Benjamin Gnahm forschte an Wegen, um die Verteidigung von Smartphones auszuhebeln. Eine Begegnung mit einem, der sagt: Deutschland braucht einen Staatstrojaner.

Von Hakan Tanriverdi

Das Gespräch ist beendet, der Notizblock schon weggepackt, als Benjamin Gnahm doch noch über ein Thema reden will: die Türkei. Er wirkt besorgt über die Richtung, in die sich das Land unter Präsident Recep Tayyip Erdoğan entwickelt.

Gnahm ist nicht allein mit diesen Sorgen, aber das Besondere ist: Der 37-Jährige hat jahrelang für eine Firma gearbeitet, deren Produkte die türkische Regierung einsetzt, um unbemerkt die Kommunikation ihrer Bürger abzufangen, auszulesen und abzuhören. Diese Firma heißt Finfisher und sitzt in München.

Finfisher bietet eine ganze Palette an Werkzeugen an, um Menschen zu überwachen. Von Trojanern, die heimlich auf Smartphones installiert werden, bis zu Technik, mit der Internetanbieter im Staatsauftrag den Datenverkehr ihrer Kunden umleiten können, um Schadsoftware auf deren Systeme aufzuspielen. Auch das passiert heimlich, entsprechend der Überwachungsgesetze des jeweiligen Staates.

Menschenrechtsorganisationen wie das European Center for Constitutional and Human Rights (ECCHR) werfen Finfisher vor, "menschenrechtliche Verpflichtungen" zu ignorieren. Judith Hackmack von der Organisation sagt: "Autoritäre und repressive Regierungen nutzen die systematische Überwachung der Telekommunikation als Mittel zur Unterdrückung ihrer Kritiker und politischen Gegner." Diese Form der digitalen Überwachung sei oft Vorstufe physischer Gewalt: Verfolgung, Haft, Folter. Anfragen der SZ ließ Finfisher unbeantwortet.

Immer auf der Suche nach Schlupflöchern

Gnahm forschte daran, wie man Schlösser knacken kann, mit denen digitale Kommunikation abgesichert ist. Alle IT-Systeme verfügen über solche Schwachstellen: Laptops, Smartphones, internetfähige Kameras. Während Apple und Samsung viel Energie investieren, damit nicht Unbefugte auf Fotos, Kamera, Mikrofon und Chats zugreifen können, arbeitete Gnahm kontinuierlich daran, Schlupflöcher in der Verteidigung der Systeme zu finden.

Ein Treffen mit ihm findet unter ungewöhnlichen Bedingungen statt. Schon dass Gnahm mit seinem bürgerlichen Namen auftritt, ist beachtlich. Normalerweise wollen Menschen, die in diesem Bereich der Überwachungsbranche unterwegs sind, anonym bleiben - wenn sie überhaupt reden. Gnahm sagt: "Ich sehe schon einen Shitstorm auf mich zukommen." Deutschland habe viele technisch versierte Aktivisten, die medial sehr präsent seien und staatliche Überwachung prinzipiell ablehnten. "Aber das Thema ist wichtig und die Gegenseite muss man sich auch anhören", sagt Gnahm. Also Leute wie ihn. Daher wählt er den Klarnamen statt der Anonymität.

Außerdem: Gnahm wird nicht sagen, bei welcher Firma er für was genau zuständig gewesen ist. Über Interna spricht er nicht. Er hält sich an Geheimhaltungsverträge, die er unterschrieben hat. Er arbeitete für drei Firmen, die sich um IT-Sicherheit kümmern. Zwei Personen, die mit der Arbeit von Gnahm vertraut sind und anonym bleiben wollen, sagen: Es gehörte zu seinen Aufgaben, Schwachstellen zu identifizieren und zu zeigen, wie man diese technisch ausnutzen könnte. Gnahm kommentiert das nicht, er hat mittlerweile die Branche gewechselt.

Gnahm besitzt ein Talent, nach dem sich auch der deutsche Staat so sehr sehnt, dass dieser eigens eine neue Behörde geschaffen hat. Sie heißt Zitis (Zentrale Stelle für Informationstechnik im Sicherheitsbereich) und soll Menschen wie Gnahm anlocken. Eine der Aufgaben von Zitis ist es, Schwachstellen in IT-Technik zu finden und auszunutzen - solche Werkzeuge werden "Exploits" genannt - um sie Strafverfolgungsbehörden und Verfassungsschutz zur Verfügung zu stellen. Kritiker nennen diese Werkzeuge Staatstrojaner. Am Ende der vergangenen Legislaturperiode wurde der Einsatzbereich solcher Schadsoftware deutlich erweitert.

Deshalb ist es spannend, mit Gnahm über die Türkei zu reden. Da sitzt ein Mensch, der besorgt ist über die Situation in dem Land - seit dem Putschversuch wurden 50 000 Menschen inhaftiert - und der zugleich in seinem Xing-Profil damit wirbt, für eine Firma gearbeitet zu haben, deren Produkte die Regierung dieses Lander einsetzt - bis heute, wie IT-Sicherheitsexperten SZ.de bestätigen.