Schlagwort-Archive: Leaking

Pretty Good Privacy: Was der WikiLeaks-Skandal über den Mainstream-Journalismus offenbart

Mal wieder ist WikiLeaks in aller Munde. Mal wieder ist Julian Assange auf den Titelblättern. Die Massenmedien vermelden das Ende eines revolutionären Projekts, besingen den Untergang eines Anti-Helden. Dabei zeigt die jüngste Episode um die Leaking-Plattform vor allem eins: Die Inkompetenz des Mainstream-Journalismus im Umgang mit technisch, medienethisch und sozial komplexen Vorgängen. Die Medienwissenschaftlerin und Berliner Gazette-Autorin Christiane Schulzki-Haddouti unternimmt eine kritische Bestandsaufnahme.

Bei dem jüngsten “Depeschen-Desaster” (Spiegel Online) ist für mich vor allem die Behauptung des Guardian skandalös, man sei davon ausgegangen, dass das von Julian Assange mitgeteilte Passwort für den Depeschensatz temporär sei. Der Satz stammt immerhin von Journalisten, die seit Jahren investigativ arbeiten. Interessant ist auch, dass dieser Satz in so gut wie allen Meldungen nicht kritisch kommentiert wird – übrigens auch kaum in den einschlägigen Blogs. Es gibt nämlich keine temporären Passwörter bei dem Verschlüsselungsprogramm PGP.

Selbst wenn Assange so etwas behauptet hätte, hätte Leigh prüfen müssen, ob dies tatsächlich so ist. Eine einfach Nachfrage bei einem erfahrenen PGP-Nutzer hätte genügt. PGP, die Abkürzung für Pretty Good Privacy, wurde von der US-amerikanischen Exportkontrolle immer mit einer Waffe verglichen. Jemand, der PGP nutzt und keine Ahnung hat, wie es funktioniert, braucht offenbar eine Art Waffenschein. Sonst gefährdet er Leben. Das ist jetzt leider der Fall. Dass dies Journalisten noch heute passiert, ist nicht nur peinlich, sondern erschreckend.

Ich glaube, dass das nicht nur über das technologische Verständnis der meisten Journalisten etwas sagt, sondern auch über das technologische Selbstverständnis der Branche: Man nutzt die digitalen Werkzeuge, reflektiert sie aber nicht.

Investigativer Journalismus – in den Kinderschuhen?

Es ist sicherlich die Pflicht von Journalisten, sich hier entsprechend kundig zu machen, wenn sie investigativ arbeiten möchten. Aber man sollte auch wissen, dass das alles seine Grenzen hat und man sollte das im Umgang mit den Informanten auch berücksichtigen. Man darf keine technischen Sicherheiten garantieren, die es absolut nicht gibt, zumal die größte Unsicherheit im Sozialen besteht.

Es gibt vermutlich nur ganz wenige Informanten, die sich wirklich über Jahre hinweg vor Aufdeckung schützen konnten. Die Gründe dafür sind einfach: In der Regel gibt meist einen eingeschränkten Personenkreis, dem die Informationen bekannt sind. Außerdem gehen einem Schritt an die Öffentlichkeit in der Regel interne Diskussionen voraus, so dass innerhalb einer Organisation Kritiker ebenfalls bekannt sind. Und die Informanten bekennen sich meist nach der Veröffentlichung dazu, weil ein großer Druck von ihnen genommen wurde und sie sich frei und offen dazu äußern wollen.

Eine technische Unterrichtung berücksichtigt diese sozialen, psychologischen, aber auch rechtlichen Dimensionen nicht wirklich. Im Umgang mit Informanten muss man daher auch mit diesen fünf Punkte klären: 1) wie weit sie persönlich gehen wollen, 2) wie viel sie riskieren möchten, 3) ob eine Geheimhaltung der Quelle überhaupt Sinn ergibt – oder nicht erst recht eine interne Denunziantenjagd eröffnet. Auch sollte man klären, 4) ob der Informant familiär oder durch Freunde gestützt wird. Nicht zuletzt aber sollten auch die Journalisten selbst sich fragen, 5) ob sie persönlich der richtige Ansprechpartner für den Informanten sind.

Technische Sicherheit vs. Whistleblowerschutz

Vielleicht gibt es einen Kollegen, der kompetenter in dem jeweiligen Fachgebiet ist oder ein Medium, das sich eher an die Zielgruppe des Informanten richtet wie das eigene. In diesen Fällen sollte man den Fall abgeben können – oder die Kooperation mit anderen suchen.

Insofern griff das Modell WikiLeaks mit seiner Reduktion auf technische Sicherheit, die offenbar nicht garantierbar ist und auf den mutmaßlichen Schutz durch Öffentlichkeit von Anfang an zu kurz. Ich habe den Eindruck, dass dies aber rasch von den Beteiligten begriffen wurde. Schließlich setzt die isländische IMMI-Initiative im rechtlichen Bereich an, um letztlich das gesellschaftliche Umfeld für Whistleblower und Journalisten freundlicher zu gestalten. Es ist zu hoffen, dass es den Isländern gelingt, auch im europäischen Raum Impulse zu setzen.

Gerade in Deutschland fehlt ein gesetzlicher Whistleblowerschutz. Loyalitätspflichten werden von den Gerichten generell höher bewertet als die Meinungsfreiheit. Das ist ein letztlich vor-aufklärerisches und entwürdigendes Verständnis der Rolle von finanziell Abhängigen.

Danke an die Berliner Gazette für ihre wie immer gut durchdachten Leitfragen – das ist ein Crosspost des dort erschienen Beitrags.

Update: Das PGP-Verständnis von Herrn Leigh in 140 Zeichen:


Auf dem Weg zur Leaking-Kultur?

Mirjam Bunjes hat sich den Upload-Bereich der WAZ näher angesehen.  Die Ausbeute scheint gut zu sein:

Mehr als die Hälfte der hochgeladenen Informationen sind unbrauchbar. (…) Aus der anderen Hälfte werden Geschichten, die es ohne den anonymen Platz im Netz vielleicht nicht gegeben hätte.

Sie hat auch mit Caja Thimm gesprochen, die  einen Trend erkennt:

„Es entsteht zur Zeit eine Leaking-Kultur in Deutschland und die findet viel im Internet statt. Es gibt immer mehr Whistleblower – und zwar vor allem solche, die Brisantes aus der Arbeitswelt berichten.“ Informationen aus Betrieben, Behörden, Gewerkschaften. „Das ist ein Zeichen wachsender Partizipation.“

Presserat: „Wikileaks ist kein journalistisch-tätiger Akteur“

Der Presserat hat mir per Post nochmal eine ausführliche, 2,5-seitige Begründung zur Ablehnung meiner Beschwerde wegen mutmaßlich exklusiver Berichterstattung zu Wikileaks zukommen lassen. Interessant dürften vor allem die folgenden vier Punkte sein:

1. Die Beschwerdegegner, das heißt die Rechtsabteilung des Spiegels, verweist etwas süffisant auf die Veröffentlichung von Stark und Rosenbach zu Wikileaks hin, die meine „Mutmaßungen und Schlussfolgerungen“ als „nicht notwendig“ erscheinen lassen. Darin beschrieben die Redakteure, dass u.a. der Chefredakteur des Spiegels darauf gedrängt hatte, die New York Times nicht auszuschließen. Dazu ist anzumerken, dass zum Zeitpunkt der Einreichung der Beschwerde das Buch noch nicht veröffentlicht war.

2. Ich wies in der Beschwerde ausdrücklich auf den deutschsprachigen Raum hin, in dem zu dem Zeitpunkt der Beschwerde Exklusivität gegeben war. Dazu heißt es in der Stellungnahme der Spiegel-Rechtsabteilung allgemein, es bestehe“selbstverständlich“ keine „Pflicht“ die Informationen eigenen Wettbewerbern zu überlassen. Es wird darauf hingewiesen, dass „der Arbeits- und Personalaufwand zur sorgfältigen Aufbereitung der Unterlagen“ (…) nur von einer begenzten Anzahl von Presseunternehmen seriös geleistet werden könne“.

3.  Der Presserat weist darauf hin, dass sich Nutzer auch bei anderen Medien sowie bei Wikileaks über die Depeschen informieren können – diskutiert aber nicht die Problematik der schleppenden Veröffentlichungen. Auch die Rechtsabteilung des Spiegels geht nicht weiter darauf ein, wie weiterhin mit dem Depeschenvorrat umzugehen ist, damit die Aufarbeitung in einem schnelleren Tempo erfolgen kann – etwa in Form von Kooperationen mit weiteren Medienpartnern. Genau dies hatte ich aber problematisiert, da genau darin die besondere Qualität des Falls besteht.

4. Nach Ansicht des Presserats „unterliegen die Verantwortlichen der Plattform Wikileaks nicht den berufsethischen Regeln des Pressekodex. Aus Sicht des Presserats handelt es sich bei ihnen nicht um journalistisch-redaktionell tätige Akteure„. Von daher hätte also auch Wikileaks gar nicht gegen den Pressekodex verstoßen können.

Insbesondere letztere Bemerkung ist interessant. Sie sollte noch in Hinblick auf den Schutz von Informanten, die Plattformen wie Wikileaks nutzen, diskutiert werden. Informantenschutz können nämlich nur Journalisten gewähren – doch wann sind Journalisten überhaupt Journalisten? Wikileaks hat ja durchaus einige Beiträge editiert und kommentiert – und war insofern redaktionell tätig. Ich finde es daher erstaunlich, dass die Beschwerde „einstimmig“ abgelehnt wurde. Etwas Diskussionsstoff hätte es ja durchaus gegeben.

Anonyme Depots

In den letzten Wochen gingen eine Reihe von Internetplattformen und Verlagsdienstleistungen an den Start, die sich WikiLeaks zum Vorbild nehmen. Prominent kündigten etwa die WikiLeaks-Dissidenten Daniel Berg-Domscheit und Herbert Snorrason einen Nachfolgedienst mit einer neuen Konzeption an: Openleaks.org.

OpenLeaks soll Journalisten, Gewerkschaften und Menschenrechtsgruppen die technische Infrastruktur zur Verfügung stellen, damit Informanten ihre Informationen anonym deponieren können. Damit nehmen die Entwickler der Technik kein juristisches Risiko auf sich – es verbleibt traditionell bei denen, die die Materialien verwenden: Den Journalisten. Diskussionen darüber, ob eine solche Plattform „journalistisch“ sei, erübrigen sich dann. Ebenso die Entscheidung, wie und wann die Dokumente veröffentlicht werden sollen. Die Technik soll kostenfrei zur Verfügung stehen. Medienorganisationen sollen jedoch eine „Infrastrukturspende“ entrichten. Die Rede ist von monatlich zwischen 200 und 500 Euro, die die jährlichen Kosten von schätzungsweise 100.000 Euro decken sollen. Demnächst soll der Probebetrieb starten.

In Deutschland stellte Der Westen bereits einen Leserservice namens „Dateiupload“ bereit, den Informanten anonym nutzen können, sowie eine anonyme E-Mail-Kontaktmöglichkeit. Beide Funktionen werden über ein Webformular realisiert. In dem einen Fall kann man eine Datei hochladen, in dem anderen Fall eine Nachricht schicken. Dass so etwas auch für die Lokalpresse sinnvoll sein kann, hatte sich im August 2010 gezeigt, als auf WikiLeaks Dokumente zur Planung der Loveparade in Duisburg veröffentlicht worden waren. Seitdem WikiLeaks nur noch die US-Depeschen veröffentlicht, gibt es außer Cryptome keine bekannten Alternativen mehr für Informanten. Eine Veröffentlichung garantiert die WAZ allerdings nicht.

Die WAZ hat einige technische Vorkehrungen getroffen: „Unsere Datenleitungen sind elektronisch gesichert. Niemand wird Sie enttarnen können“, verspricht Recherche-Leiter David Schraven. In der Tat nutzt die WAZ-Gruppe eine SSL-Verschlüsselung für ihre Verbindung. Auch sollen die Dateien mit GnuPG, einer Open-Source-Variante des berühmten und immer noch sicheren Kryptoprogramms „Pretty Good Privacy“ verschlüsselt werden. Wirklich sicher ist das aber auch noch nicht: Jeder Besucher hinterlässt nämlich auf dem Server der Website mit seiner IP-Adresse eine Spur, die zur Identifizierung genutzt werden kann. Nutzer, die wirklich anonym bleiben wollen, sollten daher dafür sorgen, dass ihre IP-Adresse verschleiert wird, wenn sie die Website besuchen. Das geht über Dienste wie JAP: Die JAP-Rechner, die unter anderem vom schleswig-holsteinischen Landesdatenschutzzentrum betrieben werden, verschleiern über mehrere Stufen, welchen Internet-Zugangsserver ein Informant verwendet. Einen entsprechenden Hinweis darauf gibt es auf der Website des Westens aber nicht.

In Brüssel haben indessen Journalisten selbst das Heft in die Hand genommen und zusammen mit Aktivisten und Kommunikationsprofis „BrusselsLeaks.com“ gegründet. Die Idee dahinter war, dass Journalisten zwar gute Kontakte zu möglichen Informanten in den Behörden und Lobbyvereinigungen in Brüssel pflegen. Da die Verbindungen jedoch in der Regel bekannt sind, ist es für diese riskant, die Informationen weiterzugeben. Anders wäre dies, so das Kalkül, wenn die Daten durch einen Trichter kommen und dann verteilt werden. Eine Art Datenwäsche sozusagen. Anonymität wird auf Wunsch versprochen. Das Ziel ist hochgesteckt: Aufgedeckt werden sollen „die vor Ort gesammelten Informationen, die die innere Funktionsweise der EU zentral abbilden“.

Zu Beginn bot BrusselsLeaks eine Datenübermittlung nur über ein gesichertes Webformular an, das auf WordPress-Software beruht sowie E-Mail-Kontakt über den kanadischen Dienstleister Hushmail. com, der E-Mails verschlüsselt. Wie auch beim Westen gibt es keinen Hinweis darauf, dass die IP-Adressen der Besucher letztlich nicht geschützt sind. Welche Technik „Brussels Leaks“ letztendlich einsetzen wird, ist noch ungewiss. Bislang gibt es nur eine Ankündigung, die ein großes Medienecho erfuhr. Bis auf Weiteres sind die Macher auf Tauchstation gegangen.

Ähnliche Ankündigungen und Protoypen gibt es inzwischen auch für Indonesien in Form eines „Indoleaks“, das einen E-Mail-Kontakt über Googlemail anbietet. In Bulgarien ging „Balkanleaks.eu“ an den Start. Wikispooks.com wiederum basiert auf der Mediawiki-Software. Sie bietet PGP-verschlüsselten E-Mail-Kontakt sowie einen SSL-gesicherten anonymen Datei-Upload an. Dabei versichert sie, keine IP-Adressen zu protokollieren. Diese Website richtet sich an Mitarbeiter von Sicherheitsbehörden sowie Freunde von Verschwörungstheorien.

Ob diese Plattformen und Dienstleistungen auf der Bugwelle von WikiLeaks für den Journalismus erfolgreich sein werden, ist ungewiss. Seit Jahren gibt es etwa die so genannte Privacybox der German Privacy Foundation, einer Art geschützten digitalen Briefkasten. 2.000 Personen aus Deutschland, Frankreich, Spanien und Russland nutzen zurzeit die etwa 3.000 sicheren Postfächer. Deutsche Medien haben dieses Angebot bislang nicht angenommen.

Crosspost aus M – Menschen Machen Medien, 1-2/2011