Die WAZ-Gruppe ist heute mit einer guten Idee gestartet. Sie will nach dem Vorbild von Wikileaks anonyme Informanten anlocken, die in Besitz von brisanten Informationen sind. Doch einen kurzen Sicherheitstest von ZDNet besteht das Portal nicht.
Es wäre sicherlich falsch, der WAZ etwa Böses unterstellen zu wollen. Die Rechercheabteilung des Essener Verlagshauses will ihre Informanten genau so gut schützen wie Wikileaks auch. Die persönliche Integrität der Mitarbeiter setze ich voraus. Allerdings halten nicht alle Übertragungswege, was das Portal verspricht. Die angegebene E-Mail-Adresse recherche@waz.de bietet nämlich keinerlei Verschlüsselung.
Ein Telnet an den SMTPS-Port 465 führt zu keinem Verbindungsaufbau. Das ist nicht weiter schlimm, da diese Methode ohnehin als veraltet gilt. Allerdings sollte der SMTP-Server der WAZ auf Port 25 das STARTTLS-Verfahren anbieten. Doch ein Verbindungsprotokoll von ZDNet zeigt, dass das nicht der Fall ist.
Die Auswertung der MX-Records ergibt folgendes:
host -vt mx waz.de Trying "waz.de" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15621 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;waz.de. IN MX ;; ANSWER SECTION: waz.de. 564 IN MX 100 mail01.waz-mediengruppe.de. waz.de. 564 IN MX 200 mail02.waz-mediengruppe.de. ;; AUTHORITY SECTION: waz.de. 83778 IN NS auth02.ns.de.uu.net. waz.de. 83778 IN NS auth52.ns.de.uu.net. ;; ADDITIONAL SECTION: auth02.ns.de.uu.net. 44547 IN A 192.76.144.15 auth52.ns.de.uu.net. 66941 IN A 194.128.171.101 Received 173 bytes from ::1#53 in 0 ms
Das bedeutet, dass E-Mail für die Domain waz.de zunächst an mail01.waz-mediengruppe.de zuzustellen ist. Wenn das fehlschlägt, soll der SMTP-Server des Absenders mail02.waz-mediengruppe.de benutzen.
Eine Telnet-Sitzung an TCP-Port 25 von mail01.waz-mediengruppe.de erweckt jedoch wenig Vertauen:
telnet mail01.waz-mediengruppe.de 25 Trying 62.159.119.23... Connected to mail01.waz-mediengruppe.de. Escape character is '^]'. 220 intern.waz.de ehlo ich.will.nicht.erkannt.werden 250-xosmgw04.waz.de Hello vz3.hochstaetter.de [83.169.18.51], pleased to meet you 250-PIPELINING 250-SIZE 100000000 250-8BITMIME 250 HELP starttls 454 TLS not available due to temporary reason quit 221 Bye Connection closed by foreign host.
Als ich den Server mit dem Befehl ehlo ich.will.nicht.erkannt.werden begrüße, löst er als erstes per Reverse-DNS meinen vollständigen Namen (vz3.hochstaetter.de) auf. Für einen SMTP-Server, der für anonyme Informanten gedacht ist, ist das ganz schön neugierig.
Es kann natürlich theoretisch sein, dass der Server diese Daten nicht speichert und gleich wieder vergisst. Allerdings ist das unwahrscheinlich, denn über die Domain waz.de läuft ja auch die offizielle Geschäftskorrespondenz des Konzerns und da gibt es ja Aufbewahrungs- und Dokumentationspflichten (Compliance-Anforderungen). Für eine anonyme Mailbox muss natürlich eine eigene Domain mit eigenem SMTP-Server her, der nichts mitloggt und nur den reinen Inhalt der E-Mail speichert oder weiterleitet.
In der Antwort zur EHLO-Begrüßung fällt ebenfalls auf, dass der Server keine Verschlüsselung anbietet. Dazu hätte das Wort "STARTTLS" in der Liste der unterstützten Kommandos auftauchen müssen. Ist das nicht der Fall, unternimmt der sendende SMTP-Server keinen Versuch zur Verschlüsselung. Dass auf meine Eingabe von starttls die Fehlermeldung "454 TLS not available due to temporary reason" erscheint, ist unerheblich. Ein echter SMTP-Server versucht nicht zu verschlüsseln, wenn ihm zuvor mitgeteilt wurde, dass das nicht möglich ist.
Sollte die WAZ über ihren Provider Deutsche Telekom abgehört werden, weil der Staat befürchtet, dass dort brisante Informationen eingehen, die nicht veröffentlicht werden sollen, ist das leicht möglich. Die Informationen werden im Klartext übermittelt.
Der Übertragungsweg E-Mail bereitet natürlich noch andere Sicherheitsprobleme, die außerhalb des Einflussbereichs der WAZ liegen, etwa wie sich der E-Mail-Dienstleister des Absenders beim Logging und Herausgabe der Daten an Behörden verhält. Außerdem verschlüsseln viele Provider E-Mails auch dann nicht, wenn der SMTP-Servers des Empfängers das anbietet.
Die WAZ empfiehlt drei Anbieter von anonymer E-Mail. Zwei davon erlauben es gar nicht, eine Mail zu verschicken, sondern nur zu empfangen. Der Benutzer muss daher selbst eine Mail mit falschem Absender möglichst über einen anonymen Proxy im Ausland verschicken. Das erfordert jedoch ein erweitertes technisches Verständnis. Der dritte E-Mail-Dienst leitet eingehende Mails an die echte E-Mail-Adresse des Users weiter.
Das E-Mail-Konzept der WAZ für Informanten ist nicht gut durchdacht. Allerdings sollte man generell auf E-Mails als Kommunikationsweg verzichten, wenn man garantiert anonym bleiben möchte.
Einen besseren Job hat die WAZ bei ihrem Kontaktformular gemacht. Die Daten werden verschlüsselt gesendet. Die Website ist mit einem gültigen Zertifikat ausgestattet. Außerdem verspricht die WAZ, dass keine Verbindungsdaten, etwa die IP-Adresse mitgeloggt wird.
Auch der Dateiupload scheint hinreichend gesichert. Die Übertragung läuft ebenfalls via SSL/TLS mit gültigem Zertifikat. Zusätzlich werden die Dateien mit einem GnuPG-Public-Key verschlüsselt. Zum entsprechenden Private Key haben nur die Mitarbeiter der Recherche-Abteilung Zugang. Dass keine Logfiles angelegt werden, verspricht die WAZ an dieser Stelle nicht explizit, aber das sei einmal vorausgesetzt.
Zu bedenken ist allerdings, dass bei einer Abhörmaßnahme zwar verhindert wird, dass der Staat herausfindet, was hochgeladen wurde, aber nicht, wer, beziehungsweise welche IP-Adresse, etwas hochgeladen hat. Die WAZ hat hier zwar alles getan, was ihr möglich ist, dennoch muss ein Informant eigene Maßnahmen treffen. Konkret bedeutet das, dass er durch die IP-Adresse nicht identifiziert werden darf.
Ziemlich sicher ist die Nutzung eines Anonymisierungsnetzwerks wie Tor. Es gibt die Möglichkeit, dass einige Tor-Knoten eine modifizierte Software verwenden, mit der sich die IP-Adresse ermitteln lässt. Ähnlich sicher ist die Nutzung eines anonymen Proxys in einem Land, das mit der Bundesrepublik Deutschland auf dem Gebiet der IT-Sicherheit möglichst wenig zusammenarbeitet, etwa China oder die Ukraine.
Die beste Möglichkeit ist jedoch, es wie bei Wikileaks zu machen: Es nimmt Material derzeit nur über ein Postfach in Australien an. Wer der WAZ etwas mitzuteilen hat, schickt einfach einen USB-Stick mit seinem Material an die Recherche-Abteilung. Wenn die WAZ es ernst meint, vernichtet sie den Datenträger und das Verpackungsmaterial umgehend. Fingerabdrücke und Genspuren sollte man trotzdem vermeiden.
Themenschwerpunkt Wikileaks mit Umfrageergebnis
Wikileaks will mit der Veröffentlichung von vertraulichen Dokumenten mehr Transparenz schaffen. Das kommt nicht überall gut an. ZDNet bietet in diesem Special Nachrichten und Hintergrundberichte über die umstrittene Whistleblower-Plattform.
Neueste Kommentare
9 Kommentare zu Mangelhafte Security bei E-Mail an „WAZLeaks“
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Eine normale Email ist kein Upload.
Die Email Recherche@WAZ.de ist offen. Es handelt sich bei der Adresse um eine ganz klassische Emailadresse, die weder verschlüsselt noch gesichert ist. Die verschlüsselte Email ist das große, freie Feld darüber, da wo man seinen Text eintippen kann und nur auf senden drücken muss. Das steht da übrigens. Auch auf der Seite.
Der Dokumentenupload findet auch nicht über die Email statt, sondern über den Upload auf der Upload-Seite. Und der Upload ist komplett verschlüsselt.
Ich hätte das auch gerne ZDNetgesagt, wenn man mich gefragt hätte. Aber gefragt wurde ich ja nicht.
Wie gesagt:
Verschlüsselte Email. Der große weiße Kasten
Normale Email: NICHT VERSCHLÜSSELT
Der Upload auf der anderen Seite: VERSCHLÜSSELT
Grüße David Schraven von der WAZ/derwesten
AW: Eine normale Email ist kein Upload.
Aus unserer Sicht werden potenzielle Informanten nicht ausreichend über die Risiken informiert. Die Pressefreiheit schützt die Presse, nicht aber den Informanten. Wenn man ihm nachweisen kann, dass er geheime oder vertrauliche Informationen an die Presse gegeben hat, muss er sich dafür verantworten (z.B. arbeitsrechtlich und/oder strafrechtlich).
Dazu muss man berücksichtigen, dass Informanten in der Regel keine technischen Experten sind, die in der Lage sind, im Vorfeld Sicherheitsprobleme bei E-Mail zu entdecken.
Beim E-Mail-Formular und beim Dateiupload hat die WAZ aus unserer Sicht alles getan, was ihr möglich ist, um die Enttarnung eines Informanten zu verhindern (Holländischer Dienstleister, der verspricht, keine IP-Adressen zu loggen).
Dennoch muss auch der Informant Vorsichtsmaßnahmen treffen, vor allem, dass seine IP-Adresse nicht rückzuverfolgen ist, für den Fall, dass eine Behörde wie das BKA oder der Verfassungsschutz am DE-CIX mitlauscht. Auf solche Vorsichtsmaßnahmen und deren Restrisiken (z.B. TOR-Probleme oder Spuren auf Rechnern in Internet-Cafés, die sich mangels Admin-Rechten nicht verwischen lassen) sollte man potenzielle Informanten hinweisen.
Die Website https://www.derwesten-recherche.org/ erweckt den Eindruck, dass ein einfacher Dateiupload vom heimischen DSL-Anschluss völlig sicher sei. Dabei werden teils problematische Formulierungen verwendet, etwa „Unsere Datenleitungen sind elektronisch gesichert“. Das ist ohne jeden echten Informationswert. Die nachfolgende These „Niemand wird Sie enttarnen können“ halte ich für gewagt.
Die Idee an sich halte ich für ganz hervorragend. Je mehr Verlage sich anschließen, desto besser. Man muss jedoch bedenken, dass ein Verlag den Informant nur insoweit schützen kann, dass er seine Quellen nicht preisgibt.
Wenn er auf andere Weise entdeckt wird, ist es Pech für ihn. Daher sind weitere Sicherheitshinweise erforderlich.
AW: AW: Eine normale Email ist kein Upload.
Hallo Christian Hochstätter,
Eine Email ist sowas wie eine Telefaxnummer. sollen wir auch schreiben: Achtung dies ist ein Telefax?
Tut mir echt leid, aber dieser Test ist so, als hätten Sie das Fax überprüft und gesagt, man, das Fax ist ja gar nicht abhörsicher. Wenn man da einen Telebrief durchschickt, dann nimmt das WAZ-Fax das Fax an.
Das ist doch trivial.
Sie haben das falsche getestet. Das ist alles.
Nix für ungut,
David Schraven
Man darf doch wohl erwarten, dass jeder eine Email von einem Upload unterscheiden kann?
AW: AW: AW: Eine normale Email ist kein Upload.
Nun, zwischen Telefax und E-Mail gibt doch einige Unterschiede. Bei Verwendung des ESMTP-Protokoll ist grundsätzlich eine Verschlüsselung mittels STARTTLS-Verfahren vorgesehen. Nur bietet der Mailserver von waz.de dieses Verfahren nicht an. Für einen E-Mail-Server, der sensible Informationen entgegen nehmen soll, ist das aber eine Mindestvoraussetzung.
Einem städtischen Bediensteten in Duisburg mit Zugang zu vertraulichen Loveparade-Akten traue ich durchaus zu, dass ihm klar ist, dass Telefon und Fax keine sicheren Kommunikationskanäle sind.
Ob er die technischen Unterschiede zwischen Upload und E-Mail kennt, wage ich zu bezweifeln. Das ist ohnehin unerheblich. Beide Verfahren lassen sich verschlüsselt oder unverschlüsselt realisieren. Fakt ist, dass E-Mails an waz.de immer unverschlüsselt gesendet werden. Die Text auf der Website suggeriert allerdings etwas anderes.
Ein einfacher Hinweis für den Benutzer, welche Kommunikationswege sicher und welche unsicher sind, würde die Situation für potenzielle Informanten transparenter machen.
Links sollten farbig sein
In jedem Fall sollte die WAZ die Links zu Upload und E-Mail-Kontakt farblich abgestetzt zum übrigen Text in der Spalte gestalten. Ansonsten klickt nämlich in der Tat jeder auf die als E-Mail ersichtliche Adresse recherche@waz.de. Den ganzen Kontakt-Block, der keine Anonymität garantiert, sollte zudem abgesetzt von den anonymen Möglichkeiten platziert werden.
AW: Eine normale Email ist kein Upload.
> Die Email Recherche@WAZ.de ist offen. Es handelt sich bei der Adresse um
> eineganz klassische Emailadresse,
und warum steht dann über dieser klassischen Mailadresse „Anonyme E-Mail“? Was ist denn das für eine blöde Antwort?
> Aber gefragt wurde ich ja nicht.
So sieht die Seite auch aus.
> Wie gesagt:
>Verschlüsselte Email. Der große weiße Kasten
>Normale Email: NICHT VERSCHLÜSSELT
>Der Upload auf der anderen Seite: VERSCHLÜSSELT
Mannomann. Aber wenn bei der WAZ der Journalismus die gleiche Qualität hat wie die Netzwerk-Kompetenz, schickt da sowiso niemand was hin :)
Mangelhafte Security bei E-Mail an“WAZLeaks“
Interessant wäre zu erfahren, ob die WAZ-Gruppe von dem Testergebnis Kenntnis erhalten hat und welche Konsequenz die WAZ-Gruppe daraus zieht.
AW: Mangelhafte Security bei E-Mail an
Ich habe den folgenden Text als Leserkommentar in derwesten.de veröffentlicht und parallel auch per mail an den angeblich im Ausland befindlichen „sicheren Server“ an recherche@waz.de gesendet:
Das neue „WAZ-Leaks“ hat offenbar gravierende Sicherheitsmängel und Risiken für anonyme Informanten. Zu dieser Erkenntnis kommt die Redaktion ZDNET.de:
http://www.zdnet.de/sicherheit_red_alert_blog_mangelhafte_security_bei_e_mail_an_wazleaks_story-39002400-41542309-1.htm
Nach alledem ist es zur Zeit noch nicht zu empfehlen, den angebotenen „anonymen Upload“ zu nutzen.
AW: AW: Mangelhafte Security bei E-Mail an
Die Email Recherche@WAZ.deist offen. Es handelt sich bei der Adresse um eine ganz klassische Emailadresse, die weder verschlüsselt noch gesichert ist. Die verschlüsselte Email ist das große, freie Feld darüber, wo man nur auf senden drücken muss. Das steht da übrigens. auch auf der Seite.
Der Dokumentenupload findet auch nicht über die Email statt, sondern über den Upload auf der Upload-Seite. Und der Upload ist alles verschlüsselt.
Ich hätte das auch gerne gesagt, wenn man mich gefragt hätte. Aber gefragt wurde ich ja nicht.
Wie gesagt:
Verschlüsselte Email. Der große weiße Kasten
Normale Email: NICHT VERSCHLÜSSELT
Der Upload auf der anderen Seite: VERSCHLÜSSELT
Grüße David Schraven von der WAZ/derwesten