«Hast Du es getan?»
Das Guardian-Buch «The Snowden Files» zeigt auf, dass Journalisten gar nicht vorbereitet sind auf einen Whistleblower vom Schlage eines Edward Snowden. Um solche Quellen adäquat behandeln zu können, müssen sich Journalisten beschäftigen mit Fragen zur Verschlüsselungssicherheit. Ob Schweizer Whistleblowing-Plattformen geschützt sind vor Angriffen von Geheimdiensten, bleibt unklar.
«Have you done it?»
Edward Snowden
Am 9. Juni 2013 bekannte sich Edward Snowden verantwortlich für ein Leak, das die Öffentlichkeit über das Ausmass der weltweiten Überwachungs- und Spionagepraktiken von Geheimdiensten informiert. MEDIENWOCHE beschäftigt sich ein Jahr später mit der Beziehung zwischen Journalisten und Whistleblowern.
Im Dezember 2012 schrieb ein Leser eine E-Mail an Glenn Greenwald. Nichts aussergewöhnliches, ein Journalist vom Ruf eines Glenn Greenwald erhält täglich mehrere solcher E-Mails. Der anonym bleibende Absender schrieb: «Ich habe ein paar Sachen, die Sie interessieren könnten», und bat ihn darum, die Verschlüsselungssoftware PGP (Pretty Good Privacy) zu installieren, so dass man miteinander verschlüsselt kommunizieren könne. Greenwald fand den Wunsch zwar etwas seltsam, hätte das aber durchaus gemacht, wenn er denn genau gewusst hätte, wie. Er vergass die Sache wieder. Doch der Leser fragte ein paar Tage später nach: «Have you done it?» Und einige Tage später wieder: «Have you done it?»
Das ist nachzulesen im Buch «The Snowden Files» von Luke Harding (Guardian Books) ab Seite 66. Weiter ging es wie folgt:
Frustriert versuchte Greenwalds unbekannter Kommunikationspartner nun eine andere Strategie. Er erstellte ein privates YouTube-Tutorial, das Schritt für Schritt aufzeigt, wie man die korrekte Verschlüsselungs-Software herunterlädt – ein «How-to»-Leitfaden für Dummies. (…)
Der freie Journalist schaute es sich an. Aber – von anderer Arbeit absorbiert – schaffte er es nicht, den Anweisungen zu folgen. Er vergass es. «Ich wollte es tun. Ich arbeite viel mit Hacker-Typen», sagt Greenwald. Aber letztlich: «Er hat nicht genug getan, um auf meiner Prioritätenliste vorzurücken.»
Fünf Monate später, während ihrer Begegnung in Hong Kong, realisiert Greenwald, dass seine Möchtegern-Quelle Ende 2012 niemand anders als Edward Snowden gewesen war.
Ist es nicht ein Wahnsinn? Da meldet sich ein Informant mit Informationen aus einem Leak, das so gigantisch ist, dass es alle bisherigen in den Schatten stellt – und der Journalist hat keine Zeit, sich richtig für ihn zu interessieren. Hinzu kommt, dass sich Edward Snowden mit seiner unverschlüsselten Anfrage per E-Mail exponiert hat. Hätte die NSA Verdacht geschöpft und Snowden und/oder Greenwald als Target identifiziert und aktiv überwacht, so wäre wohl Snowden sehr rasch verhaftet worden.
Was für ein Einschnitt Snowdens Enthüllungen im Wissen der Öffentlichkeit über die globale Überwachung durch Geheimdienste sind, zeigen zwei Artikel in der englischsprachigen Wikipedia: die Enthüllungen von 1970 bis 2013 sind mit aktuell 8436 Zeichen umschrieben, die Enthüllungen seit 2013 fassen aktuell 170 656 Zeichen, also rund 20 Mal mehr. Von völlig anderen Ausmassen als bisherige Fälle von Whistleblowing ist der Fall Snowden nicht nur, was den Umfang des Geheimnisverrats angeht, sondern auch, was dessen Geheimhaltungsstufe angeht. Von den 251 287 im Jahr 2010 von Chelsea Manning und Wikileaks geleakten diplomatischen Berichten («Cablegate») waren lediglich 15 652 als «geheim» eingestuft und 101 748 als «vertraulich». Bei den Snowden-Enthüllungen dagegen geht es um Dokumente mit der Geheimhaltungsstufe «streng geheim» und höher. Alle bisher veröffentlichten Dokumente sind öffentlich zugänglich, die US-Bürgerrechtsorganisation ACLU hat dazu ein durchsuchbares NSA-Archiv bereitgestellt.
Wie viele gute Geschichten sind wohl schon verloren gegangen, weil sich ein Journalist nicht für Sicherheitsfragen interessiert hat? Wohl viele, denn gute Journalisten, an die sich Informanten bedenkenlos wenden können, sind leider weiterhin rar – sie können sich unmöglich um jede potentielle Quelle mit der gleichen Sorgfalt widmen. Und viele gute Journalisten sind zwar gute Journalisten, aber nicht auch noch Technik-Freaks und Verschlüsselungsexperten. Ich schätze, 98 Prozent aller Journalisten, mich inklusive, hätten sich wie Greenwald verhalten, denn das Installieren einer PGP-Verschlüsselung ist zwar nicht besonders kompliziert, aber auch nicht in einer Minute gemacht. Ich schätze sogar, dass die Mehrheit aller Journalisten, obwohl ihnen Sicherheit durchaus ein Anliegen ist, nicht mal Passwörter gewählt haben, die besonders schwierig zu knacken sind.
«Die Verantwortung liegt bei den Journalisten, dass sie sichere Wege anbieten, über die man ohne Gefahr Kontakt aufnehmen kann. Also zum Beispiel einen sicheren Briefkasten einrichten, der technisch jede Überwachung ausschliesst», sagte Glenn Greenwald Mitte April, der dazugelernt, sich weiter entwickelt hat. Die «Welt» bietet einen anonymen Briefkasten an, und der «Spiegel» einen öffentlichen PGP-Schlüssel.
Auch einige Schweizer Medien bieten Online-Briefkästen an, aber ist die Kontaktaufnahme darüber wirklich sicher? Die «Whistleblower-Line» auf Oeffentlichkeitsgesetz.ch stellt einen SSL-gesicherten Datenverkehr zur Website an. Aber ist diese Kommunikation vor dem Zugriff der Geheimdienste geschützt? «Keine Ahnung», antwortet Martin Stoll, Präsident des Vereins Oeffentlichkeitsgesetz.ch, spontan – eine nachvollziehbare Antwort, wie sie ehrlicherweise jeder Techniklaie liefern muss. Das Tool werde bisher praktisch nicht benutzt und in der aktuellen Form voraussichtlich abgeschafft. Für solche Einsendungen sei die Plattform wohl einfach nicht die Richtige.
Die Frage, ob die Plattform Sichermelden.ch des «Beobachters» vor der Überwachung durch Geheimdienste wie NSA oder GCHQ geschützt ist, kann Redaktor Otto Hostettler auch nicht beantworten. Jedoch könne man durchaus ausschliessen, «dass der Schweizer Staat Einsendungen über Sichermelden.ch abfangen kann», die Übermittlungskommunikation erfolge mehrfach verschlüsselt. Vor der NSA sei man vermutlich «etwa gleich sicher wie vor einem Lauschangriff der chinesischen Mafia». Die konkreten Sicherheitsbemühungen des Portals, das wöchentlich um die zehn Einsendungen erhält, «wovon allerdings längst nicht alle Whistleblower-Charakter haben», sind in einem Beitrag auf Sichermelden.ch nachzulesen.
Und wie verschlüsselt man nun konkret seine Daten? Der Beitrag «Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance» auf pressfreedomfoundation.org gibt darüber Auskunft. Mehr erfahren Sie auch in den nächsten Folgen unserer Serie.
Übersetzungen: Ronnie Grob