Anfang 2015 kam heraus, daß mehrere Computer in der taz mehr als ein Jahr lang von einem Mitarbeiter mittels Keylogger (Gerät zum Mitschreiben aller Tastaturanschläge) ausgespäht wurden. Jetzt hat die taz in einem längeren Artikel den rekonstruierten Ablauf der Geschehnisse in chronologischer Folge veröffentlicht. Hier nun ein paar Anmerkungen zu dem dort Gesagten.
Entdeckt wurde die Angelegenheit, weil ein Computer einer Praktikantin nicht mehr funktionierte und die EDV-Abteilung eingeschaltet wurde. Dabei wurde der Keylogger Modell „KeyGrabber USB“ am USB-Anschluss entdeckt. Man traf die Entscheidung, den Keylogger wieder anzustecken und abzuwarten wer ihn abholt. Schließlich wird der langjährige Redakteur Sebastian Heiser dabei ertappt, wie er den Keylogger abholt. Er wird zur Rede gestellt, erhält Hausverbot und danach setzt er sich mit unbekanntem Ziel ab. Dennoch gelang es der taz ihn ausfindig zu machen.
Eine Großstadt in Südostasien. Am Straßenrand werden Frösche vom Grill angeboten, in einem klimatisierten Café kostet ein Green Tea Latte umgerechnet 2,65 Euro. Auf den Straßen fahren Motorroller, Tuk-Tuks, auch viele SUVs.
Hört sich nach Thailand an, ist aber auch egal, jedenfalls wollte er sich zu der Sache gegenüber angereisten taz-Mitarbeitern nicht äußern.
Bei der taz versuchte man nun zu eruieren, wie lange, worauf zugegeriffen wurde. Aber bis zum Schluss bleiben die Motive im Dunkeln, momentan erweckt der Aufarbeitunsgartikel bei mir den Eindruck der Täter hat einfach nur seinem Voyeurismus nachgegeben.
Wenn auch kein Informatiker, so scheint Hr. Heiser überdurchschnittliche Kenntnisse in der EDV aufzuweisen, zumindest kann man davon ausgehen, daß ihm der Zusammenhang zwischen Logins und Log-Dateien und auch Sicherungskopien bekannt gewesen sein dürfte:
An der Kölner Journalistenschule, an der er ausgebildet wurde, administrierte er bis zu seinem Verschwinden die Mailverteiler für die jeweils aktuellen Klassen. Die Domain, über die diese liefen, ist immer noch auf seinen Namen registriert. Theoretisch konnte er so über Jahre Mails mitlesen. Auch ein Ereignis in seinem privaten Umfeld erscheint plötzlich in anderem Licht.
Unter diesem Gesichtspunkt erscheinen mir einige Fehler des Täters bemerkenswert:
Zudem lässt sich rekonstruieren, dass geklaute Benutzerdaten zur Anmeldung im taz-System genutzt worden sind, als die ausgespähten Personen diese selbst gar nicht genutzt haben können.
[…]
Am 4. November 2014 ist der Nutzer „heiser“ den gesamten Tag über an seinem Rechner in der Berlin-Redaktion angemeldet. Um 18.26 Uhr meldet er sich ab. Noch in derselben Minute wird am selben Rechner der Benutzername einer Praktikantin zur Anmeldung verwendet. Sieben Minuten später meldet sich die Nutzerkennung der Praktikantin wieder ab.
Eigentlich hätte sein Wissen ausreichen müssen, zu erkennen, daß jedes Login an jedem Rechner in der Administration bei Bedarf für eine gewisse Zeit nachvollzogen werden kann. War es Vergesslichkeit, Überheblichkeit oder hatte er guten Grund zu der Annahme, daß die Logins nicht nachvollzogen werden können? Letzteres könnte auf einen weiteren, bisher unentdeckten Täter hindeuten (sofern der taz-Artikel nicht Wesentliches dazu verschweigt). Man kann bis hierher auch noch Fahrlässigkeit annehmen. Eine unverfängliche Ausrede, weshalb er sich mit der Kennung der Praktikantin eingeloggt hatte, hätte sich sicher problemlos finden lassen.
Aber dann:
In dieser Datensicherung stößt ein EDV-Mitarbeiter auf vier Dateien, die denselben Namen tragen wie jene auf dem Keylogger: LOG.TXT. Entscheidend ist, wo sie liegen: In den Sicherungskopien des Benutzerkontos von Sebastian Heiser. Sie passen auch inhaltlich zu denen auf dem Stick.
[…]
Auch ist nachweisbar, dass die Mitschnitte des Keyloggers zum Teil an einem Rechner ausgelesen worden sein müssen, an dem zu dieser Zeit der Nutzer „heiser“ angemeldet war.
Aller Wahrscheinlichkeit nach, hat er die Dateien wohl nicht nur vom Keylogger auf seinen Arbeitsplatzrechner kopiert, von wo sie dann in das Datensicherungssytem bei der taz eingeflossen sind, sondern auch bearbeitet. Offenbar fühlte er sich vor Entdeckung sicher genug, um mit den Keyloggerdateien an seinem Arbeitsplatzrechner in der Redaktion zu hantieren. Ein erstaunlich elementarer Fehler, der ihm da unterlaufen ist. Als Einzeltäter hätte er die Keyloggerdateien doch problemlos zu Hause auf einem Privatrechner in aller Seelenruhe auswerten können. Hatte er vergessen, daß es bei der taz eine Datensicherung gibt oder stand er derart unter Zeitdruck, daß es das Risiko wert war?
Aber vielleicht ist das Alles auch nachträglich nur zu tief gedacht, denn manch’ ein Einbrecher hat schon am Tatort seinen Personalausweis vergessen oder beim Abbau der Überwachungskameras erstklasige Portraitaufnahmen von sich abgeliefert.
Abschließend ist der taz (und vielen Anderen) zu wünschen, daß ihre Admins nicht auch mal auf dumme Gedanken kommen, da sie die Daten der Redakteure lesbar aus den Sicherungskopien ziehen können.