Dateninspektoren: Das c’t-Investigativteam

Inhaltsverzeichnis

Ein IT-Verlag mit eigenem Investigativteam? Was bei vielen großen Medienhäusern Standard ist, erscheint bei einem Computermagazin etwas ungewöhnlich. Arbeiten c’t-Journalisten etwa regelmäßig undercover und treffen in zwielichtigen Kaschemmen vermummte Informanten? Eher nicht: Investigative c’t-Recherchen finden in der Regel digital statt, schließlich sind wir ein IT-Magazin. Und wenn wir uns in halbseidenen Milieus bewegen, dann handelt es sich eher um dunklere Ecken des Internets und weniger um Hafenkneipen mit schlechtem Leumund.

c't kompakt

• Investigative Recherchen gab es bei c’t, lange bevor IT-Themen und Datenlecks regelmäßig in allgemeinen Medien auftauchten.
• Grundsätzlich versuchen wir mit unserer Arbeit, möglichst viel Schaden von Betroffenen abzuwenden.
• Heikel wird es, wenn Behörden oder Unternehmen nicht kooperieren, sondern auf Konfrontationskurs gehen.

Belege suchen und finden wir in der Regel nicht geografisch vor Ort, sondern auf Servern im Internet, vermeintlich gelöschten Festplattensektoren oder in den Innereien dekompilierter Programme. Und die Identitäten unserer Informanten werden durch IT-Sicherheitsmaßnahmen geschützt, statt mit hohen Krägen und breiten Hüten.

Doch die digitalen Methoden ändern nichts am Ziel: Genau wie klassische Investigativjournalisten wollen wir Missstände aufdecken und unsere Ergebnisse gründlich dokumentieren. Das liegt uns durchaus im Blut und fand auch schon lange vor der Gründung eines Investigativteams im Heise-Verlag statt. Unvergessen ist etwa SoftRAM, ein Speichermanager für Windows 3.1 und 95, der angeblich den verfügbaren Hauptspeicher von PCs deutlich erweitern konnte. c’t sezierte das Programm und kam zu dem Ergebnis, dass es weder die beworbenen Funktionen besaß noch die angeblichen Effekte erzielte. Die Recherche führte zu Produktrückrufen, einer Reihe von Zivilklagen verärgerter Käufer und Ermittlungen der US-amerikanischen Aufsichtsbehörde FTC.

Spurensuche auf dem Rechner

Solche Recherchen, die maßgeblich auf der Analyse von Soft- oder Hardware beruhen, finden Sie in c’t immer wieder; in neuerer Zeit konnten wir etwa aufdecken, wie Browser-Add-ons Affiliate-Links manipulieren, dass sich die Sicherheitsmodulkarten in Gematik-Konnektoren entgegen den Aussagen eines Herstellers durchaus vom Konnektor trennen lassen, oder dass man Ampeln in Deutschland mit simpler (und veralteter) Funktechnik manipulieren kann.

Aus journalistischer Sicht sind solche Recherchen am Objekt vorteilhaft, weil dann die Beweislage eindeutig ist. Schwieriger wird es, wenn wir nur über inoffizielle Kanäle an die Hard- oder Software kommen. Etwa als uns und der Wochenzeitung Die Zeit 2016 ein Programm namens MacGyver zugespielt wurde. Angeblich setzten "Carder"-Gangs es ein, um Kreditkarten mit Chip zu klonen. Das Programm funktionierte tatsächlich, die Kartenklone allerdings nur, falls die Bank der Originalkarte Transaktionen nicht ordentlich überprüfte. Das Bundeskriminalamt bestätigte uns, dass es solche Banken im Ausland tatsächlich gab und man entsprechende betrügerische Transaktionen auch schon beobachtet habe. Das stützte die Aussagen unserer Quelle und machte plausibel, dass "MacGyver" tatsächlich kriminell eingesetzt wurde.

Relevant wurde der Fall 2017 noch einmal, als wir uns ans Bundesverfassungsgericht wandten und "MacGyver" als Beispiel heranzogen. Damals bestand die Befürchtung, dass ein 2015 neu eingeführter Strafrechtsparagraf zur "Datenhehlerei" Reportern verbieten könnte, ihnen zugespielte Daten auszuwerten. Journalisten von c’t und zahlreichen anderen Organisationen klagten dagegen. Letztlich nahm das Gericht die Beschwerde zwar nicht zur Entscheidung an, stellte in seiner Ablehnung aber klar, dass sich Journalisten nicht strafbar machen, wenn sie geleakte Daten entgegennehmen.

Dein Freund und Helfer?

Zum Glück haben Investigativjournalisten hierzulande allgemein recht viel Spielraum. Es existieren sowohl Ausnahmeregelungen, etwa im Datenschutzrecht, das beispielsweise Auskunftsrechte Betroffener gegenüber Journalisten einschränkt, als auch schützende Regeln wie das Redaktionsgeheimnis. Wir sind nicht nur berechtigt, potenziell illegal ausgeleitete Daten zu analysieren, sondern können (und müssen!) auch unsere Quellen gut schützen, wofür wir einigen Aufwand treiben.

Kontaktmöglichkeiten für Informanten

Investigativer Journalismus lebt von Quellen, die er zu Recht schützen und anonym halten darf. Menschen, die uns brisante Informationen zusenden möchten, bieten wir unter auf unserer Website zwei verschiedene Möglichkeiten. Ein anonymes und verschlüsselndes Kontaktformular sowie für höchste Ansprüche einen nur über das Tor-Netzwerk erreichbaren sicheren Briefkasten auf Basis des Softwarepakets SecureDrop. Die technischen Details zu den Kontaktmöglichkeiten und auch zu den weiterführenden Schutzmaßnahmen auf unserer Seite haben wir für sie zusammengefasst.

Wir schützen unsere Quellen aber nicht nur mit technischen Mitteln, sondern auch mit aller Erfahrung, die wir angesammelt haben, und der Sonderstellung, die Journalisten genießen: Wir müssen unsere Quellen niemandem gegenüber offen legen und haben dies auch niemals getan. Der Quellenschutz hat bei c’t bislang stets funktioniert. Außerdem beraten wir Informanten, die sich an uns wenden, mit welchem Verhalten sie sich möglicherweise selbst enttarnen. Denn auch wenn wir gegenüber der Polizei die Aussage verweigern dürfen und unsere eigenen Systeme so zu schützen wissen, dass eine Beschlagnahme nichts offenbaren würde – an eigenen Ermittlungen hindern können wir die Behörden nicht.

Besonders wenn sich eine Quelle auch uns gegenüber anonym hält, ist mitunter schwer einzuschätzen, welche Veröffentlichungen den möglichen Ursprung von Informationen zu sehr eingrenzen könnten. Es gilt zu beachten: Ermittlungsbehörden stehen weit mehr Möglichkeiten als Journalisten zur Verfügung, um Informationen zu ihrem Ursprung zurückzuverfolgen. Aber natürlich respektieren wir stets den Wunsch, auch uns gegenüber anonym zu bleiben, und lassen lieber mehr als weniger Vorsicht walten. Informanten geben einen enormen Vertrauensvorschuss, wenn sie sich gegenüber Journalisten offenbaren.

Übrigens sind diese Kontaktmöglichkeiten nicht das erste System, mit dem sich c’t schützend vor Quellen stellt: Schon 1998 betrieben wir für die Aktion „Netz gegen Kinderporno“ ein Onlineformular, mit dem Nutzer kinderpornografisches Material anonym melden konnten. c’t leitete die Informationen anschließend unter eigenem Namen an Strafverfolgungsbehörden weiter. Nötig erschien das zum einen, weil die Ermittlungsbehörden oft nicht gut online zu erreichen waren. Vor allem aber bestand die begründete Befürchtung, schon das schlichte Anzeigen solchen Materials bei der Polizei könnte als unzulässiger Besitz gewertet werden und zu Ermittlungen gegen die meldende Person führen. Dem ist glücklicherweise nicht mehr so und wir konnten die Aktion 2009 einstellen.

Ganz grundsätzlich agieren Journalisten nicht wie Hilfssheriffs. Sie haben keinerlei Bringschuld gegenüber (Polizei-)Behörden, sondern sogar ein spezielles Zeugnisverweigerungsrecht. Maßgeblich sind für uns also nicht die Wünsche irgendeiner Behörde; es geht vielmehr darum, Missstände aufzudecken und möglichst viel Schaden von Betroffenen abzuwenden.

Heikel wird es, wenn wir eine akute Gefahr sehen, etwa eine laufende Betrugsmasche, die nur die Polizei schnell stoppen kann. Das kann dann bedeuten, dass wir Ermittlungsbehörden einschalten und unsere Veröffentlichungen mit deren Arbeit koordinieren. So geschah es beispielsweise Ende 2003, als sich ein Informatikstudent an uns wandte: Er hatte, während er einer Infektion mit dem Trojaner Randex nachging, das erste für Spam-Attacken mietbare Botnetz entdeckt. Das Botnetz an sich, aber noch mehr, dass sich die kriminelle IT-Szene so organisierte und kommerzialisierte, war eine bedeutende Beobachtung.

Der Student weihte uns ein, und gemeinsam beobachteten wir laufende kriminelle Aktivitäten, etwa DDoS-Attacken, über das Botnetz. Weil aus unserer Sicht akute Gefahr bestand, informierten wir "Scotland Yard", also den Londoner Metropolitan Police Service. Wir wandten uns an die britische Behörde, weil wir einen Betreiber des Netzes in Großbritannien lokalisieren konnten. Scotland Yard schaltete dann international weitere Behörden ein. Parallel recherchierten wir weiter, nahmen Kontakt zu den Botnetzbetreibern auf und gaben vor, das Netz mieten zu wollen. Unsere Ergebnisse leiteten wir regelmäßig an die britische Polizeibehörde weiter und koordinierten unsere Veröffentlichung auch vor Ort in London mit ihren Ermittlungen. Am Ende standen ein Artikel und eine Reihe von Verhaftungen.

Coordinated Disclosure

"Möglichst viel Schaden abwenden", das kann auch bedeuten, dass wir uns mit betroffenen Organisationen in Verbindung setzen, um Probleme zu beseitigen. In der Regel geschieht das bei Sicherheits- und Datenschutzlücken, die ja auch – oder sogar primär – den Kunden und Nutzern dieser Unternehmen schaden. In solchen Fällen ist unser erstes Anliegen, die Lücke an sich beseitigen zu lassen. Manche Unternehmen reagieren sehr flott auf unsere Anfragen, andere bitten um mehr Zeit, weil es eine Weile dauere, das Sicherheitsproblem zu beheben.

Nutzer werden bestmöglich geschützt, wenn wir einerseits nicht berichten, solange eine Lücke noch offensteht, und andererseits betroffene Unternehmen nicht zögern, die Lücke so schnell wie möglich zu schließen. Wir meiden deshalb das Buzzword "responsible disclosure" und sprechen stattdessen gerne von "coordinated disclosure", weil es gilt, sich abzustimmen. Leider kommt es auch vor, dass Unternehmen sich weigern, Lücken zu schließen oder überhaupt anzuerkennen. In extremen Fällen, beispielsweise, wenn Kriminelle Lücken bereits ausnutzen, kann es das kleinere Übel sein, auch über ein noch bestehendes Problem zu berichten. So laufen wenigstens nicht noch weitere Nutzer ins Messer.

Anderseits kommt es auch sehr häufig vor, dass wir gar nicht berichten, wenn eine Lücke schnell geschlossen wird. Niemand will beispielsweise den hundertsten Artikel über ein Datenleck bei einer mittelständischen Firma lesen, welches aus einem fehlkonfigurierten Server bestand, der Kundendaten publizierte.

Von einer nicht mehr existenten Lücke berichten wir eher dann, wenn sie technisch interessant war oder besonders weitreichende Auswirkungen hatte. Wie etwa beim Buchbinder-Datenleck, auf das wir 2020 aufmerksam gemacht wurden (wieder zusammen mit der Wochenzeitung Die Zeit). Fehlkonfigurierte SMB-Server sehen wir immer wieder, aber zehn Terabyte teilweise sehr schützenswerte Daten von über drei Millionen Kunden waren uns noch nicht untergekommen. Nichtsdestotrotz sah das zuständige Bayerische Landesamt für Datenschutzaufsicht keinen Grund, ein Bußgeld zu verhängen. Damals schüttelten viele Datenschutzjuristen fassungslos den Kopf.

Auf Konfrontationskurs

Falls wir uns zu einer Berichterstattung entschließen, kontaktieren wir zuvor die betroffenen Unternehmen oder Personen, um sie mit unseren Rechercheergebnissen zu konfrontieren. So haben sie etwa die Möglichkeit, einen Verdacht auszuräumen, sich zu erklären oder zumindest Stellung zu beziehen. Wenn ein Unternehmen sich unfair behandelt oder zu Unrecht verdächtigt sieht, kann es sich aufgrund der Konfrontation auch an ein Gericht wenden, um die vermeintlich falsche Berichterstattung zu verhindern.

Zur Konfrontation gehört ein Fragenkatalog, der alle recherchierten Tatsachen erwähnt. Zur Beantwortung räumen wir eine angemessene Frist ein, in der Regel mehrere Tage. Es kommt vor, dass ein konfrontiertes Unternehmen direkt eine spezialisierte Rechtsanwaltskanzlei beauftragt, die sich mit uns auseinandersetzt. In solchen Fällen zieht auch die Rechtsabteilung des Heise-Verlags externe Presseanwälte zurate.

So geschah es beispielsweise im Jahr 2015, als c’t Betrügereien beim erfolgreichen Dresdner Start-up Lovoo recherchiert hatte. Auf den Fragenkatalog, der unsere Erkenntnisse präsentierte, antwortete das Unternehmen nicht selbst, sondern beauftragte die berühmt-berüchtigte Kanzlei des Promianwalts Christian Schertz. Diese versuchte, Zweifel an den von uns dargelegten Fakten zu streuen und warnte uns mehrfach, dass eine Veröffentlichung rechtliche Konsequenzen für uns haben könnte.

Was war geschehen? c’t hatte umfangreiches Material zugespielt bekommen, aus dem hervorging, dass Lovoo in seiner beliebten Dating-App gefälschte Nutzerinnenprofile einsetzte. Die gaukelten echten Nutzern Interesse vor, um ihnen mehr Geld aus der Tasche zu ziehen. Problematisch für die Berichterstattung: Wir konnten zwar unsere Vorwürfe auf der Plattform nachvollziehen, hatten aber nur eine Quelle, die uns Material wie belastenden E-Mail-Verkehr und Quellcode zugespielt hatte. Dieses Material war plausibel, aber nicht endgültig verifizierbar. Eine Bestätigung aus einer zweiten, unabhängigen Quelle wäre vorteilhaft gewesen, was aber in diesem Fall – mit offenbar von einem Insider durchgestochenen Material – kaum machbar war.

Man bewegt sich dann im schwierigen Fahrwasser der Verdachtsberichterstattung. Wir versuchten, die Informationen der Quelle anderweitig zu erhärten, beispielsweise, indem wir bei Behörden nachfragten, die in diesem Fall aber (zunächst) wenig Interesse zeigten. So gingen wir daran, den uns zugespielten Quellcode zu analysieren und das Verhalten der Fakeprofile daraufhin abzuklopfen – sie arbeiteten auf der Plattform genau, wie der vorliegende Quellcode es vorgab. Weil die Indizienlage erdrückend und plausibel war, entschied sich die Chefredaktion, den Artikel zu veröffentlichen.

Teamgründung

Mit der schwierigen Verdachtsberichterstattung auf der einen Seite sowie trägen Behörden und einer umso gewiefteren Kanzlei auf der anderen Seite, wurde dennoch klar, dass wir unsere investigativen Ressourcen und Erfahrungen bündeln sollten. Schließlich war und ist es das Ziel der Redaktion, möglichst viele Missstände in der IT-Branche aufzudecken und zu beseitigen. Unter diesen Vorgaben entstand das Investigativteam, eine ressortübergreifende informelle Gruppe, die seither an praktisch allen c’t-Recherchen beteiligt ist und damit ihren Gründungszweck bis heute erfüllt.

Übrigens: Aufgeschreckt von unserer Berichterstattung erinnerte man sich wohl bei der Polizei in Dresden an unsere Anfrage. Ein gutes halbes Jahr später durchsuchte dann das LKA Dresden die Räumlichkeiten der Firma und nahm die beiden Gründer fest. Schließlich wurden die auf unserer Recherche fußenden Ermittlungen wegen Betrugs gegen eine Zahlung in Höhe von 1,2 Millionen Euro eingestellt. Dies seien immerhin rund 20.000 Euro mehr, als Lovoo an finanziellen Vorteilen durch manipulierten Quellcode nachgewiesen werden konnte, teilte die Dresdener Staatsanwaltschaft mit. Von Lovoo angedrohte juristische Konsequenzen gegen c’t beziehungsweise die Heise Medien GmbH & Co. KG blieben aus.

Grundsätzlich können Unternehmen vor Gericht einstweilige Verfügungen erwirken, wenn sie uns im Unrecht sehen. Das tat zum Beispiel der Distributor der erwähnen Software SoftRAM, der sich gegen die Überschrift "Placebo-Software?" wehrte und per Verfügung, also lediglich im einstweiligen Rechtsschutz, den Vertrieb des Artikels verbieten ließ.

Aus ökonomischer Perspektive sind einstweilige Verfügungen problematisch, weil sie eventuell ungerechtfertigt den Verkauf des Printprodukts verhindern. Dabei kann ein enormer wirtschaftlicher Schaden entstehen, der sich möglicherweise erst Monate später mit einem aufwendigen Schadensersatzprozess mindern lässt. Und was nützt es, nach einer Eilentscheidung später im Hauptsacheverfahren Recht zu behalten, wenn zuvor eine c’t-Ausgabe aufgrund der Verfügung nicht in den Vertrieb gelangte? So weit kam es im SoftRAM-Fall zum Glück nicht: Angestachelt recherchierte die Redaktion umso tiefer. Bereits eine Ausgabe später titelten wir trotzig "Placebo forte!" – und behielen recht.

Links zu allen erwähnten Recherchen

Affiliate-Links

• Affiliate-Eldorado: Partnerprogramm-Abzocke mittels Browser-Erweiterungen
• Code-Vivisektion: Wie Add-ons hinterrücks Affiliate-Geldströme umleiten können
• Affiliate-Abzocke: Stellungnahmen, Löschaktionen und viele offene Fragen

Ampelbeeinflussung

• Verkehrssicherheit: Warum viele Ampeln per Funk manipulierbar sind
• Ampelansteuerung per Funk: So funktioniert sie im Detail

Buchbinder

• Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz

Gematik-Konnektoren

• Konnektoraustausch in Arztpraxen: 300-Millionen-Grab ohne stichhaltige Gründe
• Nach c't-Analyse: Gematik verteidigt Konnektortausch, Ärzte fordern Klärung
• Konnektortausch: technische Hintergründe zum Appell an Karl Lauterbach

Lovoo

• Herzensbrecher: Dating-Plattform Lovoo im Fake-Verdacht
• Abzock-Verdacht gegen Flirt-Plattform Lovoo erhärtet sich
• Interne Mails bekräftigen Abzock-Verdacht gegen Dating-Plattform Lovoo
• Causa Lovoo: Was bisher geschah – und was den Verantwortlichen droht
• Razzia und Festnahmen beim Dating-Dienst Lovoo
• Dating-Dienst Lovoo: Fast 1,2 Millionen Euro Schaden durch Betrug
• Lovoo-Geschäftsführer gegen Auflagen aus U-Haft entlassen

"MacGyver"

• MacGyvers Karten: Kreditkarten-Betrug trotz Chip+PIN
• Verfassungsbeschwerde gegen Anti-Whistleblower-Gesetz
• Datenhehlerei entschärft: Bundesverfassungsgericht stärkt die Pressefreiheit

Randex-Botnet

• Aufgedeckt: Trojaner als Spam-Roboter
• Ferngesteuerte Spam-Armeen: Nachgewiesen: Virenschreiber lieferten Spam-Infrastruktur

SoftRAM

• Verdichtung und Wahrheit: SoftRam für Windows 95
• Doppler-Effekte
• Placebo forte! Was wirklich hinter SoftRAM 95 steckt

Update vom 3.6.2023

Die Einschätzung, dass man aktuell keine Ermittlungen gegen sich selbst fürchten muss, wenn man Material mit Missbrauchsdarstellungen von Kindern bei der Polizei zur Anzeige bringt, ist falsch. Wir raten dazu, solche Inhalte unmittelbar und unwiderruflich zu löschen.

c't Ausgabe 12/2023

Mit unserer Jubiläumsausgabe 12/23 feiern wir den 40. Geburtstag von c't! In diesem Heft schwelgt die Redaktion in Erinnerungen, erzählt Anekdoten und stellt sich vor, wirft aber auch den Blick in die Zukunft und bietet spannende Einblicke hinter die Kulissen. Lesen Sie, wie c't testet, lernen Sie unsere Labore kennen begleiten Sie einen c't-Artikel von der Idee bis zum Druck. Dazu stellen wir unsere liebsten Gadgets- und Software-Tools für Arbeit und Freizeit vor und es gibt jede Menge Artikel zum Schmunzeln. Das und noch viel mehr lesen Sie in c't 12/23!

• Die Redaktion stellt sich vor
• So testet c't
• Blick in die Labore: Wie wir messen
• Gadget-Empfehlungen der Redakteure
• Chefredakteure geben Einblicke
• So entsteht ein c’t-Artikel
• Rückblick: 28 Jahre „optimaler PC“
• Textmining: Wir zählen Wörter aus 40 Jahren c’t
• Anekdoten der Redaktion
• c't 12/2023 im Heise-Shop

(syt)