{"id":613,"date":"2011-08-29T18:45:54","date_gmt":"2011-08-29T18:45:54","guid":{"rendered":"http:\/\/schulzki-haddouti.de\/?p=613"},"modified":"2011-09-21T18:50:22","modified_gmt":"2011-09-21T18:50:22","slug":"fehlstart-fur-openleaks","status":"publish","type":"post","link":"https:\/\/schulzki-haddouti.de\/?p=613","title":{"rendered":"Fehlstart f\u00fcr OpenLeaks"},"content":{"rendered":"<p><strong>Sicherheits- und Ver\u00f6ffentlichungskonzept in der Kritik<\/strong><\/p>\n<p><strong><\/strong><em>Es sollte der Start einer neuen Whistleblower-Plattform sein, doch der endete nach f\u00fcnf Tagen holprig. Auf dem Chaos Communication Camp ging OpenLeaks f\u00fcr einen \u201eStresstest\u201c an den Start. Die Plattform der WikiLeaks-Dissidenten Daniel Domscheit-Berg und Herbert Snorrason will Daten von Informanten sicher \u00fcbermitteln. Die ersten f\u00fcnf Kooperationspartner: Die Tageszeitung taz, die Wochenzeitung Der Freitag, die portugiesische Wochenzeitung Expresso, die d\u00e4nische Tageszeitung Dagbladet Information sowie die NGO Foodwatch.<\/em><\/p>\n<p>Zun\u00e4chst verhinderten Wind und Wetter bei der Freiluftveranstaltung den Aufbau der Rechner. Mit zwei Tagen Versp\u00e4tung ging die Testseite der taz, leaks.taz.de ans Netz. Danach kam es jedoch zu einem kr\u00e4ftigen Gegenwind aus anderer Richtung: Nach einer erfolgreichen Pr\u00e4sentation des Projekts distanzierte sich der Vorstand des Chaos Computer Clubs (CCC) von OpenLeaks-Gr\u00fcnder Daniel Domscheit-Berg und schloss ihn als Mitglied aus dem Verein aus.<\/p>\n<p>Was war geschehen? Die Gr\u00fcnde daf\u00fcr sind vielschichtig. CCC-Vorstand Andy M\u00fcller-Maguhn sagte gegen\u00fcber Spiegel Online, man sei nicht gl\u00fccklich dar\u00fcber gewesen, dass der Eindruck erweckt wurde, \u201eOpenLeaks werde von unseren Leuten getestet und so mit einer Art CCC-G\u00fctesiegel versehen\u201c. Der CCC lasse sich nicht vereinnahmen. In den Medien sei der Eindruck entstanden, dass der CCC teste \u2013 dies m\u00fcsse \u201eschnell und nachhaltig\u201c korrigiert werden. Die CCC-Sprecher wollten sich w\u00e4hrend des Camps zu dem Beschluss des Vorstands nicht \u00f6ffentlich \u00e4u\u00dfern. Frank Rieger bezeichnete den \u201eRausschmiss\u201c im Netzpolitik-Blog jedoch als \u201everfr\u00fcht, unangemessen und zutiefst emotional statt wohl\u00fcberlegt rational.\u201c<\/p>\n<h4><strong>Blackbox OpenLeaks<\/strong><\/h4>\n<p>Systemtests sind auf Hackertreffen durchaus \u00fcblich. Domscheit-Berg hatte au\u00dferdem zu keinem Zeitpunkt gesagt, dass der CCC OpenLeaks testen werde. Tats\u00e4chlich ging es um etwas Grunds\u00e4tzlicheres: Bis heute gibt es kein nachvollziehbares Sicherheits- und Ver\u00f6ffentlichungskonzept von OpenLeaks, das geeignet w\u00e4re Vertrauen herzustellen. Im Vorstandsbeschluss hei\u00dft es daher: \u201eTats\u00e4chlich ist OpenLeaks f\u00fcr den CCC intransparent, der CCC kann gerade nicht beurteilen, ob potenzielle Whistleblower, die sich OpenLeaks anvertrauen, nachhaltig gesch\u00fctzt werden k\u00f6nnen und gesch\u00fctzt werden.\u201c<br \/>\nAuf dem Chaos Communication Camp hatte Domscheit-Berg zwar das System vorgestellt, jedoch nicht den Quellcode offen gelegt. Keiner der Teilnehmer durfte den Code kopieren und zur Pr\u00fcfung mitnehmen. Das gilt jedoch als Grundvoraussetzung f\u00fcr eine Pr\u00fcfung. Domscheit-Berg vertrat mit seinem klandestinen Vorgehen ein Sicherheitskonzept, das als \u201eSecurity by Obscurity\u201c verstanden wird und sp\u00e4testens seit der Erfindung des asymmetrischen Verschl\u00fcsselungsprogramms PGP als veraltet gilt. Es ist ein Konzept, das vornehmlich von staatlichen Sicherheitsbeh\u00f6rden und deren Systemlieferanten vertreten wird, doch in der Wissenschaft und der Hackerszene gilt: Nur wenn viele Menschen ein System eingehend pr\u00fcfen k\u00f6nnen, gilt es als einigerma\u00dfen sicher.<\/p>\n<h4><strong>Seltene Programmiersprache<\/strong><\/h4>\n<p>Allerdings selbst wenn Domscheit-Berg den Code ver\u00f6ffentlicht h\u00e4tte, h\u00e4tten ihn vermutlich nur sehr wenige Leute verstanden. Dieser ist n\u00e4mlich in Erlang geschrieben, wie heise online berichtete. Es handelt sich um eine seltene Programmiersprache, die f\u00fcr die Programmierung von Vermittlungsstellen in Telefonnetzen von Ericsson Labs entwickelt wurde. Im Chaos Computer Club und auch sonst, so sagt CCC-Mitglied Felix von Leitner, gebe es daf\u00fcr kein Security-Know-How. Selbst wenn jemand die Sprache beherrschen w\u00fcrde, w\u00e4re es fraglich, ob er auch Sicherheitsl\u00fccken finden k\u00f6nnte.<br \/>\nTests von au\u00dfen sind bei OpenLeaks gleichwohl m\u00f6glich, doch sie k\u00f6nnen keine qualifizierte Aussage \u00fcber die Sicherheit eines Systems machen. Falls sich L\u00fccken finden, ist das eher dem Zufall geschuldet. Tats\u00e4chlich stie\u00df ein Hacker auch recht schnell auf erste Unklarheiten: So ist der Zugang zur Leaking-Website der taz zwar SSL-verschl\u00fcsselt, doch das dazu geh\u00f6rende SSL-Zertifikat wird vom Browser als \u201eung\u00fcltig\u201c angezeigt. Auch mit einem ung\u00fcltigen Zertifikat wird zwar die Verbindung zwischen Browser und Webserver verschl\u00fcsselt, doch Angreifer k\u00f6nnen sich unbemerkt einschalten und sich Zugang zu den \u00fcbermittelten Daten verschaffen. Nutzer m\u00fcssen daher solchen Warnungen nachgehen. Die OpenLeaks-Macher schlagen deshalb vor, den Fingerabdruck des SSL-Zertifikats zu pr\u00fcfen. Sie geben allerdings keine weiteren Hinweise, wie dies \u00fcberhaupt zu bewerkstelligen ist. Potenzielle Whistleblower k\u00f6nnten sich hier rasch entmutigt f\u00fchlen.<\/p>\n<p>Au\u00dferdem gab es das Problem der WikiLeaks-Dokumente, die Domscheit-Berg als Sicherheitskopie von einem Server im Ruhrgebiet kurz vor seinem Rausschmiss durch Julian Assange gezogen hatte. Gegen\u00fcber dem Freitag und anderen behauptete er, er h\u00e4tte keinen Zugriff auf den Klartext der Dokumente. Den Schl\u00fcssel hierzu habe Julian Assange. Gegen\u00fcber ihm, sagt Andy M\u00fcller-Maguhn, habe er jedoch den Eindruck vermittelt, er k\u00f6nne die Dokumente einsehen. M\u00fcller-Maguhn hatte elf Monate lang vergeblich versucht, die \u00dcbergabe der Dokumente zu vermitteln. Doch immer wieder habe Domscheit-Berg neue Argumente angef\u00fchrt, um das hinauszuz\u00f6gern. Gegen\u00fcber dem Spiegel gab Domscheit-Berg Ende August an, dass er die Dateien jetzt \u201egeschreddert\u201c habe, \u201eum sicher zu stellen, dass die Quellen nicht gef\u00e4hrdet werden\u201c. WikiLeaks zufolge enthielten die 3.500 unver\u00f6ffentlichten Dateien unter anderem 60.000 E-Mails der rechtsextremen NPD und \u201eInterna von rund 20 Neo-Nazi-Organisationen\u201c. Au\u00dferdem seien darunter f\u00fcnf Gigabyte an Daten der Bank of America, erkl\u00e4rte WikiLeaks \u00fcber Twitter.<\/p>\n<p>Der CCC sah durch die Ank\u00fcndigung von Domscheit-Berg, OpenLeaks auf dem CCCamp zu testen, offenbar auch seine neutrale Rolle in dem Streit zwischen Domscheit-Berg und Assange gef\u00e4hrdet, zumal das Sicherheitskonzept durch seine Intransparenz fragw\u00fcrdig ist.\u00a0Auch das Ver\u00f6ffentlichungskonzept ist bis heute unklar. Anders als bei WikiLeaks sollen die Dokumente bei OpenLeaks von den Kooperationspartnern ausgewertet werden. Bei OpenLeaks ist es angeblich der Whistleblower, der \u00fcber den Empf\u00e4nger bestimmt, und der Empf\u00e4nger selbst, der dar\u00fcber entscheidet, wie er mit den Informationen umgehen will. Was jedoch, wenn der Empf\u00e4nger mit den Informationen nichts machen m\u00f6chte?<\/p>\n<h4><strong>Projekt nicht am Ende<\/strong><\/h4>\n<p>Auf diese Frage antwortete Domscheit-Berg in der Vergangenheit unterschiedlich. Auf der Website von OpenLeaks wird eine Ver\u00f6ffentlichung der Dokumente jedenfalls ausgeschlossen. Wenn ein OpenLeaks-Partner die Dokumente nicht ver\u00f6ffentlichen k\u00f6nne, w\u00fcrde dies ein anderer tun. Wie jedoch die daf\u00fcr notwendigen Abstimmungsprozeduren aussehen, wird nicht erkl\u00e4rt. Auch ist unklar, wie Dokumente, die mit dem Schl\u00fcssel eines Medienpartners verschl\u00fcsselt werden, auf einmal von einem anderen verwendet werden k\u00f6nnen. Damit unterscheidet sich OpenLeaks deutlich von WikiLeaks: Hier gilt das Versprechen, dass das geleakte Material im Netz ver\u00f6ffentlicht wird.<\/p>\n<p>Domscheit-Berg sagte nach seinem Ausschluss, dass dies nicht das Ende des Projekts sei. Er habe auf dem Camp viel positives Feedback erfahren. Kooperationspartner taz zeigte sich erstaunt, aber solidarisch mit OpenLeaks. In einem Beitrag des Freitag hie\u00df es, der CCC-Vorstand schade dem Ansehen des Hacker-Vereins. Angesichts der zahlreichen offenen konzeptionellen Fragen darf man gespannt sein, wie es mit OpenLeaks weitergeht.<\/p>\n<p><em><a href=\"http:\/\/mmm.verdi.de\/archiv\/2011\/08-09\/medienpolitik\/fehlstart-fuer-openleaks\">Erschienen in der M<\/a><a href=\"http:\/\/mmm.verdi.de\/archiv\/2011\/08-09\/medienpolitik\/fehlstart-fuer-openleaks\">\u00a08-9\/2011<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheits- und Ver\u00f6ffentlichungskonzept in der Kritik Es sollte der Start einer neuen Whistleblower-Plattform sein, doch der endete nach f\u00fcnf Tagen holprig. Auf dem Chaos Communication Camp ging OpenLeaks f\u00fcr einen \u201eStresstest\u201c an den Start. Die Plattform der WikiLeaks-Dissidenten Daniel Domscheit-Berg und Herbert Snorrason will Daten von Informanten sicher \u00fcbermitteln. Die ersten f\u00fcnf Kooperationspartner: Die Tageszeitung &hellip; <a href=\"https:\/\/schulzki-haddouti.de\/?p=613\" class=\"more-link\"><span class=\"screen-reader-text\">Fehlstart f\u00fcr OpenLeaks<\/span> weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[32,58,79,4],"_links":{"self":[{"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=\/wp\/v2\/posts\/613"}],"collection":[{"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=613"}],"version-history":[{"count":4,"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=\/wp\/v2\/posts\/613\/revisions"}],"predecessor-version":[{"id":617,"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=\/wp\/v2\/posts\/613\/revisions\/617"}],"wp:attachment":[{"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=613"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=613"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/schulzki-haddouti.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=613"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}