Schlagwort-Archiv: OpenLeaks

Fehlstart für OpenLeaks

Sicherheits- und Veröffentlichungskonzept in der Kritik

Es sollte der Start einer neuen Whistleblower-Plattform sein, doch der endete nach fünf Tagen holprig. Auf dem Chaos Communication Camp ging OpenLeaks für einen „Stresstest“ an den Start. Die Plattform der WikiLeaks-Dissidenten Daniel Domscheit-Berg und Herbert Snorrason will Daten von Informanten sicher übermitteln. Die ersten fünf Kooperationspartner: Die Tageszeitung taz, die Wochenzeitung Der Freitag, die portugiesische Wochenzeitung Expresso, die dänische Tageszeitung Dagbladet Information sowie die NGO Foodwatch.

Zunächst verhinderten Wind und Wetter bei der Freiluftveranstaltung den Aufbau der Rechner. Mit zwei Tagen Verspätung ging die Testseite der taz, leaks.taz.de ans Netz. Danach kam es jedoch zu einem kräftigen Gegenwind aus anderer Richtung: Nach einer erfolgreichen Präsentation des Projekts distanzierte sich der Vorstand des Chaos Computer Clubs (CCC) von OpenLeaks-Gründer Daniel Domscheit-Berg und schloss ihn als Mitglied aus dem Verein aus.

Was war geschehen? Die Gründe dafür sind vielschichtig. CCC-Vorstand Andy Müller-Maguhn sagte gegenüber Spiegel Online, man sei nicht glücklich darüber gewesen, dass der Eindruck erweckt wurde, „OpenLeaks werde von unseren Leuten getestet und so mit einer Art CCC-Gütesiegel versehen“. Der CCC lasse sich nicht vereinnahmen. In den Medien sei der Eindruck entstanden, dass der CCC teste – dies müsse „schnell und nachhaltig“ korrigiert werden. Die CCC-Sprecher wollten sich während des Camps zu dem Beschluss des Vorstands nicht öffentlich äußern. Frank Rieger bezeichnete den „Rausschmiss“ im Netzpolitik-Blog jedoch als „verfrüht, unangemessen und zutiefst emotional statt wohlüberlegt rational.“

Blackbox OpenLeaks

Systemtests sind auf Hackertreffen durchaus üblich. Domscheit-Berg hatte außerdem zu keinem Zeitpunkt gesagt, dass der CCC OpenLeaks testen werde. Tatsächlich ging es um etwas Grundsätzlicheres: Bis heute gibt es kein nachvollziehbares Sicherheits- und Veröffentlichungskonzept von OpenLeaks, das geeignet wäre Vertrauen herzustellen. Im Vorstandsbeschluss heißt es daher: „Tatsächlich ist OpenLeaks für den CCC intransparent, der CCC kann gerade nicht beurteilen, ob potenzielle Whistleblower, die sich OpenLeaks anvertrauen, nachhaltig geschützt werden können und geschützt werden.“
Auf dem Chaos Communication Camp hatte Domscheit-Berg zwar das System vorgestellt, jedoch nicht den Quellcode offen gelegt. Keiner der Teilnehmer durfte den Code kopieren und zur Prüfung mitnehmen. Das gilt jedoch als Grundvoraussetzung für eine Prüfung. Domscheit-Berg vertrat mit seinem klandestinen Vorgehen ein Sicherheitskonzept, das als „Security by Obscurity“ verstanden wird und spätestens seit der Erfindung des asymmetrischen Verschlüsselungsprogramms PGP als veraltet gilt. Es ist ein Konzept, das vornehmlich von staatlichen Sicherheitsbehörden und deren Systemlieferanten vertreten wird, doch in der Wissenschaft und der Hackerszene gilt: Nur wenn viele Menschen ein System eingehend prüfen können, gilt es als einigermaßen sicher.

Seltene Programmiersprache

Allerdings selbst wenn Domscheit-Berg den Code veröffentlicht hätte, hätten ihn vermutlich nur sehr wenige Leute verstanden. Dieser ist nämlich in Erlang geschrieben, wie heise online berichtete. Es handelt sich um eine seltene Programmiersprache, die für die Programmierung von Vermittlungsstellen in Telefonnetzen von Ericsson Labs entwickelt wurde. Im Chaos Computer Club und auch sonst, so sagt CCC-Mitglied Felix von Leitner, gebe es dafür kein Security-Know-How. Selbst wenn jemand die Sprache beherrschen würde, wäre es fraglich, ob er auch Sicherheitslücken finden könnte.
Tests von außen sind bei OpenLeaks gleichwohl möglich, doch sie können keine qualifizierte Aussage über die Sicherheit eines Systems machen. Falls sich Lücken finden, ist das eher dem Zufall geschuldet. Tatsächlich stieß ein Hacker auch recht schnell auf erste Unklarheiten: So ist der Zugang zur Leaking-Website der taz zwar SSL-verschlüsselt, doch das dazu gehörende SSL-Zertifikat wird vom Browser als „ungültig“ angezeigt. Auch mit einem ungültigen Zertifikat wird zwar die Verbindung zwischen Browser und Webserver verschlüsselt, doch Angreifer können sich unbemerkt einschalten und sich Zugang zu den übermittelten Daten verschaffen. Nutzer müssen daher solchen Warnungen nachgehen. Die OpenLeaks-Macher schlagen deshalb vor, den Fingerabdruck des SSL-Zertifikats zu prüfen. Sie geben allerdings keine weiteren Hinweise, wie dies überhaupt zu bewerkstelligen ist. Potenzielle Whistleblower könnten sich hier rasch entmutigt fühlen.

Außerdem gab es das Problem der WikiLeaks-Dokumente, die Domscheit-Berg als Sicherheitskopie von einem Server im Ruhrgebiet kurz vor seinem Rausschmiss durch Julian Assange gezogen hatte. Gegenüber dem Freitag und anderen behauptete er, er hätte keinen Zugriff auf den Klartext der Dokumente. Den Schlüssel hierzu habe Julian Assange. Gegenüber ihm, sagt Andy Müller-Maguhn, habe er jedoch den Eindruck vermittelt, er könne die Dokumente einsehen. Müller-Maguhn hatte elf Monate lang vergeblich versucht, die Übergabe der Dokumente zu vermitteln. Doch immer wieder habe Domscheit-Berg neue Argumente angeführt, um das hinauszuzögern. Gegenüber dem Spiegel gab Domscheit-Berg Ende August an, dass er die Dateien jetzt „geschreddert“ habe, „um sicher zu stellen, dass die Quellen nicht gefährdet werden“. WikiLeaks zufolge enthielten die 3.500 unveröffentlichten Dateien unter anderem 60.000 E-Mails der rechtsextremen NPD und „Interna von rund 20 Neo-Nazi-Organisationen“. Außerdem seien darunter fünf Gigabyte an Daten der Bank of America, erklärte WikiLeaks über Twitter.

Der CCC sah durch die Ankündigung von Domscheit-Berg, OpenLeaks auf dem CCCamp zu testen, offenbar auch seine neutrale Rolle in dem Streit zwischen Domscheit-Berg und Assange gefährdet, zumal das Sicherheitskonzept durch seine Intransparenz fragwürdig ist. Auch das Veröffentlichungskonzept ist bis heute unklar. Anders als bei WikiLeaks sollen die Dokumente bei OpenLeaks von den Kooperationspartnern ausgewertet werden. Bei OpenLeaks ist es angeblich der Whistleblower, der über den Empfänger bestimmt, und der Empfänger selbst, der darüber entscheidet, wie er mit den Informationen umgehen will. Was jedoch, wenn der Empfänger mit den Informationen nichts machen möchte?

Projekt nicht am Ende

Auf diese Frage antwortete Domscheit-Berg in der Vergangenheit unterschiedlich. Auf der Website von OpenLeaks wird eine Veröffentlichung der Dokumente jedenfalls ausgeschlossen. Wenn ein OpenLeaks-Partner die Dokumente nicht veröffentlichen könne, würde dies ein anderer tun. Wie jedoch die dafür notwendigen Abstimmungsprozeduren aussehen, wird nicht erklärt. Auch ist unklar, wie Dokumente, die mit dem Schlüssel eines Medienpartners verschlüsselt werden, auf einmal von einem anderen verwendet werden können. Damit unterscheidet sich OpenLeaks deutlich von WikiLeaks: Hier gilt das Versprechen, dass das geleakte Material im Netz veröffentlicht wird.

Domscheit-Berg sagte nach seinem Ausschluss, dass dies nicht das Ende des Projekts sei. Er habe auf dem Camp viel positives Feedback erfahren. Kooperationspartner taz zeigte sich erstaunt, aber solidarisch mit OpenLeaks. In einem Beitrag des Freitag hieß es, der CCC-Vorstand schade dem Ansehen des Hacker-Vereins. Angesichts der zahlreichen offenen konzeptionellen Fragen darf man gespannt sein, wie es mit OpenLeaks weitergeht.

Erschienen in der M 8-9/2011

Vorschlag zur Güte

Fefe hat kürzlich ja mehrere Dilemmata beschrieben, die dafür sorgen, dass es in der Openleaks-versus-Wikileaks-Geschichte nicht vorangeht. Die angekündigten Schlüssel- und Datenlöschungen sind natürlich die unglücklichsten Lösungen. Sie sollen Vertrauen herstellen, gehen aber wiederum mit weiterem Vertrauensverlust einher, so paradox dies auch sein mag.

Eine elegante Lösung bestünde darin:

  • Openleaks poliert sein System so lange auf, bis es eine akzeptable Sicherheit erreicht,
  • Openleaks veröffentlicht den Code dafür als Open-Source-Code,
  • Wikileask übernimmt den Code und hat damit wieder ein funktionierendes System,
  • Daniel Domscheit-Berg übergibt alles an Julian Assange, da er dem System nun trauen kann.

Die Frage ist nur, ob das naiv ist. Aber im Sinne der Whistleblower-Community wäre es auf jeden Fall. Denn auch andere Plattformen, die sich auf bestimmte Interessensgruppen spezialisiert haben, könnten davon profitieren. Sie müssten sich nur ein wenig mit der Programmiersprache Erlang auseinandersetzen.

Update: Hier ein Kommentar des Anwalts von Domscheit-Berg: Wie tragisch war das Löschen der WikiLeaks-Dateien wirklich?

Anonyme Depots

In den letzten Wochen gingen eine Reihe von Internetplattformen und Verlagsdienstleistungen an den Start, die sich WikiLeaks zum Vorbild nehmen. Prominent kündigten etwa die WikiLeaks-Dissidenten Daniel Berg-Domscheit und Herbert Snorrason einen Nachfolgedienst mit einer neuen Konzeption an: Openleaks.org.

OpenLeaks soll Journalisten, Gewerkschaften und Menschenrechtsgruppen die technische Infrastruktur zur Verfügung stellen, damit Informanten ihre Informationen anonym deponieren können. Damit nehmen die Entwickler der Technik kein juristisches Risiko auf sich – es verbleibt traditionell bei denen, die die Materialien verwenden: Den Journalisten. Diskussionen darüber, ob eine solche Plattform „journalistisch“ sei, erübrigen sich dann. Ebenso die Entscheidung, wie und wann die Dokumente veröffentlicht werden sollen. Die Technik soll kostenfrei zur Verfügung stehen. Medienorganisationen sollen jedoch eine „Infrastrukturspende“ entrichten. Die Rede ist von monatlich zwischen 200 und 500 Euro, die die jährlichen Kosten von schätzungsweise 100.000 Euro decken sollen. Demnächst soll der Probebetrieb starten.

In Deutschland stellte Der Westen bereits einen Leserservice namens „Dateiupload“ bereit, den Informanten anonym nutzen können, sowie eine anonyme E-Mail-Kontaktmöglichkeit. Beide Funktionen werden über ein Webformular realisiert. In dem einen Fall kann man eine Datei hochladen, in dem anderen Fall eine Nachricht schicken. Dass so etwas auch für die Lokalpresse sinnvoll sein kann, hatte sich im August 2010 gezeigt, als auf WikiLeaks Dokumente zur Planung der Loveparade in Duisburg veröffentlicht worden waren. Seitdem WikiLeaks nur noch die US-Depeschen veröffentlicht, gibt es außer Cryptome keine bekannten Alternativen mehr für Informanten. Eine Veröffentlichung garantiert die WAZ allerdings nicht.

Die WAZ hat einige technische Vorkehrungen getroffen: „Unsere Datenleitungen sind elektronisch gesichert. Niemand wird Sie enttarnen können“, verspricht Recherche-Leiter David Schraven. In der Tat nutzt die WAZ-Gruppe eine SSL-Verschlüsselung für ihre Verbindung. Auch sollen die Dateien mit GnuPG, einer Open-Source-Variante des berühmten und immer noch sicheren Kryptoprogramms „Pretty Good Privacy“ verschlüsselt werden. Wirklich sicher ist das aber auch noch nicht: Jeder Besucher hinterlässt nämlich auf dem Server der Website mit seiner IP-Adresse eine Spur, die zur Identifizierung genutzt werden kann. Nutzer, die wirklich anonym bleiben wollen, sollten daher dafür sorgen, dass ihre IP-Adresse verschleiert wird, wenn sie die Website besuchen. Das geht über Dienste wie JAP: Die JAP-Rechner, die unter anderem vom schleswig-holsteinischen Landesdatenschutzzentrum betrieben werden, verschleiern über mehrere Stufen, welchen Internet-Zugangsserver ein Informant verwendet. Einen entsprechenden Hinweis darauf gibt es auf der Website des Westens aber nicht.

In Brüssel haben indessen Journalisten selbst das Heft in die Hand genommen und zusammen mit Aktivisten und Kommunikationsprofis „BrusselsLeaks.com“ gegründet. Die Idee dahinter war, dass Journalisten zwar gute Kontakte zu möglichen Informanten in den Behörden und Lobbyvereinigungen in Brüssel pflegen. Da die Verbindungen jedoch in der Regel bekannt sind, ist es für diese riskant, die Informationen weiterzugeben. Anders wäre dies, so das Kalkül, wenn die Daten durch einen Trichter kommen und dann verteilt werden. Eine Art Datenwäsche sozusagen. Anonymität wird auf Wunsch versprochen. Das Ziel ist hochgesteckt: Aufgedeckt werden sollen „die vor Ort gesammelten Informationen, die die innere Funktionsweise der EU zentral abbilden“.

Zu Beginn bot BrusselsLeaks eine Datenübermittlung nur über ein gesichertes Webformular an, das auf WordPress-Software beruht sowie E-Mail-Kontakt über den kanadischen Dienstleister Hushmail. com, der E-Mails verschlüsselt. Wie auch beim Westen gibt es keinen Hinweis darauf, dass die IP-Adressen der Besucher letztlich nicht geschützt sind. Welche Technik „Brussels Leaks“ letztendlich einsetzen wird, ist noch ungewiss. Bislang gibt es nur eine Ankündigung, die ein großes Medienecho erfuhr. Bis auf Weiteres sind die Macher auf Tauchstation gegangen.

Ähnliche Ankündigungen und Protoypen gibt es inzwischen auch für Indonesien in Form eines „Indoleaks“, das einen E-Mail-Kontakt über Googlemail anbietet. In Bulgarien ging „Balkanleaks.eu“ an den Start. Wikispooks.com wiederum basiert auf der Mediawiki-Software. Sie bietet PGP-verschlüsselten E-Mail-Kontakt sowie einen SSL-gesicherten anonymen Datei-Upload an. Dabei versichert sie, keine IP-Adressen zu protokollieren. Diese Website richtet sich an Mitarbeiter von Sicherheitsbehörden sowie Freunde von Verschwörungstheorien.

Ob diese Plattformen und Dienstleistungen auf der Bugwelle von WikiLeaks für den Journalismus erfolgreich sein werden, ist ungewiss. Seit Jahren gibt es etwa die so genannte Privacybox der German Privacy Foundation, einer Art geschützten digitalen Briefkasten. 2.000 Personen aus Deutschland, Frankreich, Spanien und Russland nutzen zurzeit die etwa 3.000 sicheren Postfächer. Deutsche Medien haben dieses Angebot bislang nicht angenommen.

Crosspost aus M – Menschen Machen Medien, 1-2/2011