m*: Tillie Kottmann, wenn man deinen Namen googlet, findet man viele Zeitungsartikel von den letzten Monaten. Darin wirst du mal als «Sicherheitsforscher* in» bezeichnet, mal als «Software-Ingenieur* in», «IT Consultant and Developer», «Android- Entwickler*in» oder «Developer and Reverse Engineer». Was davon trifft auf dich zu?
Tillie: Den Job als Consultant habe ich nicht mehr – das hat eventuell mit gewissen News-Stories zu tun. Inzwischen ist mein Day-Job Software-Developer. Aber die Berufsbezeichnung wird oft je nach dem gewählt, wie positiv ein Artikel für mich ist. Wenn ich mich bei Firmen melde, schreibe ich oft «Security Researcher» – nicht weil das was anderes wäre, aber das klingt halt schlau. Wenn Artikel rauskommen suche ich dann oft nach den Artikeltiteln und -links auf Twitter, weil mich interessiert, was die Leute so dazu kommentieren. Das ist immer recht unterhaltsam wenn man dann die Leute mit Anzug im Profilbild sieht, wie sie wütend sind. Da denke ich jeweils, dass ich alles richtig mache, wenn die Leute mit Anzug im Profilbild und die auf Linkedin wütend werden.
m*: Wenn du solche Leaks publizierst, was für Daten machst du da genau öffentlich?
Tillie: Je nach Firma. Von Intel haben wir eine grosse Menge an interner Dokumentation zu verschiedenen Prozessoren veröffentlicht, sowie einige andere Dinge – Tools, Daten, Quellcode – welche für die Entwicklung von Geräten mit diesen Prozessoren relevant sind. Vom National Reconnaissance Office (ein US-Nachrichtendienst, a.d.R.) war es einfach Quellcode für ein internes Tool. Es war aber nicht ganz klar für was das verwendet wird. Von Adobe haben wir den gesamten Quellcode für die Website behance.net veröffentlich.
m*: Aus welchem Antrieb tust du das? Fun? Oder um auf Sicherheitsprobleme aufmerksam zu machen?
Tillie: Das hat mehrere Komponenten. Als erstes ist das natürlich sehr viel Fun. Aber daneben hat das schon auch einen antikapitalistischen Hintergrund. Und um darauf aufmerksam zu machen, wie unsicher eigentlich so ziemlich alles ist.
m*: Suchst du dir die Dinge gezielt aus? Also suchst mal drauflos, was du z.B. zu Intel oder Mercedes-Benz findest, oder schaust du einfach mal was so rumliegt und stolperst dann über grosse Namen?
Tillie: Ein Stück weit beides. Aber mit den Methoden die ich aktuell verwende sind das meist relativ grosse Scans, zum Beispiel um überall alle offenen Sonarqube-Instanzen zu finden. Und dann geht es mehr darum, im Nachhinein nach bestimmten Namen zu suchen. Aber teilweise ist das auch einfach recht viel Glück. Und viele der eher grösseren Dinge wie z.B. Intel habe ich über andere Quellen bekommen, die das nicht selbst veröffentlichen wollten, weil das natürlich gewisse Risiken birgt.
m*: Wie findest du denn das Material für diese Leaks?
Tillie: Wir wechseln unsere Methoden immer etwas. Vieles finden wir über «Google Dorks», also sehr spezifische Google-Suchen. Damit lassen sich zum Beispiel Gitlab-Server finden auf welchen man sich registrieren kann. Dort ist es dann oft so, dass man sich zwar nur mit einer Mailadresse der betroffenen Firma registrieren kann, aber die Email-Bestätigung ist ausgeschaltet. Man kann also einfach eine Mailadresse angeben und damit ein Konto erstellen ohne je beweisen zu müssen, dass man Zugriff auf die Adresse hat. So bin ich beispielsweise an die Dinge von Mercedes gekommen. Das hatte ich über Google gefunden, habe mich registriert und dann alles runtergeladen. Viel zu einfach. Eigentlich. Andere Dinge haben wir mit Tools via Shodan gefunden, welche einfach IP-Scans machen und nach offenen Ports suchen. Dort kann man auch gut filtern nach verschiedenen Services. So habe ich eine Liste aller Ips, hinter welchen ein Sonarqube-Server läuft, erhalten und dann mit einem eigenen Tool bei jedem Server geschaut ob man den Code runterladen kann. Da habe ich etwa zwei Wochen lang Code runtergeladen, aber konnte bis heute noch nicht alles durchschauen.
m*: Du analysierst die Daten auch?
Tillie: Bevor ich was veröffentliche, schaue ich es an. Ich will ja nicht den Kund*innen oder Mitarbeitenden dieser Firmen Schaden zufügen. Da schaue ich jeweils, ob z.B. irgendwo Passwörter enthalten sind, die ich noch entfernen sollte. Und dann gibt es natürlich Dinge, die ich gar nicht veröffentliche, weil manchmal schon ein grosses Risiko besteht, dass viele Leute betroffen sind. Gerade bei Health-Care-Sachen. Die lasse ich meist sein. Oder probiere sie zu melden.
m*: Also quasi «Ethical Hacking»?
Tillie: Naja, was unter «Ethical Hacking» verstanden wird, ist ja nicht «ethical», sondern einfach «Corporate Hacking». Ethisch ist das ja nicht, wenn man einfach nur unternehmerische Interessen schützt. Und vieles ist eh nicht wirklich legal, das ist mehr so ein «Social Contract». Also die Firmen tolerieren das, weil die Leute die Sicherheitslücken dann melden und das Risiko für die Firma damit sinkt. Darum mache ich das eigentlich nur, wenn direkt Drittpersonen gefährdet wären. Meiner Meinung nach ist es ethischer, das Material zu veröffentlichen.
m*: Ist denn dein Ziel, den jeweiligen Firmen zu «schaden»?
Tillie: Meist können ihnen solche Leaks ja nur PR-mässig schaden. Und bei allem anderen muss ich eh sehr sorgfältig sein, sonst kann ich das nicht lange machen. Aber das ist sicher der antikapitalistische Aspekt daran: Man kann mit solchen Leaks gut Ressourcen dieser Firmen binden und je nach dem gibt das dann einen finanziellen oder PR-technischen Schaden. Und im Mindesten wird das Produkt für die Endkund*innen sicherer. Gerade dafür sind Leaks gut. Wenn man es nur meldet, interessiert es oft niemanden. Nach einem Leak aber sind sie plötzlich sehr schnell darin, Lücken zu schliessen. Und natürlich kann so geleakter Code dann von anderen Menschen genutzt werden, um Dinge zu bauen. Gerade bei Leaks von Firmware können Leute, die die entsprechende Hardware besitzen, diese dann einfacher für ihre Zwecke anpassen. Das ist natürlich nicht unbedingt im Interesse der Firmen.
m*: Hast du eine Rechtsschutzversicherung?
Tillie: Das weiss ich ehrlich gesagt nicht! Aber es ist natürlich eine berechtigte Frage. Würde ich in den USA leben, hätte ich schon lange Probleme. Da kommt mir sehr entgegen, dass internationale Verfahren oft zu teuer sind, als dass sich das lohnen würde. Oft handeln sie ja auch sehr fahrlässig, sodass ich sehr einfach an den Code komme. Relevant sind deshalb eigentlich fast nur Copyright-Gesetze und die sind international halt schwierig. Und abgesehen davon mache ich das bewusst auf eine «naive» Art. Das kommt dann völlig anders rüber als wenn ich anonym auftreten würde. Es wirkt viel weniger angsteinflössend, wenn klar ist wer ich bin und dass man mir mit rechtlichen Schritten drohen kann, wenn man will. Und wenn sich Firmen bei mir melden und verlangen, dass ich Leaks entferne, dann mache ich das meist. Nicht weil ich das unbedingt möchte, aber so kann ich halt rechtlichen Problemen ausweichen. Ich weise sie dann auch darauf hin, wie ich an das Material gekommen bin, dann können sie die Lücken beheben. Bisher wurden die dann alle sehr freundlich. Einmal hat mir eine Rechtsabteilung einer grösseren Firma geschrieben. Im ersten Mail sagten sie noch, dass sie mich in drei Ländern gleichzeitig angezeigt hätten. Im dritten Mail wünschten sie mir ein schönes Wochenende und merkten an, dass sie sich das mit den Anzeigen nochmal überlegten.
m*: Also nachdem du ihnen entgegengekommen bist?
Tillie: Ja genau. Und natürlich ist es brutal naiv, wenn ich ohne eigene Anwält*innen auf solche Mails antworte. Aber bisher hat das immer funktioniert. Zuerst haben sie immer super formell geschrieben und sobald ich halb-informell etwas zurückgeschrieben hatte, kam dann meist eine viel unaufgeregtere Antwort. Weil auch irgendwie klar ist, dass ich eh keine Chance hätte. Ich glaube es ist schon ein Vorteil, dass ich das nicht «professioneller» mache.
m*: Aber du hattest schon berufliche Konsequenzen?
Tillie: Ja, die hatte ich schon. Meine vorherige Stelle habe ich verloren, weil eine Schweizer News-Seite – deren Namen ich jetzt mal nicht nenne – mich morgens um 9 Uhr in meinen Ferien nicht erreichen konnte und dann halt meinen Arbeitgeber anrief, welchen sie über Linkedin gefunden hatten. Wegen einer Story die mit meiner Arbeit nichts zu tun hatte. Das war halt so ein Consulting-Job mit Versicherungskunden und so. Da war ich wohl ein zu grosses Risiko. Also nicht weiter erstaunlich. Aber es war schon lustig, dass ich dann wegen Schweizer Journis meinen Job los war.