Brisante Dokumente aus dem Tauschbörsennetz
Über Peer-to-peer-Netzwerke wurden offenbar Geheimdokumente der US-Armee und anderer US-Behörden verbreitet
Militärische Geheimdokumente, vertrauliche Polizeiberichte, Steuerbescheide, Online-Rezepte und andere sensible private Daten geistern unbeabsichtigt via Filesharing durchs Netz. Unbedarfte User - manche nennen sie auch DAUs - machen's möglich. Aus Unkenntnis oder purer Nachlässigkeit geben sie in ihren Filesharingprogrammen nicht nur "harmlose" Musikdateien, Filme, Spiele oder Bilder, sondern auch manch andere Datei zum Tauschen frei - brisantes Material zuweilen, das einer breiten Öffentlichkeit willentlich niemals zur Verfügung gestellt worden wäre.
Man muss kein versierter Hacker sein, um vertrauliche Daten aus dem Netz zu saugen. Alles, was man braucht, sind die richtigen Suchbegriffe, ein Filesharingprogramm wie LimeWire und ein wenig Geduld, meint der in Deutschland lebende US-Amerikaner Rick Wallace. Seit Juli dieses Jahres betreibt er ein Weblog namens See what you share on P2P, in dem er regelmäßig die Ausbeute seiner Filesharing-Recherchen präsentiert - Material, das augenscheinlich niemals zur Veröffentlichung per Peer-to-peer-Netzwerk bestimmt war.
Für Aufsehen sorgte Wallace jüngst, als er in seinem Blog militärische Geheimdokumente und Bilder veröffentlichte. Es handelte sich um Bilder, Dokumente und Briefe von US-Soldaten, auch aus Militärbasen im Irak. Die Fotos zeigten beispielsweise abgestürzte Militärflugzeuge oder brennende Militärfahrzeuge. Militärische Dienstpläne, detaillierte Einsatzberichte und geheime Diskussionspapiere waren ebenso darunter wie eine Tabelle mit Namen, Adressen und Telefonnummern von US-Marines. Die Nachrichtenagentur Reuters meldet gar, ein LimeWire-User, der nicht genannt werden wolle, habe per LimeWire kürzlich sogar unveröffentlichte Fotos von Folterungen im irakischen Abu-Ghraib-Gefängnis gefunden.
Ob und inwieweit diese Angaben stimmen, muss offen bleiben. Denn Wallace hat das brisante Material aus seinem Weblog mittlerweile wieder herausgelöscht. Dass die von ihm aufgespürten Dateien von ihren Besitzern bewusst ins Netz gestellt wurden, schließt Wallace aus. Er geht vielmehr davon aus, dass die Dateien durch Zufall oder Nachlässigkeit ins Filesharingnetzwerk gelangt seien. Ihre Besitzer hatten LimeWire installiert und versehentlich nicht nur einzelne Dateien oder Ordner, sondern den gesamten Festplatteninhalt zum Tauschen freigegeben oder einzelne Dateien versehentlich im Tauschordner abgelegt.
"Stoff, der Menschen hätte töten können"
Nachdem Wallace das brisante militärische Material per LimeWire entdeckt hatte, habe er sich eigenen Angaben zufolge wiederholt mit offiziellen Militärdienststellen, mit dem FBI sowie mit der CIA in Verbindung gesetzt - offenbar ohne wirklich durchschlagenden Erfolg: Die fraglichen Dateien blieben weiter im Filesharingnetz verfügbar.
Ein besonders brisantes Militärdokument besaß die Sicherheitseinstufung "Secret/NOFORN". NOFORN steht im militärischen Sprachgebrauch für "Not for release to foreign nationals" und soll die Weitergabe an Nicht-US-Bürger verhindern. Dieses Dokument enthielt Informationen über militärische Operationen im Irak, laut Wallace "Stoff, der Menschen hätte töten können". Es verschwand erst aus dem Tauschbörsennetz, nachdem sich Wallace an Conrad Burns, republikanischer Senator von Montana, Wallace Heimatstaat, gewandt hatte.
Burns habe sich die Dokumente persönlich angesehen und sei sehr besorgt gewesen, erklärte J. P. Donovan, Sprecher des Senators. Er habe sich umgehend per Brief an das Pentagon gewandt, bisher aber noch keine Antwort erhalten. Auch CIA und FBI hüllen sich in Schweigen. Man kenne das Problem, hieß es seitens der CIA. Ob und welche konkreten Schritte geplant sind, um die Sicherheitslücke "Filesharing" künftig zu schließen, wurde nicht mitgeteilt.
Betroffen ist nicht nur die US-Armee
Neben brisantem militärischem Material hat Wallace per LimeWire noch eine ganze Menge weiterer "interessanter" Dateien gefunden: vertrauliche Polizeiberichte, Gerichtsdokumente, persönliche Bankinformationen, Steuerbescheide, Passworte für Internetdienste sowie alle Informationen, die man braucht, um die Identität eines anderen LimeWire-Users zu stehlen und unter dessen Namen shoppend durch das World Wide Web zu streifen.
Alle diese Dateien seien Wallace zufolge ins Netz gekommen, weil viele Nutzer von Peer-to-peer-Programmen im Umgang mit Datei- und Ordnerfreigaben viel zu sorglos und nachlässig seien.
Filesharing beruht auf Gegenseitigkeit und kann nur funktionieren, wenn User nicht nur downloaden, sondern eigene Dateien auch für andere bereitstellen. Die Tauschdateien werden normalerweise in einem Ordner (My shared folder) gesammelt, dessen Inhalte für andere User freigegeben werden. Wer seine privaten Fotos und Dokumente versehentlich in einem freigegebenen Ordner abspeichert, darf sich anschließend nicht wundern, wenn sie durchs Netzwerk wandern.
Blog-Betreiber Wallace rät den Nutzern von Filesharingprogrammen deshalb, regelmäßig zu kontrollieren, was sie zum Tauschen freigegeben haben - insbesondere dann, wenn sie das Filesharingprogramm LimeWire benutzen. Das kann nämlich ganz besonders dateienhungrig sein, wenn der DAU nicht aufpasst.
Wurde LimeWire ordentlich installiert, ist das Programm so eingestellt, dass nur Dateien im freigegebenen Ordner getauscht werden können. Aber gerade unerfahrenen Usern kann es schnell passieren, dass aus Versehen die falschen oder viel zu viele Dateien zum Tauschen freigegeben werden. Ursache ist eine an sich praktische LimeWire-Funktion, mit der die gesamte Festplatte nach sämtlichen tauschbaren Dateien abgesucht werden kann. Ein simpler Mausklick reicht, und der gesamte Festplatteninhalt wird anschließend zum Tauschen freigegeben.
Die LimeWire-Installation sei für den unerfahrenen, flüchtigen Anwender möglicherweise ein wenig "gefährlich", gibt Greg Bildson von LimeWire zu. Man stehe vor dem Problem, die Installation und Bedienung einerseits so einfach wie möglich zu machen, andererseits aber gerade den LimeWire-Neuling vor ungewollten Programmeinstellungen zu schützen. Das, was Wallace über LimeWire problemlos an Material gefunden habe, gebe seiner Firma allerdings zu denken, fuhr Bildson fort. Künftige Versionen werde man deshalb DAU-sicherer machen. Unbeabsichtigte Datei- und Ordnerfreigaben werde man erschweren.
Government Network Security Act von 2003
Der US-Kongress hat bereits im letzten Jahr reagiert und sich mit einem Gesetz befasst, das die Nutzung von Filesharingsoftware in US-Bundesbehörden nicht verbietet, den Behörden aber die Pflicht auferlegt, Sicherheitsrichtlinien zu erarbeiten.
Der Government Network Security Act soll verhindern, dass vertrauliche Informationen über Filesharingnetzwerke nach außen gelangen können. So könnte es den Bediensteten verboten werden, sich Arbeit aus dem Büro mit nach Hause zu nehmen und sensible Daten auf dem heimischen PC zu speichern, auf dem möglicherweise eine Peer-to-Peer-Anwendung läuft. Das Gesetz wurde vom Repräsentantenhaus bereits abgesegnet und wartet nun auf grünes Licht auch aus dem Senat.