Mangelhafte Security bei E-Mail an „WAZLeaks“

Die WAZ-Gruppe ist heute mit einer guten Idee gestartet. Sie will nach dem Vorbild von Wikileaks anonyme Informanten anlocken, die in Besitz von brisanten Informationen sind. Doch einen kurzen Sicherheitstest von ZDNet besteht das Portal nicht.

Die WAZ-Gruppe ist heute mit einer guten Idee gestartet. Sie will nach dem Vorbild von Wikileaks anonyme Informanten anlocken, die in Besitz von brisanten Informationen sind. Doch einen kurzen Sicherheitstest von ZDNet besteht das Portal nicht.

Es wäre sicherlich falsch, der WAZ etwa Böses unterstellen zu wollen. Die Rechercheabteilung des Essener Verlagshauses will ihre Informanten genau so gut schützen wie Wikileaks auch. Die persönliche Integrität der Mitarbeiter setze ich voraus. Allerdings halten nicht alle Übertragungswege, was das Portal verspricht. Die angegebene E-Mail-Adresse recherche@waz.de bietet nämlich keinerlei Verschlüsselung.

Ein Telnet an den SMTPS-Port 465 führt zu keinem Verbindungsaufbau. Das ist nicht weiter schlimm, da diese Methode ohnehin als veraltet gilt. Allerdings sollte der SMTP-Server der WAZ auf Port 25 das STARTTLS-Verfahren anbieten. Doch ein Verbindungsprotokoll von ZDNet zeigt, dass das nicht der Fall ist.

Die Auswertung der MX-Records ergibt folgendes:

host -vt mx waz.de
Trying "waz.de"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15621
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
 
;; QUESTION SECTION:
;waz.de.                                IN      MX
 
;; ANSWER SECTION:
waz.de.                 564     IN      MX      100 mail01.waz-mediengruppe.de.
waz.de.                 564     IN      MX      200 mail02.waz-mediengruppe.de.
 
;; AUTHORITY SECTION:
waz.de.                 83778   IN      NS      auth02.ns.de.uu.net.
waz.de.                 83778   IN      NS      auth52.ns.de.uu.net.
 
;; ADDITIONAL SECTION:
auth02.ns.de.uu.net.    44547   IN      A       192.76.144.15
auth52.ns.de.uu.net.    66941   IN      A       194.128.171.101
 
Received 173 bytes from ::1#53 in 0 ms

Das bedeutet, dass E-Mail für die Domain waz.de zunächst an mail01.waz-mediengruppe.de zuzustellen ist. Wenn das fehlschlägt, soll der SMTP-Server des Absenders mail02.waz-mediengruppe.de benutzen.

Eine Telnet-Sitzung an TCP-Port 25 von mail01.waz-mediengruppe.de erweckt jedoch wenig Vertauen:

telnet mail01.waz-mediengruppe.de 25
Trying 62.159.119.23...
Connected to mail01.waz-mediengruppe.de.
Escape character is '^]'.
220 intern.waz.de
ehlo ich.will.nicht.erkannt.werden
250-xosmgw04.waz.de Hello vz3.hochstaetter.de [83.169.18.51], pleased to meet you
250-PIPELINING
250-SIZE 100000000
250-8BITMIME
250 HELP
starttls
454 TLS not available due to temporary reason
quit
221 Bye
Connection closed by foreign host.

Als ich den Server mit dem Befehl ehlo ich.will.nicht.erkannt.werden begrüße, löst er als erstes per Reverse-DNS meinen vollständigen Namen (vz3.hochstaetter.de) auf. Für einen SMTP-Server, der für anonyme Informanten gedacht ist, ist das ganz schön neugierig.

Es kann natürlich theoretisch sein, dass der Server diese Daten nicht speichert und gleich wieder vergisst. Allerdings ist das unwahrscheinlich, denn über die Domain waz.de läuft ja auch die offizielle Geschäftskorrespondenz des Konzerns und da gibt es ja Aufbewahrungs- und Dokumentationspflichten (Compliance-Anforderungen). Für eine anonyme Mailbox muss natürlich eine eigene Domain mit eigenem SMTP-Server her, der nichts mitloggt und nur den reinen Inhalt der E-Mail speichert oder weiterleitet.

In der Antwort zur EHLO-Begrüßung fällt ebenfalls auf, dass der Server keine Verschlüsselung anbietet. Dazu hätte das Wort "STARTTLS" in der Liste der unterstützten Kommandos auftauchen müssen. Ist das nicht der Fall, unternimmt der sendende SMTP-Server keinen Versuch zur Verschlüsselung. Dass auf meine Eingabe von starttls die Fehlermeldung "454 TLS not available due to temporary reason" erscheint, ist unerheblich. Ein echter SMTP-Server versucht nicht zu verschlüsseln, wenn ihm zuvor mitgeteilt wurde, dass das nicht möglich ist.

Sollte die WAZ über ihren Provider Deutsche Telekom abgehört werden, weil der Staat befürchtet, dass dort brisante Informationen eingehen, die nicht veröffentlicht werden sollen, ist das leicht möglich. Die Informationen werden im Klartext übermittelt.

Der Übertragungsweg E-Mail bereitet natürlich noch andere Sicherheitsprobleme, die außerhalb des Einflussbereichs der WAZ liegen, etwa wie sich der E-Mail-Dienstleister des Absenders beim Logging und Herausgabe der Daten an Behörden verhält. Außerdem verschlüsseln viele Provider E-Mails auch dann nicht, wenn der SMTP-Servers des Empfängers das anbietet.

Die WAZ empfiehlt drei Anbieter von anonymer E-Mail. Zwei davon erlauben es gar nicht, eine Mail zu verschicken, sondern nur zu empfangen. Der Benutzer muss daher selbst eine Mail mit falschem Absender möglichst über einen anonymen Proxy im Ausland verschicken. Das erfordert jedoch ein erweitertes technisches Verständnis. Der dritte E-Mail-Dienst leitet eingehende Mails an die echte E-Mail-Adresse des Users weiter.

Das E-Mail-Konzept der WAZ für Informanten ist nicht gut durchdacht. Allerdings sollte man generell auf E-Mails als Kommunikationsweg verzichten, wenn man garantiert anonym bleiben möchte.

Einen besseren Job hat die WAZ bei ihrem Kontaktformular gemacht. Die Daten werden verschlüsselt gesendet. Die Website ist mit einem gültigen Zertifikat ausgestattet. Außerdem verspricht die WAZ, dass keine Verbindungsdaten, etwa die IP-Adresse mitgeloggt wird.

Auch der Dateiupload scheint hinreichend gesichert. Die Übertragung läuft ebenfalls via SSL/TLS mit gültigem Zertifikat. Zusätzlich werden die Dateien mit einem GnuPG-Public-Key verschlüsselt. Zum entsprechenden Private Key haben nur die Mitarbeiter der Recherche-Abteilung Zugang. Dass keine Logfiles angelegt werden, verspricht die WAZ an dieser Stelle nicht explizit, aber das sei einmal vorausgesetzt.

Zu bedenken ist allerdings, dass bei einer Abhörmaßnahme zwar verhindert wird, dass der Staat herausfindet, was hochgeladen wurde, aber nicht, wer, beziehungsweise welche IP-Adresse, etwas hochgeladen hat. Die WAZ hat hier zwar alles getan, was ihr möglich ist, dennoch muss ein Informant eigene Maßnahmen treffen. Konkret bedeutet das, dass er durch die IP-Adresse nicht identifiziert werden darf.

Ziemlich sicher ist die Nutzung eines Anonymisierungsnetzwerks wie Tor. Es gibt die Möglichkeit, dass einige Tor-Knoten eine modifizierte Software verwenden, mit der sich die IP-Adresse ermitteln lässt. Ähnlich sicher ist die Nutzung eines anonymen Proxys in einem Land, das mit der Bundesrepublik Deutschland auf dem Gebiet der IT-Sicherheit möglichst wenig zusammenarbeitet, etwa China oder die Ukraine.

Die beste Möglichkeit ist jedoch, es wie bei Wikileaks zu machen: Es nimmt Material derzeit nur über ein Postfach in Australien an. Wer der WAZ etwas mitzuteilen hat, schickt einfach einen USB-Stick mit seinem Material an die Recherche-Abteilung. Wenn die WAZ es ernst meint, vernichtet sie den Datenträger und das Verpackungsmaterial umgehend. Fingerabdrücke und Genspuren sollte man trotzdem vermeiden.

HIGHLIGHT

Themenschwerpunkt Wikileaks mit Umfrageergebnis

Wikileaks will mit der Veröffentlichung von vertraulichen Dokumenten mehr Transparenz schaffen. Das kommt nicht überall gut an. ZDNet bietet in diesem Special Nachrichten und Hintergrundberichte über die umstrittene Whistleblower-Plattform.

Themenseiten: Analysen & Kommentare, E-Mail, Privacy, Wikileaks

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

9 Kommentare zu Mangelhafte Security bei E-Mail an „WAZLeaks“

Kommentar hinzufügen
  • Am 13. Dezember 2010 um 23:22 von DFranzenburg

    Mangelhafte Security bei E-Mail an“WAZLeaks“
    Interessant wäre zu erfahren, ob die WAZ-Gruppe von dem Testergebnis Kenntnis erhalten hat und welche Konsequenz die WAZ-Gruppe daraus zieht.

    • Am 14. Dezember 2010 um 1:01 von BerndBruns

      AW: Mangelhafte Security bei E-Mail an
      Ich habe den folgenden Text als Leserkommentar in derwesten.de veröffentlicht und parallel auch per mail an den angeblich im Ausland befindlichen „sicheren Server“ an recherche@waz.de gesendet:

      Das neue „WAZ-Leaks“ hat offenbar gravierende Sicherheitsmängel und Risiken für anonyme Informanten. Zu dieser Erkenntnis kommt die Redaktion ZDNET.de:

      http://www.zdnet.de/sicherheit_red_alert_blog_mangelhafte_security_bei_e_mail_an_wazleaks_story-39002400-41542309-1.htm

      Nach alledem ist es zur Zeit noch nicht zu empfehlen, den angebotenen „anonymen Upload“ zu nutzen.

      • Am 14. Dezember 2010 um 7:14 von David Schraven

        AW: AW: Mangelhafte Security bei E-Mail an
        Die Email Recherche@WAZ.deist offen. Es handelt sich bei der Adresse um eine ganz klassische Emailadresse, die weder verschlüsselt noch gesichert ist. Die verschlüsselte Email ist das große, freie Feld darüber, wo man nur auf senden drücken muss. Das steht da übrigens. auch auf der Seite.

        Der Dokumentenupload findet auch nicht über die Email statt, sondern über den Upload auf der Upload-Seite. Und der Upload ist alles verschlüsselt.

        Ich hätte das auch gerne gesagt, wenn man mich gefragt hätte. Aber gefragt wurde ich ja nicht.

        Wie gesagt:

        Verschlüsselte Email. Der große weiße Kasten

        Normale Email: NICHT VERSCHLÜSSELT

        Der Upload auf der anderen Seite: VERSCHLÜSSELT

        Grüße David Schraven von der WAZ/derwesten

  • Am 14. Dezember 2010 um 8:17 von David Schraven / WAZ / derwesten

    Eine normale Email ist kein Upload.
    Die Email Recherche@WAZ.de ist offen. Es handelt sich bei der Adresse um eine ganz klassische Emailadresse, die weder verschlüsselt noch gesichert ist. Die verschlüsselte Email ist das große, freie Feld darüber, da wo man seinen Text eintippen kann und nur auf senden drücken muss. Das steht da übrigens. Auch auf der Seite. 

    Der Dokumentenupload findet auch nicht über die Email statt, sondern über den Upload auf der Upload-Seite. Und der Upload ist komplett verschlüsselt. 

    Ich hätte das auch gerne ZDNetgesagt, wenn man mich gefragt hätte. Aber gefragt wurde ich ja nicht. 

    Wie gesagt: 

    Verschlüsselte Email. Der große weiße Kasten

    Normale Email: NICHT VERSCHLÜSSELT

    Der Upload auf der anderen Seite: VERSCHLÜSSELT

    Grüße David Schraven von der WAZ/derwesten

    • Am 14. Dezember 2010 um 12:15 von Christoph H. Hochstätter

      AW: Eine normale Email ist kein Upload.
      Aus unserer Sicht werden potenzielle Informanten nicht ausreichend über die Risiken informiert. Die Pressefreiheit schützt die Presse, nicht aber den Informanten. Wenn man ihm nachweisen kann, dass er geheime oder vertrauliche Informationen an die Presse gegeben hat, muss er sich dafür verantworten (z.B. arbeitsrechtlich und/oder strafrechtlich).

      Dazu muss man berücksichtigen, dass Informanten in der Regel keine technischen Experten sind, die in der Lage sind, im Vorfeld Sicherheitsprobleme bei E-Mail zu entdecken.

      Beim E-Mail-Formular und beim Dateiupload hat die WAZ aus unserer Sicht alles getan, was ihr möglich ist, um die Enttarnung eines Informanten zu verhindern (Holländischer Dienstleister, der verspricht, keine IP-Adressen zu loggen).

      Dennoch muss auch der Informant Vorsichtsmaßnahmen treffen, vor allem, dass seine IP-Adresse nicht rückzuverfolgen ist, für den Fall, dass eine Behörde wie das BKA oder der Verfassungsschutz am DE-CIX mitlauscht. Auf solche Vorsichtsmaßnahmen und deren Restrisiken (z.B. TOR-Probleme oder Spuren auf Rechnern in Internet-Cafés, die sich mangels Admin-Rechten nicht verwischen lassen) sollte man potenzielle Informanten hinweisen.

      Die Website https://www.derwesten-recherche.org/ erweckt den Eindruck, dass ein einfacher Dateiupload vom heimischen DSL-Anschluss völlig sicher sei. Dabei werden teils problematische Formulierungen verwendet, etwa „Unsere Datenleitungen sind elektronisch gesichert“. Das ist ohne jeden echten Informationswert. Die nachfolgende These „Niemand wird Sie enttarnen können“ halte ich für gewagt.

      Die Idee an sich halte ich für ganz hervorragend. Je mehr Verlage sich anschließen, desto besser. Man muss jedoch bedenken, dass ein Verlag den Informant nur insoweit schützen kann, dass er seine Quellen nicht preisgibt.

      Wenn er auf andere Weise entdeckt wird, ist es Pech für ihn. Daher sind weitere Sicherheitshinweise erforderlich.

      • Am 14. Dezember 2010 um 21:22 von David Schraven

        AW: AW: Eine normale Email ist kein Upload.
        Hallo Christian Hochstätter,

        Eine Email ist sowas wie eine Telefaxnummer. sollen wir auch schreiben: Achtung dies ist ein Telefax?

        Tut mir echt leid, aber dieser Test ist so, als hätten Sie das Fax überprüft und gesagt, man, das Fax ist ja gar nicht abhörsicher. Wenn man da einen Telebrief durchschickt, dann nimmt das WAZ-Fax das Fax an.

        Das ist doch trivial.

        Sie haben das falsche getestet. Das ist alles.

        Nix für ungut,

        David Schraven

        Man darf doch wohl erwarten, dass jeder eine Email von einem Upload unterscheiden kann?

        • Am 14. Dezember 2010 um 23:19 von Christoph H. Hochstätter

          AW: AW: AW: Eine normale Email ist kein Upload.
          Nun, zwischen Telefax und E-Mail gibt doch einige Unterschiede. Bei Verwendung des ESMTP-Protokoll ist grundsätzlich eine Verschlüsselung mittels STARTTLS-Verfahren vorgesehen. Nur bietet der Mailserver von waz.de dieses Verfahren nicht an. Für einen E-Mail-Server, der sensible Informationen entgegen nehmen soll, ist das aber eine Mindestvoraussetzung.

          Einem städtischen Bediensteten in Duisburg mit Zugang zu vertraulichen Loveparade-Akten traue ich durchaus zu, dass ihm klar ist, dass Telefon und Fax keine sicheren Kommunikationskanäle sind.

          Ob er die technischen Unterschiede zwischen Upload und E-Mail kennt, wage ich zu bezweifeln. Das ist ohnehin unerheblich. Beide Verfahren lassen sich verschlüsselt oder unverschlüsselt realisieren. Fakt ist, dass E-Mails an waz.de immer unverschlüsselt gesendet werden. Die Text auf der Website suggeriert allerdings etwas anderes.

          Ein einfacher Hinweis für den Benutzer, welche Kommunikationswege sicher und welche unsicher sind, würde die Situation für potenzielle Informanten transparenter machen.

    • Am 14. Dezember 2010 um 12:56 von Links farbig

      Links sollten farbig sein
      In jedem Fall sollte die WAZ die Links zu Upload und E-Mail-Kontakt farblich abgestetzt zum übrigen Text in der Spalte gestalten. Ansonsten klickt nämlich in der Tat jeder auf die als E-Mail ersichtliche Adresse recherche@waz.de. Den ganzen Kontakt-Block, der keine Anonymität garantiert, sollte zudem abgesetzt von den anonymen Möglichkeiten platziert werden.

    • Am 15. Dezember 2010 um 17:54 von Thomas

      AW: Eine normale Email ist kein Upload.
      > Die Email Recherche@WAZ.de ist offen. Es handelt sich bei der Adresse um
      > eineganz klassische Emailadresse,

      und warum steht dann über dieser klassischen Mailadresse „Anonyme E-Mail“? Was ist denn das für eine blöde Antwort?

      > Aber gefragt wurde ich ja nicht.

      So sieht die Seite auch aus.

      > Wie gesagt:
      >Verschlüsselte Email. Der große weiße Kasten
      >Normale Email: NICHT VERSCHLÜSSELT
      >Der Upload auf der anderen Seite: VERSCHLÜSSELT

      Mannomann. Aber wenn bei der WAZ der Journalismus die gleiche Qualität hat wie die Netzwerk-Kompetenz, schickt da sowiso niemand was hin :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *