Groundbreaking
Journalism


April 3, 2014, Berlin

Digitaler Quellenschutz: „Ich bringe meine eigene Hardware in die Redaktion”

Die Veranstaltung am 11. September im Berliner Münzsalon behandelte die Frage, was Quellenschutz bei digitaler Kommunikation bedeutet und was Journalisten und Redaktionen tun müssen, um Sicherheit zu gewährleisten.

.

.

Read our English report here.

Die Späh-Affäre macht es deutlich: Journalisten und Medienhäuser müssen sich Gedanken über die Sicherheit ihrer Kommunikation machen und neue Strategien entwickeln. Nicht nur sind sie – wie auch alle anderen Bürger – davon betroffen, dass ihre digitale Kommunikation flächendeckend überwacht wird. Sie haben auch die Verantwortung dafür, die Sicherheit ihrer Informanten zu schützen.

In den jüngsten Enthüllungen über die Ausspähung durch Geheimdienste liegt ein Paradox: Zwar zeigen sie, wie umfassend es den Diensten möglich geworden ist, digitale Kommunikation abzufischen und auszuwerten – selbst auf Wegen, die bislang als vergleichsweise sicher galten. Aber gerade die Tatsache, dass wir nun davon wissen, zeigt, dass sich Journalisten nachwievor schützen können: Hätten Laura Poitras und Glenn Greenwald nicht verschlüsselt und weitere Maßnahmen ergriffen, wüssten wir vermutlich nichts von den Dokumenten Edward Snowdens.

Mathematik, Recht und Politik

Für Jacob Appelbaum, Aktivist und Entwickler beim Tor-Project, sind die Enthüllungen daher Beweis, dass freie Software und starke Kryptographie Journalisten schützen und Geheimdienste in die Schranken weisen könnten. Von Politik und Recht erwartet er wenig. „Am Ende kommt es auf Mathematik an, und nur auf Mathematik”, sagt er und referiert, welche Verschlüsselungsmodelle noch als sicher gelten könnten.

Muss jeder Journalist nun die Unterschiede von „Elliptic Curve Cryptography” und „Diffie-Hellman” kennen? Für Appelbaum gehört das zu den Kernfragen – und er kritisiert deutlich die Berichte der New York Times über Angriffe der US-Dienste auf Verschlüsselungstechnologien, weil sie wichtige Details bewusst auslassen. Genau dadurch werde eine Atmosphäre der Skepsis erzeugt, aber zugleich verschwiegen, welche Anbieter und welche Technologien Nutzer konkret meiden müssten. Bei Journalisten gelte es aber zunächst, überhaupt ein Bewusstsein dafür zu schaffen, dass schon Verbindungsdaten ausreichten, um Quellen zu kompromittieren. „Wenn man einen sozialen Graphen erstellen kann, dann lässt sich keine Sicherheit mehr versprechen.“

Daher müssten nicht nur der einzelne Journalist, sondern Medienhäuser und ihre IT-Abteilungen Lösungen entwickeln, die übers individuelle Verschlüsseln hinausgehen und privacy by design als Standard integrierten, fordert Appelbaum und lobt dabei die „Zeit”, deren anonymes Postfach für Hinweisgeber vorbildlich umgesetzt sei. Eine Zeitung könnte solche sicheren Kontaktmöglichkeiten auch täglich per QR-Code abdrucken, regt Appelbaum an. Der unter Sicherheitsaspekten stets schwierige Erstkontakt mit Whistleblowern könne so verbessert werden.

Redaktionen hinken bei der Sicherheit hinterher

Sebastian Mondial, Datenjournalist beim NDR, reizt das zum Widerspruch: Da die Leseprogramme für solche Codes meist selbst Daten sammelten und an Hersteller übertrugen, sei das keine gute Idee. Mondial, der an der Auswertung der Daten bei den Offshore-Leaks maßgeblich beteiligt war, attestiert Verlagen ein „systematisches Versäumnis” in punkto Datensicherheit und hat daraus bereits Konsequenzen gezogen. „Meine Sicherheitsstrategie ist: Ich bringe meinen eigenen Kram, meine eigene Hardware mit in die Redaktion”, sagt er.

Strategien für Redaktionen müssten sich daran orientieren, welche Besonderheiten der konkrete Fall, die konkrete Recherche aufweist: Was kann im schlimmsten Fall passieren, was sind die Folgen, wenn Datenlecks auftreten? Auf solche Fragen müssten in allen Phasen der Arbeit Antworten gefunden werden – gerade auch die Situation nach einer Veröffentlichung werde dabei gern vernachlässigt. Wo PGP-verschlüsselte Mails nicht weit verbreitet oder akzeptiert sind, könnte bei der Auswertung etwa eine lokal installierte Forensoftware für Redaktionen geeigneter sein.

Wie sieht eine Sicherheitskultur im Newsroom aus?

Wie eine „Kultur der Sicherheit” auch im journalistischen Alltag aussehen kann, gehört dann zu den Kernfragen der Diskussion im Berliner Münzsalon. „Man muss erkennen können, wer besonderen Schutz benötigt”, so Mondial im Hinblick auf Entscheider in Redaktionen und Verlagen. Die eine Lösung für alles werde es dabei nicht geben, merkt Appelbaum an; compartmentalization sei als Grundsatz der Informationssicherheit gefragt: Nicht alles über einen Kanal abwickeln, schon beim Design von Systemen Trennungen einbauen; der erste schreibt den Code, der zweite prüft ihn, und so weiter.

Dass die Antworten mit den jüngsten Überwachungs-Enthüllungen nicht gerade leichter geworden sind, macht die Diskussion ebenfalls deutlich. „Praktisch jeder kann heute zum target, zum Ziel der Überwachung werden, die Politik aber kann mit dieser neuen Situation nicht schnell genug umgehen”, merkt Mondial an. Doch auch der Markt selbst werde beschädigt, ergänzte Appelbaum. Unter Gesetzen wie FISA könnten Diensteanbieter nur Sicherheitsversprechen machen, die sie dann auf Druck der Ermittler wieder brechen müssen – ohne das aber öffentlich machen zu können, weil sie sich damit strafbar machen würden. Unter diesen Bedingungen sei es genau nicht vorstellbar, dass ein Markt für sichere Kommunikationstechnologien entsteht. Deutlich wird in der Veranstaltung, dass Journalismus in der Überwachungsgesellschaft vor Herausforderungen steht, die er gerade erst beginnt, zu erkennen.

Bericht: David Pachali