Die Luzerner Hackerin Tillie Kottmann im Interview

«Wenn jemand gegen Hacking sagt: Das ist nicht ethisch, dann sage ich: Hast du dir mal ein normales Grossunternehmen angeschaut?»

Im März 2021 wurde Anklage gegen die Luzerner Hackerin und Aktivistin Tillie Kottmann erhoben. Das US-Justizministerium fordert bis zu 20 Jahren Haft wegen «Datendiebstahl» und «Verschwörung». Wegen ihrer Enthüllungen über Sicherheitslücken in zentralisierten Überwachungssystemen in den USA wurde die 22-Jährige von ausländischen Medien gefeiert. In der Schweiz hingegen wurde ihre Geschichte, mit wenigen Ausnahmen, auf eine «People Story» reduziert. Wir haben Tillie Kottmann gefragt, weshalb, und mit ihr über staatliche und privatisierte Überwachung gesprochen, über Hacking als Aktivismus und Business und wie sie damit Kapitalismuskritik übt.

Plötzlich hat Luzern eine weltberühmte Hackerin – mittlerweile vertreten durch den Anwalt von Edward Snowden und mit der Anklageschrift: United States of America versus Tillie Kottmann. Interessiert hat die hiesigen Medien, mit Ausnahme der Republik und der WOZ, vor allem Kottmanns Vorliebe für Rosa, ihre gefärbten Haare, ihr Geschlecht und ihre Wohnadresse. Dabei ging es um die Veröffentlichung von brisanten Daten von globalem öffentlichem Interesse. Besondere internationale mediale Aufmerksamkeit erlangte Kottmann durch den sogenannten Verkada-Hack: Kottmann und andere erlangten Zugang zu einem Super-Admin-Account der Firma Verkada, die Überwachungstechnik an Firmen verkauft, und konnten live dabei zusehen, was hinter verschlossenen Türen in Gefängnissen und Psychiatrien passiert. Kottmanns Website ist mittlerweile durchs FBI beschlagnahmt, ihr Twitter-Account wird regelmässig gesperrt. Einen Hehl aus ihrem Hacktivismus hat sie nie gemacht, agiert hat sie immer unter ihrem Namen oder aka deletescape und tillie crimew. Tillie Kottmann kämpft für radikale Transparenz und gegen den Überwachungs-kapitalismus, der es mitunter möglich macht, jene mit aller Härte zu verfolgen, die auf seine Problematik aufmerksam machen. Sie spricht über diese Dinge sachlich, versiert und mit grosser Ernsthaftigkeit, und dann wieder blitzt ein Lachen auf. Beim Hacking müsse man sich immer anpassen können, immer wieder treffe man auf neue Herausforderungen, das sei halt manchmal doch wie ein Game.

Die Hackergruppe REvil legt seit Freitagnachmittag (2. Juli 2021, Anm. d. Red.) weltweit die IT-Systeme hunderter Firmen lahm, um diese zu erpressen. Konkret geht es um den US-amerikanischen IT-Dienstleister Kaseya. Hast du das mitverfolgt?
Tillie Kottmann: Ja, aber weniger aktiv als anderes. Klar, es ist der grösste Ransomware-Hack gegen Firmen. Das ist wichtig zu sagen: gegen Firmen. WannaCry beispielsweise (Hackerangriff im Jahr 2017, infiziert wurden weltweit über 230 000 Computer, Anm. d. Red.) war eigentlich grösser – aber hat weniger Firmen betroffen und wurde darum als weniger schlimm erachtet. Im Fall von Kaseya ist das Spannende, dass es überhaupt passieren konnte. Die USA haben natürlich ein Interesse daran, Russland und China medial in ein schlechtes Licht zu rücken und Forderungen zu stellen. Russland insbesondere, weil da noch die Vorwürfe zu den Manipulationen der Wahlen 2016 hängig sind. Ich finde daran vor allem den geopolitischen Aspekt spannend. Wenn Hackerangriffe aus Russland kommen, ist es bös und schlimm. Wenn sie aus den USA kommen, dann spricht man einfach nicht darüber.

Du kennst diese russische Hackergruppe?
REvil ist eine Gruppe, die es schon länger gibt. Es erstaunt mich, dass REvil immer noch agiert. Ich bin davon ausgegangen, dass die sich einfach wieder aufsplittern und unter anderem Namen wieder zusammenfinden. Weil, wenn du zu viele negative Schlagzeilen hast, zahlt niemand mehr deine Ransomhacks.

Ransomhacks, Ransomware. Kannst du das erklären?
Ransomware früher war: Man verschlüsselt Daten und die Betroffenen müssen dafür zahlen, dass diese wieder entschlüsselt werden. Weil das immer weniger gezogen hat, weil es ja meist um Corporate Ransomware geht, alles andere ist schlecht fürs Image, hat man begonnen, Daten nicht nur zu verschlüsseln, sondern von Unternehmen zu klauen. Und wenn nicht bezahlt wird, drohen die Ransomware-Gruppen, diese zu veröf-fentlichen. Meistens veröffentlichen sie zuerst ein Sample als Beweis.

Was haben Firmen konkret zu befürchten?
Durch solche Ransomware-Gruppen sind auch Daten von öffentlichem Interesse veröffentlicht worden. Eine grössere Story ist die vom Minneapolis Police Department. Ihre Gang-Database (ein kriminalpolizeiliches Informationssystem, das von den Polizeibehörden genutzt wird, um Informationen über ermittelte Bandenmitglieder zu speichern, Anm. D. Red.) wurde durch eine Ransomware-Gruppe veröffentlicht und dazu interne E-Mail-Kommunikation. Daraus lässt sich extrem viel herauslesen, es ist das Police Department mit den meisten Complaints in den USA. Die USA haben das dann so geframet: Die agieren gegen unsere Sachen, unseren Staat. Aber diese Gruppen haben im Grunde kein Interesse an Geopolitik. Das mit dem Police Department geschah teilweise aus Versehen, sie haben nicht realisiert, wie hohe Wellen das schlagen würde. Es ist grundsätzlich nicht in ihrem Interesse, den Staat gegen sich aufzubringen, weil das natürlich zu zahlreichen Problemen führt.

Warum sind so oft die USA das Ziel?
Finanziell macht es halt Sinn, in den USA ist das Geld.

Und die russischen Hacker agieren nicht im Sinne des Staatsapparats?
Es heisst immer, die russischen Hacker:innen würden eh unterstützt vom Staat. Das ist eine Halbwahrheit. Solange du nichts gegen Russland oder Staaten, die mit Russland alliiert sind, machst, wirst du grundsätzlich vom Law Enforcement in Russland ignoriert. Das ist aber nicht nur in Russland so. Wenn in Russland eine Gruppe aus Virginia was hackt, interessiert das die USA genauso wenig – weil Russland für sie auch ein geopolitisches Ziel ist. Es ist logisch, dass du als Staat so agierst – die Gruppe macht Gratisarbeit für dich. Wenn sie aber eine Grenze überschreitet, die nicht in deinem Sinne ist, gehst du gegen sie vor. Die meisten Hacker:innen sind nicht an geopolitischen Zielen interessiert, weil du so schnell in ein Spotlight gerätst.

Kaseya wird derzeit als grösster Hackerangriff der Geschichte bezeichnet. Das ist also falsch?
Das ist immer schwierig einzuschätzen. Es gibt wahrscheinlich Angriffe in ähnlicher Skala, die nie publik geworden sind. Staaten, wie etwa die USA, wollen natürlich nicht unbedingt, dass das publik wird – weil sie nachher scheisse dastehen. Es passt jedoch aktuell in ihr geopolitisches Spiel, dass sie die Sache mit Kaseya öffentlich gemacht haben. «Grösster Hackerangriff» – wie ordnet man das ein? Sachschaden ja, aber es sind Firmen. Zum Beispiel beim Hackerangriff WannaCry waren die meisten Personen, die getroffen wurden, Random-Einzelpersonen mit einem Windows-PC.

Gegen eine grosse Anzahl Einzelpersonen zu schiessen, ist vermutlich auch weniger lukrativ?
In der früheren Phase von Ransomware hat man mehr auf Personen abgezielt. Inzwischen ist man sich bewusst: Auf Firmen abzielen gibt weniger negative Publicity und ausserdem können Firmen mehr zahlen.

Markt klingt jetzt nicht nach politischem Cyber-Aktivismus. Du wirst als Hackerin bezeichnet – ist dieser Begriff korrekt?
Ich würde mich selber als Hacktivistin bezeichnen, aber das ist mehr ein Unterbegriff. Was die Gesellschaft unter Hacking versteht, ist Computerkriminalität. Aber der Begriff bezeichnet viel mehr – auch wenn das nicht immer gefällt. Wenn du zuständig bist für die Cybersecurity einer Firma und du wirst bezahlt dafür, das professionell zu tun – auch das ist Hacking. Der Begriff ist nicht nur auf die Technologie beschränkt, sondern aufs Entdecken an sich. Das kann sich im legalen und illegalen Raum bewegen und muss mit Computern absolut gar nichts zu tun haben. Daher kommt der Begriff und dort sieht man auch andere Sachen, auch im Wort «Lifehack»: Man gebraucht Sachen für etwas, für das sie nicht unbedingt gedacht sind.

Wenn medial von Hackerangriffen berichtet wird, handelt es sich tendenziell um linke Gruppierungen. Ist das so? Und gibt es auch rechte Gruppierungen?
Ja, das gibt es auch. Ich würde nicht sagen, dass die Hacking-Szene als Ganzes links ist, der kulturelle Teil – die Hacking Culture – hingegen ist sicherlich eher links. Das ist eine Counter Culture und die sind traditionell links geprägt. Aber logischerweise gibt es in der Szene alles.

Für viele ist es auch einfach ein kriminelles Business.
Ja, aber da fängt die kulturelle Diskussion an. Darf man das jetzt Hacking nennen? Ich finde es jedoch einen unsinnigen Begriff, um damit «gatekeeping» zu machen. Wenn du hackst, ist mir egal, ob ich das, was du machst, gut finde oder nicht. Hacking als Kultur, das ist schon links geprägt. Hacking mit Cybersecurity-Sachen, das ist einfach Business. Aber da kommen wir zurück zu Ransomware-Gruppen. Hauptsächlich gehen sie gegen Firmen vor. Die meisten haben Policies, nichts gegen Schulen und Spitäler zu machen. Schon auch nur darum, weil das medial unsinnig ist. Was ich immer sage und womit ich gewisse Menschen immer hässig mache, ist: Das ist ein Geschäft wie jedes andere auch. Wenn jemand gegen Hacker sagt: «Das ist illegal, nicht ethisch», dann sage ich: «Hast du dir mal ein normales Grossunternehmen angeschaut?»

Tillie Kottmann | 041 – Das Kulturmagazin

Cyberkriminelle sind also weitgehend Teil des kapitalistischen Systems?
Die Firmen, deren Daten sie verschlüsseln, nennen sie Kund:innen. Da sie Zugriff auf ihre Finanzdaten hatten, wissen sie, wie viel Geld sie haben und wie sie versichert sind. Keine Ransomware-Gruppe fordert mehr, als die Versicherung der Firma deckt. Weil, schlussendlich wollen sie einfach Geld, nichts anderes. Innerhalb des kapitalistischen Systems verstehe ich nicht, warum man damit ein Problem hat. Grundsätzlich fragen sie einfach, wie viel deine Versicherung zahlt, und das ist, was wir verlangen – nicht mehr.

Wie wählst du deine Ziele aus?
Unterschiedlich. Man sieht so ein Geschäft und denkt: Wow, diese Firma ist scheisse, die will ich jetzt unbedingt hacken. Das ist frustrierend, weil man meistens keinen Weg findet, sie zu hacken, oder der Aufwand ist immens. Öfters war es so: Wir haben etwas gefunden, wovon wir gewusst haben: He, diese Software kennen wir gut, und wir kennen die Schwachstellen. Dann haben wir im Internet nach der Software gescannt, haben das durchgeschaut und gesehen, ah, hier kommen wir ein Stück weiter. Erst dann haben wir uns gefragt, ob es sich lohnt, da weiter vorzugehen.

Die Ziele werden danach ausgesucht, ob man überhaupt reinkommt oder nicht.
Ja. Weil, dann ist das mehr so: Wow, damn, wir haben das gefunden und das ist ja mega krass, und nicht: Wir haben einen Monat lang etwas zu finden versucht, erfolglos. Geduld ist nicht so mein Ding.

Wenn du in der Schweiz hacken würdest, was würde sich lohnen und warum?
(Schweigt.)

Wie zielgerichtet geht ihr vor? Wisst ihr von Anfang an, was ihr vorhabt?
Endziele hatten wir nie wirklich. Man muss sich immer anpassen können, schauen, was man vorfindet, darum ist es auch Hacking. Du findest jedes Mal etwas anderes, triffst immer wieder auf neue Herausforderungen. Es ist halt, blöd gesagt, auch ein Game.

Du sprichst von «wir». Ihr arbeitet in einer Art Kollektiv?
Es waren meistens lose Gruppen oder einzelne Personen, mit denen ich regelmässig etwas gemacht habe. Nachdem man eine Software gescannt hat, ist der Hauptaufwand, alles durchzusehen und zu schauen, was spannend ist und wo man weiterkommt.

Von was für einem Zeitaufwand sprechen wir?
Schwer zu sagen. Das sind riesige Mengen an Material, es ist extrem unrealistisch, alles durchzusehen. Aber wir schauten es uns einfach regelmässig an, pickten Einzelnes heraus, manchmal zufällig.

Kennst du deine Community auch persönlich oder sind das Beziehungen, die übers Netz laufen?
Meistens übers Netz. Es kann auch sein, dass man sich mal an einer Konferenz oder so trifft. Grundsätzlich weiss man ja nicht unbedingt, mit wem man zusammenarbeitet. Und Identitäten können sich ändern. Oft will man sein Gegenüber nicht kennen, um sich gegenseitig nicht zu verpetzen. Wie kommuniziert man miteinander, ohne dass offensichtlich wird, wer jetzt wo sitzt? Das kommt drauf an, wie sehr man verschlüsselt und wie viel man spricht. Meistens geht es um die Sache, an der man gemeinsam dran ist.

Über welche Kanäle?
Unterschiedlich. Ich habe viel über Telegram gearbeitet, aber eigentlich bilden sich solche Gruppen überall, wo miteinander kommuniziert wird.

Wie weisst du, dass du der Person vertrauen kannst, mit der du zusammenarbeitest?
Meistens triffst du dich eh mit ähnlichen Interessen, zumindest in den Kreisen, in denen ich mich bewege. Bei andern geht es wiederum um ein bestimmtes Ziel, wo dann egal ist, weshalb andere mitmachen.

Was machst du effektiv, wenn du am Computer sitzt und dir eine Software vornimmst?
Grundsätzlich versuche ich, so simpel wie möglich zu arbeiten. Was wir ausgenutzt haben, ist, wenn Firmen-Softwares nicht richtig konfiguriert sind, etwas nicht sicher eingestellt ist. Beispielsweise ist dann aus Versehen was im Internet, was nicht dort sein sollte. Beim Hacken nutzt du die Schwachstellen aus.

Hackerangriffe legen Schwachstellen in der Sicherheit von Firmen offen. Firmen lernen davon und verbessern ihren Schutz. Das ist oft nicht das eigentliche Ziel der Hacker:innen.
Klar, längerfristig hegt man mit hacktivistischen Aktionen schon den Wunsch, dass die Firma mit dem eigentlichen Scheiss aufhört, das ist aber nicht mega realistisch. Gerade am Beispiel der Überwachungskamera-Firma Verkada stellen wir natürlich grundsätzlich die zentralistische Überwachung in Frage. Aber kurzfristig gesehen ist mir lieber, diese Überwachung verläuft sicherer. Dann kann man immerhin davon ausgehen, dass hauptsächlich nur die Personen Zugriff auf die Überwachung haben, die einen haben sollten. Was aber meistens wichtiger ist – und in unserem Fall auch war: dass man aufzeigt, was da passiert, wie solche Dinge intern funktionieren. Dieses Wissen geht ja nicht verloren – auch wenn Verkada das in Zukunft vielleicht sicherer machen wird. Vieles davon ist vor allem Awareness-Arbeit. Mit dem Nebeneffekt, dass es die Firma etwas kostet.

Tillie Kottmann | 041 – Das Kulturmagazin

Verkada-Hack. Was ist dort genau passiert?
Wir haben nach einer bekannten Software gescannt. Diese haben sie bei Verkada als Support-Tool verwendet. Sie machten nämlich den blöden Fehler, dass sich ein Benutzername und ein Passwort von ihrem eigenen System einfach so herauslesen liessen. In ihrem Tool, das sowieso schon intern hätte sein sollen, haben wir also diesen Super-Admin-Account gefunden. Darüber konnten wir uns in die Software einloggen, dann hatten wir volle Kontrolle.

Ihr konntet eingeloggt als User:in Zugriff auf die Kameras haben?
Wir konnten entscheiden, als welche:r User:in wir auf diese zugreifen wollten.

Wie hat sich das angefühlt, als ihr da reingelangt seid?
Das Gefühl – wow, damn, ich bin jetzt da drin – ändert sich nie. Das ist schon immer ein Adrenalin-Rush. Und vor allem als wir realisierten: Fuck, fuck, wir haben auf so viele Sachen Zugriff, wir können aufdecken, wie unsicher zentralisierte Überwachungssysteme funktionieren. Wenn ein solcher Zugriff in die richtigen Hände gelangt, kann tatsächlich aufgezeigt werden, was hinter verschlossenen Türen passiert. Über deren Überwachungssystem konnten wir in eine Psychatrie und in Gefängnisse blicken und bekamen zu sehen, was dort für schlimme Sachen passieren. Das war krass, da habe ich dann einfach drei Stunden traumatisierende Videos aus einer Psychiatrie angeschaut.

Dieses Material wurde dann an die Medien weitergereicht?
Wir haben früh mit Bloomberg zusammengearbeitet. Wir haben hin- und hergeschrieben, das hat zwei, drei, Tage gedauert. Das war schon krass, es ist immer mehr geworden, wir haben immer mehr gesehen und auch immer mehr gemerkt: Damn, wir sehen hier Sachen, von denen man weiss, dass sie stattfinden, gerade im Gefängnis oder in der Psychiatrie, aber die man, bis man sie gesehen hat, trotzdem nicht wahrhaben will. Es war uns auch wichtig, das bei der Berichterstattung so rüberzubringen. Dass unser Hack nicht auf die spezifischen Institutionen zielt, sondern auf das Thema der Überwachung. Das sind systematische Sachen, wo wir ein erstes Mal Einblicke kriegen in Räume, die wir sonst nicht sehen, die dort einfach ablaufen, als wäre es normales Tagesgeschäft – was es ja leider auch ist an diesen Orten. Wir haben immer mehr realisiert: Fuck, das ist gross, das ist gigantisch.

Das zentralisierte Überwachungssystem ist ein Angebot, das eine Firma gegenüber diversen Firmen macht und die somit für die Sicherheit diverser Firmen zuständig ist, richtig?
Es ist schlussendlich in der Cloud. Normalerweise, wenn man ein Überwachungssystem hat, sind alle Sachen nur bei dir, je nachdem hast du einen Server, wo du das speicherst und dein Archiv hast. Somit ist alles bei dir und unter deiner Kontrolle. Im Fall Verkada ist der Ort, wo alle Videos gespeichert und verarbeitet werden, ein zentraler Server in den USA. Und wie wir gesehen haben: Wenn eine Person Zugriff hat, dann sieht die alles, bei all diesen Firmen. Wir hätten von 27 000 Kund:innen alle Kameras anschauen können. Und was bei Verkada noch dazukommt, die haben alles so coole Artificial Intelligence Features, man kann in dieser Datenbank nach Kleidern oder nach Gesichtern suchen, danach, ob eine Person einen Rucksack trägt.

Wie geht man mit dieser Macht um? Hast du das Gefühl, ihr habt diese missbraucht oder sogar zu wenig ausgenutzt?
Wir haben nichts selbst veröffentlicht, weil es sich um viele persönliche Daten handelt. Beim Hacktivismus hat man eine gewisse Machtumkehr. Sonst im Aktivismus, den ich nicht kleinreden will, stehen wir bei einer Firma vor der Glastür oder auf der Strasse, aber die können uns einfach ignorieren. Wenn du aber Zugriff auf die Daten hast, dann … Hey, wir haben die Daten, wir können damit anstellen, was wir wollen. Das ist beim Hacken spannend, da kannst du plötzlich, als Einzelperson, diese Machtstruktur umkehren. Das ist es, was der Hacktivismus-Strategie so viele Möglichkeiten verleiht. Aber klar, man muss sich jedes Mal die Gedanken machen: Was tun wir, dass Einzelpersonen nicht zu Schaden kommen, wie gehen wir damit um? Sonst ist es wiederum ein Machtmissbrauch, den man begeht.

Staat und Privatfirmen hacken uns doch gewissermassen auch. Wo genau liegt der Unterschied?
Schlussendlich ist auch der staatliche Überwachungsapparat von den Privaten abhängig, das Ganze wird outgesourct. Darum unterscheide ich Staat und Private noch viel weniger. Dazu kommt, dass Staaten sich genauso wenig an Gesetze halten. Die haben einfach viel Geld und darum können sie es sich leisten. Aber wenn du als Grosskonzern ein privates Intelligence-Unternehmen unterhältst, dann ist das nichts anderes, als wenn das ein Staat macht mit seinem Intelligence-Apparat. Letztlich ist es Überwachung im Namen von jemandem mit einer Machtposition, die sich meistens gegen Einzelpersonen oder kleinere Gruppen richtet.

Das Interessante ist, dass im Prinzip dieselben Techniken und Mittel angewendet werden. Im einen Fall nennt man es Cyberkriminalität und im andern Fall Schutz vor Cyberkriminalität oder deren Verfolgung.
Nicht nur zur Verfolgung von Cyberkriminalität werden diese Techniken eingesetzt, sondern in jedem Bereich, der in die Intelligence-Bereiche greift. Die staatlichen Geheimdienste klauen auch Sachen, brechen an Orten ein, wo sie nicht dürften – auch Orten, die sie laut ihren eigenen Gesetzen nicht aufsuchen dürften. Es ist schlussendlich nachvollziehbar, dass sie die gleichen Mittel anwenden. Aber klar verurteile ich das, denn es geschieht «legal» aus einer Machtposition des Staates heraus.

Was genau bedeutet Intelligence?
Das sind die Secret Services, Geheimdienste und so, also die ganze Intelligence Community. Und dann gibt es auch die privaten Intelligence Contracter, die machen im Grunde dasselbe, entwickeln die Softwares für Firmen. Dir wird Datendiebstahl vorgeworfen.

Von welchen Daten sprechen wir?
(Schweigt.)

Du sagst, dass du für Open Source (eine Art Software, deren Quellcodes öffentlich zugänglich sind. Programmierer:innen und Nutzer:innen können diese somit verändern und teilen. Anm. d. Red.) und Transparenz kämpfst. Wie sähe das in letzter Konsequenz konkret aus?
Ich kämpfe für eine radikale Transparenz. Quellcodes der Softwares von Firmen und die Dokumentation ihrer Hardware sollten öffentlich sein. Wir sind jeden Tag von so vielen Computersystemen abhängig. Auch jene Personen, die selbst keine technischen Geräte benutzen, beispielsweise, wenn sie ins Spital müssen. Da bist du dann einerseits davon abhängig, dass das funktioniert und die Software des Computers tut, was sie soll. Und andererseits sind das mega teure Systeme, von denen niemand weiss, wie genau die laufen. Es sollte möglich sein, dort mehr Kenntnisse zu haben. Und dazu kommt das «right to repair». Konkret: Wenn die Firma das Produkt nicht mehr unterstützt, kein Update mehr dafür macht, sollte man die Möglichkeit haben, dieses selbst oder mit Hilfe von Tutorials zu reparieren.

Dies zu verunmöglichen, ist wiederum ein Business, nehmen wir Apple zum Beispiel.
Genau, zum Beispiel wenn du ein Handy kaufst, solltest du die Möglichkeit haben, das Produkt so zu nutzen, wie du willst. Genau das ist rechtlich gesehen aber eingeschränkt. In diese Richtung will ich auch mit der radikalen Transparenz. Darum bin ich dafür, dass Firmen diese Sachen offenlegen müssen, damit auch andere Gebrauch davon machen können. Nehmen wir zum Beispiel medizinische Geräte: Es gibt Staaten, die sich solche nicht leisten können. Sie sollten Geräte aber doch nachbauen, warten und anpassen können.

Das Internet wird wahlweise als böse, als rechtsfreier Raum bezeichnet oder als anarchischer Raum gefeiert. Kann das Internet neutral sein?
Heute ist das Internet extrem kommerzialisiert. Es wird gesagt, im Internet könnten alle machen, was sie wollen. Das ist nicht wahr. Wenn man das globale Internet anschaut, ist das ein US-Internet, die USA haben praktisch die gesamte Kontrolle und setzen die Standards. Ich würde das Internet nicht als gesetzfreien Raum bezeichnen, es ist einfach ein Raum, wo man sich mehr oder weniger erlauben kann. Ich würde es nicht verteufeln. Viele der guten Sachen – Zugriff auf Wissen, internationaler Austausch – sind dem Internet zu verdanken. Wiederum sind genau da auch die Gefahren: Der Zugriff auf das Internet kann abgeschnitten werden, in einem Bürgerkrieg etwa. Man weiss: Menschen können sich im Netz austauschen über Themen, die man als Staat nicht will.

Und das Darknet ist ein Bereich des Internets, der eine Spur anonymer ist?
Kann man so sagen, ja.

Tillie Kottmann | 041 – Das Kulturmagazin

Vielleicht eine naive Frage: Könnte man das Internet lahmlegen? Und wie müsste man das anstellen?
Grundsätzlich schon und es wäre auch gar nicht so schwierig. Technisch ist es herausfordernd, das genauer zu erklären. In der Theorie kann es ja meist verhindert werden, bevor es passiert. Wichtig ist: Ein Grossteil des Internets ist davon abhängig, dass die Systeme von zwei, drei Firmen funktionieren. Darum gibt es das regelmässig, dass in bestimmten Regionen so viele Seiten auf einmal weg sind. Dank dem coolen Kapitalismus ist alles sehr zentralisiert und entsprechend von einzelnen Firmen abhängig. Deshalb musst du nicht das ganze Internet lahmlegen, sondern zwei Firmen, und dann funktioniert praktisch nichts mehr.

Warum machts dann niemand?
Teils geschieht da schon was, aber regional. Meistens passiert das dann, weil die Firmen selber irgendeinen Fehler gemacht haben.

Welche Firmensysteme müsste man lahmlegen?
Es gibt verschiedene Möglichkeiten. Wenn ein Grossteil der Amazon-Infrastrukturen nicht mehr funktioniert, würde das halbe Internet nicht mehr laufen.

Du sagst, man brauche keine besonderen Kenntnisse, um in diese Computersysteme zu gelangen. Das ist doch Understatement.
Ein gewisses technisches Wissen brauchts natürlich schon. Aber das Narrativ, Hacker:innen müssten alles wissen, seien superschlau, naja. Es ist Learning by Doing. Die Sachen, die wir gemacht haben, funktionierten, weil wir gewisse Softwares sehr gut kennen. Aber nicht unbedingt besser als die Firmen selbst, die haben nur zu wenig Geld investiert, um Sachen richtig zu machen.

Wie lange beschäftigst du dich schon mit Hacking? Kommt drauf an, wie mans anschaut. Schon seit Jahren. Was heisst das? Du bist erst 22.
Ich habe die Lehre als Informatikerin gemacht. Spätestens dann, aber auch schon vorher, habe ich mich damit beschäftigt. Aber da ging es noch nicht in diese Richtung. Zu deiner Anklage: Das US-Justizministerium fordert bis zu zwanzig Jahre Strafmass wegen «Computer-Missbrauch und Identitätsdiebstahl».

Was ist unter «Identitätsdiebstahl» zu verstehen?
(Schweigt.)

«Conspiracy» heisst, du hättest dich der «Verschwörung» schuldig gemacht, konkret: Du hast mit Journalist:innen kommuniziert und das Eindringen in Computersysteme via Social Media offengelegt.
(Schweigt.)

Kannst du nochmals rekapitulieren, wie die Erfahrung mit Journalist:innen war? Insbesondere in Bezug auf Schweizer Medien.
Interessant ist, dass Schweizer Medien erst nach der Hausdurchsuchung aufmerksam geworden sind. Vor allem der Blick hat sich unmöglich aufgeführt. Am Tag der Durchsuchung haben sie bei meinen Eltern 50-mal angerufen, in meinem Umfeld herumtelefoniert bei Leuten, von denen sie dachten, sie würden mich kennen. Oder Tele1, die das Gefühl hatten, sie könnten einfach mal die Hausfassade zu meiner Wohnung filmen. Keine Ahnung, woher sie meine Adresse hatten. Am Samstagabend kam das auf Tele1 und am nächsten Morgen stand dann der Blick um zehn vor der Türe, zweimal geläutet, und dann auf der anderen Strassenseite gewartet eine Stunde.

Die Sache selbst, Verkada, interessierte sie nicht?
Die Verkada-Story interessierte die Schweizer Medien nicht vor meiner Hausdurchsuchung. Der Blick hat über die Hausdurchsuchung geschrieben, bevor sie in irgendeiner Form über Verkada berichteten. Sie wollten einfach möglichst viele Stories über mich machen, ich war eine Woche lang Front-Page-News. Ich hätte kein Problem gehabt, mit Medien zu sprechen, aber ich konnte nicht – hätte ich mich irgendwo gemeldet, hätte der ganze Zirkus wieder angefangen. Der Republik-Artikel, das war das erste Mal, als ich wirklich mit Schweizer Medien gesprochen habe. Danach hat es wieder angefangen mit dem Blick. Oder L’Illustré, die hat ein Porträt über mich gemacht und dazu Bilder von meinem Instagram-Account verwendet, eines mit meinen Eltern drauf. Das geht gar nicht, dass sie Bilder von meinen Eltern einfach so publiziert haben. Ausserdem haben sie Sachen erfunden. Sie machten sich nicht mal die Mühe, sich bei mir zu melden. Aber im Artikel heisst es dann: Sie hüllt sich in Schweigen.

Ausser im Tages-Anzeiger und bei SDA stand nirgendwo etwas über den Verkada-Hack. Dort sehr spärlich. Was sagt das über die Schweizer Medien?
Auch SDA hat sich erst nach der Durchsuchung bei mir gemeldet. Das sagt schon etwas aus über die journalistische Arbeit in der Schweiz. Ich meine, drei Stunden nachdem der Bloomberg-Artikel draussen war, habe ich mit einer japanischen Presseagentur geschrieben. Und die Schweizer Medien schaffen das einfach nicht, obwohl es sogar noch um eine Person aus der Schweiz geht. Sonst hat das praktisch alle Medien weltweit interessiert, ausser die Schweiz. Irgendwas läuft doch falsch hier? Oder sind wir einfach mega hindedri?

Unter dem Strich ist, mit wenigen Ausnahmen, alles auf eine People-Geschichte reduziert worden. Hast du dafür eine Erklärung?
Ich verstehe, warum ich plötzlich als Person für Schweizer Medien interessant bin. Aber ich finde es spannend, dass Verkada nicht interessant genug ist und dass die Artikel, die von Bloomberg abgeschrieben wurden, nicht mal richtig abgeschrieben wurden.

Wie sind deine Erfahrungen mit ausländischen Medien?
Dort war schon mehr das Interesse an der Story. Käme ich jedoch aus einem dieser Länder, wäre man wohl auch anders mit mir umgegangen. Ein Fotograf hat mir mal gesagt: Du kannst froh sein, kommst du nicht aus Grossbritannien, in London würden nun 20 Journalist:innen vor der Haustüre stehen und dich nicht aus dem Haus lassen. Es wäre in anderen Ländern ähnlich verlaufen wie hier, aber dass es die Schweiz erst interessiert hat, als es bereits eine Sensations-Story war, das finde ich schlimm.

Du bist gerade einmal 22, bist praktisch über Nacht international berühmt geworden, wirst vom Anwalt von Edward Snowden vertreten, im Ausland droht dir die Auslieferung an die USA. Du wirst die Schweiz voraussichtlich längerfristig nicht mehr verlassen können. Wie geht es dir damit?
Es ist sicher, dass ich verschiedene Staaten vermutlich nie mehr betreten kann. Damit habe ich mich schon seit längerer Zeit abfinden müssen. Auch wenn ich theoretisch wieder reisen könnte, ist immer ein gewisses Risiko damit verbunden, weil man in anderen Staaten viel einfacher ausliefern kann. Es gibt blödere Orte, als in der Schweiz festzusitzen. Im Vergleich zu Assange habe ich den Vorteil, dass ich nicht vom Goodwill eines Staates abhängig bin, weil ich verfassungstechnisch nicht ausgeliefert werden kann.

Zum Schluss, aus reiner Neugierde: Was findest du über uns im Netz heraus?
Haben wir Grund zur Paranoia? Gute Frage. Ich meine, rein technisch gesehen, so ziemlich alles. Aber das ist unrealistisch, diese Daten sind irgendwo, dazu zu kommen, diese Wahrscheinlichkeit ist relativ klein. Und der Aufwand wäre riesig. Es würde sich nicht lohnen, ihr seid zu wenig wichtige Targets. Und es gibt meistens einfachere Wege: Es wäre günstiger, euch einen Monat lang zu überwachen. Besser, man recherchiert eure Interessen und schreibt euch dann eine super E-Mail, wo ihr dann sicher auf den Link klickt.

Was haben wir vergessen?
Mir ist wichtig: Wenn ich über Hacktivismus spreche, will ich dabei andere Protestformen – vor allem den Aktivismus auf der Strasse – nicht kleinreden. Was die effektivere Form von Aktivismus ist und was richtig ist, diesen Streit möchte ich gar nicht erst anfangen.

Gewisse Formen von Aktivismus, Sprengsätze gegen Atomkraftwerke etwa, funktionieren natürlich nicht mehr, weil so viel über Computersysteme läuft.
Gewisse Sachen, die man früher so blockieren konnte, sind inzwischen halt digital. Darum ist diese Form wichtig, aber je nachdem, man kann auch anders vorgehen.

Man könnte ja dort, wo effektiv ein Server steht, etwas tun, ganz analog.
Ja, das wäre eine Möglichkeit.


Interview: Anja Nora Schulthess & Robyn Muffler
Bilder: Mischa Christen

Der Beitrag erschien in der Septemberausgabe 09/2021 von 041 – Das Kulturmagazin.