In eigener Sache – Datenklau: Die Chronologie

Erstveröffentlicht: 
23.02.2015

Die taz wurde wohl von einem Angestellten ausspioniert. Daten von Mitarbeitern wurden mithilfe eines Keyloggers abgeschöpft. Was ist geschehen? Wie reagiert die taz?

 

Dienstag, 17. Februar

Am Nachmittag wird ein EDV-Mitarbeiter informiert, dass der Computer einer Praktikantin nicht funktioniert. Die Tastatur streikt. Er entdeckt, dass zwischen Tastatur und USB-Eingang des Rechners ein schwarzer Keylogger steckt: ein Gerät, das unter anderem jeden Tastaturanschlag protokollieren kann. Er nimmt ihn an sich, geht damit in die EDV. Die Hülle des Keyloggers wird aufgebrochen: „Atmel“ prangt auf dem Chip im Innern. Dazu eine Produktnummer. Ansonsten ist alles gelöscht. Zumindest oberflächlich. Denn aus den Speicherbausteinen lässt sich eine Textdatei rekonstruieren, die sich noch auf dem Keylogger befindet. Sie wird auf einen Rechner der EDV kopiert.

Die Kollegen der EDV beginnen am Nachmittag damit, die Daten auszuwerten.

Der Stick selbst wird am Abend an seinen Fundort zurückgebracht und dort wieder zwischen PC und Tastatur gesteckt. Vielleicht kommt der Datensammler ja vorbei und zieht den Stick ab?

Der Abteilungsleiter der EDV wird über den Fund informiert.

 

Mittwoch, 18. Februar

Noch vor der morgendlichen Konferenz wird die Geschäftsführung eingeweiht.

Nahezu alle Kolleginnen und Kollegen sitzen ab 9.30 Uhr im Konferenzraum. Der Architekt informiert über das neue Haus: Wer sitzt wo? Und warum nicht woanders?

Am späten Vormittag versucht sich die Praktikantin am betroffenen Rechner einzuloggen. Wieder ein Problem. Allerdings ist der Rechner nicht komplett stillgelegt, wie es die EDV geplant hatte. Also macht sich ein Mitarbeiter daran, der Praktikantin einen anderen Rechner hinzustellen und einzurichten.

Während er daran arbeitet, beobachten mehrere Mitarbeiter, wie ein taz-Angestellter seine Zeitung über die Rückseite des betroffenen Rechners hält und den Keylogger entnimmt. Er habe nur einen USB-Stick herausgezogen, sagt der Erwischte laut Augen- und Ohrenzeugen. Der EDV-Mitarbeiter nimmt ihm den Stick ab. Gemeinsam gehen sie in die EDV. Es ist zwölf Uhr. Der Kollege äußert sich nicht weiter, geht auf die Toilette, dann an seinen Arbeitsplatz. Auch gegenüber dem herbeigerufenen Abteilungsleiter und einem Mitglied der Geschäftsführung sagt er nichts zu den Vorwürfen. Der Kollege verlässt die taz.

Um 12.17 Uhr wird die Chefredakteurin informiert. Ab 13.45 Uhr tagen Chefredaktion, Vorstand und Redaktionsrat. Ab 14.15 Uhr wissen die Ressortleiterinnen und Ressortleiter Bescheid. Um 14.30 Uhr wird die gesamte Redaktion informiert.

Derweil läuft die Auswertung der Textdatei in der EDV. Sie dauert bis heute an. Mehrfach sind Daten gelöscht und teilweise überschrieben worden. Bisher wurden die Daten von 16 Mitarbeiteraccounts gefunden.

 

Donnerstag, 19. Februar

Die Redaktion wird in der Morgenkonferenz darüber in Kenntnis gesetzt, dass in der Nacht ins Gebäude eingebrochen worden sei. Ein Mitarbeiter des Reinigungsdiensts habe den Einbruch um 5.30 Uhr bemerkt. Die Polizei sei informiert worden. Wie weit der Einbrecher gekommen ist, ist aber unklar. Die erste Tür wurde aufgebrochen, eine zweite – die sich mit einem Code öffnen lässt – ist unbeschädigt. Der Code ist allerdings allen aktuellen und ehemaligen Mitarbeitern bekannt. Ob ein Zusammenhang zwischen dem Datendiebstahl und dem Einbruch besteht, ist unbekannt.

KollegInnen hatten allerdings am Abend zuvor bereits unter Aufsicht des Justiziars die Dinge, die der unter Verdacht stehende Mitarbeiter zurückgelassen hatte, zusammengepackt und weggeschlossen.

Die Auswertung der Daten vom Keylogger geht weiter: Der Zeitraum der Ausspähung (zumindest mit diesem Keylogger) wird eingegrenzt. Danach wurde das Gerät mindestens seit Anfang 2014 zum Ausspähen von taz-Rechnern benutzt. Außerdem wird festgestellt, dass die Software des Keyloggers 2012 veröffentlicht worden ist.

 

Freitag, 19. Februar

Verschiedene Medien berichten über den Fall, darunter Newsroom.de, Die Welt, das NDR-Magazin „Zapp“ und Spiegel Online.

Taz-Geschäftsführer Karl-Heinz Ruch veröffentlicht ein Statement: „Zu Personalangelegenheiten äußert sich die taz grundsätzlich nicht.“

Durch die Auswertung von Logdateien auf Rechnern, bei denen der Keylogger in Betrieb war, wird deutlich, dass die Daten wohl auch an einem taz-Rechner ausgelesen wurden. Der Nutzer des Keyloggers hat sich dafür wohl mit zuvor gestohlenen Accountdaten eingeloggt, den Stick angeschlossen, aus der Textdatei Zugangsdaten ausgelesen, den Stick wieder abgezogen, sich ausgeloggt – und sich dann mit den gerade ausgelesenen Daten der Zielperson am selben Rechner wieder eingeloggt. So konnte er beispielsweise auf das Postfach der Zielperson zugreifen.

 

Montag, 23. Februar

Für 12.30 Uhr ist der beschuldigte Kollege zu einem Gespräch mit Chefredaktion, Geschäftsführung und Justiziar eingeladen. Er kommt nicht.

Arbeitsrechtliche Schritte werden eingeleitet.

Es wird Strafanzeige erstattet.