Spiegel" haben interne Dokumente eingesehen, mit knapp einem Dutzend Involvierten gesprochen und Einblicke in einen Schattenmarkt bekommen, der beinahe komplett unter Ausschluss der Öffentlichkeit existiert.

    Streit über Umgang mit Sicherheitslücken

    Politiker der Opposition sprechen sich dafür aus, technische Schwachstellen umgehend zu schließen. Zu groß sei die Gefahr für die deutsche IT-Infrastruktur. Hackerangriffe wie Wannacry verbreiteten sich binnen weniger Stunden auf weit mehr als 100.000 Rechnern weltweit.

    Später berichtete die "Washington Post", dass die für diesen Angriff ausgenutzte Lücke beim US-amerikanischen Geheimdienst NSA über fünf Jahre hinweg bekannt gewesen war – statt sie schließen zu lassen, wurde sie für eigene Operationen eingesetzt. Offene Sicherheitslücken gefährden nach Ansicht vieler IT-Sicherheitsexperten die Gesellschaft.

    Geheim tagendes Gremium für Schwachstellen

    Die Große Koalition erwägt, ein geheim tagendes Gremium zu schaffen, in dem Sicherheitsbehörden über entdeckte Lücken debattieren. Wenn eine Schwachstelle zu große Risiken birgt, soll sie umgehend geschlossen werden. Bei überschaubaren Risiken dürften Nachrichtendienste sie für ein paar Monate ausnutzen, danach würde neu diskutiert.

    Produkte von Go Root zeigen beispielhaft, wie wichtig klare politische Vorgaben wären. Eines ihrer digitalen Werkzeuge zielte darauf ab, nach Fertigstellung das Internet in bestimmten Regionen abzuschalten. In militärischen Konflikten könnte beispielsweise die Bundeswehr die Kommunikation des Gegners stören.

    SAP im Visier

    Besonders brisant ist ein Projekt, an dem Go Root arbeitete und das eines der wertvollsten deutschen Unternehmen betrifft: SAP. Bei dem Produkt handelt es sich um einen Computerwurm, der zwischenzeitlich als "strategische Cyberwaffe" bezeichnet wurde. In fertigem Zustand wäre er angeblich in der Lage gewesen, SAP-Systeme zu infiltrieren, zu verschlüsseln oder gar zu löschen. Das zeigen Recherchen von BR und "Spiegel".

    SAP hat nach eigenen Angaben mehr als 400.000 Kunden weltweit, darunter Regierungen und Behörden. Auch die Bundeswehr gehört dazu. Unklar ist, ob deutsche Behörden, die das SAP-Projekt von Go Root kannten, den Dax-Konzern gewarnt haben. "Uns sind keine Gespräche zwischen deutschen Behörden und SAP zu Go Root im Speziellen bekannt", heißt es von SAP.

    Gaycken spricht von "Forschungsprojekt"

    Auf Nachfrage schreibt Gaycken, dass das SAP-Projekt "nie funktional gemacht" und "definitiv nicht in dieser Form 'vermarktet'" worden sei. Es habe sich lediglich um ein "Forschungsprojekt" gehandelt, für dessen Fertigstellung "sechs bis zehn weitere Personenjahre Entwicklung erforderlich gewesen" wären. Den Begriff Cyberwaffen weist er grundsätzlich zurück. Sein Team habe "präzise, offensive Zugänge für IT-Systeme entwickelt", in vielen Fällen nur konzeptionell. Fertige Produkte entwickle man aus "Sicherheits- und aus Kostengründen erst dann, wenn ein Kunde Interesse äußert, meist mit erheblichen Anpassungen", sagt Gaycken.

    Go Root schickt auf Anfrage ein anwaltliches Schreiben, in dem ausgeführt wird, dass das Unternehmen Forschung betrieben habe, um die "Verletzlichkeit von Systemen" aufzuzeigen. Ein SAP-Produkt sei "nie entwickelt, angeboten oder verkauft" worden.

    Die Hacker-Behörde Zitis schreibt auf Anfrage, dass ihr "kein SAP-basiertes Produkt vorgestellt oder angeboten" wurde. Generell begrüße man deutsche Gründer und Firmen, die versuchen "mit ihren Produkten die Aufgaben der Sicherheitsbehörden zu unterstützen". Ein Bundeswehr-Sprecher teilt mit, dass es Gespräche mit Go Root gab, im "Rahmen einer grundsätzlichen Marktanalyse", Verträge hingegen nicht. Fragen zu SAP blieben unbeantwortet. Das Bundesinnenministerium reagierte nicht auf eine Anfrage.

    Behörden mitverantwortlich für Scheitern?

    Mehrere Personen, die die Abläufe von Go Root kennen, sprechen davon, dass deutsche Behörden und bürokratische Prozesse mitverantwortlich sind am Scheitern des Start-ups. "Wenn ich mir andere Länder anschaue, USA und Israel zum Beispiel, die fackeln nicht lang", sagt einer von ihnen: "In Deutschland scheint das nicht zu gehen. Und was machst du dann? Mitarbeiter kosten viel Geld, die Produkte auch. Geld und Produkte verbrennen nach und nach." Es heißt aber auch, das Team von Gaycken habe am Markt vorbei produziert.

    Go Root lässt über Anwälte mitteilen, dass das "Geschäftsmodell unter den selbst gesetzten hohen ethischen" Richtlinien "nicht erfolgreich umgesetzt werden konnte". Ex-Geschäftsführer Gaycken sagt, dass deutsche Behörden "noch zu unflexibel für eine agile Zusammenarbeit mit Start-ups in diesem Feld" seien.

    Wer die Webseite von Go Root heute aufruft, findet ein beinahe klassisches Angebot einer IT-Sicherheitsfirma. Gaycken ist von der ursprünglichen Idee weiterhin überzeugt, hat sich aber aus diesem Feld zurückgezogen: "Mir reicht’s damit."

    "Darüber spricht Bayern": Der neue BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!