Snowden-Vertrauter Micah Lee: "Verwendet kein Skype!"
Dieser Artikel ist älter als ein Jahr!
Lee half dem Aufdecker-Journalisten Glenn Greenwald sowie der Dokumentarfilmerin Laura Poitras bei der Verschlüsselung und sicheren Kommunikation mit dem Whistleblower Edward Snowden. Auch mit Snowden selbst kommunizierte Lee und stellte den Kontakt zu den beiden Journalisten her. Genaueres dazu beschreibt er selbst im Beitrag: "Edward Snowden Tought Me To Smuggle Secrets Past Incredible Danger. Now I Teach You."
Lee ist nun gemeinsam mit Greenwald bei The Intercept und auch dort zuständig für IT-Sicherheit und Quellenschutz. Zudem ist Lee CTO bei „Freedom of the Press“. Der Sicherheitsforscher und Krypto-Spezialist war anlässlich der Verleihung der „Big Brother Awards“ in Wien zu Gast, wo ihn die futurezone zum Interview getroffen hat.
futurezone: Was ist Ihre Aufgabe bei „The Intercept“?
Micah Lee: Ich mache etwas Journalismus, aber meine Hauptaufgabe ist Security und Quellenschutz. Ich helfe Glenn Greenwald und Laura Poitras dabei, sicher mit anonymen Quellen zu kommunizieren, und auch all das Material, das sie bekommen und Artikel, die in Bearbeitung sind, vor Zugriffen zu schützen. Ein großer Teil meiner Arbeit macht aus, sichere Wege bereitzustellen, damit Quellen anonym bleiben und trotzdem mit den Journalisten sprechen können.
Welche Wege gibt es da und wie machen Sie das genau?
Es gibt viele Möglichkeiten, aber das wichtigste ist die Ende-zu-Ende-Verschlüsselung. Wir verwenden PGP für verschlüsselte E-Mail-Kommunikation. Alle Journalisten bei „The Intercept“ verwenden die Verschlüsselung für ihre E-Mail-Kommunikation, jeder kann auf diesem Weg kontaktiert werden. Wir setzen aber auch auf verschlüsselte Chats. Einen Service, den wir auch intensiv nutzen, ist Secure Drop. Das ist eine Open Source Software, mit der Quellen völlig anonym bleiben können.
Das ist oft bei Whistleblower-Plattformen ein Problem. Wie schafft man es wirklich, seine Anonymität zu behalten?
Wer seiner Quelle verspricht, sie völlig anonym behandeln zu wollen, muss auf jeden Fall Verschlüsselung einsetzen, andernfalls funktioniert das mit der Anonymität nicht. Wenn uns jemand einen Tipp geben will, öffnet er den Tor-Browser, geht zu Secure Drop und startet ein Gespräch mit uns. Das ist sehr einfach und schützt die Quelle zuverlässig. Auch für uns ist die Quelle anonym.
Aber wie kann man einer völlig anonymen Quelle vertrauen?
Das ist sehr schwierig, wenn man die Quelle überhaupt nicht kennt. Es hängt von der Story ab und was für Dokumente einem zur Verfügung gestellt werden. Als ernstzunehmender Journalist ist man verpflichtet, die Echtheit der Dokumente nachzuprüfen, sodass einem keine falschen oder verfälschten Dokumente untergejubelt werden. Um die Dokumente überprüfen zu können, ist es oft notwendig, dass die Quelle mehr über sich preisgibt, so dass man seinen Job machen kann. Manchmal reicht es aber auch aus, nur die Dokumente zu überprüfen. Ab diesem Zeitpunkt beginnt der „normale“ Prozess, den man auch im traditionellen Journalismus einhalten muss.
Bei „The Intercept“ geht es ja unter anderem darum, weitere Enthüllungen über die NSA aus dem Fundus von Edward Snowdens Dokumenten ans Tageslicht zu bringen. Können Sie bestätigen, dass es mittlerweile einen zweiten Whistleblower nach Snowden gibt?
Es ist wahr, dass es eine neue Quelle gibt. Ich beantworte dazu aber keine weiteren Fragen. (Anmerkung: Am Dienstag wurde bekannt, dass US-Behörden den Whistleblower bereits identifiziert haben sollen.)
Sind Sie eigentlich ein Verfechter davon, dass heutzutage jeder Journalist Verschlüsselungstools kennen und beherrschen müsste?
Es hängt bis zu einem gewissen Punkt davon ab, was für Journalismus man macht, aber ich glaube, dass jeder Journalist in Zukunft Verschlüsselung einsetzen sollte. Journalisten, die sich mit der nationalen Sicherheit beschäftigen, die derzeit noch keine Verschlüsselungstools einsetzen, sind absolut fahrlässig. Jeder, der vertrauens- und schützenswerte Quellen hat, sollte auch schon jetzt verschlüsseln. Aber für manche Sportjournalisten ist das wohl derzeit weniger wichtig. Obwohl – auch hier gibt es manchmal Korruptionsskandale. Wenn wir eines von Edward Snowden gelernt haben, dann, dass die Benutzung von Internet, Smartphone oder Computer unglaublich unsicher ist. Alles, was man damit macht, wird ausspioniert. Der einzige Weg, etwas mehr Privatsphäre zu bekommen, ist zu verschlüsseln.
Derzeit ist PGP Verschlüsselung für normale User noch äußerst kompliziert. Wie kann man das ändern?
Es wird bereits an vielen Produkten gearbeitet, um die Verschlüsselung einfacher zu machen, z.B. Mailpile, ein neues Open Source E-Mail-Programm, dass es Menschen einfacher macht, PGP zu verwenden. In der Zukunft wird Verschlüsselung einfacher, es ist wirklich sehr kompliziert. Aber es gibt auch bereits ein paar Dinge, die schon jetzt einfach sind wie z.B. verschlüsselte Chats. Am Mac geht das mit Adium, am PC mit Pidgin. Mit TextSecure gibt es eine sichere WhatsApp-Alternative. IPhone-Nutzer können die App Signal installieren, die verschlüsselte Telefonanrufe ermöglicht.
Bei der Verschlüsselung wird aber von Firmen mittlerweile auch viel Schindluder betrieben. Wie kann man Firmen, die explizit damit werben, dass ihr Produkt sicher ist, eigentlich vertrauen?
Ja, es gibt immer mehr Unternehmen, die Software anbieten, die vermeintlich sicher ist, in Wahrheit stimmt das aber nicht. Als genereller Umgang gilt: Wenn ein Produkt behauptet, „NSA-sicher“ zu sein, traut ihm nicht! Diese Firmen wissen nicht, was sie tun. Aber es gibt viele Produkte, die bei der Sicherheitscommunity einen guten Ruf haben, wie z.B. GnuPG. Es ist außerdem noch immer viel sicherer, wenn man Open Source Verschlüsselung vertraut, anstatt Skype zu verwenden. Verwendet kein Skype!
Was sollten Journalisten noch tun, außer auf Verschlüsselung setzen, wenn sie auf sichere Kommunikation setzen möchten?
Journalisten, die mit anonymen Quellen zu tun haben, sollten Technologie verstehen, damit sie diese im Bedarfsfall richtig einsetzen können. Wenn jemand seine Quelle von Angesicht zu Angesicht treffen möchte, sollte er besser sein Handy zu Hause lassen, weil alleine durch die gemeinsamen GPS-Koordinaten lässt sich viel beweisen. Man muss sich genau dieser Risiken bewusst sein, um schlaue Entscheidungen treffen zu können.
Im Zuge der NSA-Enthüllungen wurde bekannt, dass bereits eine Google-Suche nach Tor ausreicht, um auf der "Extremisten"-Liste der NSA zu landen. Macht man sich also nicht erst recht verdächtig, wenn man Tor verwendet?
Für mich gibt es keinen Grund, Tor nicht zu verwenden, weil man sich damit nicht strafbar macht und das auch kein krimineller Akt ist. Es ist etwas Positives, mehr für seine eigene Privatsphäre zu tun. Es ist schwierig, zu verheimlichen, dass man Tor nutzt, aber wenn man Tor verwendet, ist es einfach zu verheimlichen, was man damit macht. Tor zu verwenden ist komplett legal und unser Recht. Wenn wir unsere Rechte behalten wollen, müssen wir diese auch verteidigen. Es gibt eine lange Liste von Gründen, warum wir unsere Privatsphäre verteidigen müssen. Wenn jemand eine Krankheit nachschlagen will im Internet, und nicht will, dass jemand davon erfährt, verwendet er Verschlüsselung. Es gibt aber noch zahlreiche andere gute Gründe dafür wie Anwälte, die mit ihren Clienten kommunizieren, oder Ärzte mit ihren Patienten.
Ich habe aber schon Journalisten getroffen, die zu mir gesagt haben: Ich verwende kein Tor, weil ich will weiterhin in die USA einreisen dürfen und ich habe Angst davor, ins Visier der NSA zu kommen…
Ich glaube nicht, dass die Verwendung von Tor jemanden auf die Beobachtungsliste der NSA bringt. Ich glaube, dass man auf dieser Liste landet, wenn man die US-Regierung beleidigt oder verärgert. Wenn einen die NSA als Zielperson auswählen möchte, dann tut sie das, egal ob diese Tor verwendet oder nicht. Das bedeutet gar nichts.
Sie haben als Sicherheitsexperte auch Lücken in Android-Software aufgedeckt. Ist das noch etwas, das Sie interessiert bzw. weiter forcieren?
Ich habe einen Designfehler bei Android-Backups aufgedeckt. Wenn das Android-Smartphone Backups macht, wurden immer automatisch die WIFI-Passwörter mitgeschickt. Da die Android-Geräte automatisch sehr viele Backups machen, müsste Google praktisch fast alle WIFI-Passwörter kennen. Das ist zirka 1,5 Jahre her, seit ich das aufgedeckt habe. Derzeit verfolge ich keine aktive Forschung in diesem Bereich, aber ich versuche, mit den Enthüllungen up to date zu bleiben.
Kommentare