Aktuelles

Knappe Budgets und Bequemlichkeit sind die Feinde der IT-Sicherheit

Daniel Moßbrucker: "Wer weiß, was eine IP-Adresse eigentlich aussagt, kann dieses Wissen auch bei Recherche und Verifikation einsetzen." (Foto: Christian O. Bruch)

Daniel Moßbrucker rät Medienhäusern, dem Thema IT-Sicherheit mehr Aufmerksamkeit zu schenken. Moßbrucker, Journalist und Trainer für digitale Sicherheit, sagt: Schon ein einzelner Angriff kann ein Medienunternehmen finanziell ruinieren. Text: Daniel Moßbrucker.

18.11.2021

Wenn es um digitale Sicherheit geht, genießen Medienschaffende gesamtgesellschaftlich gerne den Ruf einer technologischen Avantgarde, die mit hochinnovativen Verschlüsselungs- und Anonymisierungsverfahren ihre Recherchen vor staatlichen Geheimdiensten und datenhungrigen Internetkonzernen schützen können. Kaum vorstellbar hingegen ist es für viele Menschen, die den Journalismus eher aus der Publikumsperspektive kennen, dass es in Verlagen, Rundfunkanstalten und anderen Medienorganisationen bei der Datensicherheit kaum besser läuft als anderswo. Es gibt gewiss einige nennenswerte Ausnahmen gerade im investigativen Journalismus. Insgesamt jedoch ist die Vierte Gewalt längst nicht mehr in der Lage, im Angesicht technologisch aufgerüsteter Sicherheitsbehörden, abgeschwächter Informantenschutzrechte und krimineller Gruppen noch vertraulich und sicher zu arbeiten.

Ob das ein Problem ist? In der Tat können mangelnde IT-Sicherheit und geringes Problembewusstsein den Journalismus langfristig existenziell gefährden. Vor allem aber sollten zeitliche und finanzielle Ressourcen in Datensicherheit nicht mehr nur als kostspieliges, nerviges Übel begriffen werden, sondern als Chance, sich Recherche-Vorteile im journalistischen Wettbewerb zu sichern. Die These dieses Beitrags ist, dass gelebte IT-Sicherheit auf allen Ebenen der journalistischen Branche dazu führen kann, mehr Themen zu generieren und diese Themen tiefgründiger recherchieren zu können.

Einen Klick vom Ruin entfernt 

Dass digitale Risiken dramatische Schäden anrichten können, musste Ende 2020 die Funke-Mediengruppe erleben. In einem für die deutsche Medienbranche bis dato beispiellosen Angriff wurde praktisch die gesamte IT-Infrastruktur für mehrere Tage lahmgelegt, sodass nur mühsam produzierte Notausgaben publiziert werden konnten.

Wochenlang mussten digitale Geräte "gereinigt" und die IT-Systeme praktisch komplett neu aufgesetzt werden. Funke wurde Opfer einer sogenannten Ransomware-Attacke, bei dem sich ein Trojaner unbemerkt auf Geräte schleicht, um dann blitzschnell Dateien zu verschlüsseln. Wer wieder Zugriff auf seine Daten haben möchte, muss zahlen. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält Ransomware sektorübergreifend für eine der größten Cyber-Bedrohungen überhaupt. 2020 waren in Deutschland beispielsweise Flughäfen, Universitäten, Verwaltungsbehörden und Krankenhäuser betroffen. Vor dem Journalismus werden die Cybercrime-Banden auch in Zukunft kaum Halt machen. Neben den ökonomischen Schäden ergibt sich für journalistische Unternehmen durch einen Taktikwechsel der Erpresser noch eine weitere, berufsethische Bedrohung: Um den Druck auf ihre Opfer zu erhöhen, drohen die Kriminellen immer häufiger, bei Nicht-Zahlung die erbeuteten Daten unverschlüsselt ins Netz zu stellen. Wenn sämtliche E-Mails, Chats und Rechercheprotokolle frei verfügbar wären, könnten reihenweise Informant:innen auffliegen. Die Zeit ist reif, beim Thema IT-Sicherheit grundlegend umzudenken.

"Der Journalismus wäre besser, wenn er auf Ebene der Medienorganisationen – also insbesondere Verlage und öffentlich-rechtliche Sender – mehr IT-Sicherheit wagte."

Die bislang größten Feinde der IT-Sicherheit im Journalismus waren knappe Budgets und die Bequemlichkeit des Menschen. In Zeiten, in denen Medienunternehmen mit schrumpfenden Einnahmen zu kämpfen haben, wird selten mehr in die IT investiert als unbedingt nötig, um den Laden am Laufen zu halten. Dazu kommt, dass technische Innovationen meist der Benutzerfreundlichkeit und der Produktivitätssteigerung dienen, in Sachen Sicherheit hingegen nur das Nötigste umgesetzt wird.

Wahr ist aber eben auch, dass sicherere Systeme vor allem deshalb den Ruf haben, es zu verkomplizieren, weil so wenige Menschen sie nutzen. So haben Deutschlands investigative Journalist:innen, die innerhalb von Verlagen oder Sendern spezielle Sicherheitsbedürfnisse für ihre brisanten Recherchen haben, allzu häufig immer noch einen schweren Stand. Wenn sie darauf pochen, beispielsweise ihre dienstlichen E-Mails Ende-zu-Ende verschlüsseln zu wollen, wird dies zunächst als begründungsbedürftiger Kostenfaktor betrachtet, nicht als selbstverständlich.

Einfacher ist es für viele Rechercheure in der Praxis, sich die Tools auf einem privaten Gerät zu installieren, um nicht von den Restriktionen der IT-Abteilung abhängig zu sein. Und selbst wenn Journalist:innen ein Sicherheitsfeature für ihre beruflichen Geräte bekommen, machen organisationsintern häufig nur wenige Kolleg:innen mit. Für alle anderen bleibt es ein seltenes Erlebnis, eine Ende-zu-Ende verschlüsselte E-Mail zu erhalten, sodass sie jedes Mal andere um Hilfe bitten müssen, um sie zu entschlüsseln. Na klar: Wenn Sicherheit etwas ist, was man vermeiden möchte, dann bleibt es die Ausnahme und damit kompliziert.

IT-Sicherheit heißt vor allem: mehr IT-Support

Nachhaltiger wäre es für journalistische Unternehmen, das Sicherheitsniveau insgesamt zu heben. Gerade wenn alle dazu verpflichtet werden, bestimmte Sicherheitsstandards zu befolgen, weil sie sonst Geräte und Programme nicht mehr nutzen können, werden bisherige Ausnahmen automatisch zur Regel. Erfahrungsgemäß scheitern solche Innovationsprozesse selten daran, dass ein Programm tatsächlich zu kompliziert ist oder die Beteiligten zu ignorant sind, sondern daran, dass nicht genügend erklärt und demonstriert wird, warum die Neuerung wichtig ist und wie sie konkret umzusetzen ist. IT-Sicherheit heißt daher vor allem: IT-Support. Der Funke-Fall hätte etwas Positives, wenn er der Branche als Ermutigung gälte, IT-Sicherheit nicht nur aus ökonomischen Erwägungen als Top-Priorität journalistischer Arbeit zu begreifen.

Damit ist nicht gesagt, dass jedes Sekretariat in einem Sender und jeder Pförtner im Verlag künftig Systeme nutzen muss, die als Gold-Standard im investigativen Journalismus gelten. Natürlich haben investigative Redaktionen noch mal gesteigerte Bedürfnisse, die sich aber eben – und das ist das zentrale Argument – viel einfacher in eine Gesamtorganisation integrieren lassen, in der dem Thema IT-Sicherheit generell hohe Bedeutung geschenkt wird. Dann nämlich wird bei jeder Neuanschaffung von Geräten oder Programmen gleich gefragt: Ist das verträglich mit den höchsten Anforderungen unserer Investigativ-Abteilung?

Aus Ressorts Security-Labs machen

Zukunftsweisend und in der Praxis schon erfolgreich sind daher all jene Projekte, in denen Investigativabteilungen mit Unterstützung der hauseigenen IT-Abteilung eine Art "Security Lab" bilden. Sie bekommen also einen gewissen Inselstatus und zusätzliche Sicherheitsfeatures für ihre Arbeit, sind aber eben nicht auf sich allein gestellt mit ihren privaten Geräten, sondern mit Support der Fachleute. Prominentestes Beispiel in Deutschland ist vermutlich die SecureDrop-Technologie, ein anonymer digitaler Briefkasten, bei dem Quellen mit Hilfe des Tor-Netzwerks brisante Dokumente hochladen und mit der Redaktion kommunizieren können, ohne identifizierende Spuren zu hinterlassen. 

Entwickelt seit 2013 von der Freedom of the Press Foundation unter Beteiligung des US-Whistleblowers Edward Snowden, kann jedes Medienhaus einen solchen anonymen Briefkasten kostenlos aufsetzen. Aber natürlich sind Aufbau und Betrieb dieser hochspezialisierten Technologie nicht "nebenbei" im Alltag einer Redaktion zu leisten. Dafür braucht es Inhouse-Expertise und ein grundsätzliches Bekenntnis, bei digitaler Sicherheit in der Champions League mitspielen zu wollen. Im Oktober 2021 listete die offizielle Website von SecureDrop insgesamt 31 SecureDrops weltweit, aber in Deutschland nur die Süddeutsche Zeitung als Projektpartner. 

En passant die Recherche-Skills fördern

Dass sich ein anonymer Briefkasten für die SZ schon gelohnt hat, dürfte mit einem Hinweis auf die Enthüllungen zu den Panama-Papers keiner weiteren Begründung bedürfen. Zwar schweigt die SZ dazu, wie konkret das Leak die Redaktion erreicht hat und verweist nur auf Verschlüsselung und Anonymisierung, die die Quelle gewählt habe. Aber es liegt sehr nahe, dass die mehrere tausend Gigabyte an Daten über SecureDrop an die SZ gelangt sind. Über herkömmliche Wege wie E-Mail oder Chats lassen sich solche Dateimengen jedenfalls nicht übertragen.

"Der Funke-Fall hätte etwas Positives, wenn er als Ermutigung gälte, IT-Sicherheit nicht nur aus ökonomischen Erwägungen als Top-Priorität zu begreifen."

Dieser Aspekt der Sicherheitsthematik scheint im Journalismus bisher zu wenig verinnerlicht zu sein: Gerade wenn das Sicherheitsniveau grundsätzlich angehoben und zu einer Top-Priorität gemacht wird, lernen Menschen quasi en passant mehr über digitale Technik, was für den Journalismus neue Recherche-Möglichkeiten eröffnet. Wer zum Beispiel weiß, was eine IP-Adresse eigentlich aussagt und wie bestimmte Metadaten unserer Kommunikation uns digital verfolgbar machen, der kann dieses Wissen auch bei Recherche und Verifikation einsetzen. Herausragende Belege hierfür sind die Recherchen der Investigativplattform Bellingcat, die mit ihren Mitteln sogar russische Geheimdienstler ausfindig machen konnte, die den Anschlag auf den Kremlkritiker Alexej Nawalny durchgeführt haben. 

Das größte Recherche-Potenzial liegt vermutlich im Bereich des sogenannten Darknets. Beschäftigen sich Journalist:innen intensiver mit Anonymisierungstechnologien wie dem Tor-Browser, öffnen sich quasi automatisch Recherchepotenziale im Darknet, das immer noch kaum von innen ausrecherchiert wird. Themen wie Rechtsradikalismus, organisierte Kriminalität, aber auch politischer Aktivismus können damit journalistisch nicht vollständig abgebildet werden. 

Digitale Sicherheit als lästiges Übel 

Recherchedefizite im Darknet werden wohl selten so sichtbar wie bei Darstellungen des sexuellen Missbrauchs von Kindern, die zu relevanten Teilen auch im Darknet geteilt werden. Zwar ist dies ein Thema von brennender Aktualität und überragendem öffentlichen Interesse, aber mangels eigener Recherchepotenziale wird journalistisch meist nur das wiedergegeben, was Behörden zu sagen haben. Gerade bei einem so bewegenden und drängenden Thema kann der Journalismus seine Wächter-Funktion gegenüber gesellschaftlichen Akteuren und staatlichen Ermittlungsbehörden nicht erfüllen; er kann also beispielsweise nicht beurteilen, ob die Behörden wirklich alle rechtsstaatlichen Mittel einsetzen, um Täter:innen zu finden und Opfer zu schützen, weil es häufig schon am technischen Knowhow fehlt, um journalistisch und staatsfern recherchieren zu können. Im April setzten wir beim NDR erstmals eine Datenrecherche in diesem Bereich um und wiesen nach, dass tausende "harmlose" Fotos von den Social-Media-Profilen von Kindern und Eltern geklaut und in Darkent-Foren geteilt werden. Die Story zählte 2021 zu den Recherchen, die beim NDR-Investigativformat STRG_F am intensivsten geteilt und kommentiert wurden.

Gerade bei dieser Thematik spielen in der Praxis gewiss auch erhebliche rechtliche, ethische und persönliche Vorbehalte eine Rolle, sich aktiv in die Recherche zu begeben. Das Argument lautet jedoch, dass Medienorganisationen von Vornherein solche Recherchepotenziale ausschließen, wenn die Journalist:innen die nötige Technologie nicht beherrschen und die IT-Infrastruktur solche Projekte, die unter höchsten Sicherheitsvorkehrungen im "Security Lab" ablaufen müssten, nicht möglich macht. Der Journalismus würde ein besserer werden, wenn er auf Ebene der Medienorganisationen – also insbesondere der Verlage und der öffentlich-rechtlichen Sender – mehr IT-Sicherheit wagte. Das ist langfristig ökonomisch sinnvoll und journalistisch zwingend, um den Anschluss nicht zu verlieren. Teuer wird’s vor allem für diejenigen, für die digitale Sicherheit ein lästiges Übel bleibt.

Autor Daniel Moßbrucker ist Journalist für Überwachungsthemen und Trainer für Digitale Sicherheit in Berlin. Christian O. Bruch arbeitet als Fotograf in Hamburg. 

Dieser Beitrag ist in einer Kooperation von Vocer und dem journalist entstanden. Der Beitrag wird in dem Buch "Wie wir den Journalismus widerstandfähiger machen" erscheinen. Herausgeber sind Vocer-Mitgründer Stephan Weichert und journalist-Chefredakteur Matthias Daniel.

Übersicht: Alle Folgen  

Aktuelles Meinung