Panama Papers: Anonyme Suchmaschine für Journalisten
Um einen sicheren Informationsaustausch zwischen Reportern zu gewährleisten, entwickelte eine Schweizer Uni ein dezentrales "Datashare Network".
(Bild: Ripitya/Shutterstock.com)
Das Internationale Netzwerk investigativer Journalisten (ICIJ) will es seinen mehr als 200 Mitgliedern in 70 Ländern leichter machen, übers Internet zusammenzuarbeiten und umfangreiche Datenpakete mit Data-Mining-Techniken zu analysieren. Das von dem Konsortium beauftragte Spring-Labor der École Polytechnique Fédérale de Lausanne (EPFL) entwickelte dafür mit dem "Datashare Network" ein nach eigenen Angaben "vollständig anonymes dezentrales Forschungs- und Informationsaustauschsystem".
Einen Namen gemacht hat sich das ICIJ vor allem seit 2013, als es erstmals mit der Gemeinschaftsoperation "Offshore Leaks" 260 Gigabyte an Daten über Strippenzieher und Nutznießer von Steueroasen publik machte. Später enthüllten beteiligte Medien wie die Süddeutsche Zeitung oder der NDR mit den Panama und den Paradise Papers die Existenz mehrerer hunderttausender Scheingesellschaften, an denen unter anderem Persönlichkeiten aus Kunst, Politik, Wirtschaft inklusive der IT-Branche und Sport als Aktionäre beteiligt waren.
Prinzip Anonymität
Nur dank internationaler Kooperation sei es möglich, solche Untersuchungen mit Millionen geleakter Dokumenten durchzuführen, betont der Leiter des Konsortiums, Gerard Ryle. Ein Leck würde auch die Sicherheit von Journalisten und Zeugen gefährden. Kernelement der dezentralen Suchmaschine ist deshalb die Anonymität. "Sowohl die Recherche als auch der Informationsaustausch können ohne Offenlegung der Identität gegenüber Kollegen oder der Organisation erfolgen", heißt es. Das ICIJ garantiere zwar das Funktionieren des Systems, habe selbst aber "keinen Einblick in die Austauschaktionen".
Das Netzwerk basiert laut der EPFL auf virtuellen Tokens, "die Journalisten an ihren Nachrichten und Dokumenten anbringen, um anderen Personen ihre Zugehörigkeit zum Konsortium zu garantieren". Ein zentraler Verwaltungsspeicher sei nicht in Frage gekommen, da er für Hacker ein zu offensichtliches Ziel darstellen würde. Da die Organisation auch nicht für alle ihre Zuständigkeitsbereiche über dezentrale Server verfüge, blieben die Dokumente auf den Hosts oder Computern der Mitglieder. Die Nutzer speicherten im System nur essenzielle Basis- und Meta-Informationen und ermöglichten damit anderen Beteiligten, sich einer Analyse anzuschließen.
"Multi-Set Private Set Intersection"
Wer eine Information sucht, "gibt einige Schlüsselwörter in die Suchmaschine ein", führen die beteiligten Forscher aus. Habe er dabei Erfolg, "kann er seine Kollegen, deren Identität er noch nicht kennt, die aber über potenziell interessante Informationen verfügen, über ein Newsletter-System kontaktieren und seine Nachricht gegebenenfalls an alle weiterleiten. Die Empfänger erhielten die Anfrage zeitlich verzögert und entschieden selbst, ob sie die Kommunikation aufnehmen und eigene Informationen weitergeben wollten.
Das Team setze für den weiteren Austausch anonyme Authentifizierungs- und Kommunikationsmechanismen sowie eigene Lösungen ein, betont Carmela Troncoso, Leiterin des Spring-Labors. Die Sicherheit der Suchmaschine über zahlreiche Datenbanken hinweg werde mit dem vergleichsweise jungen Protokoll "Multi-Set Private Set Intersection" (MS-PSI) gewährleistet. Der Mailserver verwende eine sehr große Anzahl virtueller Postfächer, die nur einmal verwendet werden könnten. Weitere Details will das Team auf dem Usenix Security Symposium Mitte August vorstellen.
(vbr)
