Die WAZ-Gruppe ist heute mit einer guten Idee gestartet. Sie will nach dem Vorbild von Wikileaks anonyme Informanten anlocken, die in Besitz von brisanten Informationen sind. Doch einen kurzen Sicherheitstest von ZDNet besteht das Portal nicht.
Es wäre sicherlich falsch, der WAZ etwa Böses unterstellen zu wollen. Die Rechercheabteilung des Essener Verlagshauses will ihre Informanten genau so gut schützen wie Wikileaks auch. Die persönliche Integrität der Mitarbeiter setze ich voraus. Allerdings halten nicht alle Übertragungswege, was das Portal verspricht. Die angegebene E-Mail-Adresse recherche@waz.de bietet nämlich keinerlei Verschlüsselung.
Ein Telnet an den SMTPS-Port 465 führt zu keinem Verbindungsaufbau. Das ist nicht weiter schlimm, da diese Methode ohnehin als veraltet gilt. Allerdings sollte der SMTP-Server der WAZ auf Port 25 das STARTTLS-Verfahren anbieten. Doch ein Verbindungsprotokoll von ZDNet zeigt, dass das nicht der Fall ist.
Die Auswertung der MX-Records ergibt folgendes:
host -vt mx waz.de Trying "waz.de" ;; ->>HEADERDas bedeutet, dass E-Mail für die Domain waz.de zunächst an mail01.waz-mediengruppe.de zuzustellen ist. Wenn das fehlschlägt, soll der SMTP-Server des Absenders mail02.waz-mediengruppe.de benutzen.
Eine Telnet-Sitzung an TCP-Port 25 von mail01.waz-mediengruppe.de erweckt jedoch wenig Vertauen:
telnet mail01.waz-mediengruppe.de 25 Trying 62.159.119.23... Connected to mail01.waz-mediengruppe.de. Escape character is '^]'. 220 intern.waz.de ehlo ich.will.nicht.erkannt.werden 250-xosmgw04.waz.de Hello vz3.hochstaetter.de [83.169.18.51], pleased to meet you 250-PIPELINING 250-SIZE 100000000 250-8BITMIME 250 HELP starttls 454 TLS not available due to temporary reason quit 221 Bye Connection closed by foreign host.Als ich den Server mit dem Befehl ehlo ich.will.nicht.erkannt.werden begrüße, löst er als erstes per Reverse-DNS meinen vollständigen Namen (vz3.hochstaetter.de) auf. Für einen SMTP-Server, der für anonyme Informanten gedacht ist, ist das ganz schön neugierig.
Es kann natürlich theoretisch sein, dass der Server diese Daten nicht speichert und gleich wieder vergisst. Allerdings ist das unwahrscheinlich, denn über die Domain waz.de läuft ja auch die offizielle Geschäftskorrespondenz des Konzerns und da gibt es ja Aufbewahrungs- und Dokumentationspflichten (Compliance-Anforderungen). Für eine anonyme Mailbox muss natürlich eine eigene Domain mit eigenem SMTP-Server her, der nichts mitloggt und nur den reinen Inhalt der E-Mail speichert oder weiterleitet.
In der Antwort zur EHLO-Begrüßung fällt ebenfalls auf, dass der Server keine Verschlüsselung anbietet. Dazu hätte das Wort "STARTTLS" in der Liste der unterstützten Kommandos auftauchen müssen. Ist das nicht der Fall, unternimmt der sendende SMTP-Server keinen Versuch zur Verschlüsselung. Dass auf meine Eingabe von starttls die Fehlermeldung "454 TLS not available due to temporary reason" erscheint, ist unerheblich. Ein echter SMTP-Server versucht nicht zu verschlüsseln, wenn ihm zuvor mitgeteilt wurde, dass das nicht möglich ist.
Sollte die WAZ über ihren Provider Deutsche Telekom abgehört werden, weil der Staat befürchtet, dass dort brisante Informationen eingehen, die nicht veröffentlicht werden sollen, ist das leicht möglich. Die Informationen werden im Klartext übermittelt.
Der Übertragungsweg E-Mail bereitet natürlich noch andere Sicherheitsprobleme, die außerhalb des Einflussbereichs der WAZ liegen, etwa wie sich der E-Mail-Dienstleister des Absenders beim Logging und Herausgabe der Daten an Behörden verhält. Außerdem verschlüsseln viele Provider E-Mails auch dann nicht, wenn der SMTP-Servers des Empfängers das anbietet.
Die WAZ empfiehlt drei Anbieter von anonymer E-Mail. Zwei davon erlauben es gar nicht, eine Mail zu verschicken, sondern nur zu empfangen. Der Benutzer muss daher selbst eine Mail mit falschem Absender möglichst über einen anonymen Proxy im Ausland verschicken. Das erfordert jedoch ein erweitertes technisches Verständnis. Der dritte E-Mail-Dienst leitet eingehende Mails an die echte E-Mail-Adresse des Users weiter.
Das E-Mail-Konzept der WAZ für Informanten ist nicht gut durchdacht. Allerdings sollte man generell auf E-Mails als Kommunikationsweg verzichten, wenn man garantiert anonym bleiben möchte.
Einen besseren Job hat die WAZ bei ihrem Kontaktformular gemacht. Die Daten werden verschlüsselt gesendet. Die Website ist mit einem gültigen Zertifikat ausgestattet. Außerdem verspricht die WAZ, dass keine Verbindungsdaten, etwa die IP-Adresse mitgeloggt wird.
Auch der Dateiupload scheint hinreichend gesichert. Die Übertragung läuft ebenfalls via SSL/TLS mit gültigem Zertifikat. Zusätzlich werden die Dateien mit einem GnuPG-Public-Key verschlüsselt. Zum entsprechenden Private Key haben nur die Mitarbeiter der Recherche-Abteilung Zugang. Dass keine Logfiles angelegt werden, verspricht die WAZ an dieser Stelle nicht explizit, aber das sei einmal vorausgesetzt.
Zu bedenken ist allerdings, dass bei einer Abhörmaßnahme zwar verhindert wird, dass der Staat herausfindet, was hochgeladen wurde, aber nicht, wer, beziehungsweise welche IP-Adresse, etwas hochgeladen hat. Die WAZ hat hier zwar alles getan, was ihr möglich ist, dennoch muss ein Informant eigene Maßnahmen treffen. Konkret bedeutet das, dass er durch die IP-Adresse nicht identifiziert werden darf.
Ziemlich sicher ist die Nutzung eines Anonymisierungsnetzwerks wie Tor. Es gibt die Möglichkeit, dass einige Tor-Knoten eine modifizierte Software verwenden, mit der sich die IP-Adresse ermitteln lässt. Ähnlich sicher ist die Nutzung eines anonymen Proxys in einem Land, das mit der Bundesrepublik Deutschland auf dem Gebiet der IT-Sicherheit möglichst wenig zusammenarbeitet, etwa China oder die Ukraine.
Die beste Möglichkeit ist jedoch, es wie bei Wikileaks zu machen: Es nimmt Material derzeit nur über ein Postfach in Australien an. Wer der WAZ etwas mitzuteilen hat, schickt einfach einen USB-Stick mit seinem Material an die Recherche-Abteilung. Wenn die WAZ es ernst meint, vernichtet sie den Datenträger und das Verpackungsmaterial umgehend. Fingerabdrücke und Genspuren sollte man trotzdem vermeiden.
HIGHLIGHTThemenschwerpunkt Wikileaks mit Umfrageergebnis
Wikileaks will mit der Veröffentlichung von vertraulichen Dokumenten mehr Transparenz schaffen. Das kommt nicht überall gut an. ZDNet bietet in diesem Special Nachrichten und Hintergrundberichte über die umstrittene Whistleblower-Plattform.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.