Mit 23 Jahren beschließt Moxie Marlinspike, das Segeln zu lernen. Statt einen Kurs zu machen, kauft er für ein paar Hundert Dollar ein Boot und macht vier Tage später in San Francisco die Leinen los. Nach vier Wochen ist der autodidaktische Seemann schon in Mexiko.
Solche Geschichten erzählt der schlaksige Amerikaner gerne, wenn es um die wichtigen Sachen in seinem Leben gehen soll. Er schildert dann Erlebnisse beim Trampen quer durch die USA oder zeigt auf seinem Blog Fotos aus der Phase, als er auf Züge aufspringt. In diesen Abenteuern spielen technische Geräte nie eine Rolle.
Dabei ist Marlinspike einer der größten Computervirtuosen unserer Zeit. Er ist der Mann, der es vollbracht hat, dass zwei Milliarden Menschen weltweit sich gerade eine Nachricht von Handy zu Handy zuschicken können, ohne dass Dritte mitlesen. Marlinspike hat den Goldstandard programmiert. Ob WhatsApp, Facebook und seit Neuestem auch Google – alle Techgiganten haben seinen Verschlüsselungscode mittlerweile integriert.
Denn die Grenzen der Privatheit werden derzeit neu erkämpft. Nachrichtendienste werten Daten im großen Stil aus, private Unternehmen sammeln immer mehr Informationen: Sie wissen meist, wo wir sind, mit wem wir chatten und welches Handy wir dabei benutzen. Man muss kein Verbrecher sein, um das beunruhigend zu finden.
Edward Snowden rät dazu, den von Marlinspike gegründeten Chatdienst Signal zu nutzen. Barack Obama bezeichnet die Arbeit des Programmiergenies als „Problem“. Die NSA sieht in Marlinspike eine Bedrohung für die Sicherheit. Und sie hat zum Disput zwischen dem FBI und Apple geführt.
Wer ist dieser Mann überhaupt?
Wenn er spricht, dann ruhig und unaufgeregt, häufig lächelt er verlegen. Auf Fotos schaut er meist woandershin. Vor Jahren gab er sich selbst den Namen Moxie Marlinspike. Natürlich versteht er es, seinen ursprünglichen Namen zu verbergen. Das Geheimnis ist seine Motivation: „Wir sollten alle etwas zu verstecken haben.“
Drei Tage nachdem die Identität von Edward Snowden publik wurde, proklamiert er in einem Essay, das sich in der Netzgemeinschaft verbreitete wie ein Manifest: „Es ist nicht nur wichtig, was wir denken. Sondern wie wir denken.“ Sozialer Fortschritt sei nur möglich, wenn wir vor Behörden geschützte Räume haben. Erstmals bekannt wurde das Programmiergenie 2010: Da schreibt er einen Code, der Nachrichteninhalte verschlüsselt. Nur die Chatteilnehmer können sie lesen. Für alle anderen werden Sätze und Bilder zu einem Zeichensalat, auch für den Chatanbieter selbst. „Ende-zu-Ende“ heißt diese Verschlüsselung.
Jahrelang war diese Technik nur etwas für Nerds und Profis – oder für Kriminelle. Nun ist sie zum Massenphänomen geworden: Allein über WhatsApp läuft Marlinspikes Code auf fast 35 Millionen deutschen Smartphones. Doch dafür musste Marlinspike sein Weltbild neu ausrichten.
Schlüsselerlebnis Patriot Act
In seiner Welt waren die Rollen klar verteilt. Böse sind die mit zu viel Macht. „Insgeheim hasse ich Technologie. Ich bin darüber entsetzt, wie sich die Geek-Kultur entwickelt hat“, sagt er. „Sie verkaufen ihren Service immer mit der munteren Ankündigung, die Welt zu einem besseren Ort zu machen. Dabei ist klar, dass das nicht ihr einziges Ziel ist“, sagte er noch vor fünf Jahren.
Dabei war jene Gegend rund um San Francisco für ihn einmal das gelobte Land. Marlinspike wächst in Georgia auf; das Internet wird für ihn zum Tor der großen, aufregenden Welt. Als Teenager lernt er das Programmieren und merkt rasch, dass er es besser kann als die anderen. Nach der Schule zieht es ihn deshalb wie viele Computernerds an die Westküste, ins Silicon Valley.
Dort ist er bald enttäuscht vom omnipräsenten Erfolgsanspruch, dem Paradigma vom Arbeiten bis zum Umfallen. Eine Zeit lang arbeitet er für eine Techfirma, dann kündigt er. Er lebt in besetzten Häusern, startet Projekte wie Audio Anarchy, für das er anarchistische Texte vorliest und ins Netz lädt. Das Programmieren war in dieser Zeit eine von vielen Beschäftigungen, scheint es auf seinem Blog, der zur Chronik seines Abenteuerlebens wird. Auf den Fotos hält er fast immer ein Surfbrett oder ein anderes Outdoor-Accessoire in den Händen.
Was WhatsApp mit Facebook teilen wollte – und was nicht
Nachdem bei der Übernahme durch Facebook 2014 vereinbart wurde, die Daten getrennt zu lassen, macht WhatsApp nun einen vorsichtigen Schritt. Facebook soll die Telefon-Nummer des Nutzers bekommen sowie Informationen dazu, wann er bei dem Dienst aktiv war.
Es heißt, damit solle die Werbung bei Facebook besser personalisiert werden. Zum anderen solle innerhalb der Facebook-Gruppe auch ein Dienst wie die Fotoplattform Instagram WhatsApp-Daten nutzen können, um Nutzer zum Folgen vorzuschlagen.
Ja, daran soll sich nichts ändern, wie Gründer Jan Koum schon oft zugesichert hatte.
Nein, versichert WhatsApp. Die Inhalte seien seit Einführung der Ende-zu-Ende-Verschlüsselung im Frühjahr nur für die beteiligten Nutzer selbst sichtbar, also selbst nicht für WhatsApp.
WhatsApp erklärt, man habe „im Moment“ nicht vor, sogenannte optionale Account-Informationen wie zum Beispiel Profilnamen, Profilfoto oder Statusmeldung mit Facebook zu teilen.
Wer am 25. August bereits bestehender WhatsApp-Nutzer ist, könne Facebook verbieten, die Profilinformationen zur Personalisierung der Werbung und Freunde-Vorschläge einzusetzen, heißt es. Die Telefonnummer und Daten zur Nutzung würden aber in jedem Fall mit Facebook geteilt.
Mit der Telefonnummer können Profile eindeutig einer bestimmten Person zugeordnet werden. Zugleich macht sie es einfacher, für die Sicherheit bei Online-Diensten zu sorgen, weil über sie zum Beispiel eine Zwei-Stufen-Authentifizierung laufen kann.
WhatsApp schafft erste Grundlagen für die geplante Öffnung des Dienstes für die Kommunikation zwischen Nutzern und Unternehmen. Dabei gehe es etwa um Informationen zu Bestellungen oder Versand-Benachrichtigungen. „So kannst du zum Beispiel Informationen zum Flugstatus für eine bevorstehende Reise, einen Zahlungsbeleg für etwas, das du gekauft hast, oder eine Benachrichtigung bezüglich eines Liefertermins erhalten.“ WhatsApp machte bisher keine Angaben dazu, wie der Service konkret aussehen soll.
An seinem verstrubbelten Hinterkopf hängen bis heute blonde Dreadlocks. Er strahlt die Gelassenheit aus, wie sie Menschen haben, die wissen, dass sich die Dinge immer irgendwie fügen. Nur ein Thema regt ihn auf: Übergriffe von Behörden.
In seinen Abenteuern spielen Polizisten stets die ätzende Rolle. Mal verlangen sie unbegründet seine Personalien, mal verbieten sie ihm das Weintrinken im Hafen. „Du vertraust Autoritäten, ich vertraue mir selbst“, überschreibt er eine solche Episode in seinem Blog. Im digitalen Raum aber ist staatliche Autorität mehr als ein Spielverderber für ihn. Als der Patriot Act erlassen wird, wonach das FBI im Zeichen der Terrorabwehr ohne Richterbeschluss auf Daten zugreifen darf, nimmt er das als Bedrohung wahr: „Sie wollen unsere Daten oft nur, weil sie nichts verpassen wollen. Ich denke nicht, dass wir in einer solchen Welt leben wollen.“ Und beschließt, sein Programmiertalent politisch einzusetzen. Er beginnt, Nachrichten zu verschlüsseln.
Seine Codes sind so gut, dass Twitter sein Start-up kauft und ihn als Sicherheitschef einstellt. Marlinspike hält es nur ein Jahr dort aus. Dann reaktiviert er seine Firma. In der Zwischenzeit hat er einiges über die Regeln erfolgreicher Apps gelernt.
Jeder Klick Mehraufwand entscheidet über Erfolg oder Misserfolg, die Nutzer sind zu bequem, um ihre Daten zu verschlüsseln, wenn sie etwas „extra“ dafür tun müssen. „Unser Programm soll unsichtbar sein“, fasst er seine Philosophie zusammen. Fortan programmiert er nach dem Prinzip: schlicht und massenkompatibel. Davor war das Verschlüsseln eine Methode von Dissidenten, Whistleblowern und Nerds. Eine Nische für Menschen wie Matthew Green.
Wenn man Obama zum Feind hat
Er ist Professor an der John-Hopkins-Universität Baltimore und unterrichtet Kryptografie, die Kunst der Verschlüsselung. Als er von Marlinspikes Code hört, lädt er ihn herunter und bringt ihn in den Unterricht mit. Die Studierenden sollen ihn auf Fehler und Lücken untersuchen. Sie finden keine einzige Schwachstelle. „Jede einzelne Ecke ist perfekt verlegt“, sagt Green. Marlinspikes Signal-App wird zum Liebling in der Hackerszene. Sein bekanntester Fan weilt in Moskau. Edward Snowden empfiehlt der Welt: „Benutzt alles, was er programmiert.“ Er verwende die App jeden Tag. Als Marlinspike vergangenen Winter nach Russland reiste, trafen sich die beiden Krypto-Profis.
Marlinspike hat nicht nur Fans. „Verschlüsselung ist eine Bedrohung für die NSA“, steht in den Ausbildungsdokumenten des Geheimdienstes. Wenige Tage nachdem WhatsApp Marlinspikes Code integrierte, erregte sich Obama, man dürfe das Smartphone nicht „fetischisieren“.
Die Technik ist nun ein Politikum. Vor einem halben Jahr ereignete sich ein beispielloser Machtkampf zwischen FBI und Apple. Die Ermittler verlangten von Apple, auf das iPhone eines getöteten Attentäters zugreifen zu können. Apple widersetzte sich. Das FBI zahlte einem unbekannten Hacker 1,3 Millionen Dollar, um das Smartphone zu knacken. „Früher haben die Behörden die Kommunikation direkt angezapft, heute gehen sie einfach dahin, wo die entsprechenden Daten liegen“, sagt Marlinspike.
Was tun? Den Unternehmen selbst traut Marlinspike nicht zu, selbst für den Schutz der Daten zu sorgen. Jahrelang gehörten sie schließlich zu jenen Machtinstanzen, die er ablehnt. Doch dann kam das Jahr 2013. Und die Zeit, in der das massenhafte Abhören durch die NSA bekannt wird.
Fast im Wochentakt weitet sich der Skandal aus. Marlinspike ist beunruhigt. Wenn die Kommunikation im Mainstream überwacht wird, muss er raus aus der Nische. Rein in die Server von WhatsApp, Facebook und Co. Die Großen verschlüsseln. „Mir war bewusst geworden, dass wir das realistischer angehen müssen“, sagt er heute.
Ein Zufall katapultiert ihn mitten ins Konzerngeschehen. Auf einer Party lernt er einen Ingenieur von WhatsApp kennen. Dieser vermittelt ihm ein Treffen mit den Gründern des Messengers. Als sich Marlinspike und WhatsApp-Chef Jan Koum zum ersten Mal unterhalten, stellen sie fest, dass sie im gleichen Hackerkollektiv aktiv waren. Sie beschließen, dass Marlinspike WhatsApp abhörsicher machen soll.
Zwei Jahre arbeitet er daran, den Code in das Chatprogramm zu integrieren. Im Frühjahr 2016 ist das Projekt abgeschlossen. Seither werden die rund 42 Milliarden Nachrichten täglich für andere unleserlich gemacht. Es ist die größte Verschlüsselung der Geschichte. Und die anderen Messenger ziehen nach. Im Juli verkündet Facebook, die Nachrichteninhalte künftig zu verschlüsseln. Google baut in seine Allo-App die Option auf Nachrichtenschutz ein. Ausgerechnet Google, ausgerechnet Facebook, ausgerechnet Apple. All jene, die für ihren Datenfetisch bekannt waren, übereifern sich in ihren Versprechen auf Privatheit.
Facebook und Google sammeln natürlich weiter Daten über unser Surfverhalten, unsere Konsumpräferenzen und mit wem wir Kontakt haben. Seit Kurzem tauscht WhatsApp – entgegen seiner Ankündigung – nun Nutzerdaten mit dem Mutterkonzern Facebook aus. Doch im Kampf um Nutzer ist das Versprechen, zumindest nicht mitlesen zu können, zu einem Wettbewerbsvorteil geworden. Marlinspike ist auch zum Feigenblatt der Konzerne mutiert.
Es gibt noch mehr Kritik: Die abhörsichere Kommunikation wird auch von Kriminellen genutzt. Marlinspike sagt, das sei kein neuer Vorwurf: „Solche Leute haben schon immer Zugang zu Verschlüsselungstechniken. Es ist der Rest, der ihn nicht hatte.“ Und die Netzgemeinde fragt sich, ob er sich nicht einfach für viel Geld verkauft habe: Wie viel die Techfirmen für seinen Code bezahlt haben, wird so geheim gehalten wie sein Name.
Vieles spricht indes dagegen, dass Marlinspike seine Grundsätze verhökert hat: Sein Programm ist Open Source und grundsätzlich frei nutzbar. Sein Team aus drei Leuten lebt von Spenden und Fördermitteln aus dem Open Technology Fund, sie sind eine Non-Profit-Organisation. Als Marlinspike bei Twitter kündigte, ließ er über eine Million Dollar in Aktienoptionen liegen. Er hätte noch drei Jahre bleiben müssen, um sie zu ziehen. Für seinen Lebensstil braucht er ohnehin nicht viel Geld. Er reist am liebsten per Anhalter und weiß, wie man damit ziemlich weit kommen kann (ein Surfbrett unter dem Arm sichert die Solidarität von Surfern, die einen per Auto mitnehmen). Solche Tricks schildert er auf seinem Blog. Marlinspike entscheidet eben selbst, welche seiner Geheimnisse er verraten möchte.