Cure53 Dieser deutsche Informatiker hat Chinas geheime Polizei-App geknackt

Mario Heiderich, Chef des Berliner Cybersicherheits-Anbieters Cure53. Quelle: Privat

Das IT-Sicherheitsunternehmen Cure53 aus Berlin hat für Human Rights Watch eine chinesische Spionage-App durchleuchtet – nicht der erste derartige Auftrag für das Team um Unternehmenschef Mario Heiderich. Und die nächste Überprüfung einer Schnüffel-App steht offenbar bereits bevor.

  • Teilen per:
  • Teilen per:

Mario Heiderich steht nicht gerne im Mittelpunkt. „Wir haben bloß eine App durchleuchtet, das ist nichts Besonderes“, sagt der Chef des Berliner Cybersicherheits-Anbieters Cure53. Das ist eine ziemlich bescheidene Beschreibung für den Scoop, den Heiderich mit seiner Mannschaft kürzlich gelandet hat.

Cure53 hat im Auftrag der amerikanischen Menschenrechtsorganisation Human Rights Watch eine vom chinesischen Staat entwickelte Spitzel-App geknackt. Die Android-App namens Integrated Joint Operations Platform (IJOP) wird von der Polizei in der chinesischen Region Xinjiang eingesetzt, um die dort ansässige, mehrheitlich muslimische Bevölkerung auszuspähen und zu überwachen. Human Rights Watch wurde sie zugespielt. Und die Organisation machte Ende vergangener Woche bekannt, was darin steckt.

Für ihren Report haben Heiderichs Leute den Quellcode der App zehn Tage lang auf Herz und Nieren überprüft und dabei auch den ein- und ausgehenden Internetverkehr protokolliert. Die Techniker wollten herausfinden, welche Daten die App speichert und weitergibt. Wichtigstes Ergebnis: „Die App ist nicht sehr komplex – und wurde eindeutig mit dem Ziel geschrieben, möglichst viele Daten über Bürger zu sammeln“, sagt Heiderich.

Laut Human Rights Watch wird die App vor allem beim Ausspionieren der muslimischen Bevölkerung Xinjiangs eingesetzt. „Die App stellt vor allem Formulare bereit, in welche die Polizisten Daten eingeben und an die Server der Behörden schicken können“, sagt Heiderich. Dazu zählen persönliche Daten wie etwa die Blutgruppe oder die Körpergröße, aber auch der Stromverbrauch im Haushalt, die politische Einstellung bis hin zu allen Aspekten der Religionsausübung. „Im Prinzip alle Informationen, die man benötigt, um ein umfassendes persönliches Profil zu erstellen“, erläutert Heiderich.

Dennoch will er seinen Anteil bei der Aufdeckung dieser „beispiellosen Bespitzelung“, wie es die Menschenrechtsorganisation ausdrücke, als sie den Report in Hongkong vorstellte, nicht allzu hoch hängen. „Hier kann sich vor allem Human Rights Watch als Held fühlen“, betont Heiderich.

Dabei war die aktuelle App-Durchleuchtung nicht der erste entsprechende Auftrag für Cure53. Vor zwei Jahren teste das Unternehmen eine App aus Südkorea, welche die Regierung hatte entwickeln lassen, damit Eltern ihre Kinder per Smartphone überwachen können.

Heiderich fand damals heraus, dass die App derart schlecht programmiert war, dass praktisch jeder von außen Zugriff auf die Handys der Kinder bekommen konnte. „Das ließ sich auch nicht per Umprogrammierung retten“, sagt Heiderich. Die Folge: Nach der Veröffentlichung des Reports musste die Regierung in Seoul die App wieder einstampfen.

Auch wenn Cure53 immer wieder Aufträge von Non-Profit-Organisationen wie Human Rights Watch bekommt, so macht Heiderich doch den Großteil seines Geschäfts mit sogenannten Penetrationstests für Unternehmenskunden wie Microsoft, Google oder die Deutsche Post. Dabei testet Cure53 mit seinen 18 Technikern etwa, wie stabil bestimmte Web-Seiten oder Software-Programme laufen.

„Vielleicht zehn Prozent entfallen auf Nichtregierungsorganisationen“, sagt Heiderich, der sich selbst nicht als digitalen Robin Hood sieht. „Wir betrachten dies nicht als politische Aufträge, sondern ganz nüchtern als technologische Analyse.“ Auch hier ist Heiderich, der an der Ruhr-Universität Bochum über Informationssicherheit promoviert hat, also wieder ganz der zurückhaltende Techniker: „Maliziöse Software gibt es in den USA genauso wie in China – gutartige Software und Kunden aber ebenso.“

Den nächsten Scoop deutet der 37-Jährige schon an: „Es gibt ja nicht nur eine Spionage-App wie die vorliegende, da könnte demnächst noch was kommen“, orakelt Heiderich. Wieder vom Auftraggeber Human Rights Watch? „Das könnte sein – oder auch nicht.“

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%