“Ups, ich hab’ ja doch was zu verbergen.” 5 Lehren für Journalist:innen aus dem #Hackerangriff
Wer sich durch die Daten des #Hackerangriffs wühlt, erkennt schnell Muster bekannter Doxing-Angriffe gegen Journalist:innen aus anderen Ländern. Was anderswo längst Alltag ist, muss nun auch für Redaktionen und Medien in Deutschland zum Thema werden: Partisanen-Hacker rechter Gruppen können enorm viel Zeit investieren, um dem Ruf von Journalist:innen zu schaden. Die schlechte Nachricht: Vieles spricht dafür, dass diese Bedrohung zunimmt. Die gute: Mit recht einfachen Maßnahmen kann (und muss) sich jede:r Journalist:in schützen. Fünf Lehren aus dem Leak.
#1 Partisanen-Hacker rechter Gruppen als reale Gefahr für Journalist:innen
In meiner Arbeit als Security-Trainer für Journalist:innen – und durch meinen Job bei Reporter ohne Grenzen – habe ich viel Kontakt mit Journalist:innen aus der ganzen Welt. Kürzlich habe ich drei Monate lang unter anderem mit einer Kollegin aus Brasilien zusammengearbeitet, die dort insbesondere über feministische Themen und illegale Sexarbeit in ihrem Land berichtet. Kaum hatte sie die ersten Storys publiziert, überzog sie eine Gruppe rechter Trolle mit Hass – und nach einigen Tagen tauchte dann auch ein umfangreicher Dox zu ihrer Person im Netz auf. In mühsamer Kleinstarbeit hatten Trolle, die offen mit dem Rechtsextremisten und heutigen Präsidenten Jair Bolsonaro sympathisierten, private Informationen zu ihr und ihrer Familie veröffentlicht. Möglich war dies, weil sie über Jahre zu viele Informationen wie Partyfotos in sozialen Netzwerken geteilt hatte und sie es manchmal mit der Account-Sicherheit nicht allzu genau genommen hatte.
Die Kollegin ist kein Einzelfall. Fälle gehackter Journalist:innen aus Brasilien, Polen, Ungarn oder Italien ließen sich rasch verlinken. Immer häufiger identifizieren Journalist:innen in Security-Trainings solche Partisanen-Hacker rechter Gruppierungen oder Parteien als diejenigen, vor denen sie sich am meisten fürchten – oder die ihnen zumindest die meiste Arbeit machen. Deutsche Journalist:innen kannten das bisher vor allem mit Shitstorms, wenn sie über Flüchtlingsthemen berichteten, doch nun tritt offensichtlich die weitere Bedrohung des Doxing hinzu. Mit dem sogenannten #Hackerangriff ist ein globaler Trend auch in Deutschland angekommen.
Zu Beginn eines Security-Trainings steht immer ein sogenanntes Threat Modeling, um die individuellen Sicherheitsbedürfnisse zu ermitteln. Bei Journalist:innen aus Diktaturen stehen dabei klassischerweise staatliche Akteure wie Geheimdienste ganz oben auf der Sorgen-Liste – doch bei Journalist:innen aus (verhältnismäßig) demokratischen Ländern lösen die (meist rechten) Trolle längst mindestens ebenso große Bedenken aus. Sie arbeiten mit anderen, vermeintlich schwächeren Mitteln, doch sie legen meist enorme Akribie an den Tag und finden zu häufig zu leichte Beute.
Schaut man sich das am Freitag (04.01.2019) bekannt gewordene Leak intensiver an, spricht sehr vieles dafür, dass es sich auch hier um Akteur:innen handelt, die eben nicht die Befugnisse und technischen Fähigkeiten ausländischer Geheimdienste besitzen. Stattdessen haben hier eine Person oder eine Gruppe wohl über Jahre hinweg schwach geschützte Accounts übernommen und fleißig Daten gesammelt. Der pointierten Einschätzung von SPON-Kolumnist Christian Stöcker kann ich mich nur anschließen. Es ist ein Dox, wie er in Darknet-Foren schon seit Jahren als eine Art Volkssport betrieben wird und nur zum Ziel hat, der Reputation der Betroffenen zu schaden.
Spätestens jetzt müssen Journalist:innen auch in Deutschland solche rechten Partisanen-Hacker mit in ihr Threat Model aufnehmen. Die gute Nachricht: Gegen sie kann man sich verhältnismäßig einfach schützen (hierzu unten mehr). Die schlechte: Jeder, der sich ein bisschen für IT-Sicherheit und die beliebtesten Fehler interessiert, kann zu so einem Partisanen-Hacker werden. Die mediale Aufmerksamkeit, die der #Hackerangriff bekommen hat, dürfte in den einschlägigen Foren rechter Netzwerke nicht demotivierend gewirkt haben (auch hierzu unten mehr).
#2 “Ich hab’ doch nichts zu verbergen.” Mag ja sein, aber Du trägst Verantwortung für die Daten anderer Journalist:innen!
“Ich hab’ doch nichts zu verbergen.” Dass nicht einmal Edward Snowden es geschafft hat, mit seinen Veröffentlichungen zum größten Geheimdienstskandal der vergangenen Jahrzehnte diesen Satz auszurotten, ist bezeichnend. Ich bin zwar weiterhin überzeugt, dass jeder Mensch etwas zu verbergen hat, aber richtig ist natürlich auch: Das Sicherheitsbedürfnis von Journalist:innen ist individuell. Wer für ein Lokalblatt über den hiesigen Sport berichtet, wird wohl eher kein Top-Ziel der NSA sein.
Das neue Leak zeigt jedoch sehr eindrücklich, dass dieses egozentrische Sicherheitsdenken im Zeitalter vernetzter Kommunikations- und Datenbankstrukturen deutlich zu kurz greift. Warum? Schauen wir uns zunächst an, was berichtet wurde in Bezug auf die Daten von Journalist:innen. Die Bild schreibt hierzu etwa:
Auch ARD und ZDF wurden gehackt. Allein bei der ARD sind mindestens 33 Journalisten Opfer des Datendiebstahls geworden — darunter Dopingexperte Hajo Seppelt und Mitarbeiter von „Tagesschau“ und „Tagesthemen“.
So oder so ähnlich stand es in vielen Medien. Wer es liest, muss davon ausgehen, dass Infrastrukturen der öffentlich-rechtlichen Sender sowie ARD-Dopingexperte Seppelt selbst gehackt worden sind. Das wäre in der Tat ein echter Skandal, weil es etwa nahelegen würde, dass Seppelt seine IT nicht richtig sichern könne, obwohl er erwiesenermaßen mit brisanten Informationen und Quellen zu tun hat, die auf diese Sicherheit angewiesen sind.
Schaut man in die Daten, erkennt man jedoch sehr schnell: Mit an Sicherheit grenzender Wahrscheinlichkeit ist Hajo Seppelt selbst nicht gehackt worden. Einzig seine Handynummer ist unter seinem Namen zu finden – und die stammt offensichtlich aus dem gehackten Telefonbuch einer Kollegin von der ARD. Überhaupt sind von der ARD offensichtlich nur zwei Privatkonten von Mitarbeiter:innen geknackt worden. Nur von ihnen finden sich ausführliche Datensätze. Die Angreifer:innen haben ihre Telefonbücher sorgfältig ausgewertet und allen Journalist:innen jeweils einen eigenen Eintrag angelegt.
Na dann, alles halb so wild? Nein! Die Angreifer:innen haben genau das erreicht, was sie wollten, nämlich die Reputation von vielen Journalist:innen und das Vertrauen in Medien insgesamt zu schwächen. Mit geringem Aufwand ist es gelungen, in sämtlichen Nachrichtensendungen das Bild zu vermitteln, dass massenhaft sensible Daten von Journalist:innen im Netz stehen. Für investigativ arbeitende Journalist:innen ist das der Super-GAU.
Selbst wer für sich entscheidet, nichts zu verbergen zu haben, trägt im digitalen Zeitalter unweigerlich eine Mitverantwortung für den Datenschutz anderer. Es geht – so pathetisch das klingen mag – um das Ansehen der gesamten Branche. Daher muss vielleicht nicht jeder Sicherheitsmaßnahmen ergreifen, an denen sich auch Geheimdienste die Zähne ausbeißen würden. Aber simple Dinge, wie die Social Media-Accounts mit einer Zwei-Faktor-Authentifizierung zu sichern, müssen ein Standard sein. Alles andere ist fahrlässig – und unkollegial.
#3 Nein, Schuld sind nicht immer die anderen. IT-Sicherheit ist längst möglich für alle Journalist:innen
Gelebte IT-Sicherheit bedeutet, sich ständig selbst fünf Fragen zu stellen: Wer ist mein Gegner? Welche Mittel stehen ihm zur Verfügung? Wie wahrscheinlich ist es, dass er erfolgreich ist? Was passiert, wenn er erfolgreich ist? Und die entscheidende Schlussfrage: Ist es notwendig, sich zu schützen – und wenn ja, wie?
Trainings für IT-Sicherheit leben davon, solche Fragen für verschiedene Szenarien und Situationen durchzusprechen. In der Tat gibt es Konstellationen, in denen sich ein:e Einzelne:r kaum schützen kann: Hat ein mächtiger Geheimdienst Journalist:innen konkret im Fokus und kann auf unbekannte Schwachstellen in deren Hard- und Software zurückgreifen, dann wird ein Angriff früher oder später wohl erfolgreich sein. Aber Hand aufs Herz: Wie häufig wird das zutreffen?
Die allermeisten Journalist:innen, mit denen ich (meist leider erst nach einem erfolgreichen Angriff) zusammenarbeite, hätten die Attacke mit einfachen Bord-Mitteln verhindern können. Auch das nun bekannt gewordene Leak zeichnet nicht die Handschrift eines versierten Geheimdienstes, sondern motivierter Einzeltäter:innen. Auffällig ist, dass offenbar nur wenige Konten wirklich geknackt wurden im Verhältnis zur Zahl der Personen, die (angeblich) vom Hack betroffen sind. Die Urheber des Daten-Diebstahls waren vor allen Dingen gut darin, ihre Beute geschickt aufzuteilen. Verschickte ein:e Politiker:in etwa einen Brief an eine:n andere:n, tauchen nun gleich beide im Leak auf, obwohl offenbar nur eine:r gehackt worden war. Vergleichbares gilt auch für alle Daten der Journalist:innen, die ich einsehen konnte.
Ohne alle Hintergründe der Doxs zu kennen, ist bei Durchsicht der Daten sehr eindeutig: Wenn nicht alle, dann hätten doch die allermeisten Daten niemals im Netz landen müssen. Starke Passwörter, die nicht mehrfach verwendet werden in Verbindung mit einer Zwei-Faktor-Authentifizierung mittels Generator-App oder (noch besser) eines Security-Tokens à la YubiKey, hätten wohl das Schlimmste verhindert. Man mag die Augen rollen, weil es so banal klingt. Aber noch 2018 wurde bekannt, dass bisher gerade einmal rund zehn Prozent aller Google-Nutzer die Zwei-Faktor-Authentifizierung aktiviert hätten. Solange das so bleibt, brauchen wir über neue Gesetze oder mehr Befugnisse für Sicherheitsbehörden nicht reden, denn die wären bei so sorglosen Bürger:innen immer machtlos.
#4 Journalist:innen erhöhen durch ihre Arbeit das Risiko von Familie und Freund:innen
Sehr erkenntnisreich ist die Analyse einiger Politiker:innen-Datensätze für die Frage, wie die Angreifer:innen vorgegangen sind. Gerade Spitzenpolitiker:innen scheinen ihre Hausaufgaben in Sachen IT-Sicherheit weitestgehend gemacht zu haben. Von ihnen selbst sind in den wenigsten Fällen selbst Accounts betroffen. Dennoch tauchen fast alle prominenten Namen aus dem politischen Berlin darin auf. Wieso? Weil teilweise gezielt Familienmitglieder und Freund:innen ausgespäht wurden, um so mittelbar an die Informationen über die Person zu gelangen. Es wurde also zum Beispiel nicht der Politiker selbst gehackt – sondern dessen Sohn. Veröffentlicht wurde dann die Vater-Sohn-Kommunikation.
Dass die Angreifer:innen nicht einmal vor den Social Media-Konten von Kindern halt gemacht haben, mag (und muss) man kritisieren – aber es sollte auch nicht allzu sehr überraschen. Für Journalist:innen heißt das: Nicht nur sie selbst, sondern auch ihre Kolleg:innen, Familienmitglieder und enge Freund:innen müssen sich mit den Basics von IT-Sicherheit regelmäßig befassen. Journalist:innen sind hier in der Pflicht, darauf hinzuweisen und Erklärungsarbeit zu leisten. Das mag unangenehm sein und vielleicht auch nervig – aber vielleicht hilft dieses Leak ja bei der Bewusstseinsbildung und liefert Argumente für die Diskussionen im eigenen Umfeld. Es wäre die richtige Reaktion.
#5 Medial nicht dramatisieren und politischen Aktionismus kritisch(er) hinterfragen
Dafür, dass die Daten teilweise über einen Monat unbemerkt im Netz standen, ist ihr News-Wert binnen Stunden explodiert und war die Topmeldung eines Tages. Hätten “die Medien” erst das Leak sorgfältig durchforstet und dann berichtet, wäre das – so meine These – nicht passiert. Buzzfeed kommt zu demselben Schluss. Erst im Laufe des Tages häuften sich Einschätzungen, dass es wohl doch nicht so brisant ist wie anfangs gedacht. Gesorgt haben dafür vor allem Technik- und Netz-Journalist:innen, die sich selbst ein Bild vom Leak gemacht haben.
Die Angreifer:innen haben dennoch ihr Ziel erreicht: Sie haben (zwar spät, aber immerhin) Verunsicherung unter denen geschürt, die sich in irgendeiner Weise gegen Rechts engagieren und viele weitere dürften erst dadurch motiviert sein für Nachahmungstaten. Journalist:innen, die eigentlich nichts falsch gemacht haben, werden nun als nicht vertrauenswürdige Akteur:innen dargestellt, denen man brisante Informationen lieber nicht zuschiebt. Schlimmer geht’s kaum, wie man mit einem Dox umgehen kann.
Möglich wurde in dieser medialen Aufregung auch, dass betroffene Parteien die Gunst der Stunde nutzten, um für ihre Positionen zu werben – und abzulenken von offensichtlichen Fehlern ihrer eigenen Parteimitglieder. Zwei Beispiele.
Thorsten Frei, stellvertretender Vorsitzender der Unionsfraktion im Bundestag, sagte der Stuttgarter Zeitung, dass man bei der Empörung nicht stehen bleiben dürfe. Er forderte ein Recht auf Gegenschlag, sodass deutsche Behörden auch Server im Ausland angreifen dürften.
„Dabei geht es dann nicht mehr nur um defensive Datenabwehr, sondern um die Möglichkeit zu einem aktiven Gegenangriff, der auch dazu führen kann, Server im Ausland, die die abgegriffenen Daten speichern, aktiv zu zerstören. (…) wir müssen die sich häufenden Hackerangriffe auf für die deutsche Sicherheit sensible Daten zum Anlass nehmen, uns zu fragen, ob das so bleiben kann.“
Die Praxis ist völkerrechtlich und technisch hoch umstritten, worauf ich hier bewusst nicht eingehen will. Klar ist nur: Mit diesem Vorfall hat das herzlich wenig zu tun. Man fragt sich, was deutsche Behörden denn “zurückhacken” sollen, wenn Politiker:innen es nicht schaffen, ihre Social Media- und Email-Accounts mit einem guten Passwort zu versehen.
Auch die Grünen waren schnell mit ihrer Forderung dabei, dass der Staat keine Sicherheitslücken geheim halten dürfe, weil dies die IT-Sicherheit der Bürger:innen gefährde. Das sehe ich persönlich recht ähnlich (siehe zum Beispiel durch meine Mitarbeit hier), aber dennoch ist es falsch, dieses Thema in diesem Kontext zu platzieren. Es sprach und spricht nichts dafür, dass die Angreifer:innen im Besitz unbekannter Sicherheitslücken gewesen wären. Hätten sie solche Mittel, müssten sie nicht auf solch’ verhältnismäßig belanglose Informationen zurückgreifen.
Warum ist das ein Problem? Vor allem, weil solche politischen Diskussionen ablenken von den eigentlichen, aber für Jede:n unbequemeren Fragen. Wem suggeriert wird, dass hier ausländische Mächte unbekannte Software-Schwachstellen ausgenutzt hätten und nun sogar deutsche Behörden sich gezwungen sähen, selbst die Täter anzugreifen, der sagt sehr schnell: “Naja, da kann ich als Nutzer:in ja eh nichts machen.” Anders ausgedrückt: Wenn wir es rund 30 Jahre nach Erfindung des World Wide Web immer noch nicht schaffen, einfache und sehr naheliegende Features der IT-Security ernst zu nehmen, dann wird der nächste #Hackerangriff schon bald folgen, egal wie hochgerüstet die Sicherheitsbehörden auch sein mögen — und wie schwach die Mittel dieser “Hacker” eigentlich auch sind.
Disclaimer: Dieser Beitrag spiegelt allein meine persönliche Auffassung wider und nicht (notwendigerweise) die von Reporter ohne Grenzen.