Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Jack Cators VPN-Netzwerk “Hide my Ass!“ hilft Menschen, im Netz zu verschwinden

von Joachim Hentschel
Jack Cator hat mit „Hide My Ass!“ eines der größten VPN-­Netzwerke aufgebaut – und hilft damit Menschen, im Netz unsichtbar zu werden oder gänzlich zu verschwinden.

Dieser Artikel erschien zuerst in der gedruckten Ausgabe des WIRED Magazins im September 2015. Wenn ihr die Ersten sein wollt, die einen WIRED-Artikel lesen, bevor er online geht: Hier könnt ihr das WIRED Magazin testen.

Das Hinterteil des Esels, demonstrativ in Richtung Betrachter gereckt, mit weit geöffnetem Anus. So sah das erste Logo aus, das – um 2006 herum – ein ungarischer Freelancer für das Start-up Hide My Ass! gezeichnet hatte. Obwohl „Ass“ in diesem umgangssprachlichen Fall doch weder Hintern noch Esel bedeutet: „Hide My Ass!“ heißt einfach „Versteck mich!“. Der Name für einen digitalen Proxy- und VPN-Dienst (kurz für Virtual Private Network), den selbst der Dümmste verstehen muss. Mach mich unsichtbar für die, die mich ausspionieren und bevormunden. Versteck mich im Netz.

Jack Cator, Gründer und Chef von Hide My Ass!, übernahm das Arschloch-Logo erst mal. Später malten ihm Designerfreunde das Signet, das noch heute auf der Seite steht – den Cartoon-Esel im Geheim­agentenkostüm, der auch auf ein doofes Craft-Beer-Etikett passen würde.

Im ästhetisch oft so blassen Web-Security-Business sei die Markenstrategie entscheidend, sagt Cator, 26, aus Thetford in der britischen Grafschaft Norfolk.

Den komischen Widerspruch, den man spürt, wenn ein Dienst für anonymes Internet-Surfen sich selbst als pokémonbuntes Lifestyle-Produkt geriert – den gibt es im Jahr 2015 natürlich nicht mehr. Die IP-Adresse verschleiern zu wollen (siehe Infokasten rechts), das hat jede Aura des Schmierigen verloren. Selbst die, die sich im Gedanken aalen, sie hätten nichts zu verbergen, benutzen heute Proxys und VPNs. Hide My Ass! gilt in diesem Feld – neben den Amerikanern Hotspot Shield und den Rumänen Cyberghost – als einer der größten Anbieter. Und nach zehn Jahren Marktpräsenz schon als Veteran.

Um ein guter Hacker zu sein, braucht man eine intensive, wissenschaftliche Weltsicht, und die habe ich einfach nicht.

Jack Cator

Mehr als acht Millionen Kunden pro Monat rufen Cators kostenlosen Proxy-
Service auf, 250 000 haben – für bis zu zehn Dollar im Monat – die VPN-Verschlüsselung abonniert, können aus mehr als 850 Servern in über 180 Ländern wählen, welche IP-Adresse ihnen gerade passt. Im Mai 2015 hat Cator seine Bude an die niederländische Antiviren-Softwarefirma AVG Technologies verkauft, für 40 Millionen Dollar. Die Marke Hide My Ass! bleibt natürlich. Sie ist der springende Punkt.

„Um ein guter Hacker zu sein, braucht man eine intensive, wissenschaftliche Weltsicht, und die habe ich einfach nicht“, sagt Jack Cator beim Treffen in Berlin, ein Bübchen im Hemd, dem man auf den ers­ten Blick höchstens zutrauen würde, eine Dose Newcastle Brown Ale ins Internat zu schmuggeln. „Ich habe mich immer mehr mit Design beschäftigt. Das war ausschlaggebend für unseren Erfolg: die Bedienbarkeit. Das Simple.“ Eben hat Cator die nächstnaheliegende, volkstümliche Geschäftsidee gelauncht: Hide My Phone!, die Privatsphäre-App fürs Telefon. Wer die Sphären trennen will, bestimmten Leuten nicht die echte Nummer geben oder im Ausland Roaminggebühren sparen möchte, bekommt von Hide My Phone! so viele Handynummern wie gewünscht. Jede kostet drei Dollar Monatsmiete, für eingehende Anrufe müssen kleine Abschlagszahlungen geleistet werden. Kurz nach Start meldete Hide My Phone! 20 000 Downloads pro Monat.

Auch in diesem Business gibt es seit Jahren andere Start-ups: iNumbr, Jetnumbers oder Vumber. Jack Cator macht halt alles eleganter und mit einer millionenstarken Kundenkartei im Unterholz. „Unser Ziel ist es, das größte Privacy-Unternehmen der Welt zu werden“, sagt er, und seit dem Verkauf an AVG könnte das passieren.

Kurz die Historie: Schon als Schüler im ländlichen Norfolk zeigte Cator Geschäftstalent, vertickte Handys und Sammelkarten. Mit elf, zwölf Jahren begann er, eigene Websites zu konstruieren, Fanpages über BMX-Räder, mit Baukastenprogrammen wie Angelfire und Homestead. In der Schule konnten seine Freunde und er nicht mal auf Myspace zugreifen, gesperrt vom Direktorat, die Kuschelstufe der Netzzensur. Auch diesen Missstand hatte Cator im Kopf, als er (angeblich) mit 16 an einem einzigen Nachmittag im Sommer 2005 die erste Hide-My-Ass!-Seite baute.

Einen Proxy-Dienst, der alle Aktivitäten des Internet-Browsers über eine Weiche leitet, an der die IP-Adresse des Nutzers verborgen und durch eine andere, falsche ersetzt wird. Ein Akt subversiver Verwirrung, der nötig wurde, um die Freiheit zurückzuholen, von der das Netz in seinen Unschuldsjahren geträumt hatte. Naiv ungeschützte WLAN-Netze können so benutzt, gesperrte Seiten besucht, länderbeschränkte Videos geguckt, Spuren verwischt werden. (Beim echten VPN gilt das dann nicht nur für den Browser, sondern für den gesamten Datenverkehr des Rechners oder Smartphones, also auch für Apps, Messenger und andere Anwendungen.)

Cator benutzte bereits vorhandene Open-Source-Software, bettete sie einfach neu ein: in eine leicht verständliche Seite, die praktisch nur aus einem Eingabefenster bestand. Er postete sein hingefummeltes Werk beim Bookmarking-Portal Digg. Wartete ab. Nach wenigen Tagen war die Hölle los. Bald verdiente er mit Hide My Ass! viel Geld, erst mit Anzeigen, dann mit Zugangsgebühren.

„Am Anfang ging es uns vor allem darum, Zensur jeder Art zu bekämpfen“, sagt Jack Cator, und mit „uns“ meint er sich. „Dann erst wurde mir klar, dass ein solcher Dienst den Schutz von Privatsphäre ins Zentrum stellen sollte. Das ist ein Unterschied. Wer sich unbeobachtet fühlt, sagt viel eher das, was er denkt.“
Eine Journalistin aus Shanghai erzählt uns, in China – wo man ohne VPN nicht mal Facebook öffnen kann – sei der Dienst Astrill sprichwörtlicher Standard. Von Hide My Ass! hat sie noch nie gehört.

Am Anfang ging es uns vor allem darum, Zensur jeder Art zu bekämpfen.

Jack Cator

Ein ganz anderer Fall von Privatsphäre. Vier Jahre ist es her, dass das FBI mit ­voller Witterung hinter der Hackergruppe Lulzsec herjagte. Lulzsec warf man ­unter anderem diverse Cracks von Sony-Datenbanken vor, bei denen nahezu 80 Millionen persönliche Datensätze erbeutet wurden. Zu den mutmaßlichen Mitgliedern, die das FBI im Jahr 2011 festnahm, gehörte der damals 23-jährige Cody Kretsinger aus Arizona. 2013 wurde er zu einem Jahr Haft und 1000 Arbeitsstunden verurteilt.

Kretsinger hatte zeit­weise den Proxy-Service von Hide My Ass! benutzt – das wurde Teil seines Problems. Als Jack Cator 2011, während der Ermittlungen gegen den Hacker, von einem britischen Gericht die Anordnung erhielt, rückte er die Verbindungsdaten seines eigentlich doch ­anonymen Kunden heraus. Hide My Ass! protokolliert Anfang und Schluss einer Proxy- oder VPN-Sitzung, nicht die Websites, die jemand während­dessen besucht. Im Fall Lulzsec waren diese Daten Beweisstück genug.

Cator behandelte den Fall offensiv. Erklärte im hauseigenen Blog, dass ja schon in den AGB deutlich drinstehe, dass Hide My Ass! keine Aktivitäten dulde, die nach britischem Recht illegal seien – weshalb zum Beispiel die ägyptischen Tahrir-Platz-Aktivisten oder Brecher der türkischen Twitter-Sperre keine Angst vor Enttarnung haben müssten. Trotzdem: Der Ruf war tief zerkratzt. „Wer einen Service verkauft, der darin besteht, Privatsphäre und Identität zu schützen“, schreibt ein Kommentator im Security-Blog Invisibler, „kann nicht das Gegenteil tun, sensible Daten an die Autoritäten weitergeben, ohne zumindest ein bisschen scheinheilig zu wirken.“

Hide my Phone! ist Jack Cators neue Idee: 20 000 Downloads pro Monat

Aber wenn man sich dann im Netz durch die VPN-Szene hangelt, durch die Vergleichstests, die Bezichtigungen, das Selbstlob, mit dem die unzähligen kleinen Anbieter sich gegeneinander in Stellung bringen – dann glaubt man irgendwann eh keinem Versprechen mehr. Die einen beteuern, keinerlei sogenannte Log-Daten zu speichern. Die anderen erklären, dass das technisch gar nicht zu vermeiden ist. Und die Übernächsten sagen, dass VPN-Dienste eh nur für harmlose Eulenkinder geeignet sind, die ab und zu heimlich ein Video mit nicht-GEMA-freier ­Musik schauen wollen. Alle anderen brauchten das Tor-Netzwerk oder ähnlich muskulöse Kaliber.

„Ich würde es so ausdrücken: Wer sich ein Haus baut, braucht eine Eingangstür. Aber will jeder eine Tür aus Panzerstahl und mit Selbstschussanlage? Wahrscheinlich nicht“, sagt Simon Specka, Unternehmer und VPN-Experte aus Berlin. „Eine solide Holztür mit Stahlverstärkung reicht in den allermeisten Fällen völlig aus. Man darf nicht vergessen, dass ein großer Teil der Internetnutzer immer noch mit einem riesigen offenen Loch in der Hauswand lebt. Ganz ohne Tür.“

Specka, Ende 20, ist natürlich der exakte Gegenpart zum Schlurfi Jack Cator. Sitzt im vorbildlichen Kreuzberger Hauptquartier seiner Firma Zenmate, das so aussieht wie die Büros in tausend Start-up-Presseartikeln. Hat im Herbst 2013 in Manchester sein Studium in Innovationsmanagement abgeschlossen, kurz nachdem er mit dem Kommilitonen Markus Hänel Zenmate gegründet hatte. Das deutsche VPN-Netzwerk, das seinen Schutz unter anderem als extrem praktisches Browser-Plug-in anbietet, gilt heute als Investorenliebling. Sammelte allein 2014 in einer Finanzierungsrunde 3,2 Millionen Dollar. Wächst pro Tag um rund 65 000 Installationen, knapp 20 Millionen sind es schon.

Und natürlich sagt auch Simon Specka, dass seine Firma sich bald zu einem Sicherheitsanbieter mit umfassendem ­Appeal entwickeln werde. Demnächst starte man einen interessanten neuen E-Mail-Dienst, bald mehr dazu. Sinngemäß: In der Müffelecke der Proxy-Billigheimer, die Anonymität mit Rabatt verkaufen, will Zenmate auf keinen Fall gesehen werden. Dass man lange als Gratisdienst galt, dass erst seit März 2015 bis zu neun Euro pro Monat fürs voll funktionstüchtige Plug-in verlangt werden, passt rückwirkend nicht mehr so gut in die Geschichte.

„Wir sind keine Aktivisten“, sagt Specka. „Wir gehen nicht gegen Regierungen vor. Wir sind ein Premium-Security-Service, keine Rebellengruppe.“
Eine Lulzsec-Affäre wird es mit Zenmate trotzdem nicht geben. Für eine in Berlin ansässige VPN-Firma gilt der ­deutsche Datenschutz, der keine Protokollierung der Verbindungen vorsieht – zumindest, solange ein Gesetz zur ­Vorratsdatenspeicherung nur auf irgendwelchen Papieren steht. Ähnlich scheint es ja mit anderen Drohungen gegen die Branche zu sein, die im Jahr 2015 so ­deutlich wie nie an der Kreuzung zwischen Sponti-Service und gut gebügelter Dienstleistung steht, zwischen den Optionen, als austauschbares Modul zu enden oder als voll integriertes Sicherheits­system, das am Ende auch die Antivirus-Software überflüssig machen könnte, die seit ­Jahren auf den Rechnern vor sich hinbrutzelt.

Ein paar positive Reviews reichen dafür nicht. Die Firmen müssen viel mehr eine Sprache finden, mit der sie ihrem Publikum klarmachen, was hier eigentlich auf dem Spiel steht. Mit der sie auch die sogenannten nicht-technischen Nutzer erreichen können, die denken, VPN wäre eine Billig-Airline, mit der man schön nach Fuerteventura fliegen könne.

Als im Frühjahr 2015 bekannt wurde, dass Streaming-Plattformen wie Netflix von großen Filmstudios unter Druck gesetzt werden, zum Territorialschutz keinerlei VPN-Nutzung aus fremden Ländern mehr zu dulden, meinten viele Beobachter schon, das könne für die Security-Anbieter der Todesstoß sein – weil ein Großteil der Nutzer eben doch nur Filme gucken wolle. Nachfragen bei den Diensten zeigen allerdings, dass Netflix in der Sache kaum aktiv geworden ist. Auch die Drohungen diverser Kreditkartenfirmen, Zahlungen an VPN-Anbieter nicht mehr weiter­zuleiten: Das scheint kein echtes Problem zu werden. Für den Versuch, den Leuten nachträglich doch wieder einzureden, das Verschleiern einer IP-Adresse sei irgendwie kriminell, ist es jetzt zu spät. Glücklicherweise.
Allerdings: Die Illusion, ein Virtuelles Privates Netzwerk könne einen im Netz vollkommen anonym, jede eigene Reflexion über die öffentliche
Privatsphäre obsolet machen – die ist am Ende genauso irreführend. „Die Face­book-Generation ist mit Sharing aufgewachsen, ob es um Fotos geht oder tiefe Gedanken über den Sinn des Lebens“, sagt Jack Cator von Hide My Ass!. „Ich bin mir sicher, das wird die Leute eines Tages einholen.“ Unter welcher IP-Adresse, das macht dann auch keinen wirklichen Unterschied mehr.

GQ Empfiehlt
Ein 5-Euro-Tool knackt angeblich jeden Rechner

Ein 5-Euro-Tool knackt angeblich jeden Rechner

von Michael Förtsch