Porträt

Ein Hacker mit einem moralischen Kompass

Uhr

Die Kriminellen, das sind die anderen. Ivan Bütler ist einer von den Guten – ein professioneller Hacker mit ethischen Prinzipien. Er und seine Mitarbeiter von Compass Security decken Sicherheitslücken auf, schlüpfen in die Haut der Angreifer und erleben immer wieder haarsträubende Momente.

Ivan Bütler, Mitgründer und Verwaltungsratspräsident, Compass Security. (Source: Netzmedien)
Ivan Bütler, Mitgründer und Verwaltungsratspräsident, Compass Security. (Source: Netzmedien)

Adrenalin schiesst durch die Adern. Der Atem stockt. Jemand hat die Polizei gerufen, denkt sich Ivan Bütler, als er im Hinterraum einer Bankfiliale steht und vor Angst erstarrt. Doch der Streifenwagen, der draussen patrouilliert, ist nicht seinetwegen hier. Bütler holt tief Luft, zieht den USB-Stick aus der Tasche und steckt ihn in den PC.

Das spielte sich vor etwa zwölf Jahren ab. Dass jemand einbrechen sollte, davon wussten die Bankangestellten nichts. Aber ihre Chefs wussten es. Sie hatten Bütler beauftragt, ins System einzudringen und Schwachstellen aufzuspüren. Das ist Bütlers Beruf. Als Ethical Hacker prüft er die IT-Sicherheit seiner Auftraggeber auf Herz und Nieren. Er deckt Sicherheitslücken auf, nutzt sie aber niemals aus, wie er sagt. Das könne er sich gar nicht leisten. Schliesslich ist er mit seinem Unternehmen Compass Security seit 20 Jahren im Geschäft.

 

Was einen guten Hacker ausmacht

Klare Grenzen sind wichtig, wie Bütler sagt. Wenn der Rechtsstaat oder Persönlichkeitsrechte auf dem Spiel stehen, macht er nicht mit. "Ich bekam schon viele unmoralische Angebote", sagt er. Schon einige Unternehmen hätten ihn gebeten, jemanden auszuspionieren. Auch staatliche Organisationen hätten angefragt, ob er bestimmten Leuten einen Staatstrojaner unterjubeln würde. Solche Anfragen lehne er höflich, aber bestimmt ab.

Trotzdem setzt Compass Security auch Trojaner ein. Nicht für routinemässige Sicherheitstests, sondern dann, wenn Bütler und seine Mitarbeiter in die Haut der Angreifer schlüpfen. Das kommt etwa ein Mal im Monat vor. Die Aufträge kommen von Unternehmen, die zuvor viel Geld in ihre IT-Sicherheit investierten. Sie wollen wissen, ob man eine Cyberattacke nun erkennen würde. Für solche Fälle greifen Bütler und sein Team tief in die Trickkiste.

 

Nur der Listige kommt ans Ziel

"Die grösste Schwachstelle ist die Hilfsbereitschaft der Menschen", sagt Bütler. Mal verkleidet er sich als Elektriker, mal macht er einen auf Blumenbote. So oder so: Irgendein hilfsbereiter Mitarbeiter lässt ihn meistens rein. "Das sind die aufregendsten Momente, wenn man sich heimlich Zugriff verschafft", sagt er.

Obwohl es eigentlich gar nicht sein Ding ist. "Bei solchen Aktionen bin ich immer unglaublich nervös", sagt er und lächelt verlegen. Glücklicherweise hat er Mitarbeiter, die so etwas gerne tun. Zum Beispiel Ivano Somaini. "Der macht das viel besser als ich", sagt Bütler.

 

Erst die Recherche, dann der Coup

Es ist ein harter Job, wie Somaini am Telefon sagt. "Man muss immer auf dem Laufenden bleiben, denn die Angreifer denken sich ständig neue Methoden aus." Und manchmal muss ein Sicherheitstester auch dreist sein. Somaini erzählt, wie er vor ein paar Jahren eine Zürcher Privatbank knackte. Das lief in etwa so ab:

Es ist kurz nach 7 Uhr, als der Lieferwagen vorfährt und das Tiefgaragentor aufgeht – genau wie geplant. Somaini lauert schon. Er trägt einen dunkelgrauen Anzug, im rechten Arm einen Karton mit Schallplatten und am Gürtel einen gefälschten Badge. Leise läuft er dem Auto hinterher und versteckt sich. Eine Frau steigt aus. Sie liefert Kaffeebohnen aus – das hatte Somaini schon am Tag zuvor beobachtet. Er folgt ihr und tut so, als würde er telefonieren. "Ich bin gleich oben", sagt er, sodass es die Lieferantin hört. Sie schaut nach hinten und sieht einen scheinbar schwer beladenen, beschäftigten Banker. Somaini nickt ihr zu, sie nickt zurück, schliesst mit ihrem Badge die Tür auf und lässt ihn hinein.

Mittlerweile liegt Somainis Zeit als Sicherheitstester hinter ihm. Nun leitet er die Zürcher Filiale von Compass Security. Mit 35 sei er einer der Ältesten im Unternehmen, sagt er und lacht. Von Bütler habe er viel gelernt. Etwa geduldig zu sein, ohne die Lust auf Neues zu verlieren. "Es erstaunt mich, dass er nach so vielen Jahren immer noch so viel Energie und Mut mitbringt", sagt Somaini.

 

Der tollkühne Tüftler

Im Hauptquartier von Compass Security, gleich beim Bahnhof Jona, geht es an diesem Tag ruhig zu. Die meisten seien unterwegs, sagt Bütler. Acht Entwickler sitzen in den hochräumigen Büros und blicken konzentriert auf ihre Bildschirme. Vier weitere spielen Darts. Bütler sitzt im Konferenzraum an einem ovalen Holztisch. Er blickt aus dem Fenster, kneift die Augen zu. Sein rechter Zeigefinger streicht über seine Stirn. "Ich bin so einer, der gerne grübelt und bastelt", sagt er. Einer, der etwas auseinandernimmt und neu zusammenbaut. Das fing in seiner Jugend an, als Bütler Töfflis frisierte. Damals merkte er, dass er diesen Drang verspürt, Dinge zu verbessern und vor allem: die Dinge verstehen zu wollen. Erst lernte er Elektrotechnik, dann zog es ihn in die Informatik.

Nach dem Abschluss arbeitete Bütler in der IT der St. Galler Kantonalbank. Er war 25, pendelte täglich mit dem Zug und las viel. Eines Tages bekam er ein Buch in die Finger, das ihn bis heute beeindruckt: "Angewandte Kryptographie" von Bruce Schneier. "Das war für mich wie eine Offenbarung", sagt Bütler. So kam er auf die Idee, testweise ins Netzwerk seines Arbeitgebers einzudringen. Pentesting nennt sich das. 1997 kannte das aber noch niemand, wie Bütler anmerkt. Er ging zum Chef und erklärte, er wolle das System von innen heraus angreifen. Mit einer Software namens Satan. Der Name ist ein Akronym und steht für: Security Administrator Tool for Analyzing Networks.

 

Vom Geheimlabor zur Geschäftsidee

Der Chef erstickte das Vorhaben im Keim. "Ich kann schon nachvollziehen, dass man das damals nicht wollte", sagt Bütler schmunzelnd. Doch die Idee liess ihn nicht los. Zuhause richtete er sich ein Labor ein, wo er alle möglichen Tools testete. Zu dieser Zeit war Kevin Mitnick – der damals meistgesuchte Hacker der Welt – in den Schlagzeilen. "Das hat mich völlig fasziniert, also baute ich seine Angriffe nach und analysierte sie", sagt er.

Ein Jahr später kündigte Bütler seine Stelle und heuerte bei der Zürcher Kryptografie-Firma r3 security engineering an. Nebenbei machte er ein Nachdiplomstudium in Betriebswirtschaft. Für seine Master-Arbeit erstellte er einen Business-Plan. An der Geschäftsidee hatte Bütler schon seit Längerem gearbeitet – gemeinsam mit seinem Studienfreund Walter Sprenger. Ziel war es, die erste Schweizer Firma für professionelles Pentesting aufzubauen.

 

Der Professor, der sich irrte

Fachlich hatten sie es drauf. Doch Sprenger und Bütler hatten ein Manko: "Wir hatten keine Ahnung von Unternehmensführung und Marketing und bisher auch nicht im Aussendienst gearbeitet", sagt Bütler. Das merkte auch der HSG-Professor, der Bütlers Master-Arbeit benotete. Einen Vierer hatte er, vielleicht einen Viereinhalber. Jedenfalls war Bütler so etwas nicht gewohnt. "Ich war wahnsinnig enttäuscht", sagt er. Er schaut wieder aus dem Fenster, diesmal mit ernstem Blick. Doch seine Miene hellt sich auf, während er sich zurücklehnt. Er erinnert sich an das Abschlussgespräch und schildert es so:

 

Der Professor: Wen wollen Sie nach der Firmengründung kontaktieren?

Ivan Bütler: Vielleicht die Swisscom. Oder die Credit Suisse.

Der Professor: Kennen Sie denn jemanden, der dort arbeitet?

Ivan Bütler: Nicht wirklich. Zumindest noch nicht.

Der Professor: Was wollen Sie sich denn für einen Lohn auszahlen?

Ivan Bütler: Am Anfang so um die 3000 Franken. Meine Frau verdient noch. Das wird schon.

Der Professor: Und wer sind Ihre Mitbewerber?

Ivan Bütler: Im Moment gibt es noch niemanden, der so etwas macht.

 

In der Beurteilung habe gestanden: Herr Bütler ist von seiner Idee völlig überzeugt. Er will diese Firma unbedingt gründen. Doch er verschliesst die Augen vor den Risiken. Er hat keine Kontakte und lässt sich von seiner Frau finanzieren. Er drängt in einen Markt, in dem es keine Konkurrenz gibt. Und wo kein Wettbewerb ist, da ist auch kein Markt. Fazit: Dieser Business-Plan hat keine vernünftige Grundlage.

 

Mit Spürsinn fürs Timing

Bütler schüttelt den Kopf und grinst. "Eigentlich hatte der Professor recht", sagt er. Klar, er habe damals die Gefahren ausgeblendet und sich von Hoffnungen leiten lassen. Doch der Gutachter hatte keine Ahnung, wie wichtig das Internet werden sollte. Und dass das Geschäft mit Cybersicherheit boomen würde. "Allerdings konnte das noch niemand wissen", sagt er. Nur das Bauchgefühl sei da gewesen. "Das war so …" Er benetzt seinen Zeigefinger und hält ihn in die Höhe – wie ein Jäger, der die Windrichtung bestimmen will.

Der Professor wurde schliesslich eines Besseren belehrt. Denn schon wenige Monate nach der Gründung konnte Compass Security die ersten Kundenaufträge für zwei grosse Schweizer Unternehmen durchführen. "Das war ein Riesenglück", sagt Bütler. Denn von da an habe ein Grossunternehmen sie an das nächste weiterempfohlen.

 

Wie man die richtigen Leute findet

55 Mitarbeiter arbeiten derzeit für Compass. Und Bütler sucht händeringend mehr Personal. Es sei jedoch schwierig, talentierte Leute zu finden. Was ihm helfe, sei seine Arbeit als Dozent. Bütler lehrt an der HSR. In seinen Kursen tun sich ab und an Studenten hervor, die er ins Boot holt.

Ebenso hilfreich sei das Hacking Lab. Bütler baute es 2007 auf, ursprünglich sei es als Lernspiel gedacht gewesen. Inzwischen etablierte sich das Lab als eine Onlineplattform, auf der sich Nachwuchstalente in einer geschützten Umgebung austoben, neue Techniken lernen und um die Wette hacken können. Über 120'000 registrierte Nutzer tummeln sich dort. Pro Monat kommen etwa 4000 weitere hinzu. Da findet sich immer wieder mal einer, den Bütler zu einem Vorstellungsgespräch einladen kann.

 

Wachsen will gelernt sein

Das Unternehmen wuchs schnell – was allerdings nicht immer einfach war, wie Bütler sagt. Steigende Fixkosten, Löhne und Liquidität: Auf solche Dinge musste er plötzlich höllisch aufpassen. Doch offensichtlich schaffte er es, in die Rolle des Patrons zu schlüpfen. Denn das Geschäft läuft wie geschmiert. Ausser dem Hauptsitz in Jona unterhält Compass Security Niederlassungen in Zürich, Bern sowie in Berlin. Und schon bald folgt der Sprung über den Teich, wie Bütler andeutet.

Wenn er mal nicht gerade Vorlesungen hält oder sich ums Firmenwachstum kümmert, dann hackt er auch noch heute. Gerade kürzlich habe er Kreditkartennummern in einem Onlineshop ausgelesen – natürlich im Auftrag, wie er sagt. Aber dass ihm Adrenalin ins Blut schiesst, das kommt nur noch selten vor. "Ein Glück", sagt Bütler. Die Geschichten, die er tagtäglich mitbekomme, seien aufregend genug.

Webcode
DPF8_133665