Drücke „Enter”, um zum Inhalt zu springen.

Abhörwanze iPhone: der FaceTime-Bug und wie sich Journalisten absichern sollten

Andreas Szabó 0

Beim Apple-Videochat-Programm FaceTime auf iPhones, iPads und iMacs ist diese Woche eine schwere Sicherheitslücke bekannt geworden. Das Fachportal 9to5mac machte die Lücke öffentlich. Unter bestimmte Voraussetzungen konnten Dritte das Mikrofon und sogar die Kamera von fremden Geräten aktivieren und mithören. Und das ohne, dass es der Betroffene unter Umständen mitbekommt. Die Sicherheitslücke bestand offenbar schon länger und ist so schwerwiegend, dass man nur dringend empfehlen kann, Facetime in die iPhone-Einstellungen komplett zu deaktivieren. Apple hat die Gruppenchat-Funktion deaktiviert und eine Programmaktualisierung angekündigt.

Ein Anwalt in den USA hat bereits Klage eingereicht, da er in seinem höchst sensiblen Bereich abgehört worden sei. Auch für Journalisten und andere Geheimnisträger sind solche Sicherheitslücken nicht trivial.

Quellen als Journalist schützen

Gerade für Journalisten ist eine absolut sichere Kommunikation mit Quellen unerlässlich. Die schwerwiegende Facetime-Sicherheitslücke ist für mich Anlass, die eigenen Vorkehrungen mal wieder zu überprüfen und hier sechs grundlegende Tipps zum Schutz von Quellen und zur Datensicherheit zusammenzufassen.

1.) Handy zu vertraulichen Gesprächen nicht mitnehmen

Bei Treffen mit Informanten, die sich als Whistleblower möglicherweise selbst in Gefahr bringen, kann man nur dringend empfehlen, das Handy nicht mitzunehmen. Die Klischeebilder aus Gangsterfilmen, bei der alle Handys vor der Sitzung des Gangsterbosses in einer Tüte mit Alufolie eingesammelt werden, sind in dem Fall nicht übertrieben. Handys können – selbst abgeschaltet – immer überwacht werden. Auch wenn die Sicherheitsbehörden in Deutschland dafür einen richterlichen Beschluss benötigen und die Regeln eng gefasst sind. Sicher ist sicher: Das Handy bleibt im Handschuhfach oder Büro. Apropos Büro: auch Laptops, Smartspeaker, etc. lassen sich zu Wanzen verwandeln. Und dazu muss man nicht gleich von der CIA oder dem BKA sein, entsprechende Tools sind im Web mit etwas Aufwand auffindbar.

2.) Snailmail – klassische Schneckenpost nutzen

Vertrauliche Dokumente im besten Fall per klassischer Post entgegen nehmen und nicht aufgrund von Bequemlichkeit zumailen lassen. Große Portale wie Wikileaks nutzen auch anonyme Onlinebriefkästen, Systeme wie “Secure-Drop” versprechen dabei Sicherheit. Dennoch: Klassische Post hinterlässt keine Datenspuren im Netz.

3.) Persönlicher Kontakt statt Telefonate

Vertrauliche und sensible Informationen werden unter vier Augen besprochen, nicht am Telefon.

4.) E-Mails verschlüsseln

Müssen E-Mails genutzt werden, dann bitte verschlüsselt. PGP ist kostenfrei und leicht nutzbar:

Gpg4win installieren, mitgeliefert wird “Kleopatra” – damit ein Schlüsselpaar erstellen. Öffentlichen Schlüssel publizieren und Kontakten mitteilen. Der Private (passwortgeschützte) Schlüssel wird dann zur Entschlüsselung von Mails genutzt. Aber nicht vergessen: Meta-Daten (wer schrieb wem wann mit welchem Betreff) werden unverschlüsselt übertragen und können bereits entscheidende Informationen liefern.

Mein PGP-Fingerprint: 59C1 18C6 315D C13A 1D9B CCD1 CD8E 7A59 7C0B 136A

5.) Sicheren Messenger nutzen

Threema gilt als sicherer Messenger, aktuell kostet dieser 3,49€ im Appstore. Alternativ kann auch Signal oder Telegram genutzt werden. Dennoch: digitale Spuren sind unter Umständen nachverfolgbar, insbesondere wenn das Mobiltelefon bereits kompromittiert ist, nutzt auch die Verschlüsselung der übertragenen Nachrichten nichts mehr.

6.) Audio-Signal anonymisieren

Muss der genaue Standort eines Whistleblowers geschützt werden, müssen die Tonspuren (gilt sowohl für Hörfunk, als auch für TV-Journalisten) bearbeitet werden. Und dabei geht es nicht nur um die Verfremdung der Stimme des Informanten: Inzwischen ist es möglich, anhand des (nicht hörbaren) Brummens des Stromnetzes, Zeit und Ort eines Interviews zu ermitteln. Heißt also: alles im Frequenzbereich um 50Hz aus der Tonspur entfernen. In gängiger Audiosoftware ist dies mit Frequenzband-Filtern möglich.

7.) Social Engineering abwehren

“Woher haben Sie denn diese Information? Wer hat Ihnen denn das gesagt? Sie sind ja gut informiert…” Diese oder ähnliche Formulierungen hat vermutlich jeder Journalist schon dutzende Male gehört. Wenn die Gegenseite versucht, die Quelle so herauszubekommen, tut sich der Journalist noch leicht, das klar und deutlich abzuwehren. Aber es gilt: auch im privaten Bereich niemals über Quellen und ihre Identität reden. Und: schriftliche Notizen niemals rumliegen lassen, gerade in offenen/transparenten Redaktionen.

Im Pressekodex, wir der Quellenschutz, in Ziffer 5 auch ganz klar fomuliert:

Ziffer 5 – Berufsgeheimnis

Die Presse wahrt das Berufsgeheimnis, macht vom Zeugnisverweigerungsrecht Gebrauch und gibt Informanten ohne deren ausdrückliche Zustimmung nicht preis.

Die vereinbarte Vertraulichkeit ist grundsätzlich zu wahren.