Am 19. Januar 2010 wurde jeweils auf indymedia.de und indymedia.linksunten ein Artikel veröffentlicht, in dem eine "Bewegung Schwarzer Phönix" vorgibt 100 E-Mailkonten von Gruppen und Einzelpersonen aus der radikalen Linken geknackt zu haben. Geschehen sei dies, um aufzuzeigen, dass es erhebliche Schwachstellen in der Auswahl der Passwörter gebe und es somit für Nazis und Repressionsbehörden ein einfaches wäre, einen Einblick in die E-Mailkonten und damit in die Kommunikation zu bekommen.
Wir haben von "Bewegung Schwarzer Phönix" E-Mails bekommen, die von drei gekaperten E-Mailaccounts geschickt wurden, in denen uns das Angebot gemacht wurde, in Kontakt zu treten, um die Passwörter zu erhalten und den Besitzer_Innen wiederzugeben. Diese E-Mails wurden uns unverschlüsselt zu gesendet, obwohl es kein Problem darstellt, an unseren öffentlichen Schlüssel zu gelangen (z.B. über unsere Homepage www.ea-berlin.net).
In dem erwähnten Text auf indymedia wird auch darauf eingegangen, dass es bei dem E-Mailanbieter riseup.net Schwachstellen geben soll. Wir stellen uns nun die Frage, warum dies auf indymedia ausgebreitet wird, anstatt mit dem Anbieter in Kontakt zu treten und an einer Lösung des Problems konstruktiv mitzuarbeiten oder mit zu helfen. Die populistische Art und Weise mit welcher auf Sicherheitslücken und Schwachstellen in der digitalen Kommunikation hingewiesen wurde, lehnen wir entschieden ab, da dies schlussendlich nur den Repressionsbehörden in die Hände spielt.
Obgleich wir das Vorgehen der sog. "Bewegung schwarzer Phönix" für falsch halten, so sind doch gravierende Sicherheitsmängel deutlich geworden. Obwohl unser Account nicht betroffen ist, nehmen wir dies zum Anlass, unsere eigenen Sicherheitsvorkehrungen einer Überprüfung zu unterziehen und fordern alle anderen Gruppierungen und Einzelpersonen dazu auf, dies auch zu tun.
Es gibt im Internet viele Webseiten, auf denen Beispiele für sichere Passwörter gezeigt werden. Wir empfehlen, ein Passwort regelmäßig zu ändern und auch das Postfach in regelmäßigen Zeitabständen aufzuräumen, damit ein möglicher Schaden so weit wie möglich eingegrenzt werden kann, sowie die Kommunikation verschlüsselt zu betreiben. Gleichzeitig warnen wir auch bei Verschlüsselungen vor der Illusion einer völligen Sicherheit im Netz: auch Verschlüsselungen können Grenzen oder Fehler haben; zudem werden sie von Menschen angewendet, die dabei Fehler machen oder ausspioniert werden können, wie ja gerade durch dieses Beispiel gezeigt wurde.
Außerdem sollte in solch einer Diskussion auch beachtet werden, dass möglichst sichere Kommunikation nicht zur reinen Expert_Innensache verkommt, sondern allen AktivistInnen zugänglich bleibt.
Der EA Berlin
Links zu Sicherheit im Netz:
Tips für die Wahl des Passwortes - www.sicherespasswort.com
Broschüre: Sicher durchs Netz - Tipps für den Umgang mit Computersicherheit und Internetüberwachung - pdf-download
Handbuch Computersicherheit - pdf-download
Ermittlungsausschuss Berlin
Gneisenaustraße 2a
10961 Berlin
Telefon:
030/69 22 222
Mail:
ea-berlin@riseup.net
Web:
Danke, Schwarzer Phönix!
Die Disclosure-Debatte - schön, dass die endlich auch hier angekommen ist. Ich möchte gerne noch für mehr Verständnis für Schwarzer Phönix werben. Es ist gut, dass mit ihrer Aktion eine Sicherheitsdebatte in einer Tiefe und Qualität losgetreten wird, die andernorts schon lange selbstverständlich ist und wo "hier" böse Lücken klaffen.
Hier wird Experten bei Repressionsbehörden sicherlich nichts "in die Hände [ge]spielt", von dem wir nicht davon ausgehen müssten, dass es nicht von großen Mängeln in deren Professionalität zeugen würde, wenn sie es nochnicht gewusst hätten. Sicherlich ist es meist eine gute Vorgehensweise, erstmal den Zielen einen Wissensvorsprung zu geben, wenn man es gut mit ihnen meint. Und nach eigenen Angaben wurde die Aktion ja auch erst als Eskalationsstufe nach mangelndem Echo auf Warnungen gemacht - wobei natürlich die Sache mit den Riseup-Lücken ungeklärt bleibt. Doch vor allem führe man sich vor Augen, dass hier keine großen Kunststücke vollführt wurden, sondern - um einen hinkenden Vergleich zu bemühen - quasi nur Türklinken gedrückt wurden, um zu sehen, ob abgesperrt ist. Bei diesen Zuständen ist es deutlich angezeigt auch Druck aufzubauen, da solche Sicherheitsmängel eben nicht nur Privatsache der jeweiligen Person sind, sondern auch jeweils alle betrifft, die mit ihr Kontakt haben.
Fuck off, Schwarzer Phönix
Dass die angeblich 100 geöffneten Accounts vorher gewarnt wurden, das glaubst du doch wohl selbst nicht? Das ist nichts als billige Schutzbehauptung. bzw. falseflag. So stützen sich die Angaben über die angeblichen Sicherheitsmängel und dass "keine großen Kunststücke" vollbracht worden seien, lediglich auf die Behauptungen der Phönix-Gruppe, wobei die letzte Aussage nicht ganz richtig ist, da hier auch von Keyloggern und erfolgreichem Bruteforcing die Rede war, womit ein weitaus Größerer Aufwand betrieben wurde, als behauptet. Warum sollten solche Methoden nötig sein, wenn alle der genannten Gruppen Passwörter wie "anarchy" und "Sternburg" oder primitive Passwortvergessen-Abfragen gehabt hätten bzw. alle Gruppenmitglieder herumrennen und fremden die Passwörter nennen? Genau hier liegt doch der infame Gehalt der Aktion, da werden eine Hand voll Gruppen, die der Autor als "dominant" empfindet praktisch mit allerlei Vorwürfen in Beziehung gesetzt und die Diffamierung fruchtet, da kaum jemand für möglich hält, was bereits an der Art, wie die "Sicherheitsmängel" und Gruppenstrukturen eingebracht werden deutlich wird. Eine Kollektivstrafe, die sich bei genauerem Hinsehen als gezielte Diffamierung bestimmter Gruppen entpuppt. Vielleicht lohnt es sich in dieser Frage auch mit betroffenen Strukturen Kontakt aufzunehmen, anstelle dem Phönix sämtliche (legitimatorischen Schutz-)Behauptungen sowohl zur Durchführung als auch zum Grad der Informationserlangung blauäugig abzukaufen.