Peiter Zatko alias Mudge verlässt Google

Der Sicherheitsforscher Peiter Zatko hat sich in einem Tweet von seinem Arbeitgeber Google verabschiedet und wissen lassen, er werde im Auftrag der US-Regierung eine „CyberUL“ gründen. Laut Recode, das die Geschichte zuerst aufgriff, steht UL für Underwriters Laboratories, eine 111 Jahre alte Firma, die Produkttests durchführt. CyberUL werde also eine von ihr inspirierte gemeinnützige Organisation sein, die mit Regierungsgeldern Software auf ihre Sicherheit untersuche.

Zatko, der seit vielen Jahren auch unter seinem Hackernamen Mudge bekannt ist, hatte etwa schon bis 2013 für die zum US-Verteidigungsministerium gehörige Defense Advanced Research Projects Agency (DARPA) gearbeitet. Von dort wechselte er zu Googles Gruppe Advanced Technology and Projects (ATAP), die ursprünglich Motorola Mobility eingerichtet hatte.

Die Idee einer „CyberUL“ hat Recode zufolge L0pht Heavy Industries im Jahr 1999 aufgebracht – ein von Hackern gegründeter Thinktank in Cambridge (Massachusetts, USA), dem Zatko angehörte. Es argumentierte, die zunehmende Popularität des Internets gefährde die öffentliche Sicherheit, da es keine Sicherheitsstandards oder ernstzunehmenden Zertifizierungen gebe.

Recode zitiert einen Regierungsvertreter, jüngste Fortschritte beim Einsatz automatischer Analysen von Softwarequelltext seien in Regierungskreisen auf Interesse gestoßen. Man suche nach einem Weg, Sicherheitstests von Software zu standardisieren. Es gebe aber noch keine Entscheidung dazu.

Peiter Zatko (Bild: DARPA)Klar ist auch, dass die US-Regierung nach Wegen sucht, die Cybersicherheit der USA insgesamt zu verbessern. „Keine ausländische Nation, kein Hacker sollte in der Lage sein, unsere Netzwerke lahmzulegen, unsere Handelsgeheimnisse zu stehlen oder in die Privatsphäre amerikanischer Familien einzudringen“, hatte im Frühjahr Präsident Barack Obama formuliert, als er zu diesem Zwecke eine Haushaltserhöhung vorschlug. Anlässe dafür gibt es nach einer Reihe von Cyber-Einbrüchen bei US-Krankenversicherungen sowie beim Personalbüro der Regierung reichlich.

Seine Hackerkarriere hatte Zatko als Jugendlicher in den Achtzigerjahren begonnen, als er einen Passwortcracker namens L0phtCrack schrieb. Im Rückblick sagte er 2010: „L0pht hat die Branche auf den Kopf gestellt. Damals gab es keine großen Security Response Teams bei Firmen wie Microsoft oder Intel – bis wir kamen.“ Und zu seiner Motivation: „Als ich L0phtCrack schrieb, wollte ich unter anderem zeigen, dass die eingesetzten Microsoft-Systeme keine ’sicheren‘ verschlüsselten Passwörter enthalten konnten – nicht, dass es Passwörter gegeben hätte, die sicherer waren als andere. Das sollte nicht bedeuten, dass man keine Microsoft-Produkte verwenden soll, sondern, dass man sich im Klaren darüber sein sollte, wo die Sicherheitsgrenzen gezogen werden müssen, wenn man die Microsoft-Plattform verwenden will, ohne die Infrastruktur unangemessenen Risiken auszusetzen.“

Dass Zatko Karriere machen würde, war lange klar. Im Jahr 2000 wurde er zu einem Gipfelgespräch über Sicherheitsfragen eingeladen, dem der frühere US-Präsident Bill Clinton vorsaß. Es ging um Distributed-Denial-of-Service-Angriffe (DDoS), die damals das Internet lahmlegten. Bevor er zur DARPA kam, nämlich schon in den Neunzigerjahren und dann erneut ab 2004, war er für BBN Technologies tätig, das auf Sicherheitsaufgaben im Dienste der Regierung spezialisiert ist.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.