Datenlecks Geheimnis-Träger außer Kontrolle
WikiLeaks-Ausschnitt der Afghanistan-Daten: Für die US-Regierung politisch hochpeinlich
Foto: Karl-Josef Hildenbrand/ dpaFür die US-Regierung und die Truppe ist die Veröffentlichung der Daten auf der Whistleblower-Web-Seite politisch höchst peinlich und offenbart zumindest potentiell ein Sicherheitsrisiko. Irgendwo gibt es ein Leck im Apparat, durch das brisante Informationen abfließen und das die Sicherheitsbehörden unbedingt stopfen wollen.
Die vertraulichen Berichte zum Afghanistan-Krieg, die WikiLeaks veröffentlichte und die der SPIEGEL, die "New York Times" und der "Guardian" analysierten, sind mengenmäßig in ihrer Dimension einzigartig. Doch längst kein Einzelfall. Immer wieder gelangt hochbrisantes und geheimes Material an die Öffentlichkeit - durch frustrierte Insider, professionelle Datensammler, oder schusselige Geheimnis-Träger.
SPIEGEL ONLINE schildert, wie es zu Militär-Datenskandalen kommen kann und in den vergangenen Jahren kommen konnte:
Insider als Informanten
Es ist nicht öffentlich bekannt, wie die Datenbanken der US-Armee strukturiert sind, in denen Meldungen der Truppen aus dem laufenden Gefecht gespeichert werden. Aber aus der Art der WikiLeaks-Dokumente können die Ermittler womöglich ableiten, welche Zugriffsprivilegien der Informant hatte. Auffällig ist, dass in den Berichten überwiegend Feldwebel, auch mal ein Leutnant im Gefechtsstand oder rangniedere Analysten beim Militärgeheimdienst berichten.
Die Papiere sind meist als "geheim" eingestuft, einige tragen den Vermerk, sie seien afghanischen Regierungsstellen vorzuenthalten. Aber es finden sich keine Berichte von Spezialeinheiten oder gar Geheimdiensten unter den Veröffentlichungen. Es ist wahrscheinlich, dass auf diese Art von Dokumenten recht viele Armee-Angehörige Zugriff haben.
Theoretisch können solche Unterlagen zu dem Computer zurückverfolgt werden, an dem sie abgerufen wurden. Es gibt spezielle Software, die - je nachdem in welchem Format Dokumente aus der Datenbank exportiert werden - die Datei mit einer Art digitalem Fingerabdruck signiert, der einmalig ist und für diesen speziellen Abruf erzeugt wurde. Allerdings präsentiert WikiLeaks die Informationen nicht im ursprünglichen Format - die Inhalte verwaltet die Wiki-Software.
Eine andere Methode ist, Details im Text bei jedem Abruf zu verändern: Zwei Leerzeichen hier, ein Komma statt eines Gedankenstrichs dort. Mit 50 solcher Textstellen, die zwei unterschiedliche Zustände haben können, ergeben sich genügend Variationsmöglichkeiten.
Allerdings, so schränkt Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden und der Experte für Datensicherheit ein, sei es wenig wahrscheinlich, dass diese Markierungssoftware bei den nun auf Wikileaks veröffentlichten Berichten verwendet wurde. Sollte allerdings tatsächlich ein oder mehrere Insider die mehr als 90.000 Dokumente abgerufen haben, könne man die Aktion zurückverfolgen. Pfitzmann: "Bei solchen Datenbanken wird in der Regel protokolliert, von wo aus welche Datenbestände wann abgerufen werden. Ein Umfang von 90.000 Dokumenten ist auffällig." Zumindest dürfte der betreffende Rechner auszumachen sein. Ob die Armee vor Ort protokolliert, wer wann in dem Raum gearbeitet hat, ist eine andere Frage.
Jäger und Sammler
Die Motive, gezielt Zugang zu geheimen Daten zu suchen, sind vielfältig. Spionage ist eine offensichtliche Möglichkeit, und nicht erst der Fall Hermann Simm - der wahrscheinlich schädlichste Spion gegen die Nato, der je geoutet wurde - machte im Frühjahr 2010 klar, dass USB-Stick und Speicherkarte heute die Mittel der Wahl sind, große Datenmengen zu stehlen und weiterzugeben.
Die wohl extremste Möglichkeit, aus welcher Quelle die WikiLeaks-Daten stammen könnten, wäre darum auch reif für einen John le Carré-Thriller: Es wäre nicht völlig unmöglich, dass sie von einem Geheimdienst kommen und gezielt lanciert wurden. Immer wieder kommt es zu Daten-Indiskretionen, die nur dafür gemacht scheinen, irgendjemanden extrem schlecht dastehen zu lassen. So wie im Fall des USB-Sticks, der im April 2006 auf einem Basar in Afghanistan auftaucht sein soll und angeblich nicht nur Informationen über das US-Militär enthielt, sondern auch über die angebliche Drogenverstrickungen eines Bruders des afghanischen Präsidenten Hamid Karzai und weiterer afghanischer Politiker. Die Quelle: digitale US-Geheimdienstakten.
Wahrscheinlich aber ist das ebenso wenig wie die zweite extreme Möglichkeit: Dass die Daten der Ertrag eines gezielten Hacks sein könnten. Denn nach Erkenntnissen von IT-Sicherheitsunternehmen spricht gegen all das schon die Statistik: Die Erfolgsquote spionierender Hacks liegt noch nicht einmal im Promillebereich. Zwischen 60 und 90 Prozent aller Daten-Indiskretionen aber gehen auf interne Mitarbeiter zurück, die zum Zugriff auf diese Daten berechtigt sind. Ein statistisch häufiges Motiv ist Frustration im Job - nichts fällt leichter als die Rache per USB-Stick.
Trödel mit Beilage
Noch weit häufiger ist aber ein profaner Grund: Daten gelangen in Umlauf, weil jemand aus Gewinnstreben die Datenträger stiehlt und verkauft. Wohlgemerkt - das Verkaufsobjekt ist hier meist die Hardware. So nahmen einige der größten militärischen Datenskandale der letzten zehn Jahre auf Trödelmärkten oder bei Ebay ihren Anfang - die Finder der Daten machten sie öffentlich. 2008 musste die britische Regierung zugeben, im Verlauf von vier Jahren 121 USB-Sticks und 747 Laptops an klauende Angestellte und Beamte verloren zu haben. In Deutschland waren es in einem vergleichbaren Zeitraum über 500 Rechner.
Sehr viele solche Rechner dürften komplett oder ausgeschlachtet auf Märkten landen - oft mit Datenbeständen, die unzureichend oder gar nicht gelöscht wurden. Immer wieder gelangen so geheime Militärinformationen in Umlauf - zuletzt in Großbritannien im Mai 2009 Festplatten mit Daten über Soldaten und Einsatzdetails für den Irak.
Der schlechte Witz daran ist, dass so häufig potentiell wertvolle Daten als Zugabe für Gebrauchtpreis-Hardware verhökert werden - in einem Fall ist der Verkauf eines USB-Sticks mit geheimen Militärdaten für rund sechs Dollar dokumentiert. Nur in Ausnahmefällen verlangen die Diebe richtig Geld: Im Oktober 2008 verhafteten niederländische Behörden zwei Erpresser, die versucht hatten, dem Militär einen USB-Stick mit Informationen zu dessen eigenen Afghanistan-Frachtflügen zu verkaufen. Der stümperhafte Versuch ging in die Hose. Andere Schussel sind da erfolgreicher, wenn man so will.
Schussel und Finder
Denn ein unglaublicher Fundus geheimer Daten gelangte in den letzten zehn Jahren durch reine Trotteligkeit in Umlauf. Das reicht von einer Web-Seite des Pentagon, die mehrere Monate lang freizügig Bauanleitungen für Nuklearwaffen verbreitete, über eine Web-Seite der US-Luftwaffe, die geheime Konstruktionsdetails der Präsidentenmaschine Air Force One veröffentlichte, bis zu all den Trotteln in Uniform, die in den letzten Jahren Top-Secret-Informationen verschusselten.
Zu den bizarrsten Fällen gehört der japanische Offizier, der im Juli 2008 einen USB-Stick mit Details zu einem US-Raketenabwehrsystem in einen Abfalleimer entsorgte. Oder der britische Regierungsbeamte, der im August 2008 ein Notebook mit Top-Informationen zur Lage im Irak und über das Terrornetzwerk al-Qaida in einem Zug liegen ließ. Oder sein ähnlich kompetenter Kollege, der vergleichbar brisantes Material als Lesestoff bei McDonalds vergaß. Grandios unvorsichtig war allerdings im Januar 2008 ein schwedischer Offizier, der einen USB-Daten- und Geheimnis-Träger nebenbei auch privat nutzte - und den Stick versehentlich in einem Rechner in einer öffentlichen Bibliothek stecken ließ. So viel Transparenz hat man selten in diesen Kreisen.
Hochbrisante geheime Daten kann man also vielerorts finden - und nicht unbedingt nur auf einst militäreigenen Festplatten und Speichermedien. Im Januar 2009 fand ein junger Neuseeländer geheime Militärdaten auf einem MP3-Player, den er gebraucht erstanden hatte. Im Juni 2009 fanden Journalistikstudenten im Rahmen einer gezielten Suche auf einem Elektroschrott-Gebrauchtmarkt in Ghana Festplatten aus US-Armeebeständen, von denen eine unverschlüsselt einen Vertrag des Pentagon mit dem Rüstungsunternehmen Northrop Grumman enthielt.
Ein altbekanntes Risiko - Schadsoftware
Gerade mobile kleine USB-Sticks sind für IT-Securityleute jeder Behörde, jedes Großunternehmens ein fortwährender Albtraum. Nicht genug, dass sie als Container genutzt werden können, um selbst große Daten unauffällig aus einem eigentlich auf Geheimhaltung geeichten Umfeld zu schmuggeln. Sie gelten auch als Einfallstor für Viren und Spyware.
Genau aus diesem Grund ist der Gebrauch von USB-Sticks sowie diverser anderer übertragungs- oder speicherfähigen Schnittstellen bei Geheimdiensten wie der amerikanischen NSA strikt verboten. Mehr noch, er ist unmöglich: Aller Datenverkehr läuft über das interne Netzwerk, in dem ein striktes Monitoring und Rechtemanagement dafür sorgt, dass Mitarbeiter nur das zu sehen bekommen, was sie sehen dürfen - und die Systemüberwacher sehen und archivieren, was sich so ein Mitarbeiter alles angesehen hat. Bei der NSA wäre der WikiLeaks-Whistleblower also wohl schnell gefunden.
Militärische IT: Ein Flickenteppich
Nicht so bei der US-Truppe. Wie viele militärische Infrastrukturen gilt auch die des US-Militärs als hochgradig inkongruent, nicht genügend vernetzt und kompatibel. Konkurrierende Waffengattungen verwenden teils unterschiedliche Systeme.
Wegen einiger akuter PC-Virenverseuchungen verbat das Pentagon im November 2008 den Gebrauch von USB-Sticks und anderen externen Datenträgern. Etwas mehr als ein Jahr darauf wurde das Verbot im Februar 2010 wieder aufgehoben. Es hatte sich herausgestellt, dass insbesondere in Feld-Situationen der Transport von Daten ohne den Einsatz von Sticks und anderen Festspeichern nicht zu bewerkstelligen war. Es ist also davon auszugehen, dass in Afghanistan und im Irak völlig regulär Datenbestände per mobilem Speichermedium von A nach B getragen werden.
Allerdings sollen mittlerweile nur noch Sticks zum Einsatz kommen, die für die Nutzung auf Militärmaschinerie freigeschaltet sind. Technisch ist das kein Problem: Auf dem Markt konkurrieren seit Jahren mehrere Software-Anbieter, die entsprechende Lösungen anbieten - das reicht vom Software-Dongle, der einen Stick als "genehmigt" ausweist, bis zur Port-Beobachtung im Netzwerk, die registriert, wenn jemand versucht, einen nicht genehmigten Stick einzusetzen.
Wenn die WikiLeaks-Daten mit Hilfe eines mobilen Speichermediums herausgeschmuggelt worden sein sollten, wird es auch darauf ankommen, ob dies mit einem registrierten Stick geschah oder nicht, um den Whistleblower zu überführen. Einfach aber wird das selbst dann nicht unbedingt: Um die Daten einwandfrei zuordnen zu können, bräuchten die IT-Forensiker wahrscheinlich einen direkten Zugriff auf das an WikiLeaks übermittelte Originalmaterial - und das dürfte kaum zu bekommen sein.
