Es gibt weltweit viel Liebe für **GrapheneOS**, den Goldstandard der mobilen Sicherheit. Zwischen den beiden Männern, die im Mittelpunkt seiner Geschichte stehen, gibt es sehr wenig Liebe.  Es ist schwierig, online viele Informationen über **Daniel Micay** zu finden. Wenn man ihn googelt, stößt man auf ein unpersönliches X-Konto und eine karge LinkedIn-Seite, dazu einige YouTube-„Enthüllungen“ und Flamewars auf Reddit und HackerNews, die ihn von einem Datenschutzaktivisten über einen Cybersicherheits-Visionär bis hin zu einem Despoten beschreiben. Claude bezeichnet ihn als „einen formidablen unabhängigen mobilen Sicherheitsforscher“, der „allgemein als sozial unbeholfen beschrieben wird“ (was immer das wert sein mag). „Alles, was ich Ihnen über Daniel sagen kann, ist, dass er in Kanada lebt“, sagt **Dave Wilson**, der Community Manager von GrapheneOS, einem weltberühmten Datenschutztool und Micays aktuellem Projekt. Innerhalb der Cybersicherheits-Community geht die Mythologie um Micay über das Celebrity-Dasein hinaus. Er könnte ein Geist oder eine Art Egregore sein, wie **Satoshi Nakamoto** oder **Ned Ludd**. Fans zerpflücken Fetzen biografischer Informationen; Feinde greifen seine technischen Errungenschaften an. Wer *ist* Daniel Micay? Was will er wirklich? Als ich an die auf der GrapheneOS-Website angegebene E-Mail-Adresse schrieb, erhielt ich am selben Tag eine Antwort: „Das Team als Ganzes würde sich freuen, Fragen zu stellen und sie gemeinsam kollektiv zu beantworten. Daher wären alle Antworten vom ‚GrapheneOS-Team‘ und nicht direkt von Daniel Micay.“ Interessant. Dann nahm ich Kontakt mit Micay selbst auf – über LinkedIn, ausgerechnet. Er lehnte meine Bitte um ein Interview auf dem Protokoll ab und nannte Sicherheitsbedenken. Ich habe inzwischen erfahren, dass er 28 Jahre alt ist. Ich habe ausführlich mit Micays ehemaligem Geschäftspartner **James Donaldson** gesprochen, und zwar gegen den Wunsch von Donaldsons Anwalt. Ich sprach auch mit Bekannten von Micay. Über viele Monate hinweg entstand ein Bild, das weniger ein Mythos, aber vielleicht mehr als ein Mann war – und einer, der extreme Anstrengungen unternehmen würde, um sein Vermächtnis zu schützen. „Er war ein lustiger Kerl“, sagte Donaldson. Beachten Sie die Vergangenheitsform. Donaldson behauptet, er habe Micay irgendwann zwischen 2011 und 2013 kennengelernt, als Micay Toronto Crypto beitrat, einer kleinen Gruppe, die sich gelegentlich traf, um bei Bier über Kryptographie zu sprechen. (Über sein aktuelles Team bestreitet Micay dies. Er sagt, er habe Donaldson 2014 kennengelernt und der Gruppe nie offiziell beigetreten.) Zu dieser Zeit war Micay ein Sicherheitsforscher und Open-Source-Entwickler mit Interesse am schnell wachsenden mobilen Bereich. Micay konnte laut Donaldson etwas verschwiegen sein. Er hatte einen schrägen Sinn für Humor und meldete sich nur zu Wort, wenn es um technische Dinge ging. Donaldson erinnerte sich an eine Zeit, als ein Troll in den Chat der Crypto-Gruppe eindrang und ihnen die scheinbar unmögliche Aufgabe stellte, eine Reihe von Nachrichten zu entschlüsseln. Micay tat dies eifrig und mühelos. „Ich habe ein Händchen dafür, Leute sehr früh zu durchschauen“, sagte Donaldson, „und ich wusste, dass dieser Kerl brillant war.“ (Über sein Team behauptet Micay, sich an dieses Ereignis nicht zu erinnern.) Donaldson, jetzt 42, ist ein Autodidakt-Hacker, der die Schule nie beendet hat, kurzzeitig obdachlos war und die meiste Zeit seiner Zwanziger in einer „positiven Hardcore-Punk-Band“ verbrachte. „Es ist cool, schlau zu sein“, sagte er mir. „Aber wenn man seine Rechnungen nicht bezahlen kann, ist man ein Idiot.“ Er sah eine Gelegenheit, mit Android Geld zu verdienen, das damals 80 Prozent der Smartphone-Nutzerbasis kontrollierte. Da das Betriebssystem ein dezentrales, Open-Source-Ökosystem war, das kommerziellen Reiz und Massenadoption über Sicherheit zu stellen schien, wurde Android – mit seinen zahlreichen Schwachstellen – mit Schweizer Käse verglichen. (Dies stand in bemerkenswertem Gegensatz zum sichereren, abgeschotteten Garten von **Apples** iOS.) Donaldson wusste nicht, wie er diese Lücken selbst schließen konnte, aber jetzt kannte er jemanden, der es konnte. ### Die Geburt von CopperheadOS Die Domain „Copperhead.co“ wurde 2014 von Donaldson registriert und 2015 unter den Namen von Donaldson und Micay eingetragen. Die Idee war, dass die Anteile gleichmäßig aufgeteilt würden, wobei Donaldson CEO und Micay de facto Chief Technology Officer sein sollte. Ihr Flaggschiffprodukt, **CopperheadOS**, war ein Open-Source-Betriebssystem, das sich auf das sogenannte Android-Hardening konzentrierte. Ähnlich wie beim Bau einer Festung und dem Graben von Wassergräben um eine Burg macht das „Härten“ eines Softwareteils es für Hacker schwieriger, Zugriff zu erlangen. Im Fall von CopperheadOS bedeutete dies den Schutz mobiler Daten durch zusätzliche Sicherheitsebenen auf dem Standard-Android-Betriebssystem. (Micay hat in Gerichtsakten behauptet, er habe bereits vor der Begegnung mit Donaldson an Android-Hardening gearbeitet und der Partnerschaft unter der ausdrücklichen Bedingung zugestimmt, dass er die Kontrolle über das daraus resultierende Betriebssystem behalten würde.) CopperheadOS war ein sofortiger Erfolg und eines der ersten seiner Art – zu dieser Zeit achteten nur wenige auf mobile Sicherheit. Ein Jahr nach seiner Einführung nannte **Chris Soghoian**, damals leitender Technologe bei der **American Civil Liberties Union**, CopperheadOS „das Aufregendste, was in der Welt der Android-Sicherheit passiert“. Open-Source-Advocacy-Gruppen wie das **Guardian Project** sowie der **Google Play** Store-Alternative **F-Droid** begannen, Partnerschaften anzufragen. 2018 wurde CopperheadOS in *2600: The Hacker Quarterly* vorgestellt. Im typischen Startup-Stil übernahm Donaldson in der Anfangszeit des Unternehmens alle möglichen exzentrischen IT-Jobs – Drucker reparieren, gehackte WordPress-Websites wiederherstellen –, um Micays Arbeit am Betriebssystem zu finanzieren. „Ich halte Daniel von der normalen Welt fern, damit er herumsitzen und an Android hacken kann“, sagte Donaldson 2017 in einem Interview mit Crypto Tech Solutions. „Ich weiß, wann ich mich zurückhalten muss.“ Im selben Interview verglich sich Donaldson scherzhaft mit **Erlich Bachman**, dem draufgängerischen Inkubator aus **HBOs** *Silicon Valley*. Er glaubte, dass seine Fähigkeit, die Lücke zwischen technisch Versierten und Geschäftsleuten zu schließen, Copperhead zum Erfolg führen würde. Während Donaldson als Aushängeschild der Operation Interviews gab, war Micay oft in dem, was Donaldson den „Zaubererturm“ nannte, eingesperrt und jagte Schwachstellen in Android und patschte sie in CopperheadOS. Micay verbrachte auch Zeit mit der Fehlerbehebung für die Benutzerbasis. Als Open-Source-Purist – er war langjähriger Mitwirkender an Projekten wie **Arch Linux** und **Mozillas Rust**-Programmiersprache – schien Micay eine Pflicht zu verspüren, jeden zu unterstützen, der an dem Projekt interessiert war. Selbst wenn es auf Kosten seines eigenen Wohlbefindens ging. Es war ihm wichtig, dass jeder freien Zugang zu mobiler Sicherheit hatte. Aber diese Werte begannen sich von denen Donaldsons zu unterscheiden. Einerseits betrachtete sich Donaldson immer noch als eine Art Hacker-Rebell. Eines Tages,