# taz.de -- Keylogger-Affäre in der taz: Dateiname LOG.TXT
> Anfang 2015 kam heraus, dass Computer in der taz mehr als ein Jahr lang
> ausgespäht wurden. Die Recherche zum Fall führt bis nach Asien.
(IMG) Bild: Der Keylogger wurde inzwischen an die Polizei übergeben
Ein Editorial der taz zu dieser Recherche [1][findet sich hier].
Es ist wohl reiner Zufall, dass der Keylogger am Ende entdeckt wird.
Mindestens ein Jahr lang ist er zuvor im Einsatz. Er wandert von Computer
zu Computer, im ersten, dritten und vierten Stock der Rudi-Dutschke-Str. 23
und schneidet dort die Tastaturanschläge mit, Passwörter, Mails,
Kontodaten. Das geht so lange, bis am Nachmittag des 17. Februar 2015, ein
Dienstag, die Computertastatur einer Praktikantin nicht mehr funktioniert.
Sie ruft die Hotline der EDV-Abteilung an. Der Kollege, der sich daraufhin
ihren Computer anschaut, entdeckt an der Rückseite des Gehäuses einen
Adapter, der zwischen der USB-Buchse und dem Tastaturkabel steckt. Dieser
schwarze Stick wird bald darauf große Unruhe in die Redaktion bringen, und
weit darüber hinaus.
Die EDV-Mitarbeiter sind irritiert. Sie brechen den 3,8 Zentimeter langen
Stick auf und googeln die Produktnummer. Es handelt sich um einen
Keylogger. Das ist ein Spähwerkzeug, das alles aufzeichnet, was in eine
Tastatur getippt wird; bestens geeignet, um Passwörter zu stehlen.
Ab diesem Zeitpunkt ist die EDV-Abteilung im Krisenmodus. Bislang wissen
nur die Informatiker, dass einE DatendiebIn im Haus unterwegs sein muss.
Sie kopieren den Inhalt des Datenträgers, kleben ihn wieder zusammen und
stecken ihn dann zurück in den Computer. Es ist eine Falle. Chefredaktion
und Geschäftsführung der taz werden am nächsten Tag eingeweiht.
Am Mittwoch, gegen 12 Uhr, wird ein langjähriger Redakteur dabei
beobachtet, wie er den Keylogger abzieht. Er wird zur Rede gestellt, erst
von Mitarbeitern der EDV, dann von seinem Ressortleiter und einem der
taz-Geschäftsführer. Er erklärt zunächst, es handle sich um einen
USB-Stick. Mehr will er nicht sagen. Schließlich wird ihm Hausverbot
erteilt. Er verlässt die Redaktion fluchtartig durch das hintere
Treppenhaus. All dies geschieht innerhalb von weniger als einer halben
Stunde. Der Kollege wird nie wieder in der taz gesehen. In seinem
Schreibtisch hinterlässt er Rechercheunterlagen, einen Beutel Traubenzucker
und eine Verfassungsschutz-Broschüre mit dem Titel: „Spionage. Sind auch
Sie gefährdet?“
Um 14.15 Uhr informiert die damalige taz-Chefredakteurin Ines Pohl die
RessortleiterInnen. Für 14.30 Uhr ruft sie die gesamte Belegschaft
zusammen. Die KollegInnen stehen im dritten Stock, an jenem Rechner, an dem
der Keylogger gefunden wurde. Alle sind fassungslos. Später bekommen alle
MitarbeiterInnen eine Mail. Sie werden aufgefordert, ihre Passwörter zu
ändern. „Bitte auch bei anderen Accounts, z.B. bei GMX oder Web.de oder
Hotmail, Twitter, Facebook“.
Was geschehen ist, hat das Zeug, das Vertrauen innerhalb der taz und in die
taz zu zerstören. Dass eine Zeitung ausgespäht wird, passiert nicht alle
Tage. Es geht um viel: Die Wahrung des Redaktionsgeheimnisses. Für
jemanden, der sich vertraulich an eine Zeitung wendet, kann es unangenehm
bis gefährlich werden, wenn seine Daten in falsche Hände geraten. Eine
Zeitung läuft Gefahr, ihre InformantInnen zu verlieren, wenn sie sie nicht
schützen kann. Ein Spähangriff in einer Redaktion zielt auf den Kern der
Pressefreiheit.
Allen ist ebenso klar: Der Vorfall kann die Karriere des Kollegen
zerstören. So versuchen noch am selben Tag einige, Kontakt mit ihm
aufzunehmen.
Am Donnerstagmorgen um 9.30 Uhr ist der große Konferenzraum so voll wie
schon lange nicht mehr. Dutzende RedakteurInnen, Verlagsangestellte,
PraktikantInnen sind da, Geschäftsführung, Chefredaktion. Als Erstes
erfahren die MitarbeiterInnen die jüngste Nachricht: In der Nacht ist die
Eingangstür des Redaktionsgebäudes aufgebrochen worden. Die dahinter
liegende Glastür dagegen ist heil geblieben. Sie lässt sich mit einem Code
öffnen, der den meisten taz-MitarbeiterInnen bekannt ist. Viele
schlussfolgern: Es muss der beschuldigte Kollege gewesen sein, der noch
etwas holen wollte. Bewiesen ist das nicht.
Am Freitag berichtet der Branchendienst Newsroom.de: „Angriff von innen:
Spionierte langjähriger Redakteur die ‚taz‘ aus?“ Die Welt und das
NDR-Medienmagazin „Zapp“ nennen dann fast zeitgleich auch den vollen Namen
des Beschuldigten, das verurteilen viele in der taz. Später zieht der
englische Guardian für eine internationale Leserschaft nach.
Die Geschichte des Keyloggers gleicht zu diesem Zeitpunkt schon einem
Drama, bei dem vieles unklar ist.
## Mit journalistischen Mitteln aufklären?
Am Freitagmorgen erhält die Chefredakteurin der taz um 5.45 Uhr eine
Direktnachricht über @tazblog, den Twitteraccount des beschuldigten
Kollegen: „Die gegen mich erhobenen Vorwürfe bestreite ich. Bitte gebe
diese Stellungnahme den Journalisten wieder, die bei Dir anfragen.“
Auch KollegInnen und MitbewohnerInnen, die sich nach seinem Wohlergehen
erkundigen, erhalten nur knappe Nachrichten per SMS und Twitter. „Sorgen
sind unnötig“, schreibt er zurück. „Bin gerade unterwegs, um ein paar Tage
durchzuatmen und etwas Abstand zu gewinnen. Mehr kann ich gerade nicht
sagen.“
Die Redaktion diskutiert: Konnte es wirklich sein, dass ein Kollege das
Vertrauen im Haus derart missbrauchte und damit die Integrität der gesamten
Redaktion aufs Spiel setzte?
Am Freitag berät die Redaktionskonferenz, ob die taz einen Strafantrag
stellen sollte. Dabei steht die Befürchtung im Mittelpunkt, dass
Redaktionsinterna noch mehr verletzt würden, wenn die Ermittler Zugriff auf
die Server verlangen. In dieser Konferenz fällt auch folgender Satz:
Vielleicht sollten wir tun, was wir am besten können, die Sache mit
journalistischen Mitteln aufklären.
Im Hausblog der taz erscheint am Nachmittag nur eine knappe Botschaft.
taz-Geschäftsführer Karl-Heinz Ruch teilt mit: „Zu Personalangelegenheiten
äußert sich die taz grundsätzlich nicht.“ Das verärgert viele im Haus. Kann
die taz es sich so einfach machen?
Für den kommenden Montag, 12.30 Uhr, ist der beschuldigte Kollege zu einem
Gespräch mit Chefredaktion und Geschäftsführung eingeladen. Am Sonntag
schickt er eine E-Mail. Darin kündigt er an, nicht zu erscheinen und gegen
eine mögliche Kündigung nicht arbeitsrechtlich vorzugehen. Er schreibt
auch, er würde gerne eine Erklärung abgeben, „doch es stehen Vorwürfe gegen
mich im Raum, die strafrechtlich relevant sind.“ Deshalb ziehe er es vor,
zu schweigen.
Am Dienstag, 24. Februar 2015, erscheint auf Seite drei der taz ein
Editorial der ChefredakteurInnen Ines Pohl und Andreas Rüttenauer. Sie
schreiben: „Das Wichtigste ist für uns dabei, die Vorkommnisse, so weit
dies irgend möglich ist, aufzuklären und so das Vertrauen in die taz
zurückzugewinnen – bei LeserInnen, Interviewpartnern und Informanten ebenso
wie unter den KollegInnen.“ Daneben kündigen sie an, dass die taz
Strafanzeige erstattet. Den Namen des beschuldigten Kollegen nennt die taz
nicht.
Am Nachmittag landet eine Mail im Postfach geno@taz.de, Absender: Ein
Kommissariatsleiter des Landeskriminalamts Berlin. „Den Internetmedien ist
zu entnehmen“, schreibt er, „dass sie wegen des Einsatzes eines sogenannten
Keyloggers zum Nachteil ihrer Mitarbeiter Strafanzeige erstatten wollen. Da
hier bislang kein entsprechender Eingang festzustellen ist, darf ich ihnen
unsere Dienststelle zuständigkeitshalber als Ansprechpartner benennen.“
Am Donnerstag, den 26. Februar 2015, kommen LKA-Beamte ins taz Café,
bewusst werden sie nicht in die Redaktionsräume gebeten. Die
taz-Geschäftsführung übergibt ihnen den Keylogger, erstattet Strafanzeige
und stellt Strafantrag gegen den Kollegen und gegen unbekannt „wegen des
Verdachts der Verletzung der Vertraulichkeit des Wortes, § 201 StGB, des
Ausspähens von Daten, § 202a StGB, des Abfangens von Daten, § 202b StGB,
des Vorbereitens des Ausspähens und Abfangens von Daten, § 202c StGB, und
sämtlicher weiterer möglicher Delikte“. Später bekommt die Polizei auch
eine CD und eine DVD mit weiteren Dateien sowie den Arbeitscomputer des
Beschuldigten ausgehändigt.
Einen Monat später, am 27. März 2015, klingeln um 6.15 Uhr Polizisten des
Landeskriminalamts, Abteilung 245 – Cybercrime im engeren Sinne –, an der
Tür der Wohngemeinschaft, in der der Beschuldigte jahrelang gewohnt hat.
Sie zeigen einen Durchsuchungsbefehl und schauen sich in seinem Zimmer um.
Laut Durchschlag des Polizeiprotokolls führt die Durchsuchung nicht zur
„Auffindung von Beweismitteln“. Der Beschuldigte selbst ist nicht anwesend.
Was zu diesem Zeitpunkt kaum jemand weiß: Er hat sich schon vor Wochen ins
Ausland abgesetzt.
## Wie geht die taz mit dem Fall um?
Für die MitarbeiterInnen der taz bedeutet der Vorfall eine Verunsicherung.
Sie ziehen ganz unterschiedliche Konsequenzen. Manche ändern ihre
Passwörter. Sie wollen nicht, dass GesprächspartnerInnen und InformantInnen
sich womöglich zu Unrecht verunsichert fühlen. Manche Betroffene legen sich
neue Accounts zu, schreiben Dutzende GesprächspartnerInnen an, informieren
Gruppen, in denen sie Mitglied sind, oder auch einen Expartner. Auch
Zugangsdaten zu Bankkonten müssen geändert werden.
Sobald die ersten Artikel erscheinen, sind auch Leute außerhalb der taz,
die mit dem Beschuldigten zu tun hatten, verunsichert. An der Kölner
Journalistenschule, an der er ausgebildet wurde, administrierte er bis zu
seinem Verschwinden die Mailverteiler für die jeweils aktuellen Klassen.
Die Domain, über die diese liefen, ist immer noch auf seinen Namen
registriert. Theoretisch konnte er so über Jahre Mails mitlesen. Auch ein
Ereignis in seinem privaten Umfeld erscheint plötzlich in anderem Licht.
Aus Gründen des Persönlichkeitsschutzes wird hier und auch an anderen
Stellen des Textes darauf verzichtet, bestimmte Details zu nennen.
In der taz diskutieren unterdessen die RedakteurInnen: Wie kann die Zeitung
nach innen und nach außen die Sicherheit vermitteln, dass Informationen gut
aufgehoben sind? In der eigenen Zeitung lesen sie, die allermeisten
RedakteurInnen würden ihre Mails verschlüsseln. So etwas aber kann keine
Redaktion ernsthaft behaupten. Natürlich ist die taz auf verschlüsseltem
Wege zu erreichen. Doch nur ein überschaubarer Teil der Redaktion nutzt die
Technik regelmäßig.
Mitte März 2015 erhalten die RessortleiterInnen eine Schulung in digitaler
Sicherheit. Manche verschlüsseln später ihre Mails, andere nicht. Bei der
Schulung wird auch vermittelt, dass Verschlüsselung nicht gegen einen
Keylogger hilft – weil dieser Daten schon abgreifen kann, solange sie noch
im Klartext vorliegen.
Viel mehr passiert in den folgenden Monaten nicht. Die technische
Infrastruktur der taz bleibt unverändert. Seit ihrer Gründung herrscht in
der taz die Philosophie vor: Es ist nicht nur die Technik, die Probleme
verursacht, sondern der Umgang mit ihr. Und was lässt sich am Ende dagegen
tun, wenn jemand gezielt KollegInnen ausspionieren will?
Am Abend des 19. März veranstaltet die taz eine Podiumsdiskussion mit dem
Titel: „Was verändert sich an journalistischen Grundstandards durch die
neuen technischen Möglichkeiten?“ Zu Gast sind neben taz-Chefredakteurin
Ines Pohl der Welt-Vizechef Ulf Poschardt, Constanze Kurz vom Chaos
Computer Club, der Journalistik-Professor Volker Lilienthal und Lutz
Tillmanns, Geschäftsführer des Deutschen Presserats. Die Veranstaltung soll
Antworten geben auf viele Fragen, die die Keylogger-Affäre mit sich
gebracht hat. Es geht um Recherchen und ihre Grenzen. Und obwohl dabei
versucht wird, nicht über den mutmaßlichen Ausspäher und seine Motive zu
sprechen, fällt der Name des beschuldigten Kollegen an diesem Abend
mehrfach: Sebastian Heiser.
## Wer ist Sebastian Heiser?
Es ist auch kaum möglich, sich ausführlich mit dem Keyloggerfund zu
beschäftigen und dabei die Person auszublenden. Sein Name wird nun auch in
diesem Text genannt. Der Anspruch eines Beschuldigten darauf, dass sein
Persönlichkeitsrecht gewahrt wird, ist stark. Das Argument wurde lange
gewogen. Die Gründe dafür, Sebastian Heisers Namen zu nennen, sind
gewichtiger. Dass ein öffentliches Interesse an der Sache besteht und die
Vorwürfe gegen ihn in ihrer Dimension besonders sind, steht außer Frage.
Für die taz kommt hinzu: Wird sein Name nicht genannt, stehen prinzipiell
viele unbeteiligte KollegInnen unter Verdacht. Auch die, mit denen er im
Namen der taz zu tun hatte, haben ein Recht, von dem Vorfall zu erfahren.
Und es gibt noch eine Frage, die nur an seine Person geknüpft ist:
Sebastian Heiser ist jemand, der immer wieder Verfehlungen thematisiert
hat, auch in der eigenen Branche. War er womöglich einem taz-internen
Skandal auf der Spur? Oder geht es um etwas ganz anderes?
Seine erste größere Recherche entfaltet gleich Wucht: Am 27. März 2001,
Sebastian Heiser ist 22 Jahre alt, erscheint in der Dürener Zeitung ein
Artikel, der in der nordrhein-westfälischen Kreisstadt den Bau einer
Tiefgarage unter dem zentralen Kaiserplatz verhindern wird.
Er sticht aus der Masse der Texte deutlich hervor: Der Nachwuchsjournalist
hat gut recherchiert. Er zeigt, wie der Bauträger bei einem ähnlichen
Projekt in Kaiserslautern eine unvollendete Baustelle und offene Rechnungen
hinterlassen hat. In den vergilbten Printausgaben der Zeitung im Dürener
Stadtarchiv ist nachzuverfolgen, wie sich nach der Veröffentlichung des
Textes ein Kommunalpolitiker nach dem anderen von dem Projekt distanziert.
Bald wird es begraben. Es ist Lokaljournalismus par excellence.
Als Sebastian Heiser Jahre später, im Jahr 2008, als Redakteur in der
Berlin-Redaktion der taz beginnt, bleibt das sein Stil: Er recherchiert
intensiv, auch gegen Widerstände, schreibt trocken im Ton und konfrontativ
in der Sache. Der größte Coup: Im Oktober 2010 veröffentlicht er in der taz
die bis dahin geheimen Berliner Wasserverträge, deren Offenlegung eine
BürgerInneninitiative seit Jahren erfolglos eingefordert hat.
Unter anderem für diese Arbeit wählt ihn das Medium Magazin 2010 zum
„Newcomer des Jahres“. In der Begründung der Jury heißt es:
„Außergewöhnlich und lobenswert ist seine selbstkritische journalistische
Grundhaltung.“ Tatsächlich: Auf Kritik innerhalb und außerhalb der taz
reagiert Sebastian Heiser stets mit Argumenten. Er ist einer der wenigen
Autoren, die Leserkommentare auf taz.de regelmäßig beantworten. Wo er auch
auftritt, signalisiert seine selbstbewusste, manchen auch zu arrogante
Haltung: Ich habe alle Argumente gewogen, und ich habe die besseren auf
meiner Seite.
Sebastian Heiser nutzt seine Auskunftsrechte intensiv, verklagt wiederholt
Behörden, wenn ihm Informationen verweigert werden. Manche dieser
Auseinandersetzungen führt er auf eigenes Risiko – und auf eigene Rechnung.
Bei Gericht tritt er regelmäßig auch in anderer Funktion auf: Er spricht
als Schöffe Recht.
In der taz engagiert er sich überdurchschnittlich. Er kümmert sich um
PraktikantInnen, bringt die Erstellung einer Gemeinwohlbilanz voran und
konfrontiert seine Zeitung regelmäßig mit ihren im Redaktionsstatut
festgeschriebenen Idealen. Einmal wertet er gemeinsam mit Kolleginnen 1.501
taz-Artikel aus, insgesamt 197.703 gedruckte Zeilen. Schließlich
protokolliert er: „Davon schrieben Frauen 69.121 Zeilen, das sind 35,5
Prozent.“ Die Botschaft ist klar: In der taz sind Männer massiv
überrepräsentiert.
Schon kurz nach seinem Eintritt in die Redaktion gründet er das
taz-Hausblog, manchmal bestückt er es über Monate allein mit Texten. Sein
Credo: Möglichst viel Offenheit. 2014 tritt er bei der Vorstandswahl der
taz-Genossenschaft mit dem Versprechen an, Haushaltsentscheidungen des
Vorstands künftig allen KollegInnen transparent zu machen und sie darüber
abstimmen zu lassen. Er erhält nur 16 Stimmen.
An dem hohen Maßstab, den er an sich anlegt, misst er die gesamte Branche.
Ein Projekt dient später vielen als Folie, um den Einsatz des Keyloggers in
der taz zu interpretieren: Es ist seine Recherche in deutschen
Zeitungsverlagen. Sebastian Heiser legt sich eine Tarnidentität und eine
Briefkastenadresse zu. Gemeinsam mit einer ehemaligen Praktikantin besucht
er im Jahr 2009, teils während seines Urlaubs, Verlagshäuser und stellt
sich als „Tobias Kaiser“ vor. Auf seiner Visitenkarte steht: „Key Account
Planning Effizienzer“, Agentur „Coram Publico“. Er recherchiert, ob im
Austausch für Anzeigenaufträge Einfluss auf redaktionelle Inhalte genommen
werden kann.
Als er seine Ergebnisse in der taz publizieren will, widerspricht der
Justiziar. Er hält die Recherche für unzulässig. Sebastian Heiser bezieht
sich – nicht nur dieses Mal – auf das Marienhof-Urteil, das der heutige
Journalistikprofessor Volker Lilienthal 2005 vor Gericht errungen hat.
Dabei ging es um verdeckte Recherche im Zusammenhang mit Schleichwerbung in
der ARD. Die damalige taz-Chefredaktion entscheidet schließlich, den Text
zu drucken.
Ein Aspekt wird dabei gegen Sebastian Heisers Willen ausgeklammert. Es geht
um Erlebnisse, die er zu Beginn seiner Karriere in der Beilagenredaktion
der Süddeutschen Zeitung gehabt habe. Er will nun auch darüber berichten,
dass damals Beiträge auf Wunsch der Anzeigenabteilung verändert worden
seien. Diese Geschichte hat er zuvor schon anderen Redaktionen angeboten.
Doch niemand will sie veröffentlichen. RedakteurInnen unterschiedlicher
Medien werden ihre Ablehnung später damit begründen, dass die Geschichte
mit unzulässigen Methoden zustande gekommen sei.
Am 16. Februar 2015, einen Tag bevor in der taz der Keylogger gefunden
wird, erscheint sie schließlich auf einem privaten Blog, das er extra dafür
eingerichtet hat. Das Motto des Blogs: „Klar und deutlich. Hier spricht
Sebastian Heiser“. Es ist viel Material, ausgedruckt gut 60 DIN-A4-Seiten.
Sebastian Heiser begründet seine Veröffentlichung damit, dass die SZ gerade
mit ihrer „Swiss-Leaks“-Enthüllung Steuerhinterziehung skandalisiert, aber
zu seiner Zeit in der Redaktion selbst Schleichwerbung dafür gemacht habe.
Das Besondere: Als Beleg veröffentlicht er auch Tonmitschnitte von
Gesprächen mit damaligen KollegInnen und einem Vorgesetzten, heimlich
aufgenommen – acht Jahre zuvor.
Sein „SZ-Leaks“-Alleingang ist riskant. Falls etwas schiefgeht, muss er die
Rechtsfolgen und -kosten selber tragen. Wieder löst er eine brancheninterne
Debatte aus. Auch Volker Lilienthal, auf den Sebastian Heiser sich zuvor so
oft berufen hat, wird sich später zu Wort melden: „Heimliche Aufnahmen in
Redaktionen sind ein Unding.“
## Welche Daten wurden abgefangen?
Mitten in dieser Debatte, kurz nachdem taz-KollegInnen ihn fragen, ob er
sie auch abgehört hat, wird Sebastian Heiser dabei erwischt, wie er in der
Inlandsredaktion einen Keylogger aus einem Computer zieht.
Zu klären, was in der taz eigentlich ausgespäht wurde, gleicht einer
Puzzlearbeit mit tausenden Teilen. Es gibt Datenspuren auf dem
sichergestellten Stick selbst und Dateien im Computersystem der taz, die
dem Stick zugeordnet werden können. Dazu kommen noch auffällige Logins, die
nahelegen, dass entwendete Passwörter auch benutzt worden sein müssen, um
sich Zugriff auf fremde Nutzerkonten zu verschaffen.
Der Keylogger, Modell „KeyGrabber USB“, hat einen Speicherplatz von 16 MB.
Das klingt nach wenig, reicht aber laut Hersteller, um mehr als 16
Millionen Tastaturanschläge aufzuzeichnen. Als er entdeckt wird, erscheint
er leer. Die EDV kann jedoch 14 gelöschte Dateien größtenteils
wiederherstellen. Darunter sind zwölf Dateien mit dem Namen LOG.TXT, in
denen insgesamt 398.205 Tastaturanschläge aufgezeichnet sind.
Diese Textdateien enthalten viele, oft unübersichtliche
Zeichenkombinationen. Die Buchstaben [Ent] zeigen an, dass die Entertaste
benutzt wurde. Die Buchstaben [Bck] zeigen an, dass die Rücklöschtaste
benutzt wurde. Und vor einem Wort, das groß geschrieben wird, steht [Sh].
Das steht für die Umschalttaste. In diesem Satz etwa bittet ein
Ressortleiter seine RedakteurInnen um Termin- und Themenvorschläge:
[Ent]wo ich gerade dabei bin m[Bck][Bck][Bck][Bck]beim [Sh]Mahnen bin[Sh]:
[Sh]Bitte chic[Bck][Bck][Bck][Bck]schickt wochenpläne, damit wir
[Bck][Bck][Bck][Bck]euere [Sh]Termine und
[Sh]Tehmen[Bck][Bck][Bck][Bck][Bck]heme [Bck][Bck][Bck]n [Sh](und gerne
auch zu f[Bck]ge[Bck][Bck]vergebende [Sh]P[Bck][Sh]Themen[Sh]) haben[Ent]
Bei der Auswertung müssen sich die EDV-Mitarbeiter also durch einen Wust
von Zeichen suchen. Schließlich werden nicht nur viele Benutzerdaten und
Passwörter gefunden. Es ist auch möglich, Rückschlüsse darauf zu ziehen,
wann und wo der Keylogger im Einsatz war. Etwa so: Auf dem Keylogger
befinden sich Anschläge eines Artikels, der am 12. Februar 2014 in der taz
erscheint. Der Text bezieht sich auf ein Ereignis des Vortags. Das heißt:
Der Stick muss am 11. Februar 2014 am Arbeitsrechner des Kollegen gesteckt
haben, der den Text geschrieben hat. Dessen Benutzername und Passwort
finden sich ebenfalls auf dem Keylogger. Es ist das früheste
rekonstruierbare Datum. Der Keylogger kam also mindestens ein Jahr lang
immer wieder in der taz zum Einsatz. Ob und gegebenenfalls wie lange er
davor schon benutzt wurde, darüber lässt sich nur spekulieren.
Sebastian Heiser wurde dabei erwischt, wie er den Keylogger von einem
Computer abzieht. Aber ist er auch derjenige, der ihn benutzt hat? Was,
wenn er gezielt diskreditiert werden sollte? Angenommen, der für seine
Aufklärungsarbeit bekannte Kollege bekommt einen Hinweis darauf, dass der
Keylogger an jenem Rechner steckt, will sich ein Bild machen, läuft hin,
zieht den Stick ab – erwischt.
Es ist – auch im Sinne der Unschuldsvermutung – wichtig, diese und andere
Szenarien zu durchdenken. Doch die Daten, die die EDV-Mitarbeiter
rekonstruieren können, ergeben ein anderes Bild.
Sie werten nicht nur die Daten auf dem Stick aus, sondern unternehmen auch
eine Suche in der Bandsicherung des Gesamtsystems. Jede Nacht, wenn die
Rechner der Redaktion stillstehen, wird ein Backup sämtlicher Dateien
erstellt. Falls es irgendwann zu einem großen Datenverlust kommen sollte,
können so die Daten wiederhergestellt werden.
In dieser Datensicherung stößt ein EDV-Mitarbeiter auf vier Dateien, die
denselben Namen tragen wie jene auf dem Keylogger: LOG.TXT. Entscheidend
ist, wo sie liegen: In den Sicherungskopien des Benutzerkontos von
Sebastian Heiser. Sie passen auch inhaltlich zu denen auf dem Stick.
Auch ist nachweisbar, dass die Mitschnitte des Keyloggers zum Teil an einem
Rechner ausgelesen worden sein müssen, an dem zu dieser Zeit der Nutzer
„heiser“ angemeldet war. Zudem lässt sich rekonstruieren, dass geklaute
Benutzerdaten zur Anmeldung im taz-System genutzt worden sind, als die
ausgespähten Personen diese selbst gar nicht genutzt haben können.
Ein Beispiel: Am 4. November 2014 ist der Nutzer „heiser“ den gesamten Tag
über an seinem Rechner in der Berlin-Redaktion angemeldet. Um 18.26 Uhr
meldet er sich ab. Noch in derselben Minute wird am selben Rechner der
Benutzername einer Praktikantin zur Anmeldung verwendet. Sieben Minuten
später meldet sich die Nutzerkennung der Praktikantin wieder ab. Die
damalige Praktikantin sagt, dass sie sich niemals an diesem Rechner
angemeldet hat. Ihr Benutzername und ihr Passwort finden sich aber unter
den ausgespähten Daten.
Einen Tag später, am 5. November 2014, erscheinen von Sebastian Heiser zwei
Texte, die aktuell vom Schreibtisch aus recherchiert wurden. Er war also
den vorigen Arbeitstag über an seinem Platz. Wer außer ihm sollte sich am
Abend mit einem gestohlenen Passwort in derselben Minute einloggen, in der
er sich selbst abmeldet?
Ein anderes Beispiel: Der Rechner mit der Kennung sibylle.sonn.taz.de steht
in einer versteckten Ecke im 6. Stock der taz-Redaktion. Am 12. Januar 2015
um 20.59 Uhr loggt sich dort jemand mit den Zugangsdaten einer Praktikantin
ein, 44 Minuten dauert die Sitzung. Die Praktikantin selbst arbeitet
allerdings zu diesem Zeitpunkt nicht mehr bei der taz, sie lebt auch nicht
mehr in Berlin. Es ist nicht das einzige Mal, das an diesem Rechner in den
Abendstunden auf mutmaßlich ausgespähte Accounts zugegriffen wird.
Sebastian Heiser kennt diesen Arbeitsplatz gut, er hat hier lange
gearbeitet. Mehrere KollegInnen erinnern sich heute daran, dass sie ihn
abends wiederholt in Redaktionsbereichen gesehen haben, in denen er
eigentlich nichts zu suchen hatte.
Auf dem Keylogger, der sich auch als normaler USB-Stick nutzen lässt, kann
die EDV neben den LOG.TXT-Dateien auch zwei pdf-Dokumente rekonstruieren,
die von Betroffenen stammen: Der Scan eines Reisepasses und ein
Bewerbungsschreiben. Auf Heisers Rechner wird außerdem das geklaute
Facebook-Profil einer Praktikantin gefunden, inklusive aller privaten Fotos
und Mitteilungen.
Das ist die Geschichte, die die Daten erzählen, wie sie von der EDV der taz
rekonstruiert werden konnten.
Was völlig ungeklärt ist: Ob diese Daten vollständig sind. Gab es
vielleicht einen weiteren Keylogger? Das ist die Frage, die sich vielen mit
dem Einbruch in der Nacht vom 18. auf den 19. Februar 2015 stellt. Solange
diese nicht beantwortet werden kann, ist es nicht möglich, das Ausmaß der
Spähaffäre vollends zu ermessen. Eine Person könnte Aufschluss geben: Jene,
die den Stick in der Redaktion benutzte.
## Wer wurde ausspioniert?
Eine Sache beschäftigt nicht nur die Betroffenen in der taz: Das Motiv.
Wurden gezielt vertrauliche Informationen abgegriffen und sind damit
InformantInnen in Gefahr? Sollten Missstände in der taz aufgedeckt werden?
Oder gab es ein anderes Motiv? Um die Hintergründe der Ausspähaktion zu
ergründen, ist es wichtig zu erfahren, wer im Fokus stand.
In der Strafanzeige der taz vom Februar 2015 stehen die Namen von 16
betroffenen Personen. Es wird zudem erwähnt, dass auch Benutzerdaten des
Beschuldigten auf dem Stick zu finden sind. Diese Liste wird später, auch
im Zuge dieser Recherche, länger werden. Inzwischen ist klar: Mindestens 23
Personen sind von der Ausspähung direkt betroffen, 22 von ihnen konnten
Benutzernamen und Passwörter, die der Stick mitgeschnitten hat, zugeordnet
werden. Nicht ausgeschlossen, dass die Zahl größer ist.
Unter den 23 bekannten Personen sind vier Männer und 19 Frauen. Eine
Handvoll Betroffener sind Sebastian Heisers direkte Vorgesetzte und
Kollegen, mit denen er in der Vergangenheit Konflikte hatte. Die große
Mehrheit sind junge Frauen, vor allem Praktikantinnen, die nur für wenige
Monate bei der taz arbeiteten.
Für viele von ihnen war Sebastian Heiser der erste Redakteur, mit dem sie
persönlich zu tun hatten. Er kümmert sich wie kein anderer Kollege um sie.
Ihn können PraktikantInnen beim Mittagessen ausquetschen: Wie gelingt
NachwuchsjournalistInnen der Berufseinstieg? Wie laufen die Dinge in der
taz? Für den Geschmack mancher Praktikantinnen sucht er zu viel Nähe, aber
auch nicht in einem Maße, das als grenzüberschreitend empfunden wird. Die
meisten empfinden die Nachricht, mutmaßlich von ihm ausgespäht worden zu
sein, als einen Schock.
Was erst im Mai 2016, im Zuge dieser Recherche, klar wird: Der Keylogger
kommt auch bei einem taz-Panter-Workshop zum Einsatz, bei dem
NachwuchsjournalistInnen in drei Tagen eine Zeitungsbeilage gestalten.
Mitte März 2014 sind 20 TeilnehmerInnen zwischen 19 und 27 Jahren in der
taz zu Gast. Ihr Thema: „Geheimnisse – Top Secret!“ An einem der Computer,
an denen sie arbeiten, steckt der Keylogger und zeichnet auf, was
mindestens eine Workshop-Teilnehmerin und betreuende RedakteurInnen
eintippen: Texte, Suchanfragen, Mail-Passwörter.
Auch in diesem Fall sind es nicht gerade Personen mit brisanten
Informationen, an denen ein Nachrichtendienst Interesse haben könnte. Es
sind auch nicht die, bei denen jemand Fragwürdiges innerhalb der taz
herausfinden wollte. Allerdings sind es junge Leute, die im Rahmen des
Workshops traditionell auch eine Party in seiner WG feiern. Sebastian
Heiser ist bei vielen Panter-Workshops dabei und macht Fotos.
Noch während in der taz von einer „Spionageaffäre“ zu lesen ist, festigt
sich innerhalb der Redaktion das Bild, dass die Daten mutmaßlich nicht aus
professionellen Motiven abgefischt wurden, sondern aus privaten. Diese
Lesart wird auch in den damals veröffentlichten taz-Texten vorsichtig
angedeutet. Zwar wird öffentlich weiter spekuliert, was hinter der ganzen
Geschichte steckt, doch in der Redaktion atmen viele auf: Es ging wohl
nicht um Informanten. Es ging wohl nicht um die taz als Presseorgan.
So sehr diese Version den Großteil der Redaktion entlastet, so sehr
verstört sie vor allem die betroffenen Praktikantinnen. Zwar werden die
meisten darüber informiert, dass sie betroffen sind. Doch es gibt keinen
wirklich systematischen Umgang damit. Manche Betroffene erhalten eine
E-Mail, viele von ihnen sind längst nicht mehr bei der taz. Mal ist diese
etwas konkreter, mal etwas allgemeiner. Manche werden auch angerufen. Mal
kommt die Information von der EDV, mal vom Ressortleiter oder dem
Justiziar. Und einige ehemalige Praktikantinnen haben schließlich die
Gelegenheit zu einem persönlichen Gespräch mit ihrem Ressortleiter. Wieder
andere erfahren über KollegInnen, dass sie betroffen sind. Was ein
mögliches Motiv der Ausspähaktion sein könnte, erfahren viele gar nicht.
Es sind turbulente Tage in der taz. Die Chefredaktion ist vor allem mit
akuter Krisenbewältigung beschäftigt. Sie benennt einen Redakteur als
Ansprechpartner für interne Kommunikation, aber viele bekommen das nicht
mit. Der Redaktionsrat, das gewählte Gremium der Redaktion, wird nicht von
sich aus tätig. Die Geschäftsführung kümmert sich um Strafanzeige und
Kündigung. In der Krise sind die Zuständigkeiten nicht ganz klar. So
geraten ausgerechnet jene aus dem Fokus, die vor allem von der Ausspähung
betroffen sind: Nachwuchsjournalistinnen am Anfang ihrer Berufslaufbahn.
Heute sehen nicht alle, aber viele in der taz das als Versäumnis.
Einige Personen erfahren erst während dieser Recherche davon, dass auch sie
von der Ausspähung betroffen waren. Eine Person hat das Wort Keylogger noch
nie gehört. „Da tun sich ja Abgründe auf“, sagt eine andere. Auch die
TeilnehmerInnen des Panter-Workshops im März 2014 werden erst im Zuge
dieser Recherche informiert, weil vorher nicht bekannt war, dass der
Keylogger auch dort zum Einsatz kam.
Leute, von denen sich Daten auf dem Stick finden, sagen heute Sätze wie
diese: „Die Informationspolitik war schlecht. Ich hätte mir gewünscht, noch
mal irgendetwas von der taz zu hören.“ Oder: „Ich bin dann zur Gewerkschaft
gegangen und habe mir dort Rechtsberatung geholt.“ Bis heute hat keiner der
Betroffenen die Daten gesehen, die über ihn oder sie auf dem Stick
gespeichert waren. Es hat sie laut EDV allerdings auch niemand von sich aus
angefordert. Nun wurde den bekannten Betroffenen angeboten, dass sie die zu
ihnen vorliegenden Daten auf Wunsch einsehen können.
In Bezug auf Sebastian Heiser sind die Meinungen sehr geteilt. Es gibt die
blanke Wut, aber viele in der Redaktion haben auch Mitleid mit ihrem alten
Kollegen. Sie sagen: „Er hat doch schon alles verloren, er ist genug
gestraft.“ Einer, dessen Daten sich auf dem Stick wiederfanden, sagt: „Mir
ist egal, ob er vor Gericht gestellt wird, aber er ist uns noch eine
Erklärung schuldig.“ Eine andere Betroffene sagt: „Ich will keine
Erklärung. Ich will, dass er juristisch zur Verantwortung gezogen wird.“
Und fast alle sagen: „Ich möchte wissen, was aus Sebastian Heiser geworden
ist.“
Auch deshalb gibt es diesen Text.
## Was wurde aus Sebastian Heiser?
Sebastian Heiser hat bislang geschwiegen. KollegInnen und FreundInnen
versuchen vom ersten Tag an, ihn zu erreichen. Per Mail, per Telefon – ohne
Erfolg. Ob zwei Monate nach seinem Verschwinden oder ein Jahr später:
KeineR seiner alten MitbewohnerInnen, FreundInnen und KollegInnen kann
(oder will) sagen, wo Sebastian Heiser ist und was er heute macht.
Nicht zuletzt weil er so plötzlich abgetaucht ist und vermeintlich keine
Spuren hinterließ, hält sich bis heute bei einigen in der taz die
Vorstellung, dass er im Auftrag eines Geheimdienstes gehandelt haben
könnte.
Wir wollen ihm die offenen Fragen stellen. Wir sind der Ansicht, dass die
Betroffenen, die KollegInnen in der taz, aber auch ihre
GesprächspartnerInnen und InformantInnen, die LeserInnen und GenossInnen
einen Anspruch darauf haben, zu erfahren, was in der Sache mit
journalistischen Mitteln in Erfahrung zu bringen ist. Es gibt da
schließlich noch dieses Versprechen: aufklären, so weit irgend möglich.
Einigen im Haus geht diese Recherche zu weit. Andere sagen, die taz könne
nicht über den Fall schreiben, weil sie doch selbst Teil der Geschichte
sei. Am Ende setzt sich das Aufklärungsinteresse vieler Betroffener durch
und das Selbstverständnis der taz, die anders als andere Medienhäuser einen
offenen und kritischen Umgang auch mit internen Belangen pflegt.
Die Recherche dauert einige Wochen, schließlich lässt sich rekonstruieren,
was Sebastian Heiser seit dem 18. Februar 2015 gemacht hat.
An jenem Mittwoch, als er die taz verlässt, leiht er sich das Handy einer
Mitbewohnerin aus, versendet via SMS ein paar Lebenszeichen. Am frühen
Donnerstagmorgen verschwindet er aus der WG.
Sebastian Heiser denkt bei seinem Verschwinden an alles. Er meldet sich in
Berlin beim Bürgeramt ab („unbekanntes Ausland“) und richtet einen
Nachsendeauftrag zu einem Postfachanbieter ein, der die Briefe einscannt
und ihm online zur Verfügung stellt.
Die Stadt, die er sich zum Leben ausgesucht hat, ist angenehm und günstig,
tropisches Wetter, freundliche Menschen. Finanziell dürfte er ohnehin nicht
allzu große Sorgen haben: Einige Zeit vor seinem Abtauchen sind in der
Familie Erbschaftsangelegenheiten geregelt worden.
Bald bezieht Sebastian Heiser eine möblierte Wohnung, findet einen Job. Er
arbeitet, wie er anderen erzählt, als Freelancer für ein großes
Internetunternehmen, von zu Hause aus. Er hilft dabei mit, die Qualität von
Suchergebnissen zu verbessern.
## Die Begegnung
Er lebt jetzt in einem fernen Land, das kein Auslieferungsabkommen mit
Deutschland unterzeichnet hat, als sei das, was er getan hat, ein
Kapitalverbrechen. Auf § 202a StGB, das „Ausspähen von Daten“, stehen
maximal drei Jahre Haft- oder Geldstrafe. Geht es nur darum, der
Strafverfolgung zu entgehen? Warum sonst lässt ein Mensch so abrupt alles
hinter sich und zieht ans andere Ende der Welt?
Klar ist: Falls er in diesem Land bleibt, können die Staatsanwaltschaft
Berlin, die eine Anklage gegen ihn vorbereitet, oder ein Richter in einem
möglichen Prozess nichts ausrichten. Spätestens nach zehn Jahren, so sagen
es die gesetzlichen Bestimmungen, wäre der Fall dann verjährt.
Eine Großstadt in Südostasien. Am Straßenrand werden Frösche vom Grill
angeboten, in einem klimatisierten Café kostet ein Green Tea Latte
umgerechnet 2,65 Euro. Auf den Straßen fahren Motorroller, Tuk-Tuks, auch
viele SUVs.
Sebastian Heiser, heute 37 Jahre alt, lebt inzwischen seit mehr als einem
Jahr hier. Weder die Stadt noch das Land sollen in diesem Text genannt
werden.
Der Mann, den wir als Sebastian Heiser kennen, wohnt in einer ruhigen
Straße. Zweites Obergeschoss, stuckverzierte Decken, Grünpflanzen auf dem
Balkon. Er ist seinen Nachbarn kaum aufgefallen. Zumindest manche kennen
ihn unter einem anderen Namen. Auch auf Facebook hat er sich ein Profil
unter einem Decknamen zugelegt. Das Profilfoto zeigt nicht ihn, sondern
einen Programmierer aus London.
Es ist ein Tag Ende April 2016. Auf mehrfaches Klingeln am Tor reagiert er
nicht, also klopfen wir direkt an der Wohnungstür.
„Sebastian?!“
Er öffnet die Tür, wir schauen uns an und schweigen einige Sekunden. Dann
folgt ein kurzes Gespräch, das die Besonderheit dieser Recherche zeigt. Wir
reden als Journalisten mit einem Beschuldigten. Aber wir reden auch mit
einem ehemaligen Kollegen. Zumindest würden wir das gern tun.
Sebastian Heiser, lange Hose, weißes T-Shirt, wirkt dünner als zuletzt. Die
wenigen Sätze, die er sagt, sind so präzise, wie wir es von ihm gewohnt
sind. Er habe keine Lust auf ein Gespräch, sagt er. „Zur Sache gibt’s
bislang nichts zu sagen.“ Was heißt bislang? Er weicht der Frage aus. Und
dann sagt er: „Das kommt jetzt alles sehr überraschend. Das muss ich erst
mal sacken lassen.“ Er fragt, wie lange wir in der Stadt seien und ob wir
eine Telefonnummer für ihn hätten. Wir schildern ihm, dass viele in der taz
wissen wollen, wie es ihm geht. Und wir sagen, dass es Betroffene gibt, die
ein Anrecht auf Antworten von ihm haben. Wolltet ihr nicht eure Nummer
aufschreiben?, fragt er. Wir geben ihm einen Zettel mit zwei Handynummern.
Am nächsten Tag schreibt er eine SMS von seiner alten deutschen Nummer:
„Mein Anwalt rät mir, mich während des derzeit laufenden Verfahrens nicht
zu äußern. Grüße Sebastian“. Wir schreiben ihm einen Brief, dass es auch
jenseits der juristischen Dimension etwas zu bereden gäbe. Wir wollen
wissen, ob es wirklich keinen einzigen Satz gibt, den er seinen alten
Kollegen sagen kann? Er meldet sich nicht mehr.
Sebastian Erb, 31, ist Redakteur der taz.am wochenende. Er hat 2013 einige
Monate gemeinsam mit Sebastian Heiser im Berlin-Ressort gearbeitet.
Martin Kaul, 34, ist taz-Redakteur. Er hat 2011 zusammen mit Sebastian
Heiser die „Geheimpapiere der Atomlobby“ veröffentlicht, die zeigen, mit
welchen Strategien das Deutsche Atomforum Einfluss auf Politik,
Wissenschaft und Medien nahm.
Karsten Thielker, 50, ist freier Fotograf und Pulitzer-Preisträger. Er
dokumentierte seit 2014 das Innenleben der taz in dem Fotoprojekt „taz
inside“. Sebastian Heiser wollte sich damals nicht von ihm fotografieren
lassen.
Auf dem Keylogger fanden sich weder persönliche Daten der Autoren noch des
Fotografen.
4 Jun 2016
## LINKS
(DIR) [1] /!5309256/
## AUTOREN
(DIR) Martin Kaul
(DIR) Sebastian Erb
## TAGS
(DIR) Keylogger
(DIR) Schwerpunkt Überwachung
(DIR) Lesestück Recherche und Reportage
(DIR) Keylogger
(DIR) Keylogger
(DIR) taz
(DIR) 2016
(DIR) Keylogger
(DIR) Apple
(DIR) Keylogger
(DIR) Keylogger
(DIR) Spionage
(DIR) taz
(DIR) Die Kriegsreporterin
(DIR) tazgate
(DIR) tazgate
## ARTIKEL ZUM THEMA
(DIR) Keylogger-Affäre in der taz: Fahndung wegen 6.400 Euro
Früherer taz-Redakteur wird per Haftbefehl gesucht, weil er seine
Geldstrafe nicht zahlte. Er war wegen Ausspähung von Daten verurteilt
worden.
(DIR) Keylogger-Affäre: Früherer taz-Redakteur verurteilt
Ein Ex-Redakteur der taz muss wegen des Ausspähens von Computern 6.400 Euro
Strafe zahlen. Der Strafbefehl ist nun rechtskräftig.
(DIR) Keylogger-Affäre: Geldstrafe für früheren taz-Redakteur
Ein Ex-taz-Redakteur soll wegen des Ausspähens von Computern 6.400 Euro
Strafe zahlen. Dem Prozess blieb er fern.
(DIR) Meistgeklickt auf taz.de 2016: Kuscheltiere, Lügenpresse, Analsex
Einige Beiträge auf taz.de gingen 2016 klickmäßig durch die Decke. Wir
haben eine Top 7 zusammengestellt und mit den Autor*innen gesprochen.
(DIR) Keylogger-Affäre in der taz: Spähaktion landet vor Gericht
Die Staatsanwaltschaft hat Anklage gegen einen früheren taz-Redakteur
erhoben. Er soll Redaktionscomputer ausgespäht haben.
(DIR) CCC-Sprecher zum iPhone-Hack: „Es gibt weitere Lücken“
Das iPhone-Betriebssystem galt als sicher. Nun knackte eine Spyware das
System von Apple. Kein Wunder, meint Linus Neumann vom Chaos Computer Club.
(DIR) Keylogger-Affäre in der taz: Warum ich nicht aufatmen kann
Anfang Juni veröffentlichte die taz Recherchen über den Einsatz eines
Spähwerkzeugs in der Redaktion. Jetzt schreibt eine der Betroffenen.
(DIR) In eigener Sache – Datenklau: Ausgespäht
Datenklau, Sicherheit, Vertrauen. Warum die taz die Keylogger-Affäre nicht
auf sich beruhen lassen kann.
(DIR) Aufarbeitung taz-Keylogger: Zwischen Recherche und Datenklau
Leaks, Interna, Datensicherheit: Im taz-Café diskutierten Journalisten und
eine Informatikerin über die Folgen der Spionage in der taz.
(DIR) In eigener Sache – Datenklau: Der Vertrauensbruch
Ein Kollege hat Accounts von KollegInnen geknackt – und wurde erwischt.
Fall erledigt? Nein. Er beeinflusst weiter die Atmosphäre unseres Hauses.
(DIR) Kolumne Die Kriegsreporterin: Gedöns mit der Unschuldsvermutung
#tazleaks, #tazgate – och, dazu sagt die taz erstmal lieber nix. Dafür hat
die „Welt“ umso mehr zu sagen – Unschuldsvermutung hin oder her.
(DIR) In eigener Sache – Datenklau: Redaktionsgeheimnis: Ein hohes Gut
Das Wichtigste für uns ist, den Datendiebstahl in der Redaktion aufzuklären
und das Vertrauen in die taz zurückzugewinnen.
(DIR) In eigener Sache – Datenklau: Die Chronologie
Die taz wurde wohl von einem Angestellten ausspioniert. Daten von
Mitarbeitern wurden mithilfe eines Keyloggers abgeschöpft. Was ist
geschehen? Wie reagiert die taz?