Keylogger-Affäre in der taz: Dateiname LOG.TXT

Der Keylogger wurde inzwischen an die Polizei übergeben
Erstveröffentlicht: 
04.06.2016

Anfang 2015 kam heraus, dass Computer in der taz mehr als ein Jahr lang ausgespäht wurden. Die Recherche zum Fall führt bis nach Asien.

 

Von Martin Kaul, taz-Redakteur für soziale Bewegungen & Politik von unten, und Sebastian Erb, taz.am wochenende

 

Es ist wohl reiner Zufall, dass der Keylogger am Ende entdeckt wird. Mindestens ein Jahr lang ist er zuvor im Einsatz. Er wandert von Computer zu Computer, im ersten, dritten und vierten Stock der Rudi-Dutschke-Str. 23 und schneidet dort die Tastaturanschläge mit, Passwörter, Mails, Kontodaten. Das geht so lange, bis am Nachmittag des 17. Februar 2015, ein Dienstag, die Computertastatur einer Praktikantin nicht mehr funktioniert.

Sie ruft die Hotline der EDV-Abteilung an. Der Kollege, der sich daraufhin ihren Computer anschaut, entdeckt an der Rückseite des Gehäuses einen Adapter, der zwischen der USB-Buchse und dem Tastaturkabel steckt. Dieser schwarze Stick wird bald darauf große Unruhe in die Redaktion bringen, und weit darüber hinaus.

Die EDV-Mitarbeiter sind irritiert. Sie brechen den 3,8 Zentimeter langen Stick auf und googeln die Produktnummer. Es handelt sich um einen Keylogger. Das ist ein Spähwerkzeug, das alles aufzeichnet, was in eine Tastatur getippt wird; bestens geeignet, um Passwörter zu stehlen.

Ab diesem Zeitpunkt ist die EDV-Abteilung im Krisenmodus. Bislang wissen nur die Informatiker, dass einE DatendiebIn im Haus unterwegs sein muss. Sie kopieren den Inhalt des Datenträgers, kleben ihn wieder zusammen und stecken ihn dann zurück in den Computer. Es ist eine Falle. Chefredaktion und Geschäftsführung der taz werden am nächsten Tag eingeweiht.

Am Mittwoch, gegen 12 Uhr, wird ein langjähriger Redakteur dabei beobachtet, wie er den Keylogger abzieht. Er wird zur Rede gestellt, erst von Mitarbeitern der EDV, dann von seinem Ressortleiter und einem der taz-Geschäftsführer. Er erklärt zunächst, es handle sich um einen USB-Stick. Mehr will er nicht sagen. Schließlich wird ihm Hausverbot erteilt. Er verlässt die Redaktion fluchtartig durch das hintere Treppenhaus. All dies geschieht innerhalb von weniger als einer halben Stunde. Der Kollege wird nie wieder in der taz gesehen. In seinem Schreibtisch hinterlässt er Rechercheunterlagen, einen Beutel Traubenzucker und eine Verfassungsschutz-Broschüre mit dem Titel: „Spionage. Sind auch Sie gefährdet?“

 

Um 14.15 Uhr informiert die damalige taz-Chefredakteurin Ines Pohl die RessortleiterInnen. Für 14.30 Uhr ruft sie die gesamte Belegschaft zusammen. Die KollegInnen stehen im dritten Stock, an jenem Rechner, an dem der Keylogger gefunden wurde. Alle sind fassungslos. Später bekommen alle MitarbeiterInnen eine Mail. Sie werden aufgefordert, ihre Passwörter zu ändern. „Bitte auch bei anderen Accounts, z.B. bei GMX oder Web.de oder Hotmail, Twitter, Facebook“.

Was geschehen ist, hat das Zeug, das Vertrauen innerhalb der taz und in die taz zu zerstören. Dass eine Zeitung ausgespäht wird, passiert nicht alle Tage. Es geht um viel: Die Wahrung des Redaktionsgeheimnisses. Für jemanden, der sich vertraulich an eine Zeitung wendet, kann es unangenehm bis gefährlich werden, wenn seine Daten in falsche Hände geraten. Eine Zeitung läuft Gefahr, ihre InformantInnen zu verlieren, wenn sie sie nicht schützen kann. Ein Spähangriff in einer Redaktion zielt auf den Kern der Pressefreiheit.

Allen ist ebenso klar: Der Vorfall kann die Karriere des Kollegen zerstören. So versuchen noch am selben Tag einige, Kontakt mit ihm aufzunehmen.

Am Donnerstagmorgen um 9.30 Uhr ist der große Konferenzraum so voll wie schon lange nicht mehr. Dutzende RedakteurInnen, Verlagsangestellte, PraktikantInnen sind da, Geschäftsführung, Chefredaktion. Als Erstes erfahren die MitarbeiterInnen die jüngste Nachricht: In der Nacht ist die Eingangstür des Redaktionsgebäudes aufgebrochen worden. Die dahinter liegende Glastür dagegen ist heil geblieben. Sie lässt sich mit einem Code öffnen, der den meisten taz-MitarbeiterInnen bekannt ist. Viele schlussfolgern: Es muss der beschuldigte Kollege gewesen sein, der noch etwas holen wollte. Bewiesen ist das nicht.

Am Freitag berichtet der Branchendienst Newsroom.de: „Angriff von innen: Spionierte langjähriger Redakteur die ‚taz‘ aus?“ Die Welt und das NDR-Medienmagazin „Zapp“ nennen dann fast zeitgleich auch den vollen Namen des Beschuldigten, das verurteilen viele in der taz. Später zieht der englische Guardian für eine internationale Leserschaft nach.

Die Geschichte des Keyloggers gleicht zu diesem Zeitpunkt schon einem Drama, bei dem vieles unklar ist.

 

Mit journalistischen Mitteln aufklären?

Am Freitagmorgen erhält die Chefredakteurin der taz um 5.45 Uhr eine Direktnachricht über @tazblog, den Twitteraccount des beschuldigten Kollegen: „Die gegen mich erhobenen Vorwürfe bestreite ich. Bitte gebe diese Stellungnahme den Journalisten wieder, die bei Dir anfragen.“

Auch KollegInnen und MitbewohnerInnen, die sich nach seinem Wohlergehen erkundigen, erhalten nur knappe Nachrichten per SMS und Twitter. „Sorgen sind unnötig“, schreibt er zurück. „Bin gerade unterwegs, um ein paar Tage durchzuatmen und etwas Abstand zu gewinnen. Mehr kann ich gerade nicht sagen.“

Die Redaktion diskutiert: Konnte es wirklich sein, dass ein Kollege das Vertrauen im Haus derart missbrauchte und damit die Integrität der gesamten Redaktion aufs Spiel setzte?

Am Freitag berät die Redaktionskonferenz, ob die taz einen Strafantrag stellen sollte. Dabei steht die Befürchtung im Mittelpunkt, dass Redaktionsinterna noch mehr verletzt würden, wenn die Ermittler Zugriff auf die Server verlangen. In dieser Konferenz fällt auch folgender Satz: Vielleicht sollten wir tun, was wir am besten können, die Sache mit journalistischen Mitteln aufklären.

Im Hausblog der taz erscheint am Nachmittag nur eine knappe Botschaft. taz-Geschäftsführer Karl-Heinz Ruch teilt mit: „Zu Personalangelegenheiten äußert sich die taz grundsätzlich nicht.“ Das verärgert viele im Haus. Kann die taz es sich so einfach machen?

Für den kommenden Montag, 12.30 Uhr, ist der beschuldigte Kollege zu einem Gespräch mit Chefredaktion und Geschäftsführung eingeladen. Am Sonntag schickt er eine E-Mail. Darin kündigt er an, nicht zu erscheinen und gegen eine mögliche Kündigung nicht arbeitsrechtlich vorzugehen. Er schreibt auch, er würde gerne eine Erklärung abgeben, „doch es stehen Vorwürfe gegen mich im Raum, die strafrechtlich relevant sind.“ Deshalb ziehe er es vor, zu schweigen.

Am Dienstag, 24. Februar 2015, erscheint auf Seite drei der taz ein Editorial der ChefredakteurInnen Ines Pohl und Andreas Rüttenauer. Sie schreiben: „Das Wichtigste ist für uns dabei, die Vorkommnisse, so weit dies irgend möglich ist, aufzuklären und so das Vertrauen in die taz zurückzugewinnen – bei LeserInnen, Interviewpartnern und Informanten ebenso wie unter den KollegInnen.“ Daneben kündigen sie an, dass die taz Strafanzeige erstattet. Den Namen des beschuldigten Kollegen nennt die taz nicht.

 

Am Nachmittag landet eine Mail im Postfach geno@taz.de, Absender: Ein Kommissariatsleiter des Landeskriminalamts Berlin. „Den Internetmedien ist zu entnehmen“, schreibt er, „dass sie wegen des Einsatzes eines sogenannten Keyloggers zum Nachteil ihrer Mitarbeiter Strafanzeige erstatten wollen. Da hier bislang kein entsprechender Eingang festzustellen ist, darf ich ihnen unsere Dienststelle zuständigkeitshalber als Ansprechpartner benennen.“

Am Donnerstag, den 26. Februar 2015, kommen LKA-Beamte ins taz Café, bewusst werden sie nicht in die Redaktionsräume gebeten. Die taz-Geschäftsführung übergibt ihnen den Keylogger, erstattet Strafanzeige und stellt Strafantrag gegen den Kollegen und gegen unbekannt „wegen des Verdachts der Verletzung der Vertraulichkeit des Wortes, § 201 StGB, des Ausspähens von Daten, § 202a StGB, des Abfangens von Daten, § 202b StGB, des Vorbereitens des Ausspähens und Abfangens von Daten, § 202c StGB, und sämtlicher weiterer möglicher Delikte“. Später bekommt die Polizei auch eine CD und eine DVD mit weiteren Dateien sowie den Arbeitscomputer des Beschuldigten ausgehändigt.

Einen Monat später, am 27. März 2015, klingeln um 6.15 Uhr Polizisten des Landeskriminalamts, Abteilung 245 – Cybercrime im engeren Sinne –, an der Tür der Wohngemeinschaft, in der der Beschuldigte jahrelang gewohnt hat. Sie zeigen einen Durchsuchungsbefehl und schauen sich in seinem Zimmer um. Laut Durchschlag des Polizeiprotokolls führt die Durchsuchung nicht zur „Auffindung von Beweismitteln“. Der Beschuldigte selbst ist nicht anwesend. Was zu diesem Zeitpunkt kaum jemand weiß: Er hat sich schon vor Wochen ins Ausland abgesetzt.

 

Wie geht die taz mit dem Fall um?

Für die MitarbeiterInnen der taz bedeutet der Vorfall eine Verunsicherung. Sie ziehen ganz unterschiedliche Konsequenzen. Manche ändern ihre Passwörter. Sie wollen nicht, dass GesprächspartnerInnen und InformantInnen sich womöglich zu Unrecht verunsichert fühlen. Manche Betroffene legen sich neue Accounts zu, schreiben Dutzende GesprächspartnerInnen an, informieren Gruppen, in denen sie Mitglied sind, oder auch einen Expartner. Auch Zugangsdaten zu Bankkonten müssen geändert werden.

Sobald die ersten Artikel erscheinen, sind auch Leute außerhalb der taz, die mit dem Beschuldigten zu tun hatten, verunsichert. An der Kölner Journalistenschule, an der er ausgebildet wurde, administrierte er bis zu seinem Verschwinden die Mailverteiler für die jeweils aktuellen Klassen. Die Domain, über die diese liefen, ist immer noch auf seinen Namen registriert. Theoretisch konnte er so über Jahre Mails mitlesen. Auch ein Ereignis in seinem privaten Umfeld erscheint plötzlich in anderem Licht. Aus Gründen des Persönlichkeitsschutzes wird hier und auch an anderen Stellen des Textes darauf verzichtet, bestimmte Details zu nennen.

In der taz diskutieren unterdessen die RedakteurInnen: Wie kann die Zeitung nach innen und nach außen die Sicherheit vermitteln, dass Informationen gut aufgehoben sind? In der eigenen Zeitung lesen sie, die allermeisten RedakteurInnen würden ihre Mails verschlüsseln. So etwas aber kann keine Redaktion ernsthaft behaupten. Natürlich ist die taz auf verschlüsseltem Wege zu erreichen. Doch nur ein überschaubarer Teil der Redaktion nutzt die Technik regelmäßig.

Mitte März 2015 erhalten die RessortleiterInnen eine Schulung in digitaler Sicherheit. Manche verschlüsseln später ihre Mails, andere nicht. Bei der Schulung wird auch vermittelt, dass Verschlüsselung nicht gegen einen Keylogger hilft – weil dieser Daten schon abgreifen kann, solange sie noch im Klartext vorliegen.

Viel mehr passiert in den folgenden Monaten nicht. Die technische Infrastruktur der taz bleibt unverändert. Seit ihrer Gründung herrscht in der taz die Philosophie vor: Es ist nicht nur die Technik, die Probleme verursacht, sondern der Umgang mit ihr. Und was lässt sich am Ende dagegen tun, wenn jemand gezielt KollegInnen ausspionieren will?

Am Abend des 19. März veranstaltet die taz eine Podiumsdiskussion mit dem Titel: „Was verändert sich an journalistischen Grundstandards durch die neuen technischen Möglichkeiten?“ Zu Gast sind neben taz-Chefredakteurin Ines Pohl der Welt-Vizechef Ulf Poschardt, Constanze Kurz vom Chaos Computer Club, der Journalistik-Professor Volker Lilienthal und Lutz Tillmanns, Geschäftsführer des Deutschen Presserats. Die Veranstaltung soll Antworten geben auf viele Fragen, die die Keylogger-Affäre mit sich gebracht hat. Es geht um Recherchen und ihre Grenzen. Und obwohl dabei versucht wird, nicht über den mutmaßlichen Ausspäher und seine Motive zu sprechen, fällt der Name des beschuldigten Kollegen an diesem Abend mehrfach: Sebastian Heiser.

 

Wer ist Sebastian Heiser?

Es ist auch kaum möglich, sich ausführlich mit dem Keyloggerfund zu beschäftigen und dabei die Person auszublenden. Sein Name wird nun auch in diesem Text genannt. Der Anspruch eines Beschuldigten darauf, dass sein Persönlichkeitsrecht gewahrt wird, ist stark. Das Argument wurde lange gewogen. Die Gründe dafür, Sebastian Heisers Namen zu nennen, sind gewichtiger. Dass ein öffentliches Interesse an der Sache besteht und die Vorwürfe gegen ihn in ihrer Dimension besonders sind, steht außer Frage. Für die taz kommt hinzu: Wird sein Name nicht genannt, stehen prinzipiell viele unbeteiligte KollegInnen unter Verdacht. Auch die, mit denen er im Namen der taz zu tun hatte, haben ein Recht, von dem Vorfall zu erfahren.

Und es gibt noch eine Frage, die nur an seine Person geknüpft ist: Sebastian Heiser ist jemand, der immer wieder Verfehlungen thematisiert hat, auch in der eigenen Branche. War er womöglich einem taz-internen Skandal auf der Spur? Oder geht es um etwas ganz anderes?

Seine erste größere Recherche entfaltet gleich Wucht: Am 27. März 2001, Sebastian Heiser ist 22 Jahre alt, erscheint in der Dürener Zeitung ein Artikel, der in der nordrhein-westfälischen Kreisstadt den Bau einer Tiefgarage unter dem zentralen Kaiserplatz verhindern wird.

Er sticht aus der Masse der Texte deutlich hervor: Der Nachwuchsjournalist hat gut recherchiert. Er zeigt, wie der Bauträger bei einem ähnlichen Projekt in Kaiserslautern eine unvollendete Baustelle und offene Rechnungen hinterlassen hat. In den vergilbten Printausgaben der Zeitung im Dürener Stadtarchiv ist nachzuverfolgen, wie sich nach der Veröffentlichung des Textes ein Kommunalpolitiker nach dem anderen von dem Projekt distanziert. Bald wird es begraben. Es ist Lokaljournalismus par excellence.

Als Sebastian Heiser Jahre später, im Jahr 2008, als Redakteur in der Berlin-Redaktion der taz beginnt, bleibt das sein Stil: Er recherchiert intensiv, auch gegen Widerstände, schreibt trocken im Ton und konfrontativ in der Sache. Der größte Coup: Im Oktober 2010 veröffentlicht er in der taz die bis dahin geheimen Berliner Wasserverträge, deren Offenlegung eine BürgerInneninitiative seit Jahren erfolglos eingefordert hat.

Unter anderem für diese Arbeit wählt ihn das Medium Magazin 2010 zum „Newcomer des Jahres“. In der Begründung der Jury heißt es: „Außergewöhnlich und lobenswert ist seine selbstkritische journalistische Grundhaltung.“ Tatsächlich: Auf Kritik innerhalb und außerhalb der taz reagiert Sebastian Heiser stets mit Argumenten. Er ist einer der wenigen Autoren, die Leserkommentare auf taz.de regelmäßig beantworten. Wo er auch auftritt, signalisiert seine selbstbewusste, manchen auch zu arrogante Haltung: Ich habe alle Argumente gewogen, und ich habe die besseren auf meiner Seite.

Sebastian Heiser nutzt seine Auskunftsrechte intensiv, verklagt wiederholt Behörden, wenn ihm Informationen verweigert werden. Manche dieser Auseinandersetzungen führt er auf eigenes Risiko – und auf eigene Rechnung. Bei Gericht tritt er regelmäßig auch in anderer Funktion auf: Er spricht als Schöffe Recht.

In der taz engagiert er sich überdurchschnittlich. Er kümmert sich um PraktikantInnen, bringt die Erstellung einer Gemeinwohlbilanz voran und konfrontiert seine Zeitung regelmäßig mit ihren im Redaktionsstatut festgeschriebenen Idealen. Einmal wertet er gemeinsam mit Kolleginnen 1.501 taz-Artikel aus, insgesamt 197.703 gedruckte Zeilen. Schließlich protokolliert er: „Davon schrieben Frauen 69.121 Zeilen, das sind 35,5 Prozent.“ Die Botschaft ist klar: In der taz sind Männer massiv überrepräsentiert.

Schon kurz nach seinem Eintritt in die Redaktion gründet er das taz-Hausblog, manchmal bestückt er es über Monate allein mit Texten. Sein Credo: Möglichst viel Offenheit. 2014 tritt er bei der Vorstandswahl der taz-Genossenschaft mit dem Versprechen an, Haushaltsentscheidungen des Vorstands künftig allen KollegInnen transparent zu machen und sie darüber abstimmen zu lassen. Er erhält nur 16 Stimmen.

An dem hohen Maßstab, den er an sich anlegt, misst er die gesamte Branche.

Ein Projekt dient später vielen als Folie, um den Einsatz des Keyloggers in der taz zu interpretieren: Es ist seine Recherche in deutschen Zeitungsverlagen. Sebastian Heiser legt sich eine Tarnidentität und eine Briefkastenadresse zu. Gemeinsam mit einer ehemaligen Praktikantin besucht er im Jahr 2009, teils während seines Urlaubs, Verlagshäuser und stellt sich als „Tobias Kaiser“ vor. Auf seiner Visitenkarte steht: „Key Account Planning Effizienzer“, Agentur „Coram Publico“. Er recherchiert, ob im Austausch für Anzeigenaufträge Einfluss auf redaktionelle Inhalte genommen werden kann.

Als er seine Ergebnisse in der taz publizieren will, widerspricht der Justiziar. Er hält die Recherche für unzulässig. Sebastian Heiser bezieht sich – nicht nur dieses Mal – auf das Marienhof-Urteil, das der heutige Journalistikprofessor Volker Lilienthal 2005 vor Gericht errungen hat. Dabei ging es um verdeckte Recherche im Zusammenhang mit Schleichwerbung in der ARD. Die damalige taz-Chefredaktion entscheidet schließlich, den Text zu drucken.

Ein Aspekt wird dabei gegen Sebastian Heisers Willen ausgeklammert. Es geht um Erlebnisse, die er zu Beginn seiner Karriere in der Beilagenredaktion der Süddeutschen Zeitung gehabt habe. Er will nun auch darüber berichten, dass damals Beiträge auf Wunsch der Anzeigenabteilung verändert worden seien. Diese Geschichte hat er zuvor schon anderen Redaktionen angeboten. Doch niemand will sie veröffentlichen. RedakteurInnen unterschiedlicher Medien werden ihre Ablehnung später damit begründen, dass die Geschichte mit unzulässigen Methoden zustande gekommen sei.

Am 16. Februar 2015, einen Tag bevor in der taz der Keylogger gefunden wird, erscheint sie schließlich auf einem privaten Blog, das er extra dafür eingerichtet hat. Das Motto des Blogs: „Klar und deutlich. Hier spricht Sebastian Heiser“. Es ist viel Material, ausgedruckt gut 60 DIN-A4-Seiten.

Sebastian Heiser begründet seine Veröffentlichung damit, dass die SZ gerade mit ihrer „Swiss-Leaks“-Enthüllung Steuerhinterziehung skandalisiert, aber zu seiner Zeit in der Redaktion selbst Schleichwerbung dafür gemacht habe. Das Besondere: Als Beleg veröffentlicht er auch Tonmitschnitte von Gesprächen mit damaligen KollegInnen und einem Vorgesetzten, heimlich aufgenommen – acht Jahre zuvor.

Sein „SZ-Leaks“-Alleingang ist riskant. Falls etwas schiefgeht, muss er die Rechtsfolgen und -kosten selber tragen. Wieder löst er eine brancheninterne Debatte aus. Auch Volker Lilienthal, auf den Sebastian Heiser sich zuvor so oft berufen hat, wird sich später zu Wort melden: „Heimliche Aufnahmen in Redaktionen sind ein Unding.“


Welche Daten wurden abgefangen?

Mitten in dieser Debatte, kurz nachdem taz-KollegInnen ihn fragen, ob er sie auch abgehört hat, wird Sebastian Heiser dabei erwischt, wie er in der Inlandsredaktion einen Keylogger aus einem Computer zieht.

Zu klären, was in der taz eigentlich ausgespäht wurde, gleicht einer Puzzlearbeit mit tausenden Teilen. Es gibt Datenspuren auf dem sichergestellten Stick selbst und Dateien im Computersystem der taz, die dem Stick zugeordnet werden können. Dazu kommen noch auffällige Logins, die nahelegen, dass entwendete Passwörter auch benutzt worden sein müssen, um sich Zugriff auf fremde Nutzerkonten zu verschaffen.

 

Der Keylogger, Modell „KeyGrabber USB“, hat einen Speicherplatz von 16 MB. Das klingt nach wenig, reicht aber laut Hersteller, um mehr als 16 Millionen Tastaturanschläge aufzuzeichnen. Als er entdeckt wird, erscheint er leer. Die EDV kann jedoch 14 gelöschte Dateien größtenteils wiederherstellen. Darunter sind zwölf Dateien mit dem Namen LOG.TXT, in denen insgesamt 398.205 Tastaturanschläge aufgezeichnet sind.

Diese Textdateien enthalten viele, oft unübersichtliche Zeichenkombinationen. Die Buchstaben [Ent] zeigen an, dass die Entertaste benutzt wurde. Die Buchstaben [Bck] zeigen an, dass die Rücklöschtaste benutzt wurde. Und vor einem Wort, das groß geschrieben wird, steht [Sh]. Das steht für die Umschalttaste. In diesem Satz etwa bittet ein Ressortleiter seine RedakteurInnen um Termin- und Themenvorschläge:

[Ent]wo ich gerade dabei bin m[Bck][Bck][Bck][Bck]beim [Sh]Mahnen bin[Sh]: [Sh]Bitte chic[Bck][Bck][Bck][Bck]schickt wochenpläne, damit wir [Bck][Bck][Bck][Bck]euere [Sh]Termine und [Sh]Tehmen[Bck][Bck][Bck][Bck][Bck]heme [Bck][Bck][Bck]n [Sh](und gerne auch zu f[Bck]ge[Bck][Bck]vergebende [Sh]P[Bck][Sh]Themen[Sh]) haben[Ent]

Bei der Auswertung müssen sich die EDV-Mitarbeiter also durch einen Wust von Zeichen suchen. Schließlich werden nicht nur viele Benutzerdaten und Passwörter gefunden. Es ist auch möglich, Rückschlüsse darauf zu ziehen, wann und wo der Keylogger im Einsatz war. Etwa so: Auf dem Keylogger befinden sich Anschläge eines Artikels, der am 12. Februar 2014 in der taz erscheint. Der Text bezieht sich auf ein Ereignis des Vortags. Das heißt: Der Stick muss am 11. Februar 2014 am Arbeitsrechner des Kollegen gesteckt haben, der den Text geschrieben hat. Dessen Benutzername und Passwort finden sich ebenfalls auf dem Keylogger. Es ist das früheste rekonstruierbare Datum. Der Keylogger kam also mindestens ein Jahr lang immer wieder in der taz zum Einsatz. Ob und gegebenenfalls wie lange er davor schon benutzt wurde, darüber lässt sich nur spekulieren.

Sebastian Heiser wurde dabei erwischt, wie er den Keylogger von einem Computer abzieht. Aber ist er auch derjenige, der ihn benutzt hat? Was, wenn er gezielt diskreditiert werden sollte? Angenommen, der für seine Aufklärungsarbeit bekannte Kollege bekommt einen Hinweis darauf, dass der Keylogger an jenem Rechner steckt, will sich ein Bild machen, läuft hin, zieht den Stick ab – erwischt.

Es ist – auch im Sinne der Unschuldsvermutung – wichtig, diese und andere Szenarien zu durchdenken. Doch die Daten, die die EDV-Mitarbeiter rekonstruieren können, ergeben ein anderes Bild.

Sie werten nicht nur die Daten auf dem Stick aus, sondern unternehmen auch eine Suche in der Bandsicherung des Gesamtsystems. Jede Nacht, wenn die Rechner der Redaktion stillstehen, wird ein Backup sämtlicher Dateien erstellt. Falls es irgendwann zu einem großen Datenverlust kommen sollte, können so die Daten wiederhergestellt werden.

In dieser Datensicherung stößt ein EDV-Mitarbeiter auf vier Dateien, die denselben Namen tragen wie jene auf dem Keylogger: LOG.TXT. Entscheidend ist, wo sie liegen: In den Sicherungskopien des Benutzerkontos von Sebastian Heiser. Sie passen auch inhaltlich zu denen auf dem Stick.

Auch ist nachweisbar, dass die Mitschnitte des Keyloggers zum Teil an einem Rechner ausgelesen worden sein müssen, an dem zu dieser Zeit der Nutzer „heiser“ angemeldet war. Zudem lässt sich rekonstruieren, dass geklaute Benutzerdaten zur Anmeldung im taz-System genutzt worden sind, als die ausgespähten Personen diese selbst gar nicht genutzt haben können.

Ein Beispiel: Am 4. November 2014 ist der Nutzer „heiser“ den gesamten Tag über an seinem Rechner in der Berlin-Redaktion angemeldet. Um 18.26 Uhr meldet er sich ab. Noch in derselben Minute wird am selben Rechner der Benutzername einer Praktikantin zur Anmeldung verwendet. Sieben Minuten später meldet sich die Nutzerkennung der Praktikantin wieder ab. Die damalige Praktikantin sagt, dass sie sich niemals an diesem Rechner angemeldet hat. Ihr Benutzername und ihr Passwort finden sich aber unter den ausgespähten Daten.

Einen Tag später, am 5. November 2014, erscheinen von Sebastian Heiser zwei Texte, die aktuell vom Schreibtisch aus recherchiert wurden. Er war also den vorigen Arbeitstag über an seinem Platz. Wer außer ihm sollte sich am Abend mit einem gestohlenen Passwort in derselben Minute einloggen, in der er sich selbst abmeldet?

Ein anderes Beispiel: Der Rechner mit der Kennung sibylle.sonn.taz.de steht in einer versteckten Ecke im 6. Stock der taz-Redaktion. Am 12. Januar 2015 um 20.59 Uhr loggt sich dort jemand mit den Zugangsdaten einer Praktikantin ein, 44 Minuten dauert die Sitzung. Die Praktikantin selbst arbeitet allerdings zu diesem Zeitpunkt nicht mehr bei der taz, sie lebt auch nicht mehr in Berlin. Es ist nicht das einzige Mal, das an diesem Rechner in den Abendstunden auf mutmaßlich ausgespähte Accounts zugegriffen wird. Sebastian Heiser kennt diesen Arbeitsplatz gut, er hat hier lange gearbeitet. Mehrere KollegInnen erinnern sich heute daran, dass sie ihn abends wiederholt in Redaktionsbereichen gesehen haben, in denen er eigentlich nichts zu suchen hatte.

Auf dem Keylogger, der sich auch als normaler USB-Stick nutzen lässt, kann die EDV neben den LOG.TXT-Dateien auch zwei pdf-Dokumente rekonstruieren, die von Betroffenen stammen: Der Scan eines Reisepasses und ein Bewerbungsschreiben. Auf Heisers Rechner wird außerdem das geklaute Facebook-Profil einer Praktikantin gefunden, inklusive aller privaten Fotos und Mitteilungen.

Das ist die Geschichte, die die Daten erzählen, wie sie von der EDV der taz rekonstruiert werden konnten.

Was völlig ungeklärt ist: Ob diese Daten vollständig sind. Gab es vielleicht einen weiteren Keylogger? Das ist die Frage, die sich vielen mit dem Einbruch in der Nacht vom 18. auf den 19. Februar 2015 stellt. Solange diese nicht beantwortet werden kann, ist es nicht möglich, das Ausmaß der Spähaffäre vollends zu ermessen. Eine Person könnte Aufschluss geben: Jene, die den Stick in der Redaktion benutzte.

 

Wer wurde ausspioniert?

Eine Sache beschäftigt nicht nur die Betroffenen in der taz: Das Motiv. Wurden gezielt vertrauliche Informationen abgegriffen und sind damit InformantInnen in Gefahr? Sollten Missstände in der taz aufgedeckt werden? Oder gab es ein anderes Motiv? Um die Hintergründe der Ausspähaktion zu ergründen, ist es wichtig zu erfahren, wer im Fokus stand.

In der Strafanzeige der taz vom Februar 2015 stehen die Namen von 16 betroffenen Personen. Es wird zudem erwähnt, dass auch Benutzerdaten des Beschuldigten auf dem Stick zu finden sind. Diese Liste wird später, auch im Zuge dieser Recherche, länger werden. Inzwischen ist klar: Mindestens 23 Personen sind von der Ausspähung direkt betroffen, 22 von ihnen konnten Benutzernamen und Passwörter, die der Stick mitgeschnitten hat, zugeordnet werden. Nicht ausgeschlossen, dass die Zahl größer ist.

Unter den 23 bekannten Personen sind vier Männer und 19 Frauen. Eine Handvoll Betroffener sind Sebastian Heisers direkte Vorgesetzte und Kollegen, mit denen er in der Vergangenheit Konflikte hatte. Die große Mehrheit sind junge Frauen, vor allem Praktikantinnen, die nur für wenige Monate bei der taz arbeiteten.

Für viele von ihnen war Sebastian Heiser der erste Redakteur, mit dem sie persönlich zu tun hatten. Er kümmert sich wie kein anderer Kollege um sie. Ihn können PraktikantInnen beim Mittagessen ausquetschen: Wie gelingt NachwuchsjournalistInnen der Berufseinstieg? Wie laufen die Dinge in der taz? Für den Geschmack mancher Praktikantinnen sucht er zu viel Nähe, aber auch nicht in einem Maße, das als grenzüberschreitend empfunden wird. Die meisten empfinden die Nachricht, mutmaßlich von ihm ausgespäht worden zu sein, als einen Schock.

Was erst im Mai 2016, im Zuge dieser Recherche, klar wird: Der Keylogger kommt auch bei einem taz-Panter-Workshop zum Einsatz, bei dem NachwuchsjournalistInnen in drei Tagen eine Zeitungsbeilage gestalten. Mitte März 2014 sind 20 TeilnehmerInnen zwischen 19 und 27 Jahren in der taz zu Gast. Ihr Thema: „Geheimnisse – Top Secret!“ An einem der Computer, an denen sie arbeiten, steckt der Keylogger und zeichnet auf, was mindestens eine Workshop-Teilnehmerin und betreuende RedakteurInnen eintippen: Texte, Suchanfragen, Mail-Passwörter.

Auch in diesem Fall sind es nicht gerade Personen mit brisanten Informationen, an denen ein Nachrichtendienst Interesse haben könnte. Es sind auch nicht die, bei denen jemand Fragwürdiges innerhalb der taz herausfinden wollte. Allerdings sind es junge Leute, die im Rahmen des Workshops traditionell auch eine Party in seiner WG feiern. Sebastian Heiser ist bei vielen Panter-Workshops dabei und macht Fotos.

Noch während in der taz von einer „Spionageaffäre“ zu lesen ist, festigt sich innerhalb der Redaktion das Bild, dass die Daten mutmaßlich nicht aus professionellen Motiven abgefischt wurden, sondern aus privaten. Diese Lesart wird auch in den damals veröffentlichten taz-Texten vorsichtig angedeutet. Zwar wird öffentlich weiter spekuliert, was hinter der ganzen Geschichte steckt, doch in der Redaktion atmen viele auf: Es ging wohl nicht um Informanten. Es ging wohl nicht um die taz als Presseorgan.

So sehr diese Version den Großteil der Redaktion entlastet, so sehr verstört sie vor allem die betroffenen Praktikantinnen. Zwar werden die meisten darüber informiert, dass sie betroffen sind. Doch es gibt keinen wirklich systematischen Umgang damit. Manche Betroffene erhalten eine E-Mail, viele von ihnen sind längst nicht mehr bei der taz. Mal ist diese etwas konkreter, mal etwas allgemeiner. Manche werden auch angerufen. Mal kommt die Information von der EDV, mal vom Ressortleiter oder dem Justiziar. Und einige ehemalige Praktikantinnen haben schließlich die Gelegenheit zu einem persönlichen Gespräch mit ihrem Ressortleiter. Wieder andere erfahren über KollegInnen, dass sie betroffen sind. Was ein mögliches Motiv der Ausspähaktion sein könnte, erfahren viele gar nicht.

Es sind turbulente Tage in der taz. Die Chefredaktion ist vor allem mit akuter Krisenbewältigung beschäftigt. Sie benennt einen Redakteur als Ansprechpartner für interne Kommunikation, aber viele bekommen das nicht mit. Der Redaktionsrat, das gewählte Gremium der Redaktion, wird nicht von sich aus tätig. Die Geschäftsführung kümmert sich um Strafanzeige und Kündigung. In der Krise sind die Zuständigkeiten nicht ganz klar. So geraten ausgerechnet jene aus dem Fokus, die vor allem von der Ausspähung betroffen sind: Nachwuchsjournalistinnen am Anfang ihrer Berufslaufbahn. Heute sehen nicht alle, aber viele in der taz das als Versäumnis.

Einige Personen erfahren erst während dieser Recherche davon, dass auch sie von der Ausspähung betroffen waren. Eine Person hat das Wort Keylogger noch nie gehört. „Da tun sich ja Abgründe auf“, sagt eine andere. Auch die TeilnehmerInnen des Panter-Workshops im März 2014 werden erst im Zuge dieser Recherche informiert, weil vorher nicht bekannt war, dass der Keylogger auch dort zum Einsatz kam.

Leute, von denen sich Daten auf dem Stick finden, sagen heute Sätze wie diese: „Die Informationspolitik war schlecht. Ich hätte mir gewünscht, noch mal irgendetwas von der taz zu hören.“ Oder: „Ich bin dann zur Gewerkschaft gegangen und habe mir dort Rechtsberatung geholt.“ Bis heute hat keiner der Betroffenen die Daten gesehen, die über ihn oder sie auf dem Stick gespeichert waren. Es hat sie laut EDV allerdings auch niemand von sich aus angefordert. Nun wurde den bekannten Betroffenen angeboten, dass sie die zu ihnen vorliegenden Daten auf Wunsch einsehen können.

In Bezug auf Sebastian Heiser sind die Meinungen sehr geteilt. Es gibt die blanke Wut, aber viele in der Redaktion haben auch Mitleid mit ihrem alten Kollegen. Sie sagen: „Er hat doch schon alles verloren, er ist genug gestraft.“ Einer, dessen Daten sich auf dem Stick wiederfanden, sagt: „Mir ist egal, ob er vor Gericht gestellt wird, aber er ist uns noch eine Erklärung schuldig.“ Eine andere Betroffene sagt: „Ich will keine Erklärung. Ich will, dass er juristisch zur Verantwortung gezogen wird.“ Und fast alle sagen: „Ich möchte wissen, was aus Sebastian Heiser geworden ist.“

Auch deshalb gibt es diesen Text.

 

Was wurde aus Sebastian Heiser?

Sebastian Heiser hat bislang geschwiegen. KollegInnen und FreundInnen versuchen vom ersten Tag an, ihn zu erreichen. Per Mail, per Telefon – ohne Erfolg. Ob zwei Monate nach seinem Verschwinden oder ein Jahr später: KeineR seiner alten MitbewohnerInnen, FreundInnen und KollegInnen kann (oder will) sagen, wo Sebastian Heiser ist und was er heute macht.

Nicht zuletzt weil er so plötzlich abgetaucht ist und vermeintlich keine Spuren hinterließ, hält sich bis heute bei einigen in der taz die Vorstellung, dass er im Auftrag eines Geheimdienstes gehandelt haben könnte.

Wir wollen ihm die offenen Fragen stellen. Wir sind der Ansicht, dass die Betroffenen, die KollegInnen in der taz, aber auch ihre GesprächspartnerInnen und InformantInnen, die LeserInnen und GenossInnen einen Anspruch darauf haben, zu erfahren, was in der Sache mit journalistischen Mitteln in Erfahrung zu bringen ist. Es gibt da schließlich noch dieses Versprechen: aufklären, so weit irgend möglich.

Einigen im Haus geht diese Recherche zu weit. Andere sagen, die taz könne nicht über den Fall schreiben, weil sie doch selbst Teil der Geschichte sei. Am Ende setzt sich das Aufklärungsinteresse vieler Betroffener durch und das Selbstverständnis der taz, die anders als andere Medienhäuser einen offenen und kritischen Umgang auch mit internen Belangen pflegt.

 

Die Recherche dauert einige Wochen, schließlich lässt sich rekonstruieren, was Sebastian Heiser seit dem 18. Februar 2015 gemacht hat.

An jenem Mittwoch, als er die taz verlässt, leiht er sich das Handy einer Mitbewohnerin aus, versendet via SMS ein paar Lebenszeichen. Am frühen Donnerstagmorgen verschwindet er aus der WG.

Sebastian Heiser denkt bei seinem Verschwinden an alles. Er meldet sich in Berlin beim Bürgeramt ab („unbekanntes Ausland“) und richtet einen Nachsendeauftrag zu einem Postfachanbieter ein, der die Briefe einscannt und ihm online zur Verfügung stellt.

Die Stadt, die er sich zum Leben ausgesucht hat, ist angenehm und günstig, tropisches Wetter, freundliche Menschen. Finanziell dürfte er ohnehin nicht allzu große Sorgen haben: Einige Zeit vor seinem Abtauchen sind in der Familie Erbschaftsangelegenheiten geregelt worden.

Bald bezieht Sebastian Heiser eine möblierte Wohnung, findet einen Job. Er arbeitet, wie er anderen erzählt, als Freelancer für ein großes Internetunternehmen, von zu Hause aus. Er hilft dabei mit, die Qualität von Suchergebnissen zu verbessern.

 

Die Begegnung

Er lebt jetzt in einem fernen Land, das kein Auslieferungsabkommen mit Deutschland unterzeichnet hat, als sei das, was er getan hat, ein Kapitalverbrechen. Auf § 202a StGB, das „Ausspähen von Daten“, stehen maximal drei Jahre Haft- oder Geldstrafe. Geht es nur darum, der Strafverfolgung zu entgehen? Warum sonst lässt ein Mensch so abrupt alles hinter sich und zieht ans andere Ende der Welt?

Klar ist: Falls er in diesem Land bleibt, können die Staatsanwaltschaft Berlin, die eine Anklage gegen ihn vorbereitet, oder ein Richter in einem möglichen Prozess nichts ausrichten. Spätestens nach zehn Jahren, so sagen es die gesetzlichen Bestimmungen, wäre der Fall dann verjährt.

Eine Großstadt in Südostasien. Am Straßenrand werden Frösche vom Grill angeboten, in einem klimatisierten Café kostet ein Green Tea Latte umgerechnet 2,65 Euro. Auf den Straßen fahren Motorroller, Tuk-Tuks, auch viele SUVs.

Sebastian Heiser, heute 37 Jahre alt, lebt inzwischen seit mehr als einem Jahr hier. Weder die Stadt noch das Land sollen in diesem Text genannt werden.

Der Mann, den wir als Sebastian Heiser kennen, wohnt in einer ruhigen Straße. Zweites Obergeschoss, stuckverzierte Decken, Grünpflanzen auf dem Balkon. Er ist seinen Nachbarn kaum aufgefallen. Zumindest manche kennen ihn unter einem anderen Namen. Auch auf Facebook hat er sich ein Profil unter einem Decknamen zugelegt. Das Profilfoto zeigt nicht ihn, sondern einen Programmierer aus London.

Es ist ein Tag Ende April 2016. Auf mehrfaches Klingeln am Tor reagiert er nicht, also klopfen wir direkt an der Wohnungstür.

„Sebastian?!“

Er öffnet die Tür, wir schauen uns an und schweigen einige Sekunden. Dann folgt ein kurzes Gespräch, das die Besonderheit dieser Recherche zeigt. Wir reden als Journalisten mit einem Beschuldigten. Aber wir reden auch mit einem ehemaligen Kollegen. Zumindest würden wir das gern tun.

 

Sebastian Heiser, lange Hose, weißes T-Shirt, wirkt dünner als zuletzt. Die wenigen Sätze, die er sagt, sind so präzise, wie wir es von ihm gewohnt sind. Er habe keine Lust auf ein Gespräch, sagt er. „Zur Sache gibt’s bislang nichts zu sagen.“ Was heißt bislang? Er weicht der Frage aus. Und dann sagt er: „Das kommt jetzt alles sehr überraschend. Das muss ich erst mal sacken lassen.“ Er fragt, wie lange wir in der Stadt seien und ob wir eine Telefonnummer für ihn hätten. Wir schildern ihm, dass viele in der taz wissen wollen, wie es ihm geht. Und wir sagen, dass es Betroffene gibt, die ein Anrecht auf Antworten von ihm haben. Wolltet ihr nicht eure Nummer aufschreiben?, fragt er. Wir geben ihm einen Zettel mit zwei Handynummern.

Am nächsten Tag schreibt er eine SMS von seiner alten deutschen Nummer: „Mein Anwalt rät mir, mich während des derzeit laufenden Verfahrens nicht zu äußern. Grüße Sebastian“. Wir schreiben ihm einen Brief, dass es auch jenseits der juristischen Dimension etwas zu bereden gäbe. Wir wollen wissen, ob es wirklich keinen einzigen Satz gibt, den er seinen alten Kollegen sagen kann? Er meldet sich nicht mehr.

Sebastian Erb, 31, ist Redakteur der taz.am wochenende. Er hat 2013 einige Monate gemeinsam mit Sebastian Heiser im Berlin-Ressort gearbeitet.

Martin Kaul, 34, ist taz-Redakteur. Er hat 2011 zusammen mit Sebastian Heiser die „Geheimpapiere der Atomlobby“ veröffentlicht, die zeigen, mit welchen Strategien das Deutsche Atomforum Einfluss auf Politik, Wissenschaft und Medien nahm.

Karsten Thielker, 50, ist freier Fotograf und Pulitzer-Preisträger. Er dokumentierte seit 2014 das Innenleben der taz in dem Fotoprojekt „taz inside“. Sebastian Heiser wollte sich damals nicht von ihm fotografieren lassen.

Auf dem Keylogger fanden sich weder persönliche Daten der Autoren noch des Fotografen.

 



17. Februar 2015: Die Tastatur einer Praktikantin funktioniert nicht mehr. Ein EDV-Mitarbeiter entdeckt am Rechner einen sogenannten Keylogger.

18. Februar 2015: Ein Kollege wird beobachtet, wie er den Adapter abzieht. Ein USB-Stick, sagt er. Mehr nicht. Die Redaktion wird informiert.

19. Februar 2015: Die Eingangstür des taz-Hauses ist aufgebrochen worden, die nächste Tür ist mit einem Code gesichert, den viele kennen.

20. Februar 2015: Eine Twitter-Nachricht an die Chefredaktion: „Die gegen mich vorgebrachten Vorwürfe bestreite ich.“

23. Februar 2015: Der beschuldigte Kollege ist zu einem Gespräch mit Chefredaktion und Geschäftsführung eingeladen. Er sagt per E-Mail ab.

24. Februar 2015: Editorial der taz-Chefredaktion: „Das Wichtigste ist für uns, die Vorkommnisse, so weit dies irgend möglich ist, aufzuklären.“

26. Februar 2015: Die Geschäftsführung der taz erstattet Strafanzeige und übergibt den Keylogger an das Berliner Landeskriminalamt.

19. März 2015: Podiumsdiskussion in der taz. Inzwischen gab es ein Sicherheitstraining. Letzter Stand: 16 Personen wurden ausgespäht.

 


 

Abfangen und Ausspähen von Daten

 

Keylogger & Co.: Ein Spähwerkzeug darf man legal allenfalls zu Testzwecken mit Erlaubnis der Betroffenen an einem Computer verwenden. Ansonsten ist der Einsatz nach deutschem Recht strafbar.

Abfangen von Daten: Verboten ist es laut § 202b des Strafgesetzbuches, „unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung“ zu verschaffen. Hier geht es also – analog zu einem Telefongespräch – um Daten, die gerade im Fluss sind. Darauf stehen bis zu zwei Jahre Haft oder Geldstrafe.

Ausspähen von Daten: Mit bis zu drei Jahren Haft wird nach § 202a StGB bestraft, wer „unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft“. Hier geht es um so genanntes Hacking. Die Abgrenzung beider Straftatbestände ist in der Praxis nicht immer leicht.

Verwandte Straftaten: Nach § 202c StGB ist auch die Vorbereitung des Ausspähens und Abfangens von Daten strafbar. Das gilt nach § 201 auch für geheime Tonaufnahmen („Verletzung der Vertraulichkeit des Wortes“).

 


 

Darum geht es: Ein Keylogger ist ein Spähwerkzeug, das aussieht wie ein gewöhnlicher kleiner USB-Stick. Handelspreis: ab 50 Euro. Zwischen Tastaturkabel und Computer gesteckt, schneidet er alle Tastaturanschläge mit und schreibt sie in eine Textdatei. Beim in der taz eingesetzten Modell trägt diese den Namen LOG.TXT.

Das ist die Gefahr dabei: Mit einem Keylogger lassen sich leicht Benutzerdaten und Passwörter abfangen, die dann missbraucht werden können. Im Spähmodus wird der Stick vom Computer nicht als Gerät erkannt, ein Virenscanner ist deshalb nutzlos.

Das kann man dagegen tun: Wenn die USB-Buchsen des Computers deaktiviert oder verschlossen sind, lässt sich kein Keylogger anbringen. Es gibt aber auch Schadprogramme, die Tastaturanschläge und sogar Bildschirminhalte aufzeichnen.