Leck bei Wikileaks

Sicherheit Wikileaks hat ein Sicherheitsproblem. Und das in viel größerem Umfang als bisher ­bekannt. Wie sicher sind Enthüllungsplattformen?

Sie hatten das gleiche Ziel: Transparenz. Und sie waren Freunde. Heute verbindet Julian Assange, den exzentrischen Australier und Daniel Domscheit-Berg, den eigenbrötlerischen Deutschen, nur noch Misstrauen und Hass. Die Idee, für die sie beiden standen, droht dabei Schaden zu nehmen. Assange und Domscheit-Berg haben eine Schlammschlacht begonnen, die sowohl Wikileaks, der Mutter aller Whistle­blower-Plattformen, als auch Openleaks, dem Folgeprojekt des Deutschen, gefährlich werden kann. Der Krieg der Nerds wirft Zweifel daran auf, wie verantwortungsvoll die selbsternannten Transparenz-Wächter mit den Daten umgehen, die ihnen anvertraut werden. Denn Wikileaks ist selber Leck geschlagen. Und das in viel größerem Umfang als bisher bekannt.

In der vergangenen Woche klingelte abends bei Freitag-Verleger Jakob Augstein das Telefon. Julian Assange meldete sich. Der Wikileaks-Chef sitzt seit Dezember 2010 in einem Landhaus in der englischen Grafschaft Norfolk. Er hat eine elektronische Fessel am Fuß und muss sich regelmäßig bei der Polizei melden. Assange streitet gegen seine Auslieferung nach Schweden, wo ihm ein Verfahren wegen Vergewaltigung droht. An diesem Abend aber machte er sich Sorgen um eine bevorstehende Veröffentlichung im Freitag zum Streit zwischen Wikileaks und Openleaks über die US-Botschaftsdepeschen, also jenen 250.000 Dokumenten des US-Außenministeriums, die im vergangenen Jahr in die Hände von Wikileaks gefallen waren. Assange fürchtete um die Sicherheit von Informanten. Augstein versicherte Assange, dass der Freitag keine Informationen veröffentlichen werde, die Zuträgern der Amerikaner gefährlich werden könnten und bat Assange, sich öffentlich zu diesen Vorgängen zu äußern. Assange lehnte ab.

Die Sorge des Wikileaks-Bosses war dennoch nicht ganz unberechtigt. Denn der Freitag hat eine Datei, die auch unredigierte US-Botschaftsdepeschen enthält, im Internet entdeckt.Das für die Entschlüsselung der Datei notwendige Passwort lässt sich ebenfalls über das Internet recherchieren.

Die Datei mit dem Namen „cables.csv“ ist 1,73 Gigabyte groß und enthält schon veröffentlichte Botschaftsdepeschen sowie zahlreiche unveröffentlichte Berichte, unter anderem über Gespräche von US-Botschaftsmitarbeitern mit namentlich oder anderweitig identifizierbaren „Informanten“ sowie „mutmaßlichen Geheimdienstmitarbeitern“, etwa aus Israel, Jordanien, dem Iran und Afghanistan. Ein genau beschriebener iranischer Informant wird beispielsweise mit den Worten zitiert, die Menschen im Iran versuchten stets, „den Anschein zu erwecken, dass sie diesen blöden, verrückten Mullahs folgen“.

Ob die Datei eine vollständige unredigierte Kopie der Botschaftsdepeschen ist, konnte der Freitag bis zum Redaktionsschluss nicht bestätigen. Das Passwort zu dieser Datei liegt offen zutage und ist für Kenner der Materie zu identifizieren. Es ist kaum vorstellbar, dass interessierte Stellen und Dienste es nicht längst entdeckt haben und sich Zugang zum gesamten Datensatz verschafft haben.

Gefahr für Unbeteiligte?

Damit ist offenbar genau das eingetreten, was eigentlich hätte verhindert werden sollen: Eine unkontrollierte Öffnung hochsensibler Daten. Wikileaks hatte bei der Veröffentlichung der Botschaftsdepeschen im vergangenen Jahr mit großen internationalen Medien zusammengearbeitet. Spiegel, Guardian und New York Times sollten garantieren, dass mit den sensiblen Informationen kein Schindluder getrieben wird. Bislang sind nur gefilterte Datensätze veröffentlicht worden, in denen Hinweise auf Personen fehlen, deren Leib und Leben in Gefahr geraten könnten. Durch das Leck bei Wikileaks ist diese Sicherung hinfällig geworden.

Wer trägt die Verantwortung? Die Antwort auf diese Frage liegt im Dickicht der Vergangenheit von Wikileaks. Im Herbst 2010 hatte Daniel Domscheit-Berg zusammen mit einigen anderen Aktivisten die Whistleblower-Plattform verlassen. Wie so oft verschwimmen im Nachhinein die Gründe der Trennung: Sicher ist, dass es damals Streit gibt – um angebliche Sicherheitslücken, um das öffentliche Ansehen Wikileaks, um die Frage, welche Konsequenzen Assange aus der Vergewaltigungsanzeige gegen ihn ziehen solle.

Im Gepäck nehmen sie den elektronischen Briefkasten mitsamt Inhalt mit – unter anderem etwa 3.000 unveröffentlichte Dokumente, die Whistleblower dort eingeworfen hatten. Darunter befinden sich laut Wikileaks-Angaben zum Beispiel Daten aus dem Bestand der Bank of America, Interna von „etwa 20 Nazi-Organisationen“ und die so genannte US-No-Fly-List, eine Liste jener Menschen, die in den USA aus Sicherheitsgründen kein Flugzeug betreten dürfen.

Es ist ein Datenschatz von immensem Wert für jede Enthüllungsplattform – potenziell natürlich auch für Openleaks, jenem Projekt, mit dem die Wikileaks-Aussteiger zeigen wollen, was sie aus den Fehlern gelernt haben, die Assange ihrer Meinung nach gemacht hat. Julian Assange machte seinem Vize den Vorwurf der Sabotage und feuerte ihn. Domscheit-Berg bot Wikileaks die Rückgabe der Daten an, wenn sichergestellt sei, dass die Dokumente sicher verwahrt würden.

Damit begann der Hahnenkampf zwischen den beiden ebenso begabten wie schwierigen Charakteren Assange und Domscheit-Berg – in den sich, um es noch komplizierter zu machen, ein Dritter einmischte, der es mit den beiden Chef-Nerds in jeder Hinsicht aufnehmen kann: Andy Müller-Maguhn, Vorstand des Hacker-Vereins Chaos Computer Club (CCC), wollte laut eigener Aussage zwischen den Kontrahenten „vermitteln“. Im Herbst 2010 erzielte er einen Teilerfolg: Die Aussteiger übergeben ihm eine Sicherungskopie des Wikileaks-Dateiservers, also einen Datensatz von schon ganz oder teilweise veröffentlichten Dokumenten. Kurz darauf fanden sich diese Daten zum Download im Internet. Wer sie ins Netz gestellt hat, ist unklar. Müller-Ma­guhn will sich zu diesem Sachverhalt nicht äußern.

Im Februar 2011 veröffentlichte Domscheit-Berg sein Abrechnungs-Buch Inside Wikileaks. Meine Zeit bei der gefährlichsten Website der Welt. Er schreibt darin: „Wir warten bis heute darauf, dass Julian die Sicherheit wiederherstellt“. Im Auftrag von Assange sagte der Berliner Anwalt Johannes Eisenberg damals: „Die Materialien sind selbstverständlich bei Wikileaks sicher.“ Domscheit Berg habe sich dennoch geweigert, sie wieder herauszurücken. Die Schlammschlacht war eröffnet.

Im August dann findet das große Hackertreffen des CCC im brandenburgischen Finowfurt statt. Daniel Domscheit-Berg präsentiert dort zum ersten Mal öffentlich die Einreich-Plattform von Openleaks – und ruft Hacker und andere Benutzer dazu auf, in seinen elektronischen Briefkasten einzubrechen. Fünf Partner begleiten den Test, darunter der Freitag. Es sollte ein „großer Schritt vorwärts“ für das Projekt werden, hofft Domscheit-Berg. Und sagt im Interview mit dem Freitag: „Nein, ich habe keine Dokumente von Wikileaks mitgenommen. Und wir haben auch sonst keine Schatzkiste, aus der wir uns bedienen könnten.“ Andy Müller-Maguhn schäumt. Der Vorstand des CCC schließt Daniel Domscheit-Berg aus, vorgeblich weil er durch seine Ankündigung des Tests das Ansehen des Hacker-Clubs geschädigt habe.

Im Spiegel sagt Müller-Maguhn: „Der CCC ist kein TÜV. Wir lassen uns nicht vereinnahmen“. Außerdem stelle er wegen der unwahren Aussage Domscheit-Bergs im Freitag seine Vermittlung ein. Domscheit-Berg sagt: „Wir haben Müller-Maguhn schon vor Monaten mitgeteilt, dass wir ihn nicht mehr als Vermittler akzeptieren.“ Seine Formulierung im Freitag-Interview sei allerdings wirklich nicht präzise gewesen und ihm bei der Autorisierung „durchgerutscht“.

Unsicherheitsfaktor Mensch

Dann überschlagen sich die Ereignisse. „Als Konsequenz aus den Ereignissen“ auf dem Hacker-Treffen kündigt Domscheit-Berg an, dass die Wikileaks-Aussteiger die elektronischen Schlüssel sowie die mitgenommenen Daten gelöscht haben. Er wolle außerdem eine eidesstattliche Erklärung dazu abgeben.

Julian Assange reagiert mit einer Stellungnahme, in der er von direkten und indirekten Kontakten Domscheit-Bergs und seiner Frau zu verschiedenen Geheimdiensten spricht, allerdings stets versehen mit Zusätzen, die wohl Klagen verhindern sollen. „Ich weiß nicht, ob DDB sich mit dem vermeintlichen Kontakt konspirativ verhalten hat“, steht da etwa, oder: „Das könnte irrelevant sein“.

Erst jetzt zeigt sich die ganze verheerende Kraft des Streits zwischen den einstigen Weggefährten. Im Internet beginnen offene Briefe von Bekannten Domscheit-Bergs zu kursieren, die seine Integrität bezweifeln. Über den Kurznachrichtendienst Twitter liefern sich Wikileaks-Befürworter mit den verbliebenen Openleaks-Sympathisanten Wortgefechte. Offenbar ist es selbst theoretisch gleich gesinnten Befürwortern gesellschaftlicher Offenheit unmöglich, neutral zu bleiben.

Auch der Freitag muss sich diesem Problem stellen. Schließlich hat sich die Zeitung schon frühzeitig, im Dezember 2010, gegen die Kriminalisierung von Wikileaks ausgesprochen und begleitet nun die Testphase von Openleaks. Kann man unter diesen Umständen eine Nachricht veröffentlichen, die womöglich Whistleblower und Unbeteiligte vor einem Sicherheitsproblem bei Wikileaks warnt, die aber zugleich auch das Projekt Openleaks in Schwierigkeiten bringen könnte? Die Antwort lautet: Man muss es tun. Freitag-Chefredakteur Philip Grassmann: „Das Leaking kann eine Revolution des Journalismus bedeuten und einen ungeheuren Fortschritt für die Netzdemokratie – aber das Risiko des menschlichen Fehlverhaltens ist enorm.“

Das geheimnisvolle Passwort, das zur Entschlüsselung der Daten notwendig ist, soll von Assange selber weitergegeben worden sein. Die Person, die das Passwort von Assange erhalten haben will und es inzwischen veröffentlicht hat, gibt an, keine Kenntnis von der Datei im Besitz des Freitag zu haben. Sie sei davon ausgegangen, dass es sich bei der von Assange übergebenen Phrase um ein temporäres Passwort gehandelt habe, das nach einer Zeit seine Gültigkeit verliere.

„Wir zensieren unsere Veröffentlichungen nicht, aber manchmal kann es sein, dass wir einige identifizierende Details aus den Originaldokumenten entfernen oder ihre Veröffentlichung erheblich verzögern, um das Leben und die Unversehrtheit von Unschuldigen zu schützen“, beschreibt Wikileaks eines seiner beiden Kernversprechen: die Garantie der Anonymität und Sicherheit von Quellen und Unbeteiligten. Bis heute ist in der Tat kein Whistleblower bekannt, der aufgrund eines technischen Fehlers gefährdet wurde. Wie das vom Freitag aufgedeckte Sicherheitsleck nun jedoch zeigt, kann der Schutz von Menschen, die – aus welchen Gründen auch immer – in eingereichten Dokumenten genannt werden, von den Aktivisten um Assange nicht garantiert werden.

Dass Wikileaks dafür mitverantwortlich scheint, dass nun unredigierte Botschaftsdepeschen im Internet stehen sowie ein Passwort zur Entschlüsselung über das Netz recherchierbar ist, macht verständlicher, warum Domscheit-Berg sich geweigert hat, die mitgenommen Dokumente zurückzugeben. Sollte er davon gewusst haben, stellt sich aber auch in Frage, ob der Wikileaks-Aussteiger überhaupt je zu einer Rückgabe an seinen ehemaligen Kompagnon bereit gewesen ist. Schließlich lässt sich eine im Internet kursierende Datei nie mehr löschen.

Und so könnte die Entdeckung des Sicherheitslecks bei Wikileaks auch auf Openleaks selbst zurückschlagen. Denn der Streit zwischen Assange und Domscheit-Berg entblößt die schwache Stelle aller Whistleblower-Plattformen: den menschlichen Faktor. Für die Zukunft des Leaking ist das eine entscheidende Frage: Welche Organisationsstrukturen können gewährleisten, dass interner Zwist nicht am Ende Menschen gefährdet?

07:00 25.08.2011

Kommentare 116

Avatar
shalako | Community
Avatar
shalako | Community
Avatar
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
Avatar
Avatar
Avatar
sachichma | Community
Avatar
shalako | Community
Avatar
Avatar
shalako | Community
Avatar
shalako | Community
Avatar
shalako | Community