Hackerangriffe auf regionale Medienhäuser zeigen, wie verwundbar digitaler Journalismus heute geworden ist. Längst muss sich nicht nur die investigative Recherche-Elite Gedanken über digitale Sicherheit machen. Wir zeigen, was dabei wirklich wichtig ist.

Text: Daniel Moßbrucker

Was Aboubakr Jamai passierte, klingt eher nach Science-Fiction als journalistischem Alltag. Der marokkanische Journalist wurde Opfer eines Zero-Click-0-Day-Exploits. Eines was? Hinter dem sperrigen IT-Begriff verbirgt sich die Bezeichnung für Spionagesoftware, gegen die Verteidigung unmöglich ist.  

„Zero Click“, also „null Klicks“, zielt darauf ab, dass Geräte wie Smartphones oder Laptops gehackt werden, ohne dass das Opfer irgendwie handeln muss. Kein Link muss angeklickt werden, kein Passwort verloren gehen. Im Fall von Jamai genügte es, ihn bei Whatsapp anzurufen – er musste nicht einmal rangehen. Ein „0-Day-Exploit“ meint eine ausnutzbare Sicherheitslücke, die nur dem Angreifer bekannt ist. In diesem Fall hatte Whatsapp keine Ahnung, dass die Lücke überhaupt existierte. 

Die Folgen für den Journalisten Jamai, der 2003 mit dem International Press Freedom Award des Comittee to Protect Journalists (CPJ) ausgezeichnet wurde, sind dramatisch: Die Angreifer übernahmen unbemerkt sein Smartphone und hatten Zugriff auf sämtliche Daten. Selbst Nachrichten in verschlüsselten Chats waren lesbar. Vertrauliche Kommunikation gelangte an die Öffentlichkeit, Kontaktpersonen wurden diskreditiert. 

Im Oktober veröffentlichte das CPJ einen Report mit dem Titel „Enemy of the Press“, also „Feind der Presse“. Gemeint war kein autoritärer Diktator, sondern Spionage-Software. Die politische Diskussion konzentriert sich längst auf die Regulierung jener Trojaner, von denen „Pegasus“ der bekannteste ist. Die Software der israelischen Firma NSO wurde schon in vielen Ländern bei Menschenrechtsaktivisten und Medienschaffenden nachgewiesen. Auch der deutsche Bundesnachrichtendienst nutzt „Pegasus“.

Die Gefahr bleibt abstrakt

So offensichtlich die Gefahren dieser digitalen Waffen für die Pressefreiheit sind, so evident ist auch, dass die gefühlte Bedrohung der meisten Journalistinnen und Journalisten vor diesen Trojanern latent bleibt. Das ist nachvollziehbar: Bei aller Kritik an zunehmender Überwachung ist die journalistische Arbeit in den meisten mitteleuropäischen Staaten doch vergleichsweise gut geschützt. Außerdem ist ein Trojaner-Hack auch für die Angreifer aufwendig und teuer, so dass das Ziel in der Regel exponiert ist. Auf das Gros der journalistischen Profession trifft dies nicht zu. 

Ist digitale Sicherheit also nur etwas für die investigative Recherche-Elite? Mitnichten. Um Weihnachten 2020 herum wurde die Funke Mediengruppe mit sogenannter Ransomware befallen. Dabei schleichen sich die Angreifer ins IT-Netz, um binnen Minuten große Datenmengen zu verschlüsseln. Das Opfer hat die Wahl, gegen die Zahlung von Lösegeld die Entschlüsselung zu veranlassen oder die IT neu aufzusetzen und Daten zu verlieren. Im Oktober 2022 traf eine solche Attacke auch die „Heilbronner Stimme“. 

Neben den ökonomischen Schäden ergibt sich für journalistische Unternehmen durch einen Taktikwechsel der Erpresser-Banden eine berufsethische Bedrohung: Um den Druck zu erhöhen, stellen die Kriminellen bei Nichtzahlung die erbeuteten Daten unverschlüsselt ins Netz. Damit drohen Quellen aufzufliegen, wenn E-Mails frei verfügbar wären.

Dies zeigt: Digitale Sicherheit ist weder der alleinige Job einer IT-Abteilung noch ausschließlich relevant für investigativ Recherchierende. Wichtige Enthüllungen wie der Einsatz von Zero-Click 0-Day-Exploits gegen Journalisten wie Aboubakr Jamai verdecken gerne, dass das Gros der Angriffe gegen Redaktionen und freie Medienschaffende triviale Angriffe sind, die sich leicht verteidigen ließen. Was also dagegen tun?

Sinnlose Glaubenskriege beherrschen die Diskussion

Obwohl es wenig innovativ klingt, ist der Schutz von Accounts neben dem Schutz vor Viren immer noch das Wichtigste, was in der Breite einer Medienorganisation die vernetzte IT-Umgebung schützt – und wo gleichzeitig bis heute Lücken bestehen. Es geht um starke Passwörter, die in einem Passwort-Manager verwaltet werden, dazu eine Zwei-Faktor-Authentifizierung, wo immer es technisch möglich ist, und zuletzt um handelnde Personen, die in Phishing trainiert werden. Für Letzteres gibt es beispielsweise kostengünstige Dienstleister, die täuschend echte, aber letztlich harmlose Phishing-Nachrichten an die Mitarbeitenden verschicken und das Bewusstsein hochhalten. 

Neben diesem Basiswissen für alle Personen einer Medienorganisation egal welcher Größe liegt der Schlüssel zu digitaler Sicherheit weniger in der Wahl technischer Tools, sondern in sicheren Routinen und flexiblen Prozessen. Diskussionen zum Thema ähneln bis heute eher Glaubenskriegen. Windows oder Mac? Oder besser Linux? Cloud oder lokal? Passwörter auf Papier oder im Passwort-Manager? Google oder DuckduckGo? SMS oder Whatsapp? In meiner Trainings- und Beratungspraxis lautet die Antwort immer: „Es kommt drauf an.“ Fast (!) jedes Tool lässt sich für bestimmte Situationen so nutzen, dass es „sicher genug“ ist. 

---

Dieser Beitrag stammt aus Ausgabe 06/22. Das aktuelle medium magazin 03/2023 mit den spannendsten journalistischen Talenten des Jahres 2023, einem Hintergrund zu Jan Böhmermanns Umgang mit Kritik sowie ganz viel Nutzwert für die journalistische Berufspraxis ist ab sofort digital oder als Printausgabe hier erhältlich oder im ikiosk. 

 

 

 

 

---

So kann es in der Praxis durchaus sein, dass Whatsapp die bessere Wahl als eine Ende-zu-Ende-verschlüsselte E-Mail ist. Wenn eine Quelle Informationen vom System ihres Arbeitgebers kopieren will, kann sie mit ihrem privaten Smartphone via Whatsapp Fotos vom Bildschirm machen, diese Ende-zu-Ende-verschlüsselt an das journalistische Gegenüber schicken und anschließend sofort den gesamten Chat und die Fotos löschen. Für die Quelle dürften dies geübte Handgriffe sein, während das Aufsetzen einer Verschlüsselung für E-Mails meist unbekannt ist und Fehler passieren können. Ein Restrisiko bei Whatsapp bleibt, etwa dass die Chats forensisch wieder hergestellt werden könnten – aber Risiken lassen sich immer denken, egal bei welchem Tool.

Es wäre dennoch falsch, von diesem Beispiel nun darauf zu schließen, dass Whatsapp per se „sicher“ ist. Deutlich werden soll vielmehr, dass politisch wichtige Privatsphäre-Diskussionen um die „Datenkrake Whatsapp“ die journalistische Praxis nicht immer in gleicher Weise beeinflussen sollten. Wie in anderen Bereichen sollten Journalistinnen und Journalisten auch bei der Wahl ihrer Arbeitsmittel im Grundsatz offen für alles sein. Ein Schwarz-Weiß-Denken à la „Clouds sind generell unsicher“ ist im Jahr 2022 schlichtweg praxisfern und falsch.

Vier Fragen für eine Risikobewertung

Es hilft, in konkreten Szenarien zu denken. Der Fachterminus nennt sich Threat Modeling, also etwa „Analyse von Bedrohungsszenarien“. Auf digitale Sicherheit bezogen lassen sich vier einfache Fragen ableiten: 

1. Welche Daten möchte ich schützen?

2. Welcher Gegner möchte meine schützenswerten Daten angreifen?

3. Ist mein Gegner in der Lage, mich erfolgreich anzugreifen?

4. Falls ja, für wie wahrscheinlich halte ich einen Angriff?

Schreibe ich im Team an einer Recherche zu Rechtsradikalen, liegt es nahe, ein gemeinsames Google-Dokument für den Text anzulegen. Ist das „sicher genug“? Vermutlich schon. Zwar wollen die Rechtsradikalen sicherlich gerne wissen, wer die Quellen sind und was in der Story stehen wird, aber dass Privatpersonen in der Lage sind, die Google-Accounts der Beteiligten zu hacken, ist unwahrscheinlich, solange alle ihre Hausaufgaben machen und neben starken Passwörtern eine Zwei-Faktor-Authentifizierung nutzen.

Natürlich ändert sich sofort die Einschätzung, wenn die Recherche Verbindungen der Rechten zum Verfassungsschutz offenbart, so dass es dadurch sein kann, dass staatliche Akteure im Spiel sind und etwa die in der Google-Cloud abgelegten Daten auf rechtlichem Weg einsehen könnten.

Schatten-IT als enormes Risiko

Die auf Seite 65 vorgestellten Tipps mögen wie Musik in den Ohren derjenigen klingen, die auf individueller Ebene etwas für ihre journalistische IT-Sicherheit tun wollen. Verantwortlichen in IT-Abteilungen von Medienhäusern laufen solche „Sonderwege“ von einzelnen Personen allerdings meist zuwider. Ihre Argumente sind gewichtig: Wenn jede und jeder macht, was gerade am einfachsten ist, öffnen sich durch immer mehr Tools immer mehr Angriffsvektoren und die Daten liegen überall. Für System-Administratoren ist eine solch heterogene IT-Landschaft ein Albtraum. Sie wollen ein homogenes System, so dass alles zentral verwaltet werden kann – ein natürlicher Zielkonflikt zwischen Redaktion und IT-Abteilung. Beide Perspektiven passen dann nicht zusammen, wenn sie ohne wechselseitiges Verständnis durchgepeitscht werden. 

Es kann im Jahr 2022 durchaus von Personen verlangt werden, dass sie – bei entsprechender Schulung! – wachsam gegen Phishing-Angriffe sind. Auch Updates nicht ständig hinauszuschieben, ist ein Baustein moderner IT-Systeme. Gleichzeitig hilft es nichts, Bedürfnisse der handelnden Journalistinnen und Journalisten einfach zu ignorieren. Wenn es etwa untersagt wird, Google Docs zu nutzen, ohne eine funktionierende Alternative anzubieten, ist eines ziemlich sicher: dass Google Docs genutzt wird, nur eben über private Accounts, die sich dem Schutz des Netzwerks und jeglicher Backup-Systeme gänzlich entziehen. Ist dann wirklich etwas gewonnen? 

Solche Parallelstrukturen können auch als „Schatten-IT“ bezeichnet werden. Sie liegen verdeckt neben der eigentlichen IT-Infrastruktur, aber sind meist ähnlich relevant wie die eigentlichen. Internationale Studien weisen darauf hin, dass Schatten-IT eines der größten Probleme in Medienorganisationen ist. Für die USA zeigte dies die Forscherin Jennifer Henrichsen in einer lesenswerten Untersuchung, die 2020 im Fachmagazin „Digital Journalism“ publiziert wurde. Mein Eindruck aus Trainings von Medienschaffenden und der Beratung von Newsrooms ist, dass es in Deutschland kaum besser aussieht. 

Dazu wird ein Team der Universität Hamburg ab 2023 forschen. Denn eine gesicherte Faktenlage ist dringend nötig, um den Journalismus auf individueller wie auf Ebene der Organisationen digital abzusichern. Klar ist aber schon jetzt: Der Schlüssel wird nicht darin liegen, neue Tools zu bauen – sondern innovative Arbeitsprozesse zu schaffen, in denen Technologie sicher eingesetzt wird.