Notizen

    Digital Life and Design in München 2016

    Jan 20, 2016

    Behind the Scenes: DLD München

    Drei Tage Digital Life and Design, drei Tage unter „Gleichgesinnten“, drei Tage „digitale Revolution“.

    Einmal jährlich treffen, auf Einladung des alteingesessenen Münchner Verlegers Hubert Burda, digitale Aufsteiger und solche die es werden wollen, auf Größen aus dem Silicon Valley - Wissenschaftler, Investoren, Politiker und Medienmacher. Die Konferenz gilt als die interessanteste und zugleich exklusivste unter den doch inzwischen zahlreichen Treffen, Messen und Konferenzen mit digitalem Schwerpunkt.

    Man muss eingeladen werden und der Ticketpreis, den man dann selbstverständlich trotzdem bezahlt, soll bei mehr als 3000 Euro liegen, so heißt es zumindest hinter vorgehaltener Hand. Ich war als Pressevertreter (zum dritten Mal) dabei.

    Bild

    Mit zu den wirklich spannenden Momenten gehörte auch das Interview, welches Claus Kleber mit Netflix Gründer Reed Hastings führte. Schön kritisch, wie ich fand. Wenn alle, alle digitalen Entwicklungen nur bejubeln, man zu sehr unter „Gleichgesinnten“ ist, dann wird es sonst doch schnell langweilig.

    Bild von Claus Kleber im Gespräch mit Reed Hastings: Malen Sie mir nicht die Zukunft schön

    Überrascht hat mich ein sehr ehrlicher Talk von Eddie Morretti, kreativer Kopf des hochgelobten und in den USA sehr erfolgreichen (digitalen) Magazins VICE. Am Eingang sollten alle zunächst ihre Handys abgeben. Eddies Erklärung: „Ich möchte nur hier und jetzt statt finden. Ich möchte nicht geteilt werden und in sämtlichen Paralleluniversen, Twitter und Facebookstreams dieser Welt auftauchen“ - ängstlich würde ihn das machen. Stressen würde ihn das.

    Bild von Eddie Moretti

    Und das sagt jemand, dessen Produkte quasi nur online statt finden. Dessen Erfolgskonzept online ist. Interessant und sehr persönlich.

    Gedreht habe ich an Tag zwei für das NDR Magazin ZAPP - einen Bericht über den Trend des “Live-Berichterstattens” via Periscope, Meerkat und Co.. Eine spannende Entwicklung, wobei mein Fazit und auch das vieler Medienmacher ist, dass dadurch, dass inzwischen “jeder” live kann, dieses schnelle von vor Ort berichten (und dann nichts einordnendes sagen können) für Journalisten und Medienhäuser kein erfolgsversprechendes Konzept ist. Dann doch lieber das Feld den Nutzern überlassen und “nur” selbst live gehen, wenn es inhaltlich auch etwas zu sagen gibt.

    Schlachtfeld Internet

    Jan 12, 2015

    Wenn das Netz zur Waffe wird

    Heute um 23:30 zeigt die ARD den Dokumentarfilm, an dem ich gemeinsam mit Alexandra Ringling (NDR) im vergangenen Jahr sehr intensiv gearbeitet habe. Die Grundlage für den Film ist ein insgesamt 80-minütiges Interview mit Edward Snowden, das der NSA-Kenner James Bamford im Sommer geführt hat. Außerdem hatten wir die Gelegenheit einige geheime NSA-Dokumente auszuwerten.

    Titelbild

    Um den Bezug zu Deutschland herzustellen, haben wir uns vor allem gefragt: Inwiefern betrifft uns das hier? Unsere Industrie? Unsere Gesellschaft? Um diese Fragen zu beantworten, sind wir auf eine Recherchereise gegangen und haben mit zahlreichen Experten gesprochen.

    Der Pen-Tester Götz Schartner hat zum Beispiel für uns ein Experiment durchgeführt, in dem er im Internet nach angeschlossenen Steuerungen von Maschinen (SCADAs) gesucht hat. Sein Ergebnis: rund 56.000 Steuerungsanlagen sind ans öffentliche Internet angeschlossen. Das ist nicht verboten, stellt aber ein Sicherheitsrisiko dar. Einige davon sind noch nicht einmal mit einem Benutzernamen und Passwort geschützt, so dass wir weitreichend Zugriff hatten.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Türen recht weit aufgemacht, zufälligerweise konnten wir einen “Angriff” eines Schädlings live während der Dreharbeiten mitverfolgen.

    Weitere Fälle in denen Geheimdienste Systeme infiltriert haben sind “Belgacom” und “Stuxnet”, auch hier sprechen wir mit einigen Protagonisten.

    Die Doku ist hier zu finden.

    Über die Recherche

    Eines der fesselndsten Kapitel in meinem Buch war, als ich mich mit den offensiven Möglichkeiten der NSA beschäftigt habe. Mit der Einheit “Tailored Access Operations”, mit dem Cyber Command unter General Keith Alexander und mit dem Fall Belgacom. Nachdem das Buch fertig und veröffentlicht war, begannen die weiterführenden Recherchen für einen möglichen Dokumentarfilm für die ARD im Frühjahr 2014.

    Als schwierig bis zum Schluss stellte sich die Abgrenzung Spionage versus Sabotage heraus. Denn die Übergänge sind fließend. Lange habe ich versucht einen gut belegbaren Fall von (digitaler) Sabotage durch einen Geheimdienst in Deutschland zu finden. Die Hintergrundgespräche führten mich zu einer Reihe von IT-Experten (Professoren, Pen-Tester, IT-Forensiker, Hersteller von Abwehrsoftware), Behörden (Verfassungsschutz, Landeskriminalämter, BSI) und große Industrieunternehmen- und Verbände.

    Viele redeten lange und offen, über regelmäßige Attacken und vor allem darüber, dass sie am Ende eigentlich nie heraus finden können (und wollen), wer der Angreifer war. Technisch gibt es oft nur Hinweise und auch die können gefälscht sein. Es bleiben Vermutungen, wer von einer Attacke profitiert. Eine schöne Antwort, die ich aus einem Hintergrundgespräch zitieren kann, gab mir dazu Alex Gostev, Leiter der Sicherheitsabteilung bei Kaspersky:

    “When deciding which country may be behind a specific attack, we need to look at who stands to benefit, who the victim is, and why. We need to consider the geopolitical situation. Then use Occam’s razor to cut off all the excessive and redundant assumptions. Technical analysis is of little importance here – it can only support an assumption, but not serve as hard evidence of a specific actor’s involvement.”

    Es sind also alles Annahmen und Vermutungen und damit wollten wir keinen Film bestreiten. Davon abgesehen, will sich in der Regel kein Unternehmen, das von einer digitalen Attacke betroffen war öffentlich äußern. Die Angst vor dem Imageschaden ist zu groß.

    Also recherchierten wir zwei sehr bekannte Fälle aus. Den “Urknall” Stuxnet und den digitalen Angriff auf den europäischen Telekommunikationsanbieter Belgacom. Stuxnet ist sicher der einzige gut belegte und nachvollziehbare Akt von digitaler Sabotage. In der iranischen Nuklearanreicherungsanlage entstand tatsächlich physikalischer Schaden. Das heißt Zentrifugen gingen de facto kaputt. Alles, weil ein sehr ausgefeilter Schädling die Steuerungsanlagen manipulierte. Belgacom ist der weniger eindeutige Fall. Denn glaubt man der belgischen Staatsanwaltschaft und den internen Untersuchungen, sollte die Schadsoftware, die auf den Systemen gefunden wurde, nicht manipulieren, sondern ganz gezielt Dinge über Belgacom heraus finden. Also ein Fall von Spionage? Wir haben uns schließlich entschieden Belgacom mit in unseren Film zu nehmen, weil er die Dimension gut aufzeigt und vor allem die Gefahr nach Europa und damit auch in unsere Nähe bringt.

    Die Anfrage bei Belgacom gestaltete sich als langwierig und wir waren beinahe überrascht, als dann doch die Zusage für ein TV-Interview kam. Wir waren ohnehin in Brüssel mit dem Europaabgeordneten Jan Philipp Albrecht für Dreharbeiten verabredet und konnten dann an einem Nachmittag auch den Sicherheitschef von Belgacom sehr ausführlich interviewen.

    Alexandra Ringling im Gespräch bei Belgacom

    Die eindrücklichsten Antworten sind im Film zu sehen, eine die es nicht in den Film geschafft hat, ich aber sehr spannend finde, will ich hier gern veröffentlichen:

    “We have been a victim of a very, very sophisticated attack which has been perpetrated by a very large organization, very well funded, very well subsidized. This could have happen do everyone and probably it happened to more then us.”

    — Fabrice Clément, Director Security Governance and Investigations for Belgacom Group.

    Spannend deshalb, weil sie bereits einen Fingerzeig auf “Regin” liefert und wir schon im Sommer sicher waren, dass die Schadsoftware, die sie bei Belgacom gefunden hatten, noch auf vielen weiteren Systemen zu finden sein musste.

    Über reine Spionagesoftware, die von Staaten oft zur Überwachung (Oppositioneller) eingesetzt wird, haben wir während der Recherche auch einiges erfahren. Das ist allerdings einen zweiten Film wert.

    Edward Snowden Interview und Dokumente

    Das Interview mit Edward Snowden bekamen wir von den amerikanischen Kollegen bereits im Spätsommer. James Bamford arbeitete seit Monaten bereits mit einem Team für eine ähnliche Dokumentation (allerdings mit Schwerpunkt in den USA). Erste Auszüge aus seinen Gesprächen veröffentlichte er in einem lesenswerten Artikel in der Wired.

    In dem Original Interview spricht Edward Snowden (wie sonst auch) kaum über ganz konkrete Attacken der US-Geheimdienste, sondern beschreibt deren Vorgehen im Allgemeinen und vor allem die Bedenken, die er dabei hat. Es ist sehr spannend zu lesen und ich finde es ist eines der interessantesten Interviews von ihm überhaupt.

    Einige Dokumente fanden während der Recherchen auch ihren Weg zu uns. Wir haben mehr gesehen und ausgewertet, als was im Film zu sehen ist. Im Film haben wir “nur” das verarbeitet, was uns relevant erschien und konkret war. Von der “Cybercop” Präsentation zeigen wir nur die Ausschnitte, die wir im Film erklären und einordnen.

    Interessant an “Cybercop” ist das, was sich hinter der Oberfläche verbirgt. Nämlich der Beleg für die “Own the Net” Strategie der NSA. Denn um digitale Attacken zum Urheber nachzuverfolgen, was ja eigentlich “unmöglich” ist, benötigt ein Geheimdienst sehr, sehr viele “Messpunkte”. Also Punkte, an denen er sehen kann, woher das Signal (die Attacke) kommt. Je mehr er davon hat, desto besser. Am Besten also, er sitzt überall drin.

    Alles zu besetzten, alles zu erkunden, genau diese Strategie beschreibt dann auch das “Black Budget”, der streng vertrauliche Haushaltsplan für die US-Geheimdienste. Auch hier hatten wir weitreichend Einblick und veröffentlichen zwei Zitate, die sich mit unserem Thema “kritische Infrastrukturen” beschäftigen. Die Washington Post hatte im Sommer 2013 bereits Details zu den Ausgaben für offensive Strategien aus dem Black Budget bekannt gemacht.

    Autoren und Produktionsteam

    Im Sommer konnte ich Alexandra Ringling als Co-Autorin für den Film gewinnen. Davon abgesehen, dass wir befreundet sind und sehr gut zusammen arbeiten können, brachte sie die investigative Note und die Suche nach der politischen Konfrontation in den Film mit ein. Bevor sie 2012 zum NDR (Panorama3 und Panorama) wechselte, hat sie acht Jahre bei Spiegel TV gearbeitet. Eine durch und durch investigative Kollegin also.

    Alexandra Ringling und Svea Eckert während der Filmpremiere vor Presse und Freunden

    Mit der Produktionsfirma Pixelgalaxie hatten wir einen starken Partner für Schnitt und Grafik. Die Kollegen Manuel Skroblin (Schnitt) und Jan Schulz (Grafik) sind wirklich Meister ihres Fachs. Genauso unser Hauptkameramann Dennis Wienecke vom NDR.

    Die Redaktion des Films von Seiten des NDR lag bei Barbara Biemann, was in diesem Fall eine besonders glückliche Kombination war. Neben zahlreichen US-Kontakten hatte Barbara Biemann ebenfalls die Redaktion von “Citizenfour” und von “Jagd auf Snowden” - war also bestens im Thema.

    Svea Eckert unter den "500"

    Nov 14, 2014

    Das Medienportal Newsroom.de präsentiert in diesem Jahr “Die 500”. Medienmacherinnen aus den unterschiedlichsten Bereichen. Kriterien sollen sein “Leidenschaft für Medien” und “Vertrauen in die eigenen Fähigkeiten”. Unter der Frage: “Wer sind die Kolleginnen, die die Medien bewegen”, will die Initiative will gezielt Frauen vorstellen und ansprechen. Auch ich gehöre dazu. Ein Auszug aus meinem Profil:

    Was bewegt und motiviert Sie heute in Ihrem Beruf?

    Svea Eckert:Mich begeistern spannende Geschichten, interessante Menschen und faszinierende Bilder. Ich bin sehr neugierig und möchte immer gern mehr erfahren, als es auf den ersten Blick zu sehen und zu hören gibt. Ich arbeite sehr gern mit Kollegen zusammen und liebe es kreativ zu sein. Ich habe große Lust neue Technik kennen zu lernen und sie auszuprobieren. Es gibt viele Kollegen und Kolleginnen, die ich bewundere und deren Karrieren und Lebenswege mich ermutigen ihnen nachzueifern.

    Ein Meilenstein meines bisherigen Lebens war…

    Svea Eckert:… meine erste eigene ARD Dokumentation „Facebook: Milliardengeschäft Freundschaft“, die ich von der Idee bis zur Ausstrahlung gebracht habe. Deren Gestaltung mich „Blut, Schweiß und Tränen“ gekostet, mich aber gleichzeitig zutiefst erfüllt hat. Und meine erste vertretungsweise Auslandskorrespondenz in Washington DC, die mir große Lust auf „mehr“ gemacht hat.

    Man sagt mir nach, ich sei…

    Svea Eckert:… ehrgeizig, ambitioniert und leidenschaftlich in dem was ich tue. Dabei gleichzeitig mit großem Spaß dabei, sowie freundlich und professionell.

    Milliarden Passwort Hack

    Aug 6, 2014

    Über die renommierte New York Times ließen die Sicherheitsexperten der relativ kleinen US-Firma “Hold Security” (nach eigenen Angaben auf LinkedIn 11-50 Mitarbeiter) veröffentlichten, sie hätten russische Hacker entlarvt, die rund 1,2 Milliarden Profildaten gestohlen hätten.

    Eine spannende Story, die die Times da hatte. Bei rund 2,5-3 Milliarden geschätzten Internetnutzern sind selbst, wenn man Nutzer mit mehreren E-Mail Konten, zahlreichen Benutzernamen und alten Daten abzieht, 1,2 Milliarden Datensätze dann doch eine stattliche Summe. Zumindest hat es in der Vergangenheit noch keine Veröffentlichung gegeben, die so viele gehackte Identitätsdaten aufgeführt hat. Das hatte Nachrichtenwert, zunächst einmal für die Tagesschau um 12:00.

    Schnell kamen auch die ersten Verschwörungstheorien auf, denn die Hacker sollten ja Russen sein, die Entdecker wiederum Amerikaner und angesichts der weltpolitischen Lage, käme diese Enthüllung ja wohl wirklich zu einem passenden Zeitpunkt. Nun gut - ich finde auch in fast jedem Horoskop (selbst wenn es nicht mein Sternzeichen ist) etwas das just auf mich zutrifft.

    Interessanter war dann schon, als etwas mehr über die Interessenlage der Firma publik wurde. Über ihre Webseite boten die Amerikaner einen kostenpflichtigen Dienst an, mit dem jeder seine Mailadresse und Passwörter überprüfen könne. Nach heftiger Kritik ist dieser zumindest für die ersten 30 Tage jetzt kostenlos. Moralisch lässt sich das sicher zweifelhaft bewerten, ob eine Firma aus dem “Unglück” von Milliarden Internetnutzern nun Kapital schlagen soll. Rein ökonomisch finde ich den Gedanken der US-Firma nur logisch und konsequent. Ich schätze die Datensätze zu finden und auch die weiteren Hintergrundinformationen zu sammeln hat gewiss einiges an Ressourcen verschlungen, warum dann nicht mit diesen Erkenntnissen auch ein gutes Geschäft machen?

    Zweifelhaft finde ich eher, dass die Seite auch verlangt, dass Nutzer bitte ihre Passwörter (zwar verschlüsselt) eingeben sollen, wenn bei einem ersten Test herauskam, ob die E-Mailadresse in der geraubten Datenbank vorliegt. Man könne bis zu 15 Passwörter auf einmal testen heißt es in der Beschreibung. Der Service würde dann zurück melden, welches der Passwörter kompromittiert worden sein. Wozu soll das denn bitte gut sein, frage ich mich? Reicht es nicht zu wissen, dass meine E-Mailadresse bzw. Benutzername in dieser Datenbank auftaucht, dann ist es doch wirklich ein Leichtes alle Passwörter entsprechend auszutauschen.

    Das Hasso-Plattner Institut hat übrigens vor einiger Zeit schon eine Webseite aufgesetzt mit der jeder Nutzer überprüfen kann, ob seine Mailadresse in irgendwelchen dubiosen Datenbanken kursiert. Ohne dass ich jetzt direkten Einblick habe, wie gut und umfassend der Service tatsächlich ist, ist er zumindest kostenlos (das HPI wird anderweitig gesponsort) und: Man muss sein Passwort weder in verschlüsselter noch in unverschlüsselter Form eingeben.

    Eine Nachricht für die Tagesschau um 20:00 war die Geschichte dann allemal wert.

    Notizen mit "Notebooks"

    Aug 6, 2014

    Eigentlich ist mir Werbung für kommerzielle Produkte fremd - auch wenn ich sie selbst für noch so nützlich halte.

    Mein NDR-Kollege Daniel Bröckerhoff hat mich nun doch verlockt mal ein Gadget aus meinem Arbeitsalltag preis zu geben. Da musste ich erst einmal überlegen (die “coolen” Sachen, wie PGP Verschlüsselung waren natürlich schon vergeben) und habe mich entschieden “Notebook” von der recht kleinen und unbekannten Firma “Circusponies” vorzustellen.

    Eigentlich ein Programm, das eher altmodisch und etwas verstaubt daher kommt. Denn von der Optik ist es nicht viel mehr als ein digitaler Notizblock. Doch die Zusatzfunktionen machen es dann doch sehr nützlich und attraktiv, nicht zuletzt die “Suchfunktion”, meine Lieblingsfunktion. Auf jeden Fall hilft es mit großen, manchmal auch über Jahre andauernden Recherchen und Aufzeichnungen fertig zu werden.

    Meine Ausführlichen Ausführungen dazu könnt ihr auf der ZAPP Webseite unter den “zApp Tricks” hier anschauen.