Schlagwort-Archiv: Sicherheit

Unsichere Whistleblower-Systeme

Globaleaks behauptet nach einer Analyse diverser Systeme in seinem LeakDirectory, die bisherigen Whistleblower-Systeme seien nicht sicher: „The existing software lacked basic privacy-aware (anonymity) and security features (encryption)“ (Slide 6/45). Ich frage mich, wie man zu dieser Aussage kommen kann, wenn man in die System meist nicht reinsehen kann. Vermutlich basiert sie auf der Selbstauskunft der Betreiber, die aber etwaige Features schon selbst erwähnen würden.

Cryptome-Betreiber John Young, der sich schon immer zu gesunder Paranoia bekannte, geht hier natürlich etwas grundsätzlicher vor. In einem Twitlonger-Post stellte er gestern jegliche Sicherheit in Abrede:

The petit furor with Wikileaks, OpenLeaks, Anonymous
and newsy ilk portends a grand furor building toward disclosing something wonderful, I hope, about the cost of excessive secrecy and security obscurity, no matter who lurks beneath the cloak. Wikileaks and emulators are the least problematic compared to the Titanic-grade protectors of the commonweal[th] who are being outmatched by icebergs much more threatening than security-truth-disclosure sites.

 

WikiLeaks-Affäre: Warum teilte Julian Assange ein kryptografisches Geheimnis mit der Presse?

Die jüngste WikiLeaks-Affäre offenbart nicht nur die Inkompetenz des Mainstream-Journalismus. Sie zeigt auch, leider nicht ganz überraschend, dass Julian Assange ganz Partei ist – nämlich seine eigene. Selbstkritik ist nicht zu hören. Dafür teilt er kräftig nach allen Seiten aus. Medienwissenschaftlerin und Berliner Gazette-Autorin Christiane Schulzki-Haddouti unterzieht seine Operationen einer kritischen Analyse.

Verbale Attacken, juristische Schritte und schier grenzenlose Empörung: Julian Assange hat vermutlich in einigen Punkten recht. Doch er selbst ist an dem Debakel nicht unschuldig: Er vertraute einem Journalisten ein kryptografisches Geheimnis an.

David Leigh und ein Geheimnis ohne Kompromisse

Assange verwendete im Kontakt mit dem Guardian-Journalisten David Leigh das Kryptoprogramm Pretty Good Privacy (PGP) auf ungewöhnliche Weise, nämlich in seiner symmetrischen Funktion. Das heißt: Er hat dem Journalisten David Leigh bedingungslos vertraut, indem er mit ihm dasselbe Geheimnis geteilt hat. PGP war aber entwickelt worden, um genau das zu verhindern: Denn Passwörter können immer abhanden kommen oder verraten werden.

PGP-Entwickler Phil Zimmermann hatte sich bewusst eine Methode ausgedacht, bei der zwei Kommunikationspartner nicht dasselbe Geheimnis teilen mussten. PGP funktioniert, indem ein Kommunikationspartner die Daten mit dem öffentlichen Schlüssel des anderen Kommunikationspartners verschlüsselt. Man muss also lediglich die öffentlichen Schlüssel austauschen. Öffentlich heißt, dass die Schlüssel auf einem frei zugänglichen Server im Internet liegen können. Geknackt werden kann das nicht, so lange der korrespondierende private Schlüssel des Kommunikationspartners samt dem dazu passenden Passwort nicht verraten wird.

Assange hat bis heute nicht erklärt, warum er bei David Leigh vom üblichen Verfahren abgewichen ist. Detlef Borchers erklärte das übliche Verfahren so: “1.) Jeder Journalist bekommt nur eine Kopie der Dateien, die mit seinem Public Key verschlüsselt sind. 2.) Er bekommt obendrein nur einen für ihn geltenden/generierten Public Key von Wikileaks. 3.) Die Public Keys beider Seiten werden Niemals Nie über das Internet getauscht.”

Julian Assange: Warum handelt er so?

Hätte Julian Assange das übliche Verfahren bei David Leigh angewandt, hätte Leigh höchstens sein eigenes Passwort verraten können. Das hätte er vermutlich nicht gemacht, wenn er mit seinem Schlüssel auch andere Daten verschlüsselt hätte. Dass Julian Assange bei David Leigh von dem üblichen Verfahren abgewichen ist, lässt sich etwa durch erklären: Er wollte verschleiern, wem er die Datei gegeben hat. Mit Blick auf die spätere Veröffentlichungsstrategie, die darauf beharrte, dass die Medienpartner WikiLeaks als Quelle nennen, ergibt das allerdings keinen Sinn.

Dass die öffentlichen Schlüssel im Standardverfahren nicht über das Internet getauscht wurden, könnte aber auch darauf hinweisen, dass Assange PGP beziehungsweise seiner offenen Variante GPG misstraute. Bislang ist aber nicht bekannt, dass es WissenschaftlerInnen und Geheimdiensten gelungen wäre, einen der längeren Schlüssel zu knacken. Man geht tatsächlich davon aus, dass das mit Quantenrechnern möglich sein wird. Doch die öffentliche Forschung ist noch nicht weit genug vorangeschritten.

Dass dies im Geheimen bereits gelungen sein soll, ist unwahrscheinlich. Keine bahnbrechenden Ergebnisse militärischer oder geheimdienstlicher Forschung sind in diesem Bereich aus den letzten Jahren bekannt. Wenn, dann würde das aufgrund ihrer großzügigen finanziellen Ausstattung den US-Diensten gelingen. Doch gerade hier hat eine Verschlüsselung keinen Sinn, da die US-Behörden ja selbst wissen, was in ihren Depeschen steht.

Menschen machen Fehler – wer verzeiht?

Vielleicht ist Assanges Vorgehen aber auch damit zu begründen, dass er wusste, dass Leigh von PGP keine Ahnung hatte. Vielleicht wollte Assange es ihm deshalb möglichst leicht machen. Leigh hatte sich mit seiner Forderung, das ganze Paket zu erhalten, durchsetzen können. Vermutlich dachte sich Assange, dass es bei einer einmaligen Anwendung keinen Mehrwert bei einer asymmetrischen Anwendung gebe.

Der Hauptfehler bestand dann darin, darauf zu vertrauen, dass Leigh das Passwort dauerhaft geheim halten würde. Darin hatte Leigh jedoch kein Interesse. Es war nicht sein eigenes Passwort. Außerdem dürfte er angenommen haben, dass das Passwort zum Zeitpunkt der Buchveröffentlichung irrelevant geworden war. Im Fall einer asymmetrischen Anwendung hätte Leigh sein eigenes Passwort verraten müssen. Das hätte er vermutlich nicht getan, weil er dazu keine interessante Geschichte wie die des zweigeteilten Passworts hätte erzählen können.

Wie auch Matt Giuca in einem lesenswerten Beitrag über die kryptografischen Aspekte der Affäre schreibt, bleibt folgendes unverständlich: Warum wurde die Datei nach der Transaktion nicht gelöscht? Angeblich wurde auch der Schlüssel samt Passwort später benutzt. Es gibt eine ganze Reihe von Gründen, nachlesbar bei Giuca, warum die Datei später noch verfügbar war.

Was bleibt? Blick in die Zukunft

Das Vorgehen war jedenfalls aus sicherheitstechnischer Sicht ungewöhnlich. Aber eigensinnige Vorgehensweisen finden sich in vielen Teilbereichen des WikiLeaks-Projekt wieder: Whistleblowern wurde absolute Sicherheit versprochen, durch eine Vielzahl technischer Vorkehrungen, die aber in Wirklichkeit so nie existierten. Die Problematik der Whistleblower wurde bis zur isländischen IMMI-Initiative nicht wirklich reflektiert. Es ging primär um eine radikale Transparenz wie sie Timothy May im krypto-anarchistischen Manifest vorhersagte.

Was bleibt? Inzwischen ist die Problematik des Whistleblowing einer breiten Öffentlichkeit vertraut. Vor wenigen Jahren war der Begriff “Whistleblower” im deutschsprachigen Raum unbekannt. Es gab negativ belegte Begriffe wie “Denunziant” oder “Informant”. Seit dem vergangenen Jahr gingen etliche neue Leaking-Plattformen an den Start. Vereinzelt gibt es gesetzgeberische Bestrebungen, die Whistleblowing einfacher machen sollen. Dass Daten in Computernetzwerken nicht wirklich sicher sind – das hat WikiLeaks ebenfalls gezeigt. Und nun auch an eigenem Beispiel erlebt.

Geheimnisse sind im Informationszeitalter nicht mehr lange zu bewahren. Dank WikiLeaks ist das vielen Menschen bewusst geworden. Und vielleicht besteht darin der bleibende Verdienst von Julian Assange.

Danke an die Berliner Gazette für ihre wie immer gut durchdachten Leitfragen – das ist ein Crosspost des dort erschienen Beitrags.

Pretty Good Privacy: Was der WikiLeaks-Skandal über den Mainstream-Journalismus offenbart

Mal wieder ist WikiLeaks in aller Munde. Mal wieder ist Julian Assange auf den Titelblättern. Die Massenmedien vermelden das Ende eines revolutionären Projekts, besingen den Untergang eines Anti-Helden. Dabei zeigt die jüngste Episode um die Leaking-Plattform vor allem eins: Die Inkompetenz des Mainstream-Journalismus im Umgang mit technisch, medienethisch und sozial komplexen Vorgängen. Die Medienwissenschaftlerin und Berliner Gazette-Autorin Christiane Schulzki-Haddouti unternimmt eine kritische Bestandsaufnahme.

Bei dem jüngsten “Depeschen-Desaster” (Spiegel Online) ist für mich vor allem die Behauptung des Guardian skandalös, man sei davon ausgegangen, dass das von Julian Assange mitgeteilte Passwort für den Depeschensatz temporär sei. Der Satz stammt immerhin von Journalisten, die seit Jahren investigativ arbeiten. Interessant ist auch, dass dieser Satz in so gut wie allen Meldungen nicht kritisch kommentiert wird – übrigens auch kaum in den einschlägigen Blogs. Es gibt nämlich keine temporären Passwörter bei dem Verschlüsselungsprogramm PGP.

Selbst wenn Assange so etwas behauptet hätte, hätte Leigh prüfen müssen, ob dies tatsächlich so ist. Eine einfach Nachfrage bei einem erfahrenen PGP-Nutzer hätte genügt. PGP, die Abkürzung für Pretty Good Privacy, wurde von der US-amerikanischen Exportkontrolle immer mit einer Waffe verglichen. Jemand, der PGP nutzt und keine Ahnung hat, wie es funktioniert, braucht offenbar eine Art Waffenschein. Sonst gefährdet er Leben. Das ist jetzt leider der Fall. Dass dies Journalisten noch heute passiert, ist nicht nur peinlich, sondern erschreckend.

Ich glaube, dass das nicht nur über das technologische Verständnis der meisten Journalisten etwas sagt, sondern auch über das technologische Selbstverständnis der Branche: Man nutzt die digitalen Werkzeuge, reflektiert sie aber nicht.

Investigativer Journalismus – in den Kinderschuhen?

Es ist sicherlich die Pflicht von Journalisten, sich hier entsprechend kundig zu machen, wenn sie investigativ arbeiten möchten. Aber man sollte auch wissen, dass das alles seine Grenzen hat und man sollte das im Umgang mit den Informanten auch berücksichtigen. Man darf keine technischen Sicherheiten garantieren, die es absolut nicht gibt, zumal die größte Unsicherheit im Sozialen besteht.

Es gibt vermutlich nur ganz wenige Informanten, die sich wirklich über Jahre hinweg vor Aufdeckung schützen konnten. Die Gründe dafür sind einfach: In der Regel gibt meist einen eingeschränkten Personenkreis, dem die Informationen bekannt sind. Außerdem gehen einem Schritt an die Öffentlichkeit in der Regel interne Diskussionen voraus, so dass innerhalb einer Organisation Kritiker ebenfalls bekannt sind. Und die Informanten bekennen sich meist nach der Veröffentlichung dazu, weil ein großer Druck von ihnen genommen wurde und sie sich frei und offen dazu äußern wollen.

Eine technische Unterrichtung berücksichtigt diese sozialen, psychologischen, aber auch rechtlichen Dimensionen nicht wirklich. Im Umgang mit Informanten muss man daher auch mit diesen fünf Punkte klären: 1) wie weit sie persönlich gehen wollen, 2) wie viel sie riskieren möchten, 3) ob eine Geheimhaltung der Quelle überhaupt Sinn ergibt – oder nicht erst recht eine interne Denunziantenjagd eröffnet. Auch sollte man klären, 4) ob der Informant familiär oder durch Freunde gestützt wird. Nicht zuletzt aber sollten auch die Journalisten selbst sich fragen, 5) ob sie persönlich der richtige Ansprechpartner für den Informanten sind.

Technische Sicherheit vs. Whistleblowerschutz

Vielleicht gibt es einen Kollegen, der kompetenter in dem jeweiligen Fachgebiet ist oder ein Medium, das sich eher an die Zielgruppe des Informanten richtet wie das eigene. In diesen Fällen sollte man den Fall abgeben können – oder die Kooperation mit anderen suchen.

Insofern griff das Modell WikiLeaks mit seiner Reduktion auf technische Sicherheit, die offenbar nicht garantierbar ist und auf den mutmaßlichen Schutz durch Öffentlichkeit von Anfang an zu kurz. Ich habe den Eindruck, dass dies aber rasch von den Beteiligten begriffen wurde. Schließlich setzt die isländische IMMI-Initiative im rechtlichen Bereich an, um letztlich das gesellschaftliche Umfeld für Whistleblower und Journalisten freundlicher zu gestalten. Es ist zu hoffen, dass es den Isländern gelingt, auch im europäischen Raum Impulse zu setzen.

Gerade in Deutschland fehlt ein gesetzlicher Whistleblowerschutz. Loyalitätspflichten werden von den Gerichten generell höher bewertet als die Meinungsfreiheit. Das ist ein letztlich vor-aufklärerisches und entwürdigendes Verständnis der Rolle von finanziell Abhängigen.

Danke an die Berliner Gazette für ihre wie immer gut durchdachten Leitfragen – das ist ein Crosspost des dort erschienen Beitrags.

Update: Das PGP-Verständnis von Herrn Leigh in 140 Zeichen: