Keylogger-Affäre in der taz: Dateiname LOG.TXT
Anfang 2015 kam heraus, dass Computer in der taz mehr als ein Jahr lang ausgespäht wurden. Die Recherche zum Fall führt bis nach Asien.
Ein Editorial der taz zu dieser Recherche findet sich hier.
Es ist wohl reiner Zufall, dass der Keylogger am Ende entdeckt wird. Mindestens ein Jahr lang ist er zuvor im Einsatz. Er wandert von Computer zu Computer, im ersten, dritten und vierten Stock der Rudi-Dutschke-Str. 23 und schneidet dort die Tastaturanschläge mit, Passwörter, Mails, Kontodaten. Das geht so lange, bis am Nachmittag des 17. Februar 2015, ein Dienstag, die Computertastatur einer Praktikantin nicht mehr funktioniert.
Sie ruft die Hotline der EDV-Abteilung an. Der Kollege, der sich daraufhin ihren Computer anschaut, entdeckt an der Rückseite des Gehäuses einen Adapter, der zwischen der USB-Buchse und dem Tastaturkabel steckt. Dieser schwarze Stick wird bald darauf große Unruhe in die Redaktion bringen, und weit darüber hinaus.
Die EDV-Mitarbeiter sind irritiert. Sie brechen den 3,8 Zentimeter langen Stick auf und googeln die Produktnummer. Es handelt sich um einen Keylogger. Das ist ein Spähwerkzeug, das alles aufzeichnet, was in eine Tastatur getippt wird; bestens geeignet, um Passwörter zu stehlen.
Ab diesem Zeitpunkt ist die EDV-Abteilung im Krisenmodus. Bislang wissen nur die Informatiker, dass einE DatendiebIn im Haus unterwegs sein muss. Sie kopieren den Inhalt des Datenträgers, kleben ihn wieder zusammen und stecken ihn dann zurück in den Computer. Es ist eine Falle. Chefredaktion und Geschäftsführung der taz werden am nächsten Tag eingeweiht.
Am Mittwoch, gegen 12 Uhr, wird ein langjähriger Redakteur dabei beobachtet, wie er den Keylogger abzieht. Er wird zur Rede gestellt, erst von Mitarbeitern der EDV, dann von seinem Ressortleiter und einem der taz-Geschäftsführer. Er erklärt zunächst, es handle sich um einen USB-Stick. Mehr will er nicht sagen. Schließlich wird ihm Hausverbot erteilt. Er verlässt die Redaktion fluchtartig durch das hintere Treppenhaus. All dies geschieht innerhalb von weniger als einer halben Stunde. Der Kollege wird nie wieder in der taz gesehen. In seinem Schreibtisch hinterlässt er Rechercheunterlagen, einen Beutel Traubenzucker und eine Verfassungsschutz-Broschüre mit dem Titel: „Spionage. Sind auch Sie gefährdet?“
Die polnische Regierung torpediert die Pläne für das Danziger Museum des Zweiten Weltkriegs und vergeudet damit eine historische Gelegenheit. Den Essay des Holocaustforschers Timothy Snyder lesen Sie in der taz.am wochenende vom 4./5. Juni. Außerdem: Etablierte Parteien suchen die gesellschaftliche Mitte. Aber wo ist sie? Ein Besuch in Gittis Bier-Bar in Berlin-Mitte. Und: Woher rührt die neue Liebe der Grünen zur Polizei? Dies und mehr am Kiosk, eKiosk oder im praktischen Wochenendabo.
Um 14.15 Uhr informiert die damalige taz-Chefredakteurin Ines Pohl die RessortleiterInnen. Für 14.30 Uhr ruft sie die gesamte Belegschaft zusammen. Die KollegInnen stehen im dritten Stock, an jenem Rechner, an dem der Keylogger gefunden wurde. Alle sind fassungslos. Später bekommen alle MitarbeiterInnen eine Mail. Sie werden aufgefordert, ihre Passwörter zu ändern. „Bitte auch bei anderen Accounts, z.B. bei GMX oder Web.de oder Hotmail, Twitter, Facebook“.
Was geschehen ist, hat das Zeug, das Vertrauen innerhalb der taz und in die taz zu zerstören. Dass eine Zeitung ausgespäht wird, passiert nicht alle Tage. Es geht um viel: Die Wahrung des Redaktionsgeheimnisses. Für jemanden, der sich vertraulich an eine Zeitung wendet, kann es unangenehm bis gefährlich werden, wenn seine Daten in falsche Hände geraten. Eine Zeitung läuft Gefahr, ihre InformantInnen zu verlieren, wenn sie sie nicht schützen kann. Ein Spähangriff in einer Redaktion zielt auf den Kern der Pressefreiheit.
Allen ist ebenso klar: Der Vorfall kann die Karriere des Kollegen zerstören. So versuchen noch am selben Tag einige, Kontakt mit ihm aufzunehmen.
Am Donnerstagmorgen um 9.30 Uhr ist der große Konferenzraum so voll wie schon lange nicht mehr. Dutzende RedakteurInnen, Verlagsangestellte, PraktikantInnen sind da, Geschäftsführung, Chefredaktion. Als Erstes erfahren die MitarbeiterInnen die jüngste Nachricht: In der Nacht ist die Eingangstür des Redaktionsgebäudes aufgebrochen worden. Die dahinter liegende Glastür dagegen ist heil geblieben. Sie lässt sich mit einem Code öffnen, der den meisten taz-MitarbeiterInnen bekannt ist. Viele schlussfolgern: Es muss der beschuldigte Kollege gewesen sein, der noch etwas holen wollte. Bewiesen ist das nicht.
Am Freitag berichtet der Branchendienst Newsroom.de: „Angriff von innen: Spionierte langjähriger Redakteur die ‚taz‘ aus?“ Die Welt und das NDR-Medienmagazin „Zapp“ nennen dann fast zeitgleich auch den vollen Namen des Beschuldigten, das verurteilen viele in der taz. Später zieht der englische Guardian für eine internationale Leserschaft nach.
Die Geschichte des Keyloggers gleicht zu diesem Zeitpunkt schon einem Drama, bei dem vieles unklar ist.
Mit journalistischen Mitteln aufklären?
Am Freitagmorgen erhält die Chefredakteurin der taz um 5.45 Uhr eine Direktnachricht über @tazblog, den Twitteraccount des beschuldigten Kollegen: „Die gegen mich erhobenen Vorwürfe bestreite ich. Bitte gebe diese Stellungnahme den Journalisten wieder, die bei Dir anfragen.“
Auch KollegInnen und MitbewohnerInnen, die sich nach seinem Wohlergehen erkundigen, erhalten nur knappe Nachrichten per SMS und Twitter. „Sorgen sind unnötig“, schreibt er zurück. „Bin gerade unterwegs, um ein paar Tage durchzuatmen und etwas Abstand zu gewinnen. Mehr kann ich gerade nicht sagen.“
Die Redaktion diskutiert: Konnte es wirklich sein, dass ein Kollege das Vertrauen im Haus derart missbrauchte und damit die Integrität der gesamten Redaktion aufs Spiel setzte?
Am Freitag berät die Redaktionskonferenz, ob die taz einen Strafantrag stellen sollte. Dabei steht die Befürchtung im Mittelpunkt, dass Redaktionsinterna noch mehr verletzt würden, wenn die Ermittler Zugriff auf die Server verlangen. In dieser Konferenz fällt auch folgender Satz: Vielleicht sollten wir tun, was wir am besten können, die Sache mit journalistischen Mitteln aufklären.
Im Hausblog der taz erscheint am Nachmittag nur eine knappe Botschaft. taz-Geschäftsführer Karl-Heinz Ruch teilt mit: „Zu Personalangelegenheiten äußert sich die taz grundsätzlich nicht.“ Das verärgert viele im Haus. Kann die taz es sich so einfach machen?
Für den kommenden Montag, 12.30 Uhr, ist der beschuldigte Kollege zu einem Gespräch mit Chefredaktion und Geschäftsführung eingeladen. Am Sonntag schickt er eine E-Mail. Darin kündigt er an, nicht zu erscheinen und gegen eine mögliche Kündigung nicht arbeitsrechtlich vorzugehen. Er schreibt auch, er würde gerne eine Erklärung abgeben, „doch es stehen Vorwürfe gegen mich im Raum, die strafrechtlich relevant sind.“ Deshalb ziehe er es vor, zu schweigen.
Am Dienstag, 24. Februar 2015, erscheint auf Seite drei der taz ein Editorial der ChefredakteurInnen Ines Pohl und Andreas Rüttenauer. Sie schreiben: „Das Wichtigste ist für uns dabei, die Vorkommnisse, so weit dies irgend möglich ist, aufzuklären und so das Vertrauen in die taz zurückzugewinnen – bei LeserInnen, Interviewpartnern und Informanten ebenso wie unter den KollegInnen.“ Daneben kündigen sie an, dass die taz Strafanzeige erstattet. Den Namen des beschuldigten Kollegen nennt die taz nicht.
17. Februar 2015: Die Tastatur einer Praktikantin funktioniert nicht mehr. Ein EDV-Mitarbeiter entdeckt am Rechner einen sogenannten Keylogger.
18. Februar 2015: Ein Kollege wird beobachtet, wie er den Adapter abzieht. Ein USB-Stick, sagt er. Mehr nicht. Die Redaktion wird informiert.
19. Februar 2015: Die Eingangstür des taz-Hauses ist aufgebrochen worden, die nächste Tür ist mit einem Code gesichert, den viele kennen.
20. Februar 2015: Eine Twitter-Nachricht an die Chefredaktion: „Die gegen mich vorgebrachten Vorwürfe bestreite ich.“
23. Februar 2015: Der beschuldigte Kollege ist zu einem Gespräch mit Chefredaktion und Geschäftsführung eingeladen. Er sagt per E-Mail ab.
24. Februar 2015: Editorial der taz-Chefredaktion: „Das Wichtigste ist für uns, die Vorkommnisse, so weit dies irgend möglich ist, aufzuklären.“
26. Februar 2015: Die Geschäftsführung der taz erstattet Strafanzeige und übergibt den Keylogger an das Berliner Landeskriminalamt.
19. März 2015: Podiumsdiskussion in der taz. Inzwischen gab es ein Sicherheitstraining. Letzter Stand: 16 Personen wurden ausgespäht.
Am Nachmittag landet eine Mail im Postfach geno@taz.de, Absender: Ein Kommissariatsleiter des Landeskriminalamts Berlin. „Den Internetmedien ist zu entnehmen“, schreibt er, „dass sie wegen des Einsatzes eines sogenannten Keyloggers zum Nachteil ihrer Mitarbeiter Strafanzeige erstatten wollen. Da hier bislang kein entsprechender Eingang festzustellen ist, darf ich ihnen unsere Dienststelle zuständigkeitshalber als Ansprechpartner benennen.“
Am Donnerstag, den 26. Februar 2015, kommen LKA-Beamte ins taz Café, bewusst werden sie nicht in die Redaktionsräume gebeten. Die taz-Geschäftsführung übergibt ihnen den Keylogger, erstattet Strafanzeige und stellt Strafantrag gegen den Kollegen und gegen unbekannt „wegen des Verdachts der Verletzung der Vertraulichkeit des Wortes, § 201 StGB, des Ausspähens von Daten, § 202a StGB, des Abfangens von Daten, § 202b StGB, des Vorbereitens des Ausspähens und Abfangens von Daten, § 202c StGB, und sämtlicher weiterer möglicher Delikte“. Später bekommt die Polizei auch eine CD und eine DVD mit weiteren Dateien sowie den Arbeitscomputer des Beschuldigten ausgehändigt.
Einen Monat später, am 27. März 2015, klingeln um 6.15 Uhr Polizisten des Landeskriminalamts, Abteilung 245 – Cybercrime im engeren Sinne –, an der Tür der Wohngemeinschaft, in der der Beschuldigte jahrelang gewohnt hat. Sie zeigen einen Durchsuchungsbefehl und schauen sich in seinem Zimmer um. Laut Durchschlag des Polizeiprotokolls führt die Durchsuchung nicht zur „Auffindung von Beweismitteln“. Der Beschuldigte selbst ist nicht anwesend. Was zu diesem Zeitpunkt kaum jemand weiß: Er hat sich schon vor Wochen ins Ausland abgesetzt.
Wie geht die taz mit dem Fall um?
Für die MitarbeiterInnen der taz bedeutet der Vorfall eine Verunsicherung. Sie ziehen ganz unterschiedliche Konsequenzen. Manche ändern ihre Passwörter. Sie wollen nicht, dass GesprächspartnerInnen und InformantInnen sich womöglich zu Unrecht verunsichert fühlen. Manche Betroffene legen sich neue Accounts zu, schreiben Dutzende GesprächspartnerInnen an, informieren Gruppen, in denen sie Mitglied sind, oder auch einen Expartner. Auch Zugangsdaten zu Bankkonten müssen geändert werden.
Sobald die ersten Artikel erscheinen, sind auch Leute außerhalb der taz, die mit dem Beschuldigten zu tun hatten, verunsichert. An der Kölner Journalistenschule, an der er ausgebildet wurde, administrierte er bis zu seinem Verschwinden die Mailverteiler für die jeweils aktuellen Klassen. Die Domain, über die diese liefen, ist immer noch auf seinen Namen registriert. Theoretisch konnte er so über Jahre Mails mitlesen. Auch ein Ereignis in seinem privaten Umfeld erscheint plötzlich in anderem Licht. Aus Gründen des Persönlichkeitsschutzes wird hier und auch an anderen Stellen des Textes darauf verzichtet, bestimmte Details zu nennen.
In der taz diskutieren unterdessen die RedakteurInnen: Wie kann die Zeitung nach innen und nach außen die Sicherheit vermitteln, dass Informationen gut aufgehoben sind? In der eigenen Zeitung lesen sie, die allermeisten RedakteurInnen würden ihre Mails verschlüsseln. So etwas aber kann keine Redaktion ernsthaft behaupten. Natürlich ist die taz auf verschlüsseltem Wege zu erreichen. Doch nur ein überschaubarer Teil der Redaktion nutzt die Technik regelmäßig.
Mitte März 2015 erhalten die RessortleiterInnen eine Schulung in digitaler Sicherheit. Manche verschlüsseln später ihre Mails, andere nicht. Bei der Schulung wird auch vermittelt, dass Verschlüsselung nicht gegen einen Keylogger hilft – weil dieser Daten schon abgreifen kann, solange sie noch im Klartext vorliegen.
Viel mehr passiert in den folgenden Monaten nicht. Die technische Infrastruktur der taz bleibt unverändert. Seit ihrer Gründung herrscht in der taz die Philosophie vor: Es ist nicht nur die Technik, die Probleme verursacht, sondern der Umgang mit ihr. Und was lässt sich am Ende dagegen tun, wenn jemand gezielt KollegInnen ausspionieren will?
Am Abend des 19. März veranstaltet die taz eine Podiumsdiskussion mit dem Titel: „Was verändert sich an journalistischen Grundstandards durch die neuen technischen Möglichkeiten?“ Zu Gast sind neben taz-Chefredakteurin Ines Pohl der Welt-Vizechef Ulf Poschardt, Constanze Kurz vom Chaos Computer Club, der Journalistik-Professor Volker Lilienthal und Lutz Tillmanns, Geschäftsführer des Deutschen Presserats. Die Veranstaltung soll Antworten geben auf viele Fragen, die die Keylogger-Affäre mit sich gebracht hat. Es geht um Recherchen und ihre Grenzen. Und obwohl dabei versucht wird, nicht über den mutmaßlichen Ausspäher und seine Motive zu sprechen, fällt der Name des beschuldigten Kollegen an diesem Abend mehrfach: Sebastian Heiser.
Wer ist Sebastian Heiser?
Es ist auch kaum möglich, sich ausführlich mit dem Keyloggerfund zu beschäftigen und dabei die Person auszublenden. Sein Name wird nun auch in diesem Text genannt. Der Anspruch eines Beschuldigten darauf, dass sein Persönlichkeitsrecht gewahrt wird, ist stark. Das Argument wurde lange gewogen. Die Gründe dafür, Sebastian Heisers Namen zu nennen, sind gewichtiger. Dass ein öffentliches Interesse an der Sache besteht und die Vorwürfe gegen ihn in ihrer Dimension besonders sind, steht außer Frage. Für die taz kommt hinzu: Wird sein Name nicht genannt, stehen prinzipiell viele unbeteiligte KollegInnen unter Verdacht. Auch die, mit denen er im Namen der taz zu tun hatte, haben ein Recht, von dem Vorfall zu erfahren.
Und es gibt noch eine Frage, die nur an seine Person geknüpft ist: Sebastian Heiser ist jemand, der immer wieder Verfehlungen thematisiert hat, auch in der eigenen Branche. War er womöglich einem taz-internen Skandal auf der Spur? Oder geht es um etwas ganz anderes?
Seine erste größere Recherche entfaltet gleich Wucht: Am 27. März 2001, Sebastian Heiser ist 22 Jahre alt, erscheint in der Dürener Zeitung ein Artikel, der in der nordrhein-westfälischen Kreisstadt den Bau einer Tiefgarage unter dem zentralen Kaiserplatz verhindern wird.
Er sticht aus der Masse der Texte deutlich hervor: Der Nachwuchsjournalist hat gut recherchiert. Er zeigt, wie der Bauträger bei einem ähnlichen Projekt in Kaiserslautern eine unvollendete Baustelle und offene Rechnungen hinterlassen hat. In den vergilbten Printausgaben der Zeitung im Dürener Stadtarchiv ist nachzuverfolgen, wie sich nach der Veröffentlichung des Textes ein Kommunalpolitiker nach dem anderen von dem Projekt distanziert. Bald wird es begraben. Es ist Lokaljournalismus par excellence.
Als Sebastian Heiser Jahre später, im Jahr 2008, als Redakteur in der Berlin-Redaktion der taz beginnt, bleibt das sein Stil: Er recherchiert intensiv, auch gegen Widerstände, schreibt trocken im Ton und konfrontativ in der Sache. Der größte Coup: Im Oktober 2010 veröffentlicht er in der taz die bis dahin geheimen Berliner Wasserverträge, deren Offenlegung eine BürgerInneninitiative seit Jahren erfolglos eingefordert hat.
Unter anderem für diese Arbeit wählt ihn das Medium Magazin 2010 zum „Newcomer des Jahres“. In der Begründung der Jury heißt es: „Außergewöhnlich und lobenswert ist seine selbstkritische journalistische Grundhaltung.“ Tatsächlich: Auf Kritik innerhalb und außerhalb der taz reagiert Sebastian Heiser stets mit Argumenten. Er ist einer der wenigen Autoren, die Leserkommentare auf taz.de regelmäßig beantworten. Wo er auch auftritt, signalisiert seine selbstbewusste, manchen auch zu arrogante Haltung: Ich habe alle Argumente gewogen, und ich habe die besseren auf meiner Seite.
Sebastian Heiser nutzt seine Auskunftsrechte intensiv, verklagt wiederholt Behörden, wenn ihm Informationen verweigert werden. Manche dieser Auseinandersetzungen führt er auf eigenes Risiko – und auf eigene Rechnung. Bei Gericht tritt er regelmäßig auch in anderer Funktion auf: Er spricht als Schöffe Recht.
In der taz engagiert er sich überdurchschnittlich. Er kümmert sich um PraktikantInnen, bringt die Erstellung einer Gemeinwohlbilanz voran und konfrontiert seine Zeitung regelmäßig mit ihren im Redaktionsstatut festgeschriebenen Idealen. Einmal wertet er gemeinsam mit Kolleginnen 1.501 taz-Artikel aus, insgesamt 197.703 gedruckte Zeilen. Schließlich protokolliert er: „Davon schrieben Frauen 69.121 Zeilen, das sind 35,5 Prozent.“ Die Botschaft ist klar: In der taz sind Männer massiv überrepräsentiert.
Schon kurz nach seinem Eintritt in die Redaktion gründet er das taz-Hausblog, manchmal bestückt er es über Monate allein mit Texten. Sein Credo: Möglichst viel Offenheit. 2014 tritt er bei der Vorstandswahl der taz-Genossenschaft mit dem Versprechen an, Haushaltsentscheidungen des Vorstands künftig allen KollegInnen transparent zu machen und sie darüber abstimmen zu lassen. Er erhält nur 16 Stimmen.
An dem hohen Maßstab, den er an sich anlegt, misst er die gesamte Branche.
Ein Projekt dient später vielen als Folie, um den Einsatz des Keyloggers in der taz zu interpretieren: Es ist seine Recherche in deutschen Zeitungsverlagen. Sebastian Heiser legt sich eine Tarnidentität und eine Briefkastenadresse zu. Gemeinsam mit einer ehemaligen Praktikantin besucht er im Jahr 2009, teils während seines Urlaubs, Verlagshäuser und stellt sich als „Tobias Kaiser“ vor. Auf seiner Visitenkarte steht: „Key Account Planning Effizienzer“, Agentur „Coram Publico“. Er recherchiert, ob im Austausch für Anzeigenaufträge Einfluss auf redaktionelle Inhalte genommen werden kann.
Als er seine Ergebnisse in der taz publizieren will, widerspricht der Justiziar. Er hält die Recherche für unzulässig. Sebastian Heiser bezieht sich – nicht nur dieses Mal – auf das Marienhof-Urteil, das der heutige Journalistikprofessor Volker Lilienthal 2005 vor Gericht errungen hat. Dabei ging es um verdeckte Recherche im Zusammenhang mit Schleichwerbung in der ARD. Die damalige taz-Chefredaktion entscheidet schließlich, den Text zu drucken.
Ein Aspekt wird dabei gegen Sebastian Heisers Willen ausgeklammert. Es geht um Erlebnisse, die er zu Beginn seiner Karriere in der Beilagenredaktion der Süddeutschen Zeitung gehabt habe. Er will nun auch darüber berichten, dass damals Beiträge auf Wunsch der Anzeigenabteilung verändert worden seien. Diese Geschichte hat er zuvor schon anderen Redaktionen angeboten. Doch niemand will sie veröffentlichen. RedakteurInnen unterschiedlicher Medien werden ihre Ablehnung später damit begründen, dass die Geschichte mit unzulässigen Methoden zustande gekommen sei.
Am 16. Februar 2015, einen Tag bevor in der taz der Keylogger gefunden wird, erscheint sie schließlich auf einem privaten Blog, das er extra dafür eingerichtet hat. Das Motto des Blogs: „Klar und deutlich. Hier spricht Sebastian Heiser“. Es ist viel Material, ausgedruckt gut 60 DIN-A4-Seiten.
Sebastian Heiser begründet seine Veröffentlichung damit, dass die SZ gerade mit ihrer „Swiss-Leaks“-Enthüllung Steuerhinterziehung skandalisiert, aber zu seiner Zeit in der Redaktion selbst Schleichwerbung dafür gemacht habe. Das Besondere: Als Beleg veröffentlicht er auch Tonmitschnitte von Gesprächen mit damaligen KollegInnen und einem Vorgesetzten, heimlich aufgenommen – acht Jahre zuvor.
Sein „SZ-Leaks“-Alleingang ist riskant. Falls etwas schiefgeht, muss er die Rechtsfolgen und -kosten selber tragen. Wieder löst er eine brancheninterne Debatte aus. Auch Volker Lilienthal, auf den Sebastian Heiser sich zuvor so oft berufen hat, wird sich später zu Wort melden: „Heimliche Aufnahmen in Redaktionen sind ein Unding.“
Welche Daten wurden abgefangen?
Mitten in dieser Debatte, kurz nachdem taz-KollegInnen ihn fragen, ob er sie auch abgehört hat, wird Sebastian Heiser dabei erwischt, wie er in der Inlandsredaktion einen Keylogger aus einem Computer zieht.
Zu klären, was in der taz eigentlich ausgespäht wurde, gleicht einer Puzzlearbeit mit tausenden Teilen. Es gibt Datenspuren auf dem sichergestellten Stick selbst und Dateien im Computersystem der taz, die dem Stick zugeordnet werden können. Dazu kommen noch auffällige Logins, die nahelegen, dass entwendete Passwörter auch benutzt worden sein müssen, um sich Zugriff auf fremde Nutzerkonten zu verschaffen.
Keylogger & Co.: Ein Spähwerkzeug darf man legal allenfalls zu Testzwecken mit Erlaubnis der Betroffenen an einem Computer verwenden. Ansonsten ist der Einsatz nach deutschem Recht strafbar.
Abfangen von Daten: Verboten ist es laut § 202b des Strafgesetzbuches, „unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung“ zu verschaffen. Hier geht es also – analog zu einem Telefongespräch – um Daten, die gerade im Fluss sind. Darauf stehen bis zu zwei Jahre Haft oder Geldstrafe.
Ausspähen von Daten: Mit bis zu drei Jahren Haft wird nach § 202a StGB bestraft, wer „unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft“. Hier geht es um so genanntes Hacking. Die Abgrenzung beider Straftatbestände ist in der Praxis nicht immer leicht.
Verwandte Straftaten: Nach § 202c StGB ist auch die Vorbereitung des Ausspähens und Abfangens von Daten strafbar. Das gilt nach § 201 auch für geheime Tonaufnahmen („Verletzung der Vertraulichkeit des Wortes“).
Der Keylogger, Modell „KeyGrabber USB“, hat einen Speicherplatz von 16 MB. Das klingt nach wenig, reicht aber laut Hersteller, um mehr als 16 Millionen Tastaturanschläge aufzuzeichnen. Als er entdeckt wird, erscheint er leer. Die EDV kann jedoch 14 gelöschte Dateien größtenteils wiederherstellen. Darunter sind zwölf Dateien mit dem Namen LOG.TXT, in denen insgesamt 398.205 Tastaturanschläge aufgezeichnet sind.
Diese Textdateien enthalten viele, oft unübersichtliche Zeichenkombinationen. Die Buchstaben [Ent] zeigen an, dass die Entertaste benutzt wurde. Die Buchstaben [Bck] zeigen an, dass die Rücklöschtaste benutzt wurde. Und vor einem Wort, das groß geschrieben wird, steht [Sh]. Das steht für die Umschalttaste. In diesem Satz etwa bittet ein Ressortleiter seine RedakteurInnen um Termin- und Themenvorschläge:
[Ent]wo ich gerade dabei bin m[Bck][Bck][Bck][Bck]beim [Sh]Mahnen bin[Sh]: [Sh]Bitte chic[Bck][Bck][Bck][Bck]schickt wochenpläne, damit wir [Bck][Bck][Bck][Bck]euere [Sh]Termine und [Sh]Tehmen[Bck][Bck][Bck][Bck][Bck]heme [Bck][Bck][Bck]n [Sh](und gerne auch zu f[Bck]ge[Bck][Bck]vergebende [Sh]P[Bck][Sh]Themen[Sh]) haben[Ent]
Bei der Auswertung müssen sich die EDV-Mitarbeiter also durch einen Wust von Zeichen suchen. Schließlich werden nicht nur viele Benutzerdaten und Passwörter gefunden. Es ist auch möglich, Rückschlüsse darauf zu ziehen, wann und wo der Keylogger im Einsatz war. Etwa so: Auf dem Keylogger befinden sich Anschläge eines Artikels, der am 12. Februar 2014 in der taz erscheint. Der Text bezieht sich auf ein Ereignis des Vortags. Das heißt: Der Stick muss am 11. Februar 2014 am Arbeitsrechner des Kollegen gesteckt haben, der den Text geschrieben hat. Dessen Benutzername und Passwort finden sich ebenfalls auf dem Keylogger. Es ist das früheste rekonstruierbare Datum. Der Keylogger kam also mindestens ein Jahr lang immer wieder in der taz zum Einsatz. Ob und gegebenenfalls wie lange er davor schon benutzt wurde, darüber lässt sich nur spekulieren.
Sebastian Heiser wurde dabei erwischt, wie er den Keylogger von einem Computer abzieht. Aber ist er auch derjenige, der ihn benutzt hat? Was, wenn er gezielt diskreditiert werden sollte? Angenommen, der für seine Aufklärungsarbeit bekannte Kollege bekommt einen Hinweis darauf, dass der Keylogger an jenem Rechner steckt, will sich ein Bild machen, läuft hin, zieht den Stick ab – erwischt.
Es ist – auch im Sinne der Unschuldsvermutung – wichtig, diese und andere Szenarien zu durchdenken. Doch die Daten, die die EDV-Mitarbeiter rekonstruieren können, ergeben ein anderes Bild.
Sie werten nicht nur die Daten auf dem Stick aus, sondern unternehmen auch eine Suche in der Bandsicherung des Gesamtsystems. Jede Nacht, wenn die Rechner der Redaktion stillstehen, wird ein Backup sämtlicher Dateien erstellt. Falls es irgendwann zu einem großen Datenverlust kommen sollte, können so die Daten wiederhergestellt werden.
In dieser Datensicherung stößt ein EDV-Mitarbeiter auf vier Dateien, die denselben Namen tragen wie jene auf dem Keylogger: LOG.TXT. Entscheidend ist, wo sie liegen: In den Sicherungskopien des Benutzerkontos von Sebastian Heiser. Sie passen auch inhaltlich zu denen auf dem Stick.
Auch ist nachweisbar, dass die Mitschnitte des Keyloggers zum Teil an einem Rechner ausgelesen worden sein müssen, an dem zu dieser Zeit der Nutzer „heiser“ angemeldet war. Zudem lässt sich rekonstruieren, dass geklaute Benutzerdaten zur Anmeldung im taz-System genutzt worden sind, als die ausgespähten Personen diese selbst gar nicht genutzt haben können.
Ein Beispiel: Am 4. November 2014 ist der Nutzer „heiser“ den gesamten Tag über an seinem Rechner in der Berlin-Redaktion angemeldet. Um 18.26 Uhr meldet er sich ab. Noch in derselben Minute wird am selben Rechner der Benutzername einer Praktikantin zur Anmeldung verwendet. Sieben Minuten später meldet sich die Nutzerkennung der Praktikantin wieder ab. Die damalige Praktikantin sagt, dass sie sich niemals an diesem Rechner angemeldet hat. Ihr Benutzername und ihr Passwort finden sich aber unter den ausgespähten Daten.
Einen Tag später, am 5. November 2014, erscheinen von Sebastian Heiser zwei Texte, die aktuell vom Schreibtisch aus recherchiert wurden. Er war also den vorigen Arbeitstag über an seinem Platz. Wer außer ihm sollte sich am Abend mit einem gestohlenen Passwort in derselben Minute einloggen, in der er sich selbst abmeldet?
Ein anderes Beispiel: Der Rechner mit der Kennung sibylle.sonn.taz.de steht in einer versteckten Ecke im 6. Stock der taz-Redaktion. Am 12. Januar 2015 um 20.59 Uhr loggt sich dort jemand mit den Zugangsdaten einer Praktikantin ein, 44 Minuten dauert die Sitzung. Die Praktikantin selbst arbeitet allerdings zu diesem Zeitpunkt nicht mehr bei der taz, sie lebt auch nicht mehr in Berlin. Es ist nicht das einzige Mal, das an diesem Rechner in den Abendstunden auf mutmaßlich ausgespähte Accounts zugegriffen wird. Sebastian Heiser kennt diesen Arbeitsplatz gut, er hat hier lange gearbeitet. Mehrere KollegInnen erinnern sich heute daran, dass sie ihn abends wiederholt in Redaktionsbereichen gesehen haben, in denen er eigentlich nichts zu suchen hatte.
Auf dem Keylogger, der sich auch als normaler USB-Stick nutzen lässt, kann die EDV neben den LOG.TXT-Dateien auch zwei pdf-Dokumente rekonstruieren, die von Betroffenen stammen: Der Scan eines Reisepasses und ein Bewerbungsschreiben. Auf Heisers Rechner wird außerdem das geklaute Facebook-Profil einer Praktikantin gefunden, inklusive aller privaten Fotos und Mitteilungen.
Das ist die Geschichte, die die Daten erzählen, wie sie von der EDV der taz rekonstruiert werden konnten.
Was völlig ungeklärt ist: Ob diese Daten vollständig sind. Gab es vielleicht einen weiteren Keylogger? Das ist die Frage, die sich vielen mit dem Einbruch in der Nacht vom 18. auf den 19. Februar 2015 stellt. Solange diese nicht beantwortet werden kann, ist es nicht möglich, das Ausmaß der Spähaffäre vollends zu ermessen. Eine Person könnte Aufschluss geben: Jene, die den Stick in der Redaktion benutzte.
Wer wurde ausspioniert?
Eine Sache beschäftigt nicht nur die Betroffenen in der taz: Das Motiv. Wurden gezielt vertrauliche Informationen abgegriffen und sind damit InformantInnen in Gefahr? Sollten Missstände in der taz aufgedeckt werden? Oder gab es ein anderes Motiv? Um die Hintergründe der Ausspähaktion zu ergründen, ist es wichtig zu erfahren, wer im Fokus stand.
In der Strafanzeige der taz vom Februar 2015 stehen die Namen von 16 betroffenen Personen. Es wird zudem erwähnt, dass auch Benutzerdaten des Beschuldigten auf dem Stick zu finden sind. Diese Liste wird später, auch im Zuge dieser Recherche, länger werden. Inzwischen ist klar: Mindestens 23 Personen sind von der Ausspähung direkt betroffen, 22 von ihnen konnten Benutzernamen und Passwörter, die der Stick mitgeschnitten hat, zugeordnet werden. Nicht ausgeschlossen, dass die Zahl größer ist.
Unter den 23 bekannten Personen sind vier Männer und 19 Frauen. Eine Handvoll Betroffener sind Sebastian Heisers direkte Vorgesetzte und Kollegen, mit denen er in der Vergangenheit Konflikte hatte. Die große Mehrheit sind junge Frauen, vor allem Praktikantinnen, die nur für wenige Monate bei der taz arbeiteten.
Für viele von ihnen war Sebastian Heiser der erste Redakteur, mit dem sie persönlich zu tun hatten. Er kümmert sich wie kein anderer Kollege um sie. Ihn können PraktikantInnen beim Mittagessen ausquetschen: Wie gelingt NachwuchsjournalistInnen der Berufseinstieg? Wie laufen die Dinge in der taz? Für den Geschmack mancher Praktikantinnen sucht er zu viel Nähe, aber auch nicht in einem Maße, das als grenzüberschreitend empfunden wird. Die meisten empfinden die Nachricht, mutmaßlich von ihm ausgespäht worden zu sein, als einen Schock.
Was erst im Mai 2016, im Zuge dieser Recherche, klar wird: Der Keylogger kommt auch bei einem taz-Panter-Workshop zum Einsatz, bei dem NachwuchsjournalistInnen in drei Tagen eine Zeitungsbeilage gestalten. Mitte März 2014 sind 20 TeilnehmerInnen zwischen 19 und 27 Jahren in der taz zu Gast. Ihr Thema: „Geheimnisse – Top Secret!“ An einem der Computer, an denen sie arbeiten, steckt der Keylogger und zeichnet auf, was mindestens eine Workshop-Teilnehmerin und betreuende RedakteurInnen eintippen: Texte, Suchanfragen, Mail-Passwörter.
Auch in diesem Fall sind es nicht gerade Personen mit brisanten Informationen, an denen ein Nachrichtendienst Interesse haben könnte. Es sind auch nicht die, bei denen jemand Fragwürdiges innerhalb der taz herausfinden wollte. Allerdings sind es junge Leute, die im Rahmen des Workshops traditionell auch eine Party in seiner WG feiern. Sebastian Heiser ist bei vielen Panter-Workshops dabei und macht Fotos.
Noch während in der taz von einer „Spionageaffäre“ zu lesen ist, festigt sich innerhalb der Redaktion das Bild, dass die Daten mutmaßlich nicht aus professionellen Motiven abgefischt wurden, sondern aus privaten. Diese Lesart wird auch in den damals veröffentlichten taz-Texten vorsichtig angedeutet. Zwar wird öffentlich weiter spekuliert, was hinter der ganzen Geschichte steckt, doch in der Redaktion atmen viele auf: Es ging wohl nicht um Informanten. Es ging wohl nicht um die taz als Presseorgan.
So sehr diese Version den Großteil der Redaktion entlastet, so sehr verstört sie vor allem die betroffenen Praktikantinnen. Zwar werden die meisten darüber informiert, dass sie betroffen sind. Doch es gibt keinen wirklich systematischen Umgang damit. Manche Betroffene erhalten eine E-Mail, viele von ihnen sind längst nicht mehr bei der taz. Mal ist diese etwas konkreter, mal etwas allgemeiner. Manche werden auch angerufen. Mal kommt die Information von der EDV, mal vom Ressortleiter oder dem Justiziar. Und einige ehemalige Praktikantinnen haben schließlich die Gelegenheit zu einem persönlichen Gespräch mit ihrem Ressortleiter. Wieder andere erfahren über KollegInnen, dass sie betroffen sind. Was ein mögliches Motiv der Ausspähaktion sein könnte, erfahren viele gar nicht.
Es sind turbulente Tage in der taz. Die Chefredaktion ist vor allem mit akuter Krisenbewältigung beschäftigt. Sie benennt einen Redakteur als Ansprechpartner für interne Kommunikation, aber viele bekommen das nicht mit. Der Redaktionsrat, das gewählte Gremium der Redaktion, wird nicht von sich aus tätig. Die Geschäftsführung kümmert sich um Strafanzeige und Kündigung. In der Krise sind die Zuständigkeiten nicht ganz klar. So geraten ausgerechnet jene aus dem Fokus, die vor allem von der Ausspähung betroffen sind: Nachwuchsjournalistinnen am Anfang ihrer Berufslaufbahn. Heute sehen nicht alle, aber viele in der taz das als Versäumnis.
Einige Personen erfahren erst während dieser Recherche davon, dass auch sie von der Ausspähung betroffen waren. Eine Person hat das Wort Keylogger noch nie gehört. „Da tun sich ja Abgründe auf“, sagt eine andere. Auch die TeilnehmerInnen des Panter-Workshops im März 2014 werden erst im Zuge dieser Recherche informiert, weil vorher nicht bekannt war, dass der Keylogger auch dort zum Einsatz kam.
Leute, von denen sich Daten auf dem Stick finden, sagen heute Sätze wie diese: „Die Informationspolitik war schlecht. Ich hätte mir gewünscht, noch mal irgendetwas von der taz zu hören.“ Oder: „Ich bin dann zur Gewerkschaft gegangen und habe mir dort Rechtsberatung geholt.“ Bis heute hat keiner der Betroffenen die Daten gesehen, die über ihn oder sie auf dem Stick gespeichert waren. Es hat sie laut EDV allerdings auch niemand von sich aus angefordert. Nun wurde den bekannten Betroffenen angeboten, dass sie die zu ihnen vorliegenden Daten auf Wunsch einsehen können.
In Bezug auf Sebastian Heiser sind die Meinungen sehr geteilt. Es gibt die blanke Wut, aber viele in der Redaktion haben auch Mitleid mit ihrem alten Kollegen. Sie sagen: „Er hat doch schon alles verloren, er ist genug gestraft.“ Einer, dessen Daten sich auf dem Stick wiederfanden, sagt: „Mir ist egal, ob er vor Gericht gestellt wird, aber er ist uns noch eine Erklärung schuldig.“ Eine andere Betroffene sagt: „Ich will keine Erklärung. Ich will, dass er juristisch zur Verantwortung gezogen wird.“ Und fast alle sagen: „Ich möchte wissen, was aus Sebastian Heiser geworden ist.“
Auch deshalb gibt es diesen Text.
Was wurde aus Sebastian Heiser?
Sebastian Heiser hat bislang geschwiegen. KollegInnen und FreundInnen versuchen vom ersten Tag an, ihn zu erreichen. Per Mail, per Telefon – ohne Erfolg. Ob zwei Monate nach seinem Verschwinden oder ein Jahr später: KeineR seiner alten MitbewohnerInnen, FreundInnen und KollegInnen kann (oder will) sagen, wo Sebastian Heiser ist und was er heute macht.
Nicht zuletzt weil er so plötzlich abgetaucht ist und vermeintlich keine Spuren hinterließ, hält sich bis heute bei einigen in der taz die Vorstellung, dass er im Auftrag eines Geheimdienstes gehandelt haben könnte.
Wir wollen ihm die offenen Fragen stellen. Wir sind der Ansicht, dass die Betroffenen, die KollegInnen in der taz, aber auch ihre GesprächspartnerInnen und InformantInnen, die LeserInnen und GenossInnen einen Anspruch darauf haben, zu erfahren, was in der Sache mit journalistischen Mitteln in Erfahrung zu bringen ist. Es gibt da schließlich noch dieses Versprechen: aufklären, so weit irgend möglich.
Einigen im Haus geht diese Recherche zu weit. Andere sagen, die taz könne nicht über den Fall schreiben, weil sie doch selbst Teil der Geschichte sei. Am Ende setzt sich das Aufklärungsinteresse vieler Betroffener durch und das Selbstverständnis der taz, die anders als andere Medienhäuser einen offenen und kritischen Umgang auch mit internen Belangen pflegt.
Darum geht es: Ein Keylogger ist ein Spähwerkzeug, das aussieht wie ein gewöhnlicher kleiner USB-Stick. Handelspreis: ab 50 Euro. Zwischen Tastaturkabel und Computer gesteckt, schneidet er alle Tastaturanschläge mit und schreibt sie in eine Textdatei. Beim in der taz eingesetzten Modell trägt diese den Namen LOG.TXT.
Das ist die Gefahr dabei: Mit einem Keylogger lassen sich leicht Benutzerdaten und Passwörter abfangen, die dann missbraucht werden können. Im Spähmodus wird der Stick vom Computer nicht als Gerät erkannt, ein Virenscanner ist deshalb nutzlos.
Das kann man dagegen tun: Wenn die USB-Buchsen des Computers deaktiviert oder verschlossen sind, lässt sich kein Keylogger anbringen. Es gibt aber auch Schadprogramme, die Tastaturanschläge und sogar Bildschirminhalte aufzeichnen.
Die Recherche dauert einige Wochen, schließlich lässt sich rekonstruieren, was Sebastian Heiser seit dem 18. Februar 2015 gemacht hat.
An jenem Mittwoch, als er die taz verlässt, leiht er sich das Handy einer Mitbewohnerin aus, versendet via SMS ein paar Lebenszeichen. Am frühen Donnerstagmorgen verschwindet er aus der WG.
Sebastian Heiser denkt bei seinem Verschwinden an alles. Er meldet sich in Berlin beim Bürgeramt ab („unbekanntes Ausland“) und richtet einen Nachsendeauftrag zu einem Postfachanbieter ein, der die Briefe einscannt und ihm online zur Verfügung stellt.
Die Stadt, die er sich zum Leben ausgesucht hat, ist angenehm und günstig, tropisches Wetter, freundliche Menschen. Finanziell dürfte er ohnehin nicht allzu große Sorgen haben: Einige Zeit vor seinem Abtauchen sind in der Familie Erbschaftsangelegenheiten geregelt worden.
Bald bezieht Sebastian Heiser eine möblierte Wohnung, findet einen Job. Er arbeitet, wie er anderen erzählt, als Freelancer für ein großes Internetunternehmen, von zu Hause aus. Er hilft dabei mit, die Qualität von Suchergebnissen zu verbessern.
Die Begegnung
Er lebt jetzt in einem fernen Land, das kein Auslieferungsabkommen mit Deutschland unterzeichnet hat, als sei das, was er getan hat, ein Kapitalverbrechen. Auf § 202a StGB, das „Ausspähen von Daten“, stehen maximal drei Jahre Haft- oder Geldstrafe. Geht es nur darum, der Strafverfolgung zu entgehen? Warum sonst lässt ein Mensch so abrupt alles hinter sich und zieht ans andere Ende der Welt?
Klar ist: Falls er in diesem Land bleibt, können die Staatsanwaltschaft Berlin, die eine Anklage gegen ihn vorbereitet, oder ein Richter in einem möglichen Prozess nichts ausrichten. Spätestens nach zehn Jahren, so sagen es die gesetzlichen Bestimmungen, wäre der Fall dann verjährt.
Eine Großstadt in Südostasien. Am Straßenrand werden Frösche vom Grill angeboten, in einem klimatisierten Café kostet ein Green Tea Latte umgerechnet 2,65 Euro. Auf den Straßen fahren Motorroller, Tuk-Tuks, auch viele SUVs.
Sebastian Heiser, heute 37 Jahre alt, lebt inzwischen seit mehr als einem Jahr hier. Weder die Stadt noch das Land sollen in diesem Text genannt werden.
Der Mann, den wir als Sebastian Heiser kennen, wohnt in einer ruhigen Straße. Zweites Obergeschoss, stuckverzierte Decken, Grünpflanzen auf dem Balkon. Er ist seinen Nachbarn kaum aufgefallen. Zumindest manche kennen ihn unter einem anderen Namen. Auch auf Facebook hat er sich ein Profil unter einem Decknamen zugelegt. Das Profilfoto zeigt nicht ihn, sondern einen Programmierer aus London.
Es ist ein Tag Ende April 2016. Auf mehrfaches Klingeln am Tor reagiert er nicht, also klopfen wir direkt an der Wohnungstür.
„Sebastian?!“
Er öffnet die Tür, wir schauen uns an und schweigen einige Sekunden. Dann folgt ein kurzes Gespräch, das die Besonderheit dieser Recherche zeigt. Wir reden als Journalisten mit einem Beschuldigten. Aber wir reden auch mit einem ehemaligen Kollegen. Zumindest würden wir das gern tun.
Sebastian Heiser, lange Hose, weißes T-Shirt, wirkt dünner als zuletzt. Die wenigen Sätze, die er sagt, sind so präzise, wie wir es von ihm gewohnt sind. Er habe keine Lust auf ein Gespräch, sagt er. „Zur Sache gibt’s bislang nichts zu sagen.“ Was heißt bislang? Er weicht der Frage aus. Und dann sagt er: „Das kommt jetzt alles sehr überraschend. Das muss ich erst mal sacken lassen.“ Er fragt, wie lange wir in der Stadt seien und ob wir eine Telefonnummer für ihn hätten. Wir schildern ihm, dass viele in der taz wissen wollen, wie es ihm geht. Und wir sagen, dass es Betroffene gibt, die ein Anrecht auf Antworten von ihm haben. Wolltet ihr nicht eure Nummer aufschreiben?, fragt er. Wir geben ihm einen Zettel mit zwei Handynummern.
Am nächsten Tag schreibt er eine SMS von seiner alten deutschen Nummer: „Mein Anwalt rät mir, mich während des derzeit laufenden Verfahrens nicht zu äußern. Grüße Sebastian“. Wir schreiben ihm einen Brief, dass es auch jenseits der juristischen Dimension etwas zu bereden gäbe. Wir wollen wissen, ob es wirklich keinen einzigen Satz gibt, den er seinen alten Kollegen sagen kann? Er meldet sich nicht mehr.
Sebastian Erb, 31, ist Redakteur der taz.am wochenende. Er hat 2013 einige Monate gemeinsam mit Sebastian Heiser im Berlin-Ressort gearbeitet.
Martin Kaul, 34, ist taz-Redakteur. Er hat 2011 zusammen mit Sebastian Heiser die „Geheimpapiere der Atomlobby“ veröffentlicht, die zeigen, mit welchen Strategien das Deutsche Atomforum Einfluss auf Politik, Wissenschaft und Medien nahm.
Karsten Thielker, 50, ist freier Fotograf und Pulitzer-Preisträger. Er dokumentierte seit 2014 das Innenleben der taz in dem Fotoprojekt „taz inside“. Sebastian Heiser wollte sich damals nicht von ihm fotografieren lassen.
Auf dem Keylogger fanden sich weder persönliche Daten der Autoren noch des Fotografen.
Leser*innenkommentare
Anna Klara Schulz
Schönen Dank für die ausführliche Recherche zum Thema Keylogger in der taz. In meiner Nachbetrachtung der ganzen Geschichte sind einige Fragen offengeblieben. Der Vollständigkeit halber führe ich die im Artikel nicht aufgegriffenen Aspekte in Form von vier Fragen auf.
1. Martin Kaul und Sebastian Erb, haben Sie bei Ihrer Recherche die Frage mitberücksichtigt, dass der Beschuldigte möglicherweise dem Thema "Ausbeutung von PraktikantInnen" in der taz nachging?
2. Wie ist das Verhältnis in der taz zwischen weiblichen und männlichen PraktikantInnen, Queers etc. ungefähr?
3. Messen Sie dem Relevanz bei, dass der ehemalige Redakteur wenige Tage nach der Diskussion "Redakteure sind Teil des Systems" der taz mit dem SZ-Leaks-Blog seine Karriere über Bord warf, also seinen Teil des Systems aufgab? http://blogs.taz.de/hausblog/2015/02/06/redakteure-sind-teil-des-systems/#comment-28186
4. Die Debatte um die Ausbeutung von PraktikantInnen in der taz war zu dem Zeitpunkt seines Leak-Blogs mehrere Jahre alt. Hatte der Beschuldigte möglicherweise die Sichtweise, dass die taz nicht mehr wirklich links handelt und versuchte er, genau das zu veröffentlichen?
Vielleicht bin ich ja blöd und merke es nur nicht. Help!
Michael Herrbst
Ist das Foto des Keyloggers eigentlich nur ein Symbolfoto oder ist es das wirkliche Corpus Delicti, den auf der Platine ist nur ein PLL Baustein HCT4046A (phase-locked loop) von nxp, Spannungswandler und ein paar Kondensatoren und Widerstände zu sehen - dies würde sich meines Erachtens nicht für einen Keylogger eignen. Gibt es irgendwo auch noch ein Foto von der Rückseite, wo man vielleicht einen Mikrocontroller und einen Speicherbaustein (16MB) sehen kann? Oder ist das nur das halbe Innenleben, den auf der Seite neben diesen 16Pin NXP-Chip gibt es noch einen SPI-Bus (Serial Peripheral Interface ) der aber scheinbar nicht verlötet schien.
Link zum Datenblatt des NXP-Chips http://www.nxp.com/documents/data_sheet/74HC_HCT4046A_CNV.pdf
Johannes Spark
die TAZ - siegt über die Geheimnis-Krämerei.
Wenn es zur Datenschnüffelei kommt, dann ist das NORMALE in der heutigen Datenverarbeitung mit Glasfaser-Kabeln, Gigahertz-Netzen im Funk und allen Logarithmen der DIGITAL-ELEKTRONIK die Entschlüsselung und Speicherung im System von Google - vergleichbar mit der RASTERFAHNDUNG.
Beim Internet wie dieser "LOG.TXT"- Schmuggelei von Nachrichten und Geheimnissen sind keine Genzen gesetzt und a l l e Entwicklungsabteilungen von Unternehmen und lizensierten Zulieferern der Geheimdienste haben den digitalen Nachrichtenverkehr im Griff.
Es gibt die Möglichkeit der Abtrennung von Datenverarbeitungsanlagen zu Workstations ohne Anschlüsse an Ethernet, AirPort und Bloutooth. Die Verschlüsselung solcher internen Kabel-Netze kommt dazu. Alle wichtigen Unterlagen werden - wie früher auch in Tresoren mit entsprechenden Sicherheitsauflagen archiviert. Dies ist der Standard von Entwicklungsabteilungen.
Für die Informations-Weitergabe an die Öffentlichkeit ist das umgekehrte System erforderlich, das die "Whistleblower" nutzen und die Inhalte über die Medien publizieren.
Der nächste ZUKUNFTS-SCHRITT ist der Umstieg auf biologische Analogsysteme, die eine grössere Bandbreite und bessere Sicherheit bieten.
Justin Teim
Ich schätze mal das ähnliches in vielen Firmen passiert.
Die TAZ ist eben auch kein Ponyhof.
Respekt für den souveränen Umgang mit der Situation!
freistern
Auch von mir ein dickes Dankeschön für den Journalismus der Offenheit. Möglich dass jemand irgendwo Fehlerchen findet, aber der gesamte Text spiegelt das Bemühen zur Fairness und Genauigkeit.
Sebastian Heiser wurde an der Kölner Journalistenschule ausgebildet wurde. Das weckt bittere Erinnerungen an den früheren Leiter der Schule Heinz D. Stuckmann. Der rekrutierte dort Nachwuchs für den Stasidienst der DDR.
Bei diesem Geschäft kommt es nicht auf die raffinierte Technik an, die der Späher verwendet. Es kommt vielmehr darauf an, sich persönliche, private, wenn möglich intime Kenntnisse über Personen anzueignen. Solche Kenntnisse werden dann zu einem späteren Zeitpunkt benutzt, um die ausgespähte Person zu einem erwünschten Verhalten zu zwingen oder zu verführen.
Eine zweite Anwendung solcher Spähtätigkeit kann das sein, was der Stasi Zersetzung nannte: Einfach Streit und Missgunst streuen, um in einem passenden Moment von wesentlichen Dingen abzulenken. Beispiel: Ein Amtsträger leitet einen wichtigen Ausschuss, bei dem unangenehme Staatsereignisse aufgedeckt werden. Im Höhepunkt der Ermittlungen wird er selbst bloßgestellt. Es ist wichtig, in solchen Positionen verletzbare Persönlichkeiten einzusetzen.
Dafür bedarf es ja keines Auftrags für die Spionage. Die Daten sind länger wertvoll als die Frist der Verjährung.
33523 (Profil gelöscht)
Gast
Das er für den Geheimdienst gearbeitet hat kann man quasi ausschließen. Die geben sich nicht mit Hardware-Keyloggern aus und schon garnicht mit solchen die nicht einmal ein WLAN- oder Funk-Modul integriert haben. Da wird sowas auf Software-Ebene gelöst.
Der Delitantismus des Herrn Heiser legt zwar nahme das aus technischer Sicht von ihm keine sonderlich große Gefahr ausging aber ich würde dennoch mal darüber nachdenken ein IT-Forensik-Unternehmen einzuschalten um die Infrastruktur der taz auf evtl. bereits kompromittierte Systeme hin zu überprüfen. Wenn das kostentechnisch zu viel wird könnte man tatsächlich, wie bereits vorgeschlegen auch den CCC um Hilfe bitten.
Am Ende klingt es ja doch eher so als wäre es da um eine Art Voyeurismus gegangen. Ist vielleicht von den Ausgängen die möglich waren wohl nocht der harmloseste.
Rudolf Fissner
@33523 (Profil gelöscht) IT-Delitantismus kann nur erfolgreich sein wen er auf IT-Delitantismus trifft ;-)
Alessandro Bauer
Oh, oh...
"Bei der Auswertung müssen sich die EDV-Mitarbeiter also durch einen Wust von Zeichen suchen. "
Ich hoffe das war nur metaphorisch gemeint und Ihre EDV Leute haben nicht wirklich in den "Wust von Zeichen" durchsucht. Dieser lässt sich nämlich ganz einfach wieder zu gut lesbarem Text verwandeln...
Wolf-Dieter Busch
@Alessandro Bauer War auch mein erster Gedanke
Kubatsch
"...Sie werden aufgefordert, ihre Passwörter zu ändern. „Bitte auch bei anderen Accounts, z.B. bei GMX oder Web.de oder Hotmail, Twitter, Facebook“."
Alles sichere highend verschlüsselte Mailanbieter. Gerade der CCC hat sich in ihrem Jahresrückblick (glaube 2013) über die "mail made in germany" lustig gemacht.
Trotzdem Lob wegen Offenlegung.
Kapiert
Danke für die Aufklärung und den langen, spannenden und offenen Bericht, taz. Das verdient Anerkennung, schließlich stellt ihr Euch damit auch selbst in ein kritisches Licht.
Was mich an der Geschichte etwas wundert: Der offenbar ja mindestens ein Jahr währende Einsatz eines Hardware-Keyloggers ist eine riskante Sache: Wie konnte der Spion sicher sein, dass nicht ein Admin, IT-Mensch, Hardware-Zuständiger etc. den zwischengeschalteten Stick entdeckt? Eine Tastatur wird doch mal umgesteckt oder an einem anderen Rechner verwendet. Also noch Geheimdienst klingt das wirklich nicht.
Dennoch scheint der mutmaßliche Täter auf eine gewisse Weise clever und analytisch, also fehlte ihm vielleicht das Wissen, welche Spuren man in einem Unternehmensumgebung hinterlässt. Oder er nahm das Risiko bewusst in Kauf.
Aber das dann offenbar doch für eine eher private Geschichte - hier lässt sich nur spekulieren, klingt aber irgendwie nach dem Vorhaben, einen Informationssprung zum Angraben junger Frauen auszunutzen (ich will übrigens nicht wissen, was Facebook-Mitarbeiter so alles theoretisch sehen könnten).
Das Ganze kann ich nur als Mahnung empfehlen, bei IT-/Datensicherheit niemals zu blauäugig zu sein. Denn immerhin gibt es auch Keylogger, die unsichtbar auf einem Rechner als Programm laufen und Daten an anonyme Server irgendwo auf der Welt schicken. So etwas können dann oft nur IT-Profis aufdecken (und installieren oder per Hack einschleusen).
Arne Babenhauserheide
Mir wäre an einem Arbeitsrechner ein weiterer USB-Stick übrigens wohl auch nicht sofort aufgefallen, sondern erst, wenn ich selbst mal an den Kabeln bastle.
Arne Babenhauserheide
> "sondern einen Programmierer aus London"
Der Satz geht mir etwas zu weit (damit ließe sich zu viel finden).
Ansonsten finde ich den Artikel gut und wichtig. Danke! Respekt, dass ihr so klar schreibt, was passiert ist, und dass ihr weiter aufgeklärt habt — gerade als ihr gemerkt habt, dass manche Sachen nicht so gut liefern.
Ich fände es toll, wenn ihr als Fazit den CCC einschalten würdet, um eure IT zu sichern. Und dann auch zuhört: Wenn euch jemand sagt, dass etwas nicht sicher ist, dann seid ihr in der Verantwortung, es zu ändern. Auch wenn es unbequem ist. Vermutlich werden sich einige von euch umgewöhnen müssen. Aber das ist, wofür wir als Lesende euch als Vierte Gewalt finanzieren.
clarafcks
Die Redaktion kann ganz anders überwacht werden, viel einfacher als über Keylogger und ohne Zutritt zu den Redaktionsräumen.
Hier wird die taz ihrer Verantwortung für ihre Quellen nicht gerecht. Sorgt dafür, dass eure Daten sicher sind und Quellen geschützt werden!
Vidocq
Ein sehr vielschichtiger Beitrag; so wünsche ich mir Journalismus.
Udo Welter
Hochspannend geschrieben, zuerst dachte ich auch an eine Agentengeschichte. Als allerdings mehr Praktikantinnen erwähnt wurden drehte sich meine Einschätzung. So ein Keylogger ist natürlich hochspannend, vor allen Dingen wenn es darum geht vor Praktikanntinnen den "dicken Max" zu machen.
Wer weiß es? So lange der Typ nicht selber auspackt wird man die Wahrheit vermutlich nicht erfahren.
Lücking Daniel
Spannender Artikel - aber er wirft einige Fragen auf. Zu viele für die Zeichenbegrenzung hier in den Leserkommentare.
Die wichtigste Frage aber: warum begeht Heiser einige Fehler, die jemand mit seinen Kenntnissen eigentlich nicht machen dürfte?
Meine Gedanken dazu im Artkel "Dateiname LOG.TXT – Warum “Heiser” immernoch in der TAZ ist … "
https://daniel-luecking.berlin/?p=3328
33731 (Profil gelöscht)
Gast
danke für den link: http://berliner-wassertisch.info/strafanzeige-des-wassertischs-missbrauch-zu-pr-zwecken-oder-demokratisches-recht/
hochspannend. da wirft dieser heiser mit dem begriff "verschwörungstheorien" um sich. der wird doch wohl nicht teil der "antideutschen" schmierage gewesen sein die linke am liebsten über diesen vorwurf in die rechte ecke stellt?
taz ..ihr habt evtl ein problem das größer ist ein keylogger den euch jemand ein jahr lang in den pupser gesteckt hat.
schauder*
wxyz
Na sowas, einfach einen Zusatzstick an das Kabel angehängt! Wenn das über eine so lange Zeit nicht bemerkt wurde, dann empfehle ich dringend, auch einmal nachzuschauen, ob vor den Schreibtischen der Mitarbeiter Kamerateams stehen, die da ebenfall herumspionieren, oder ob die Deckenlampen verschwunden sind und dort stattdessen Mikrofone hängen.
Immerhin ist es ja denkbar, daß dort, wo das eine Scheunentor übersehen wurde, auch noch andere Scheunentore zu finden sind.
Tim Landscheidt
@wxyz Bei der anscheinend hohen Fluktuation an Praktikanten, deren Benutzerzugänge nach Ende des Praktikums noch nicht einmal abgeschaltet werden, würde ich mir über technische Angriffe keine großen Gedanken machen.
Bodo Eggert
Wenn man nichts als Laptops und Ei-Pads kennt, ist so eine Meinung erklärlich. Einen Keylogger hinter einem PC unterm Schreibtisch entdecken - wer guckt regelmäßig dahinter? Monk?
Selbst bei Desktop-PCs schließt man eine USB-Verlängerung an, versteckt den Logger unterm Schreibtisch und keinem wird das auffallen. Außer das Kabel war vorher viel zu kurz und plötzlich spannt es nicht mehr quer übers Arbeitsfeld.
TazTiz
Gerichtsverhandlungen sind öffentlich. Angeklagte und Opfer sowie Zeugen können durch Ausschluss der Öffentlichkeit geschützt werden. Jeder Angeklagter, jeder Zeuge, jedes Opfer darf sich Rechtsbestand nehmen.
Was die Taz hier macht, ist ein öffentlicher Pranger ohne rechtstaatliche Elemente noch bevor ein ordentliches Gericht sein Urteil gesprochen hat. Hinter aller vermeintlicher Objektivität steht ein Rechtsverständnis, das ich nicht bewerten will, aber an dunkle Zeiten erinnert.
derdeet
@taztom: Ein wenig Recherche, und es wäre Ihnen aufgefallen, dass der Name "Sebastian Heiser" nicht jetzt erst von der taz, sondern quasi direkt nach der Auffindung des Keyloggers von diversen ANDEREN Medien genannt wurde. Soweit mir bekannt ist, hat die taz den Namen bisher NIE genannt! Jetzt aber hat man sich wohl dazu durchgerungen, den ohnehin schon allen bekannten Namen auch selber zu nennen - alles andere (z.B. "S.H., "der Name ist der Redaktion bekannt" oder andere Dinge) wären m.E. einfach nur albern gewesen.
Ihr Vorwurf an die taz geht also ins leere.
JensL
Pranger. Jetzt komm mal runter. Ich finde es verdammt fair, wie die taz-Redaktion mit dieser Sache und mit Heiser umgegangen ist. Die Autoren haben mehrfach erklärt, warum sie seinen Namen nennen - alle Ausgespähten haben ein Recht darauf zu erfahren, dass sie ausgespäht wurden!
Und dann machen sich die Redakteure auch noch die Mühe, ihm nach Asien zu folgen - einfach, weil sie mal eine menschliche Antwort wollen, weil sie sich als Kollegen und Freunde getäuscht und verraten fühlten. Und er? Hat nicht mal die Größe sich wenigstens zu erklären und flüchtet sich in fade Ausreden und ins Ausland. Ganz ganz arm ist das, was Heiser da gemacht hat.
A. Müllermilch
@TazTiz So sehe ich das auch. Der Typ ist fertig, hat sich sogar ins Ausland verdrückt und wird jetz noch mal öffentlich vorgeführt.
Eric Manneschmidt
was für ein wirres Statement.
...soll sich doch die Presse in Zukunft auf den Wetterbericht beschränken, damit sich ja niemand an den "Pranger" gestellt fühlen muss.
Und dann die Grammatik.
TazTiz
@Eric Manneschmidt Die TAZ kann ihre eigenen Mitarbeiter und Informanten aufgrund eines ausgesprochen laxen Umgangs mit Daten nicht schützen. Was ein systemischer Fehler ist, wird hier einem einzelnen zugeschrieben. Und dann wird dieser dem Urteil der Leserschaft - wie an einem Pranger - ausgeliefert. Fehlt neben dem Namen nur noch die Adresse, damit mal jemand vorbeischaut und ... das sind Methoden, die in einem anderen Kontext ganz sicher bei der selben TAZ ausgesprochenes Mißfallen hervorgerufen hätten.
Mustardman
Hmm, sieht ganz so aus, als hätte da jemand irgendwann angefangen Beruf (oder Berufung) mit urprivaten Dingen zu vermischen, indem er jungen Frauen nachsteigt, nachdem die journalistisch-voyeuristische Grenzüberschreitung ja schon vorher passiert war. Mit der blitzartigen Flucht ins Ausland ohne jegliche Rechtfertigungsversuche gesteht er ja auch nur, dass das nicht zu rechtfertigen ist. Der Sturz aus einer vielversprechenden journalistischen Karriere zu SEO (das sind die Ruderer auf der Internetwerbungsgaleere) muss sehr wehtun. Obwohl er auch das sicherlich gut kann. Insgesamt wirkt er aber wie ein sehr gut organisiertes und von sich sehr überzeugtes feiges A*** und das hat er sich nun selber und der ganzen Welt zweifelsfrei bewiesen.
@Panama: Wer glaubt, soziale Probleme ließen sich mit technischen Mitteln lösen, der würde aus einer Redaktion ein Hochsicherheitsgefängnis machen.
lions
"Im Oktober 2010 veröffentlicht er in der taz die bis dahin geheimen Berliner Wasserverträge, deren Offenlegung eine BürgerInneninitiative seit Jahren erfolglos eingefordert hat."
Hier ist die verkehrte Stelle, um an Heisers Reputation zu arbeiten. Er fiel dem Wassertisch und dem Volksbegehren mit der Veröffentlichung in den Rücken: http://berliner-wassertisch.info/strafanzeige-des-wassertischs-missbrauch-zu-pr-zwecken-oder-demokratisches-recht/
Eric Manneschmidt
@lions Danke!
Amie
WENN der Kollege für einen Geheimdienst gearbeitet hätte, wäre hier sicher nicht ein "billig-Keylogger" aus dem geek-shop verwendet worden. Professionelles Geheimdienstmaterial muss nicht mal von einer Person abgeholt werden. Diese Geräte verschicken ihre Nutzlast per Funk, wenn sie von außen (auch außerhalb des Gebäudes) durch einen starken Funksender (ähnlich Radar) "beleuchtet" werden. Das bekommt niemand, der nicht über entsprechendes Know-how und kontinuierliche Messelektronik verfügt.
https://www.getdigital.de/USB-Keylogger.html
33731 (Profil gelöscht)
Gast
sensible informationen sind bei euch nicht sicher. punkt. vieleicht ist jemand beim ccc so nett euch ein paar grundgedanken mit auf den weg zu geben. ansonsten übliche misere deutscher medien im netz. unfähigkeit das ganze als technisches problem zu begreifen. eure EDV eingeschlossen ..wenn die da nicht über beide ohren mit drin steckt.
JensL
@33731 (Profil gelöscht) Oh Mann, immer diese hämische Besserwisserei im Nachhinein - so typisch deutsch. Spar dir das doch. Jedes System ist angreifbar. Ich bin sicher, die taz hat daraus gelernt. Ich find's jedenfalls toll, dass sie so offen damit umgeht, kein anderes Medienhaus hätte das doch so offen zugegeben.
0371 (Profil gelöscht)
Gast
Vorschnelle Urteile im Kontext mit diesem Artikel halte ich für völlig unangebracht. Fakt ist: jedes Computersystem ist angreifbar, und gegen Dinge wie Keylogger würden nur Maschinen ohne jede erreichbare Schnittstelle helfen. Dazu kommen Gefahren aus dem Netz, die man zwar minimieren, aber nie völlig ausschließen kann.
Die Alternative wären mechanische Schreibmaschinen. Und Personenkontrollen an den Eingängen. Verbot sämtlicher technischer Geräte wie Mobiles und Fotoapparate...
Die Justizvollzugsanstalten kennen sich mit solchen Sicherheitsmaßnahmen aus. Kann und will man so arbeiten?
33324 (Profil gelöscht)
Gast
Sie haben die ganze Geschichte sehr detailliert und nachvollziehbar geschildert und dabei weder die Brisanz noch die Tragik, die in dem Fall steckt, unbeachtet gelassen. Chapeau !
Georg Schmidt