Auf dem Chaos Communication Camp hat Daniel Domscheit-Berg gerade über den aktuellen Stand bei OpenLeaks berichtet. Intern war ja mal von einem Start zu Beginn dieses Jahres gesprochen worden, entsprechend ungeduldig und erwartungsvoll war das Publikum.
Momentan ist das Projekt in einer aplpha-Phase und arbeitet mit 10 Medienpartnern. Mit fünf davon ist man auch technisch ziemlich weit. Über die Partner und deren hohe Werte wurde viel geredet. Openleaks selbst ist aber immer noch keine Organisation. Man spricht mit einer Hamburger Kanzlei und strebt wohl den ausgefallenen Status einer deutschen gemeinnützigen non-profit-Organisation an. Hier wurden sicherlich einige Erwartungen enttäuscht, da Daniel bei anderen Leaking-Seiten häufiger die rechtliche Unsicherheit kritisiert hatte – dass nun ausgerechnet eine schnöde deutsche gemeinnützige Organisation die Lösung des Problems sein soll, mutet ein bisschen plump an. Allerdings erklärte Daniel, dass es vor allem auf den rechtlichen Status der Partner (NGOs, Verlage) ankommt. Dieser ist natürlich von Fall zu Fall verschieden. Hier berät OpenLeaks und sucht nach einer individuellen Lösung.
Bessere Nachtichten gab es von der technischen Seite: Das Submission-System ist seit Monaten einsatzbereit, man wartet nur noch auf die Templates der Medienpartner.
Wieso ist es dann noch nicht online?
Dafür gibt es laut Daniel mehrere Gründe: Der anonyme Briefkasten allein reiche nicht aus. Die Organisationen brauchen nicht nur einen sicheren Zugang, sondern auch eine detaillierte Einführung in ihre eigene Sicherheit, vor allem im Umgang mit den Dokumenten und in der Arbeit mit ihnen. Hier habe man man bei Null an fangen müssen: Einigen müsse erklärt werden, warum ihr privater GMail-Acount vielleicht nicht so eine gute Idee ist.
Ansonsten steckt der Teufel im Detail: Im Moment arbeite man noch an Feinheiten der Quellenanonymität wie zum Beispiel der Minimierung von Browser-Spuren wie gecacheten Bildern, die einen Rückschluss auf den Besuch der Seite ermöglichen würden. Auch an der Anonymisierung und Standardisierung von Dokumentenformaten wird noch gearbeitet.
Das große Problem ist aber das Umgehen von Tracking, vor allem auf den Hauptseiten der Medienpartner, die zwischen 8 und 11 fremden Javascripts wie zum Beispiel Google Analytics einbinden. Das ist deshalb ein Problem, weil über Javascript ausgelesen werden kann, welche Links eine Person klickt. Der Link zum Submission-System kann also nicht ohne weiteres auf der Startseite der Medienpartner stehen ohne Whistleblower einem Risiko auszusetzen.
Zum Schluss wies Daniel auf die vielen Workshops hin, bei denen man mitarbeiten und etwas Lernen könne. Unter anderem stehen Guerilla-Häkeln und auch eine Zaubershow für Kinder zur Wahl. Natürlich aber auch viele Workshops mit Leaking-Bezug. Der spannendste davon wird wohl am 3. Tag des Camps stattfinden, wenn das OpenLeaks-System mit anderen wie privacybox, khleaks, irishleaks und stateleaks verglichen werden soll.
Braucht man dafür aber nicht eine Openleaks-Instanz? Ja, braucht man. Heute Nachmittag soll leaks.taz.de live gehen. Die Nachricht, auf die alle gewartet haben.
Nicht ganz: Zum Ende des Camps soll die Seite wieder abgeschaltet werden.
Im Anschluss wurde dann noch auf einige Fragen eingegangen:
Opensource: Das System sei kostenlos, aber noch nicht quelloffen, weil man im Moment zu sehr beschäftigt ist, ein Repository und die Nachfragen und Bug-Reports zu betreuen.
Infiltration: Gegen Unterwanderung durch Geheimdienste und gegen Gerüchte darüber schützt man sich erstens durch ein kleines Team, zweitens dadurch, dass OpenLeaks selbst gar keinen Zugriff auf die für die Medienpartner bestimmten Dokumente hat. Es komme also auf deren Vertrauenswürdigkeit an.