Netzwerk Recherche: Pentestereien für Journalisten
Auf der Jahrestagung der Journalistenvereinigung ging es um Experten und ihre Rolle in den Medien. Vor Ort vermittelten Computerexperten Recherchetipps und Grundlagenwissen - und skizzierten, wie Whistleblowing auch ohne Wikileaks funktioniert.
Journalisten und Experten, das ist eine schwierige Beziehung. Die einen haben keine Zeit und Lust, sich in die Materie einzuarbeiten und befragen lieber die anderen, die damit ihren Marktwert steigern wollen. Auf der Strecke bleibt meistens die Wahrheit. Wo Experten gut sind, und wo sie die Wirklichkeit verzerren, war Thema der Jahrestagung des Netzwerk Recherche am Wochenende in Hamburg.
Journalisten müssen über viele Themen berichten. Dafür greifen sie auf Experten zurück, weil sie selbst nicht die Zeit haben, sich Expertenwissen auf einem Gebiet anzueignen. Journalisten produzieren aber auch Experten. Das illustrierte Christoph Dernbach, Chefredakteur von dpa-infocom, im Rahmen einer Diskussion über "Ethik-Standards". Damit die Presseagentur bei Meldungen über "brandgefährliche" Computerviren nicht auf die Experten der einschlägigen Softwarehersteller angewiesen war, befragte er über längere Zeit einen Wissenschaftler der Universität Karlsruhe. Am Ende war dieser als Experte etabliert – und baute flugs seine eigene Antivirus-Firma auf.
Auch auf dem Kongress in Hamburg spielten Computerexperten eine Rolle: sie forderten die Journalisten zum Hacken auf. "Pentester" greifen im Auftrag einer Firma deren IT-Infrastruktur an. Beim Penetration Testing sollen Schwachstellen aufgedeckt und geschlossen werden, ehe sie von anderen mit unlauteren Motiven gefunden werden. "White Hat Hacker" nennen sich die Sicherheitsexperten in Abgrenzung vom Rest ihrer Zunft. Zwei Stunden lang erklärten Jens Liebchen und Patrick Hof vom Aachener Red Team Pentesting Methoden, die auch für Journalisten interessant sein können.
Die guten Hacker überraschten das Publikum mit einer eigenwilligen Interpretation des Hackerparagraphen (§ 202c) ungefähr auf der Linie der European Expert Group for IT Security: Der Einsatz von Hackertools im Rahmen eines Auftrags sei keine Straftat – was um zwei Ecken gedacht auch für recherchierende Journalisten gelten könnte. Ohnehin sei derzeit kein einziger Fall aus der Praxis bekannt, in dem der Hackerparagraph angewendet wurde. Allerdings sollten sich Journalisten dabei immer vergegenwärtigen, dass sie in einer Gefahrenzone operieren, etwa beim Recherchieren auf dem Gebiet der organisierten Kriminalität. "Die Gegenseite hat eventuell weniger ethische Bedenken."
Die Pentester gaben darum Ratschläge zur allgemeinen Computersicherheit wie den, keine Online-Passwort-Generatoren zu benutzen oder den Passwort-Gedächtnisfragen mancher Dienste zu misstrauen. Eine Demonstration, wie über ein gefälschtes PDF ein Rechner kompromittiert werden kann, sollte die Zuhörer sensibiliseren, jeder zugespielten Informations-Datei zu misstrauen. Gewarnt wurde auch vor URL-Verkürzern, die auf Seiten führen können, auf denen der Gegner zur Attacke schreitet.
Zur Datengewinnung empfahlen die Pentester vor allem Twitter, das mit einfachen Suchstrings wie "Kundennummer" schon Anhaltspunkte bieten kann. Dienste wie Tweetmeme, Tweepsearch, Tweetstats und die kostenpflichtige Darstellung der Twitter-Vernetzung durch Asterisq können Journalisten bei der Recherche helfen. Auch sollten sie lernen, kreativ mit Datenspuren umzugehen, etwa den Mietwagen einer ausgespähten Person anzumieten, um im Navigationsgerät gefahrene Strecken oder im Bluetooth-Protokoll gewählte Rufnummern zu ermitteln.
Auch Sebastian Mondial, ein bei der dpa arbeitender Statistiker, beschäftigte sich in einem Vortrag über Sicherheitsprobleme des investigativen Journalismus mit einem Handwerk, bei dem der Journalist nah am Hackertum arbeitet. Nach Mondial muss ein Journalist wissen, wie er die MAC-Adresse eines Rechner verschleiern kann, muss Festplatten richtig überschreiben und Truecrypt richtig einsetzen können, auf dass im Fall der Fälle sensible Daten verschlüsselt in einem unsichtbaren Container liegen. Ohnehin sollten Journalisten nur sichere Betriebssysteme vom USB-Stick booten und auf virtuellen Rechnern arbeiten. Anders als die Pentester empfahl Mondial den Zuhörern, das Web 2.0 komplett zu meiden.
Zum Schluss seines Vortages skizzierte Mondial noch ein "Minileaks"-Verfahren, mit dem Journalisten Dinge an die Öffentlichkeit bringen können, ohne selbst als Quelle bekannt zu werden. Neben dem getarnten Kauf von Webspace bei einem Hoster und dem Hochladen der Dateien besteht der Kniff darin, ausreichend lange zu warten, ehe man Hinweise in unverdächtiger Form in Forenbeiträgen und anderen Zusammenhängen postet. Minileaks ist eine Antwort auf die Probleme von Wikileaks, das offenbar hoffnungslos überarbeitet ist und zudem Schwierigkeiten hat, seine Rolle als Mittler von brisanten Informationen zu finden.
Daniel Schmitt, einer der beiden Sprecher des Wikileaks-Projekts, kündigte die Veröffentlichung von 37.000 E-Mails der NPD an, deren Bearbeitung so arbeitsintensiv sei, dass kaum Zeit für den Kontakt nach Außen sei. Schmitt pries die "aggressivste Presseagentur der Welt", die die Medien "entknebeln" kann, musste sich aber auch kritische Fragen gefallen lassen – etwa zur Finanzierung und dem von Cryptome geäußerten Vorwurf, eine getarnte Außenstelle des CIA zu sein. Schmitt bot an, zumindest die europäischen Geldeinnahmen offenzulegen, die von der Wau Holland Stiftung verwaltet werden.
Die Vorwürfe von Cryptome bezeichnete Schmitt als Trollerei in der Tradition des Ex-Hackers Adrian Lamo, der den jungen US-Militäranalysten Brad Manning an die Behörden verraten hatte. Der Whistleblower, der Wikileaks das Video eines tödlichen US-Militäreinsatzes in Bagdad zugespielt hatte, muss sich vor einem Kriegsgericht verantworten. Wikileaks werde für die Verteidigung Mannings sorgen, erklärte Schmitt, und forderte die Teilnehmer der Jahrestagung auf, eine Protestnote gegen die Inhaftierung von Manning zu verfassen. Eine solche Resolution kam allerdings nicht zu Stande, das Netzwerk Recherche verabschiedete lediglich eine Erklärung gegen die Strafverfahren, die derzeit gegen zwei deutsche Journalisten geführt werden.
Zu den weiteren Höhepunkten der Tagung gehörte die Verleihung des Negativpreis der "Verschlossenen Auster" für den Informationsblockierer des Jahres an die Katholische Kirche (PDF-Datei). Ihr Verhalten im Missbrauchsskandal wurde vom Laudator Heribert Prantl (PDF-Datei) gerügt. Die verschlossene Auster wurde von Matthias Kopp, dem Pressesprecher der Deutschen Bischofskonferenz, abgeholt. Kopp räumte in seiner Rede ein, dass sich die Kirche falsch verhalten habe und Verbesserungsbedarf bestehe. Man sei jedoch kein Konzern und keine politische Partei und müsse die Erwartungen aller enttäuschen, die von der Kirche eine moderne Konzernkommunikation forderten. (vbr)