Generell

Wikileaks: Datengau durch Verpeilung

Wie sind die US-Botschaftsdepeschen an die Öffentlichkeit geleakt? Die Realität ist nochmal viel bizarrer als die Verschwörungstheorien zum Thema.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Vergangene Woche berichtete der Freitag, dass man eine Datei mit den Depeschen im Netz finden könnte, die zwar verschlüsselt ist, aber das Passwort wäre irgendwo publiziert. Daraufhin suchten und rätselten viele, wo man die Datei denn finden könnte. Heute Nacht gab es die Auflösung.

Julian Assange hatte seinerzeit die Depeschen auf den Wikileaks-Server in einem versteckten Unterordner gepackt, damit der Guardian diese herunterladen und bearbeiten konnte. Das Passwort dafür wurde dem Guardian auf einen Zettel geschrieben, laut Guardian sollte das Passwort aber nur wenige Stunden halten und die Datei da auch nicht für immer draufliegen. Assange hat die Datei aber auf dem Server vergessen, zusammen mit den vielen Wikileaks-Solidaritäts-Mirrors wurde die Datei großräumig verteilt und der Guardian-Journalist hat das Passwort in seinem Wikileaks-Buch publiziert. Eine Verkettung unglücklicher Zufälle.

Das ist nun alles aufgeklärt und um die ganze Sache noch skurriler zu machen, geht Wikileaks jetzt gegen den Guardian-Journalisten (und eine Person in Deutschland vor, mir ist gerade unklar, ob damit der Freitag-Journalist oder Daniel Domscheit-Berg gemeint ist) mit einem Anwalt vor und lässt gleichzeitig auf Twitter abstimmen, ob sie jetzt die ganzen Depeschen ohne Quellenschutz veröffentlichen sollen, die eh schon zuviele Menschen und Behörden haben dürften.

Ein klassischer Fall von Datengau durch Verpeilung.

Christian Stöcker hat bei Spiegel-Online das „Depeschen-Desaster in sechs Akten“ beschrieben.

Weitersagen und Unterstützen. Danke!
62 Kommentare
  1. Also geklärt ist irgendwie nix. Man könnte auch fragen warum der Guardian Journalist nicht nochmal vor der Buchveröffentlichung überprüft hat, ob das die Datei noch auf dem Server liegt. Mir scheint hier herscht ein blindes Vertrauen untereinander und das ist angesichts der möglichen Brisanz der jeweiligen Daten mehr als verwunderlich.

    Aber je nachdem wer über diese Geschichte berichtet, beschreibt die Situation anders.

    1. Nehmen wir an, dass es stimmt, dass das Passwort laut WL temporär sei. (was ja verdammt viel Sinn machen würde) Würdest du das Monate später nochmal gegenchecken? Oder würdest du denken – hey, Wikileaks diese Nasen, haben bestimmt den Datensatz noch immer nicht vom Server genommen und das Passwort ist immer noch gültig…

      1. Also von einem Journalist sollte man sowas erwarten. Wir reden hier doch nicht von Pillepallekrams. Spätestens wenn man beim Schreiben der Textzeilen mit dem Passwort ist, sollte es einem doch in den Finger jucken und mal nachschauen. Das meinte ich mit blinden Vertrauen in einem quasi geheimdienstlichen Umfeld – das ist doch Wahnsinn.

        Sei’s drum. Fehler sind menschlich, auf allen Seiten. Es zeigt nur das der Faktor Mensch nicht beseitigt werden kann. Und ob es wirklich ein „Datengau“ ist, wird sich nun ja in Kürze herausstellen…

      2. Was mich daran fasziniert ist, dass Assange nur einen Teil der Passphrase schriftlich fixiert hat und die Modifikation zur Vervollständigung mündlich weitergab. Ein andere stilistische Entscheidung in dem Guardian-Buch, etwa diese Stelle mysteriöser zu gestalten und nur anzudeuten, dass die Passphrase noch geändert werden musste und wir hätten diese Diskussion nicht.

        Es gibt übrigens einen hehren Grundsatz, dass man über Passwörter nicht spricht. Nicht über aktuelle, aber auch nicht über alte, nicht darüber wie toll oder sicher sie sind oder wie toll das System ist, dass man verwendet. Erste Sicherheitsstufe: Klappe halten. Manchmal funktioniert „security by obscurity“ eben doch. :D

  2. Man m ag von DDB ja halten was man will, aber sein Bedenken bezüglich der Sicherheit von Wikileaks sind berechtigt gewesen. Das entschuldigt sicher nicht den ganzen Kindergarten der letzten Monate, aber man muss zumindest den Teil anerkennen.

    1. Je nach Seite der Schilderung wird auch gesagt, DDB hätte bei der Veröffentlichung des Passwortes und der Datei kräftig mitgewirkt um damit seine „Bedenken an der Sicherheit“ wahr werden zu lassen:

      DDB said he didn’t know the password before reading the Leigh book, but apparently *did* know the hidden file name on Bittorrent. Using these two facts (password and the hidden file location), he then went around ingratiating himself with various players by handing them the entire Cablegate archive under the mutually deniable cover of “warning” them about the Leigh book. Enraged after being expelled from the CCC he “gave” the cables in this way to more and more people in exchange for alliances and positive spin culminating with the now infamous Freitag [= german media partner of Domscheit-Berg’s OpenLeaks] and Information.dk articles and now the thing is fucking everywhere…
      Die Quelle verlinke ich lieber nicht, da dort auch das vermeintliche Passwort steht.

      1. Die Quelle verlinke ich lieber nicht, da dort auch das vermeintliche Passwort steht.

        Ja, ist ja nicht so, als ob den gequoteten Text in google rein hauen, nicht auch zum Ziel führen würde. Ein Quote, wo dann auf die Datei gelinkt wird, hast du nicht auch noch Zufällig parat?

      2. Doch doch:

        Download the z.gpg [now dead] file and decrypt, or the decrypted „z.7z“ file will be offered online or mailed on a DVD by request to cryptome[at]earthlink.net with the subject: z7z. For the DVD provide a postal address.

        Recall that Cryptome never claims trustworthiness, authenticity or security, those can only be done by the citizen-user-consumer-believer, if at all. Expect to be deceived.

        Was ist dein Punkt, Martin? Die Datei und das Passwort sind in der Welt. Jeder der die Google-Suche beherrscht findet das, mit oder ohne meine Quotes.

      3. Mein Punkt ist, dass dein Nachsatz zum nicht Verlinken der Quelle überflüssig ist. Bzw. du es auch gleich „ordentlich“ verlinken hättest können (Aus den von dir gebrachten Argumenten).

        PS: Danke für den Cryptome Link, ein Direktdownload wäre mir lieber gewesen. ;)

  3. Bevor jetzt wieder alle anfangen, Wikileaks, DDB, dem Guardian, etc. die Schuld zuzuschieben, schiebe ich gleich erst einmal die Schuld den USA in die Schuhe, die ihre Informanten namentlich aufschreiben und diese Namen in den USA so weit verbreiten, dass garnichts anderes passieren konnte, als dass diese Daten irgendwann an die Öffentlichkeit geraten. Dass dies so lange gedauert hat, kann man Wikleaks eher anrechnen, da sie die Leute in Zusammenarbeit mit den verantwortlichen, sicher auch teils überängstlichen oder im vorauseilendem Gehorsam zensierenden Medien, schützten. Die USA hatten mittlerweile viel Zeit, um ihre Informanten, für deren namentliche Aufdeckung sie selber verantwortlich sind, in Sicherheit zu bringen. Haben sie dies noch immer nicht getan, sind sie und nicht Wikileaks für jeden folgenden Schaden für diese Menschen verantwortlich.

    Übrigens, für Deutschland heiße ich die Veröffentlichung der Namen der Informanten uneingeschränkt gut. Da zudem die Daten für jeden interessierten autokratischen Staat mittlerweile auffindbar und lesbar sein sollten, kann Wikileaks die Daten nun auch ruhig offiziell veröffentlichen. Dadurch wird nur der restlichen Weltbevölkerung der Zugang erleichtert. Deshalb #WLVoteYes

    Bis dann
    Yacine Ghoggal
    YoungSocialist

    1. „.schiebe ich den USA die Schuld in die Schuhe“: OMG (oh my god). Gähn. Was roll das denn? Bin ich , wenn mir jemand Daten unter Verletzung sämtlicher Datenschutzgesetze stiehlt, und dann dieser jemand ein solcher Computer-DAU ist, dass diese dann weltweit sichtbar werden?

    1. Nein, denn das Passwort ist öffentlich verfügbar, genau wie die Datei. Und von „das war das Passwort“ zu „ich habe da doch noch so eine Datei“ ist es wirklich nicht weit, auch wenn viele WL-Fans das gerne so hätten.

      1. Jaja, schon klar. Hätte ich von deiner Ironieresistenz gewusst, hätte ich dir noch ein paar schöne Emoticons hinterlassen…
        …bei der kleinsten Gelegenheit die WL-Fan-Boy-Keule schwingen. Pffft.

  4. „Guardian-Journalist hat das Passwort in seinem Wikileaks-Buch publiziert“

    Meine Fresse, das kann ja wohl nicht wahr sein! Selbst wenn ich weiß, dass ein Passwort abläuft – oder zu wissen glaube, denn schließlich befinden wir uns in der digitalen Welt, in der das mit dem „ablaufen“ oder „vergessen“ so eine Sache ist – werde ich das doch niemals irgendwo veröffentlichen, vor allem nicht so zeitnah in einem Buch. Damit hat dieser dilettantische Guardian-„Journalist“ aus meiner Sicht genauso Schuld an dieser Katastrophe wie die beiden albernen Streithähne von Openwikileaks. Sehr sehr schade das alles.

      1. Wann kannst du denn sicher sein, dass die Datei nicht noch irgendwo unter altem Passwort rumliegt? Das kann irgendein temporärer Speicher, eine Datensicherung oder sonstwas sein. Mal davon abgesehen, dass einige Leute Passwörter mehrmals verwenden.

        Daher ist Klappe halten eigentlich IMMER angebracht.

      2. @KH: Dir schon… Leuten, die keine Experten für Computer oder Sicherheit sind und es auch nicht sein müssen, nicht unbedingt. In der Theorie ist ja auch alles in Butter, sobald die Datei gelöscht wurde…

  5. „Assange hat die Datei aber auf dem Server vergessen, “ Das ist angesichts der Tatsache, dass Wikileaks damals eng mit Medienpartnern zusammenarbeitete, eine gaga-Erklärung. Aber genauso bizarr wie die Sache mit dem Passwort im Buch, Es war übrigens ein Buch-Rezensent, der spaßeshalber das Passwort mit verschiedenen WL-Torrents ausprobierte….

    1. Es gab damals keinen Grund die verschlüsselte Datei nicht auf dem Server zu belassen und auf den diversen Mirrors zu verteilen.
      Leigh veröffentlicht das PW inclusive des nur mündlich mitgeteiltem Zusatzes erst dannach, DDB sticht die Info überall durch.
      Seitdem ( und nicht erst jetzt ) versucht WL gegen den Guardian vorzugehen.
      DDB und dieverse B-Journalisten versuchen aufgrund des Vorfalls WL Unsicherheit nachzuweisen. Keiner der Artikel der letzten Wochen hat auch nur im Ansatz Licht in die Angelegenheit gebracht, im Gegenteil. Ein gutes Beispiel dafür wie Journalisten durch vermeintliche Hintergrundinfo korrumpiert werden.
      Das Datenleck war beim Guardian und bei DDB.
      Wie DDB ähnliche Pannen bei OL verhindern will bleibt unklar.
      Auch unklar bleibt warum es kein Journalist geschafft hat darauf hinzuweisen, daß das Leck ein Journalist eines der Medienpartner war.
      Auch unklar, warum deswegen die restlichen Daten (angeblich) vernichtet werden mussten.
      Total unklar, warum auch dieser Artikel hier nochmal in der Nebelsuppe rührt.
      Das ist kein Datengau durch Verpeilung.

      1. Nach Angaben des Guardian wurde die Datei auf einen besonderen Server des Guardians geladen. Nachdem sie dort abgeholt und entschlüsselt worden war, sei sie nur offline benutzt worden, während die Datei auf dem Server gelöscht worden sei. Was immer da im November 2010 passierte, können wir B-Journalisten nicht überprüfen. Ich glaube auch, wie weiter oben angedeutet, dass diese romantisch-geheimnisvolle Art, ein Passwort teilweise aufzuschreiben und den Rest hinzuzudenken, ins Buch kam, weil es so herrlich konspirativ klingt. Als ich mit Wikileaks zu tun hatte, waren die Dateien schlicht mit dem PGP-Keypaar des jeweiligen Mitarbeiters verschlüsselt, der die zugeordnete Kontaktperson war. Ohne PGP auf beiden Seiten ging gar nichts. Insofern hatte mich die Guardian-Darstellung schon bei der Veröffentlichung des Buches gewundert.

    2. Es sieht so aus, als habe DDB keinen Fehler gemacht. Dennoch geht die Schmutzkampagne weiter, nun auch gegen den armen Freitag.

      Robinson, bitte kommen, verscheu die Kannibalen.

      PGP zur Verschlüsselung dieser Daten ist ja auch man ein Ding… naja…. Ich wunder mich gar nicht, weil ich so etwas erwartet habe. Sicherheit ist immer relativ. Bin ich sicher in meinem Gebäude? Nein. Mein Zimmer könnte kameraüberwacht werden, meine Tastatur geloggt, Monitorabstrahlung, anyone? Es ist bei Sicherheit ja immer die Frage wie viel Aufwand getrieben wird. Wenn das Material für das Umfeld zu heiss wird, glüht alles durch.

  6. „in unterordner gelegt“ … „..vergessen …“ …“ … auf zettel geschrieben …“ – muss man mehr ueber die technologsiche reife von leaking-systemen sagen?
    das vermeintliche password kann man heute googeln. *seufz*

    (wenn’s denn alles so stimmt …)

    die wichtige aufgabe des leakens hat mehr qualitaet und weniger ego verdient.

  7. “Guardian-Journalist hat das Passwort in seinem Wikileaks-Buch publiziert”

    wie soll man die tatsache interpretieren, daß ein journalist in seinem buch das offenbar *tatsächliche* passwort samt echter phrase im klartext veröffentlicht? das kann doch nicht nur dummheit sein.
    jesuschristus&konsorten.

  8. Ich denke der Schaden wird sich in Grenzen halten. Schließlich hatten soviele Personen auf das US-Netzwerk Zugriff, da würde es mich ziemlich wundern wenn nicht jeder Geheimdienst der Welt schon eine Kopie der Daten hatte bevor sie überhaupt an wikileaks geleakt wurden.

    1. Ich denke die Gefahr für Informanten geht nicht unbedingt von denen aus, die sie informiert haben, sondern von denen, über die sie informiert haben.

      Und das sind eben nicht immer Geheimdienste/ Staaten sondern die normale fiese Gang von nebenan, die im Zweifel schneller mit dem Schlagstock bei der Hand ist, als ein Geheimdienst. Oder der Chef von Behörde/Firma xyz, der bei sowas wohl auch wenig Spaß versteht und sich für den Whistleblower im Konzern schon was überlegen wird …

      Und eben die hatten bisher nicht die Möglichkeiten eines Geheimdienstes um an diese Informationen zu kommen. Nun ist das aber ja kein Problem mehr.

  9. Interessant ist jetzt natürlich die Frage, wie akut die Geschichte vor dem Durchbruch stand. Vielleicht hätte der Freitag diesen Scoop lieber einer anderen Presseorganisation überlassen sollen, dass wäre noch ein bisschen ethischer gewesen, als die generierte Aufmerksamkeit selbst abzugreifen. Denn die „nun für jeden zugänglichen Depeschen“ erwiesen sich dann doch als recht obskur, eine Woche verging bis zur Klärung des Sachverhalts für die Öffentlichkeit. In diesem Lichte ist kaum zu glauben, dass sie nicht primär das mit ihnen verbundene Openleaks-Projekt verteidigen wollten. Und auch bei Openleaks kann man sich schwer des Eindrucks erwehren, dass Hinweise auf das Sicherheitsleck vorallem zur eigenen Rechtfertigung gestreut wurden.

    Aber einen Unterschied macht es so oder so nicht, wenn ihr mich fragt. Ich glaube nicht, dass sich die Sicherheitslage für die Mehrzahl der in den Depeschen genannten Personen durch die Vollveröffentlichung nennenswert verändern wird. Einzige Ausnahme ist öffentliche Aufmerksamkeit. Dadurch könnten sich offizielle Stellen zu einem Vorgehen gezwungen sehen. Vigilantentum kann man auch nicht ausschließen. Das Auskippen des Depeschenfüllhorns kann aber auch den umgekehrten Effekt haben, dass viele kleine Geschichten gar nicht mehr aufgegriffen werden und untergehen.

    Das Ganze ist unschön, sieht überaus schlecht aus, schadet dem Ruf der meisten Beteiligten und „der Sache“, aber, wenn das USDoS seine Arbeit gemacht hat, sollten ihre Informanten spätestens seit Ende letzten Jahres darüber informiert sein, dass sie sich als enttarnt betrachten dürfen. Hoffen wir mal im Interesse der Beteiligten, dass sie das nicht verbaselt haben.

    1. SCNR: Der Freitag hat ja noch ziemlich geheimniskrämerisch herumgeschwurbelt. Man könnte ja fast froh sein, daß er nicht der SPON-Blog-Devise seines Herausgebers JA gefolgt ist: „… im Zweifel LINKS!“
      (Siehe oben, Passwortgugln/Cryptomelink.) Mannmannmann.
      Vielleicht kommt ja mal jetzt jemand auf die Idee, sich wieder mit Depescheninhalten (statt Deppen) auseinanderzusetzen. Ich lese jedenfalls nicht 259k Schriftstücke durch. Jetzt wär mal wieder Zeit für krautsoßing: Bröckchen draus machen, verteilen, durchsehen, interessantes sammeln.
      (Und das vielleicht OHNE direkte Namensnennung.Nicht, daß es was helfen würde…)

  10. Weiß jemand um die zeitliche Abfolge? Wann wurde an Leigh/Guardian übergeben? Wann nahm DDB den Server mit? Diese Infos wären für die Bewertung der Verpeiler ganz hilfreich…

    1. Das ist ein exzellenter Punkt, immerhin ist nicht ausgeschlossen, dass die Wikileaks-Aussteiger durch ihre Handlungen zum Zustandekommen des Vorfalls beigetragen haben.

      1. Ich frage mich auch, ob es einen Zusammenhang gibt zwischen dem Versagen beim Löschen des Unterordners bzw. dem faktischen Deaktivieren des Passwortes und der Jagd von Schweden, Briten und Amerikanern auf Assange, denn das passierte ja alles relativ zeitnah beieinander.

      1. Also diese Timeline, die „Rixstep“ da veröffentlicht hat, ist sehr unvollständig. Im Sommer 2008 z.B. traten Daniel „Schmitt“ (schon damals sein Tarnname, nicht 2009) und Julian Assange auf der Tagung des Netzwerks Recherche auf und Assange erzählte da, dass er ein halbes Jahr in D. verbracht hat. Beide waren auch 2009 beim netzwerk recherche, dazu auf mehreren Veranstaltungen wie der HAR .

      2. @Borchers

        „Im Sommer 2008 z.B. traten Daniel “Schmitt” (schon damals sein Tarnname, nicht 2009) und Julian Assange auf der Tagung des Netzwerks Recherche auf und Assange erzählte da, dass er ein halbes Jahr in D. verbracht hat.“

        Ich habe mir nun die Referentenliste (http://www.netzwerkrecherche.de/files/nr-jt2008-materialien.pdf ) der Tagung 2008 angeschaut und da taucht kein Assange und kein Schmitt auf.
        Abgesehen davon wieso soll das angebliche Auftauchen von Assange und Schmitt bei der Tagung 2008 sowie der angebliche 1/2 jährliche Aufenthalt von Assange in D nun dieser Darstellung von timeline widersprechen:

        January 2008

        Assange and Daniel contract the flu at the CCC conference. Assange accompanies Daniel back to his home in Wiesbaden 1 January 2008 where they concentrate on getting over their infection. Assange subsequently stays, on and off, with Daniel for two months. This is the primary occasion Daniel has direct contact with Assange. He works full time for EDS throughout 2008 but does volunteer work for WikiLeaks in his spare time.

        Reference: Inside WikiLeaks by Daniel Domscheit-Berg

        On 9 January WikiLeaks release documents on Julius Bär Bank’s subsidiary in the Cayman Islands. Julius Bär Bank counter by suing WikiLeaks in the US federal court. Assange counters by mustering support from media organisations and activist groups, building a coalition of twenty-two lawyers. Assange won – the wikileaks.org domain had briefly gone offline but it quickly came back again.

        WikiLeaks: Bank Julius Baer
        Reuters: Reuters: Judge reverses ruling in Julius Baer leak case
        Guardian: Bank drops lawsuit against Wikileaks
        Inside WikiLeaks by Daniel Domscheit-Berg
        February 2008

        Assange leaves Wiesbaden for a destination unknown to Daniel, leaving the latter in his house. Daniel spends a month on Iceland with Assange and other WikiLeakers two years later, otherwise their contact was almost entirely through the Internet.

        Reference: Inside WikiLeaks by Daniel Domscheit-Berg

    2. Danke für die Hinweise. Kleine Ergänzung dazu:
      In Leigh/Harding finde ich keine expliziten Angaben darüber, wann die Kabel übergeben wurden, also die Szene mit „Leigh refused“ (s. Link unten von Plörre #16), in deren Anschluss JA die Kabel bereitstellte. Die Datei wurde nach Leigh/Harding mit PGP verschlüsselt. Leigh hat sich PGP installieren müssen, um diese „ACollectionOf…“-Passphrase zu nutzen. (Wie auch immer das mit den Schlüsseln ablief…).
      Aus Kapitel 11 „The Gables“ lässt sich schließen, dass das zeitlich wohl Ende Juli oder Anfang August passiert sein muss. Jedenfalls hatte Leigh genügend Zeit, einige Tage in den Bergen Schottlands zu verbringen und die Daten mit guten TextWrangler zu durchsuchen. Das Kapitel trägt den Untertitel „Near Lochnagar, Scotland August 2010“ und schließt damit, dass die Verhaftung Assanges in Schweden bevorstünde.
      Am 21. August stellte die Staatsanwaltschaft einen Haftbefehl gg JA aus, der seit dem 10. August in Schweden war.
      Am 25. August war der Chat mit der Suspendierung.
      Mitte September hat DDB die Daten vom Server mitgenommen.
      Im Oktober oder früher sind die Kabel and Ellsberg, Brooke, McCarthy und die NYT weitergegeben worden. „There were [am 1.11.] at least three loose copies of the cables believed to be circulating now: with Brooke in the UK, Daniel Ellsberg – of Pentagon papers fame – in the US, and Smári McCarthy, an Icelandic former WikiLeaks programmer who had, according to Assange, let a copy pass to Brooke.“ (Leigh/Harding, Kapitel 13)
      Am 1. November das Meeting beim Guardian mit Redakteuren und Anwälten von Guardian, Spiegel und JA. Guardians Rusbridger zu Assange: „“As I see it you have three options. One, we reach no deal; two, you try and substitute the Washington Post for the NewYork Times; three, you do a deal with us three. One and Two don’t work because you’ve lost control of the material.“

  11. Ich liebe den Verrat, aber hasse den Verräter. Dieser alte Spruch bewahrheitet sich hier, wo alle beteiligten vor allem sich selbst positiv darstellen wollen, aber die “ Verräter“ wie Manning und die jetzt enthüllten Leuten den Leakgurus völlig egal sind.
    Deshalb: wer etwas leaken will, macht das in eigener Regie. Dann ist es so sicher oder eben unsicher abhängig davon, wie geschickt oder ungeschickt man sich selbst angestellt hat. Man ist aber nicht von Idioten oder Selbstdarstellern abhängig.

  12. Schon alleine ein Passwort an einen Journalisten weiterzugeben zeugt von Dilettantismus und Verpeiltheit, dazu kommt noch Leaks von der Presse zu redigieren?! LOL

  13. Die Passwortgeschichte ist der Knaller.
    ACollectionOfHistorySince_1966_ToThe_PresentDay#

    Das Image enthält natürlich eine hidden partition.
    Gibt man „Diplomatic“ vor History ein, erhält man die langweiligen Cables,
    gibt man „Pornographic“ vor History ein, erhält man die Sammlung der weltgrößten Kulturleistungen dieses Jahrhunderts:
    Assanges Pornosammlung.

    http://pastebin.com/SBq9Xpsr

  14. Wenn geklaute Geheimnisse veröffentlicht werden, ist das schon heikel. Da sollten die Datendiebe doch wissen, wie sie dran gekommen sind und welche Fallen darin liegen können, falls sie selbst etwas verheimlichen wollen. Sie müssten doch eigentlich selbst aus Erfahrung am besten wissen, wie Info- und Sicherheitslöcher entstehen. NICHTS ist sicher oder perfekt… der Vorfall lädt ja echt zum Philosophieren ein :)

  15. was viele immer vergessen oder falsch darstellen – die Namen der Informanten in den Cables….Da geht es doch nicht nur um Informanten, die wissentlich für den geheimdienst arbeiten, sondern auch um Aussagen wie „Der Nachbar von Hans Meier beobachtete….“ etc.
    Im Geheimdienstleben werden viele Menschen zu „Informanten“ ohne es zu wollen oder zu wissen. Eine ahnungslose, harmlose Aussage kann später vom Geheimdienst mit anderen gesammelten Informationen zum „großen Ganzen“ zusammengefügt werden, und dann ist jeder einzelne, bedeutungslose Kleine, der Informationen beigesteuert hat, ein „Informant“. DAS find ich vie schlimmer, als wissentliche Informanten – die haben sich ihr Risiko im zweifesfall selber ausgesucht. Der Nachbar, der nichtma weiss mit wem er da grad redet, der nicht!

    1. Man sollte aber auch nicht auf eine zu binäre Sichtweise verfallen. Die Depeschen sind nur eine einzelne Quelle. Die Wahrscheinlichkeit, dass wirklich gefährdete Informanten schon aufgefallen und damit auch über andere Quellen identifizierbar sind, ist hoch.

  16. und was sprach eigentlich dagegen, ein fiktives passwort in dem Buch zu veröffentichen? Hätte weder an der glaubwürdigkeit noch an der Brisanz oder story an sich irgendwas geändert. Es gab keinen grund das echte zu nehmen, im gegenteil, sowas macht man nicht, vor allem nicht, wenn man es auch genauso einfach austauschen kann mit fiktion.

    1. eben. genau das mein ich ja auch. wie „dumm“ muss man sein, um in nem buch das ECHTE passwort SAMT phrase zu veröffentlichen?

      bei DEM kontext?

      daß JA jetzt freidreht und versucht leigh in die verantwortung zu nehmen, ist unter diesem punkt gesehen nur zu verständlich.

  17. PS. Nachtrag zu #18, für die, die es imme rnoch nicht schnalen.
    Die USA, der Geheimdienst, whoever, wird sicher nicht jedem normalen Afghanischen Hans und Franz eine neue Identität verpassen, geschweige denn überhaupt bescheid sagen, dass sie inzwischen u.U. als „Informant“ in Erscheinung getreten sind….
    DAS sind die Gefährdeten Personen durch sowas…..

  18. Lieber Markus, wärst du so nett den Artikel zu korrigieren?
    Im Buch des Guardians wird erwähnt, was Wikileaks jetzt auch berichtet, dass der Redakteur eine mit PGP verschlüsselte Datei erhalten hat, und diese mit dem PW öffnen konnte.
    Das PGP nicht temporär verschlüsselt sind ist wohl jedem außer dem Guardian klar.
    Und es wär vielleicht nicht schlecht zu erwähnen, dass als die cables datei rauskam, das Buch noch nicht veröffentlich war, so dass WL nicht wissen konnte, dass das Passwort darin veröffentlicht ist.

      1. Ich denke Horst geht es um die falsche Annahme des Guardian in Bezug auf die mit PGP verschlüsselte Datei und den zeitlichen Ablauf fände ich auch gut erwähnt zu finden.

  19. Der Guardian Kerl hat keine Schuld. Sofern die Zuständigen bei Wikileaks die geringste Ahnung von IT Sicherheit haben, wissen Sie, dass es deren Anliegen ist, die Sicherheit der Daten zu erhalten. Wie man nun mehrfach gesehen hat, hatte Wikileaks keine konkrete Sicherheitsstrategie, um das Risiko einer Weiterverbreitung der unbearbeiteten Daten zu gewährleisten.

    Die Frage ist nun, ob DDB nur wegen diesem Sicherheitsloch die Festplatte mitgenommen hat. Falls ja, so verstehe ich nicht seine damalige Argumentation, dass er die Festplatte zurückgeben würde, sobald das Sicherheitsrisiko nicht mehr besteht, was in diesem Fall ja nicht möglich ist.

    Da Openleaks derzeit vom Prinzip her unsicher ist, sehe ich nur https://www.derwesten-recherche.org/ als eine vernünftige Plattform für Insiderinformationen an.

  20. Das einzige, was jetzt also nur noch fehlt, ist die Möglichkeit, aus der csv Datei eine browsable Seite zu machen oder dergleichen. Dann kann wenigstens jedes Kindergartenkind das Zeugs lesen.

  21. das groteskeste an allem ist doch der Fakt, dass ein Mensch – einer der dem investigativen Journalismus nicht abgeneigt ist – nicht weiß, dass Passwörter niemals temporär sind.
    Das ist nicht nur grotesk, sondern auch bizarr.
    Egal wo die Datei sich befindet – solange das Passwort nicht bekannt ist, passiert erst mal gar nix.

    Keine Maus hätte gekräht, wenn nicht DDB überhaupt mit dem Freitag die Zusammenhänge, Dateinamen und „Hints“ gegeben hätte ?
    Aber noch besser wäre es gewesen, diese Cables nicht zu schreiben oder die Anlässe zum Schreiben zu vermeiden. Diplomatie muss doch auch ohne „Dreck am Stecken“ gehen.

  22. Vielleicht ist das Ganze ja auch nur eine von Assange gelegte Zeitbombe. Ein temporären Schlüssel für Dateien gibt es übrigens nicht. Vielmehr hätte er die Datei neu verschlüsseln müssen. Hat er aber nicht!

    Assange wollte sowieso die Dateien unredigiert veröffentlichen, hat sich aber breitschlagen lassen, die nur gefiltert zu veröffentlichen. Wahrscheinlich wäre es sonst zu Zivilklagen und Racheaktionen gekommen.

    SO ist aber niemand schuld… nur eine Verkettung unglücklicher Umstände, und drei Leute, die sich gegenseitig die Schuld zuschieben.
    :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.