Modern technology gives us many things.

Wie ein Berliner Start-Up Cyberkrieg ethischer führen wollte und scheiterte

0 0

Go Root wollte Exploits nur an demokratische Staaten verkaufen. Doch das Geschäftsmodell habe nicht funktioniert, was jetzt mit dem Wissen passiert, ist unklar.


    Wie ein Berliner Start-Up Cyberkrieg ethischer führen wollte und scheiterte


    Wie ein Berliner Start-Up Cyberkrieg ethischer führen wollte und scheiterte

(Bild: bluesroad/Shutterstock.com)

Von

  • Alexander Spier

Der Handel mit Exploits, also Wegen und Mitteln, um bekannte und unbekannte Sicherheitslücke auszunutzen, ist groß und äußerst lukrativ. Viele staatliche Stellen decken sich inzwischen bei privaten Unternehmen mit solchen Werkzeugen ein, auch um sie offensiv gegen Dritte einzusetzen. Die Branche hat dabei mitunter wenig Hemmungen auch an autoritäre Regime zu verkaufen. Das deutsche Start-up Go Root wollte das anders machen und scheiterte, wie Recherchen vom Spiegel und Bayerischen Rundfunk zeigen. Auch die Zurückhaltung des deutschen Staats soll dazu beigetragen haben.

Die beiden Medien haben interne Dokumente ausgewertet sowie mit Beteiligten gesprochen und so einen Einblick in die naturgemäß eher verschlossene Welt solch spezialisierter Firmen gewonnen. Demnach wurde Go Root 2017 gegründet und vermarktete seine Produkte auf Militärkonferenzen, aber auch an deutsche Behörden und Rüstungskonzerne.

Den Dokumenten nach bot man dabei etwa Produkte an, die Datennetze ganzer Regionen lahmlegen können sollten. Auch sonst hatte man wohl einiges für eine eher offensiven Strategie im Köcher. Dafür warb man auch Mitarbeiter von Konkurrenten ab, die innerhalb einiger Monate passende Werkzeuge entwickelten und die dann den Kundenwünschen entsprechend angepasst werden sollten. Ein Versprechen, das angeblich einige Talente anlockte war, nur mit verlässlichen und auch nach deutschen Gesetzen legitimen Partnern zusammenzuarbeiten. Was etwa autoritäre Staaten ausschließt, die solche Werkzeuge häufig gegen innenpolitische Gegner einsetzen.

Einer der Mitgründer von Go Root war Sandro Gaycken, der nicht nur ein gleichnamiges Buch zum Thema Cyberwar veröffentlicht hat, NATO-Berater war und die Bundesregierung zu Cybersicherheit beriet. Er vertrat bereits häufiger öffentlich eine offensive Strategie in Sachen Cybersicherheit. In einem Artikel zum BND-Skandal verteidigte er 2015 etwa die Spionage der USA in deutschen Unternehmen als "Rüstungskontrolle" und verneinte den Verdacht von Wirtschaftsspionage.

Auch für die deutsche Wirtschaft eher heikle Projekte hatte Go Root wohl im Auge. So gab es laut dem Spiegel Überlegungen SAP-Datenbanken auszuspionieren, aber auch diese zu verschlüsseln und damit lahmzulegen. Angesichts der zahlreichen SAP-Kunden weltweit, neben großen Unternehmen auch zahlreiche Behörden, ein durchaus weitreichendes Angriffswerkzeug.

Unklar ist, ob so eine Software tatsächlich existierte oder gar zum Einsatz kam. Laut Gaycken wurde das Projekt "nie funktional gemacht" und ein SAP-Produkt sei "nie entwickelt, angeboten oder verkauft" worden. Das fortgeschrittene Gedankenspiel lässt aber den Schluss zu, dass man potenzielle Lücken kannte oder zumindest welche vermutete. Entsprechend stellt sich nun die Frage, was mit diesem Wissen passiert.

Denn trotz guter Kontakte verloren die Geldgeber von Go Root bald das Interesse, es mangelte an Aufträgen. Daher sollte das Unternehmen entweder verkauft werden oder mit anderen Firmen kooperieren. Auch Interessenten aus den arabischen Staaten sollen angeblich existiert haben. Mitgründer Gaycken warnte intern vor den möglichen rechtlichen Konsequenzen, legte bald darauf die Geschäftsführung nieder und verließ das Unternehmen im Streit. Zahlreiche der rekrutieren Spezialisten folgten ihm. Mittlerweile vermarktet sich Go Root eher als herkömmliche Sicherheitsfirma, nicht ohne auf die weltweit besten ethischen Hacker zu verweisen.

Warum letztendlich Go Root mit seinem Konzept scheiterte, obwohl es augenscheinlich in die aktuelle Strategie deutscher Sicherheitsbehörden passte ist nicht ganz klar. Denn auch deutsche Behörden zeigen sich öffentlich nicht abgeneigt explizit Sicherheitslücken auszunutzen für ihre Zwecke. Mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) hat man etwa eine "Hackerbehörde" geschaffen, die dem Innenministerium unterstellt ist; Innenminister Seehofer will den "verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits fördern".

Dem Spiegel zufolge sagte etwa das "Kommando Cyber- und Informationsraum" der Bundeswehr, dass die Anwendungen noch nicht ausgereift waren oder nicht hielten, was versprochen wurde. Go Root hingegen ließ verlauten, dass das "Geschäftsmodell unter den selbst gesetzten hohen ethischen und Compliance-Richtlinien nicht erfolgreich umgesetzt werden konnte". Gaycken zufolge waren eher die deutschen Behörden zu langsam und unflexibel "für eine agile Zusammenarbeit". (asp)

Quelle: www.heise.de

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.