Citation needed

Die erste Woche Trump war in einem Aspekt besonders erfolgreich: Er hat das Niveau der Debatte gesenkt. Habe ich früher vielleicht einmal pro Woche einen Hoax aus meinen Timelines getilgt, musste ich es in der vergangenen Woche gleich mehrfach täglich tun. Wurde das Visa Waiver-Programm für Deutsche aufgehoben? Nein. Hat Mike Pence behauptet, Frauen würden sich vergewaltigen lassen, wenn man ihnen dann Abtreibungen gewährt? Nein. Hat Trump in einem offiziellen Foto seine Hände vergrößern lassen? Wohl nicht, es spricht nichts dafür. Menschen die ich schätze, haben all das in sozialen Netzwerken verbreitet – und noch viel mehr.

Die meisten meiner Leser kennen wahrscheinlich den XKCD-Comic von dem „Wikipedian Protester“, der dem mächtigen Mann auf der fahnenstrotzenden Bühne ein simples Schild entgegenhält: [Citation needed]. Diese Warnung wurde in Wikipedia-Artikeln angebracht, wenn Behauptungen nicht belegt waren und dringend eine glaubwürdige, überprüfbare Quelle brauchten. Wurde die nicht in angemessener Zeit nachgeliefert, wurden die entsprechenden Abschnitte aus dem Wikipedia-Artikel entfernt. Die utopische Vorstellung, man könnte an die hohe Politik ähnliche Ansprüche stellen, ist mir höchst sympathisch.

SEMI-PROTECT THE CONSTITUTION

Es ist wichtig, den Mächtigen dieses Schild entgegenzuhalten. Wenn Donald Trump erst behauptet von einem — überhaupt nicht wahlberechtigten — Profi-Golfer von Wahlbetrug erfahren zu haben und sich anschließend einen Verschwörungstheoretiker als Quelle aussucht, dann müssen Journalisten festhalten, dass dies Lügen sind. Und sie müssen die Abgeordneten verantwortlich machen, die über die Gesetze abstimmen. Und die Leute, die für sie stimmen.

Das mit der Verantwortung ist aber keine Einbahnstraße. Wir dürfen uns nicht ausschließlich darauf verlassen, dass Snopes, die Washington Post oder Correctiv die Wahrheit schon zu Tage fördern wird. Denn in einem Umfeld, in dem Bullshit dominiert, ist es einfacher, weiteren Bullshit anzuhäufen. Trump mag keine Fakten auf seiner Seite haben. Die Unterstützung der meisten seiner Wähler ist ihm für Maßnahmen wie dem nun vollzogenen Einreiseverbot sicher. Zwar liefert der Präsident seinen Wählern keine unmittelbare Verbesserungen ihres Lebens, er liefert ihnen aber etwas fast Gleichwertiges: Die Leute, die systematisch als Feindbild aufgebaut wurden, regen sich furchtbar auf. Wenn „die Medien“ Trump beschimpfen, muss der ja irgendetwas richtig machen. Wenn Clinton gegen ihn ist, muss er ja etwas gegen die Korruption in Washington tun.

But she is Madonna!

Fakten zu delegitimisieren ist relativ einfach. Millionen Menschen beteiligen sich am Women’s March? Eine dumme Rede von Madonna reicht für viele vermeintlich Konservative aus, um dieses Ereignis als irrelevant, gar als Bestätigung von Trumps Politik zu betrachten. Zeigt man ihnen unwiderstreitbar, dass eine ihrer Überzeugungen falsch ist, zucken sie mit den Achseln und verweisen auf zehn andere Fake-Stories, die die „liberals“ erfunden haben. Ab einem gewissen Punkt kann man diese Leute nicht mehr erreichen. Aber die Leute, die noch nicht so abgestumpft sind, kann man nicht erreichen, wenn man mit schlechtem Beispiel vorangeht.

Statt nur von den Mächtigen Quellen und Glaubwürdigkeit zu verlangen, müssen wir uns auch mehr auf unsere eigene Glaubwürdigkeit Gedanken machen. Gerade das mediale Stille-Post-Spiel kostet unendlich viele Ressourcen und führt die Debatte immer wieder auf Abwege. Gerade bei Journalisten sehe ich immer mehr die Unart, dass Textausschnitte getwittert werden, die irgendein skandalöses Zitat oder eine Schlussfolgerung enthalten – der Kontext oder die Quelle fehlen jedoch. Zwar mag das Zitat am Tag des Tweets noch einfach auffindbar sein, verschwindet es mit immer größerer Wahrscheinlichkeit schon bald hinter einer Paywall. Die GIF-Sucht hat auch andere Folgen. Mehrfach habe ich in den vergangenen Tagen gesehen, dass jemand einen falschen Tweet korrigiert und das falsche Original sogar gelöscht hat – doch jemand anders hatte das GIF mit der Falschbehauptung schon kopiert und unter eigenem Namen weiter verbreitet.

Stille Post mit Photoshop

Unsere Erinnerung macht Nichtigkeiten groß. In einem Jahr werden sich noch viele Leute an die Geschichte erinnern, wie Trump seine Hände vergrößern ließ — sie ist einfach zu sexy. Gerade dieses Beispiel zeigt auch, wie wichtig Quellenkritik geworden ist. Mit viel Energie hatten Trump-Gegner Fotos verglichen und kleine sogar Animationen daraus gebaut, um die empörende und absolut sinnlose Manipulation zu beweisen. Die Washington Post ist der Sache nachgegangen, und hat festgestellt dass das Bild, das auf Twitter so viel Verbreitung fand, gar nicht aus dem Weißen Haus selbst stammte. Wer die Quelle mit Verstand und Hintergrundwissen betrachtete, musste das bemerken. Wer nur retweetet, sieht hingegen nur die Story, die so sexy erscheint.

Lange Rede, kurzer Sinn:

Retweetet nicht alles, was Euch grade am Empörendsten vorkommt. In den meisten Fällen reicht eine Minute, um einen Gegenbeleg zu finden.

Wenn ihr Zitate als Grafik teilt, gebt bitte auch eine Quelle an. Retweetet keine Zitate ohne Quelle.

Wenn ihr einen Fehler macht — und das ist in dem Klima nur allzu verständlich — dann korrigiert den transparent. Es reicht nicht aus, einen Tweet oder ein Posting hinterherzuschicken. Löscht Eure Falschbehauptungen unmissverständlich. Und informiert Eure Quellen. Wenn die darauf bestehen ihren Irrtum online zu lassen, sind sie es nicht wert, dass man sie weiter anhört.

Tolle Zeiten für schlechten Journalismus

Ich habe mehrfach gelesen, dass mit Trump tolle Zeiten für guten Journalismus anbrechen. Journalisten haben nun eine Chance sich an einem Gegner abzuarbeiten, der gewohnheitsmäßig lügt. Medien können die Macht der Fakten neu ergründen. Das mag stimmen, die Abozahlen von Trump-kritischen Medien mögen in die Höhe schnellen. Doch es sind ebenso tolle Zeiten für den schlechtesten Journalismus von allen.

Gestern habe ich zum Beispiel dieses Video gefunden und es macht mir wirklich Angst um den Journalismus. Es stammt von dem TV-Journalisten Ben Swann, der seit Jahren mit Verschwörungstheorien auf sich aufmerksam macht und bei einem nun kleinen Lokalsender in Atlanta arbeitet. Hier bekommt er eine Plattform für seine „Reality checks“, die unter der Marke CBS46 verbreitet werden.

Hier klicken, um den Inhalt von YouTube anzuzeigen.

Ben Swann möchte sich so weit wie möglich von dem „Mainstream“ der Medien entfernen, ihre Lügen bloßstellen. In dem aktuellen Video geht es zum Beispiel um „Pizzagate“, eine der berüchtigsten Verschwörungstheorien und Fake-News. Kurz zusammengefasst: Da in den von Wikileaks veröffentlichten Podesta-Emails öfters von einem bestimmten Pizzaladen die Rede war, vermuteten Gegner der demokratischen Partei dort irgendwelche dunklen Machenschaften. Aus mir unerfindlichen Gründen kamen sie auf die Idee, dass in dem Keller ein Kinder der Pizzeria vergewaltigt werden. Schon vor geraumer Zeit wurde die Pizzeria aus den Podesta-Emails von jedem Verdacht befreit.

Die Schlussfolgerung für einen normalen Manschen wäre: An den Gerüchten war nichts dran. Die ganze Idee war absurd. Aber es gibt tatsächlich Leute im Internet, die von Pizzagate nicht lassen können. Sie haben kurzerhand einen anderen Laden in Washington D.C. zur Kindermissbrauchs-Zentrale ernannt, weil dessen altes Logo vage an ein Pädophilen-Geheimsymbol erinnert hat. Zudem trat in dem Etablissement eine Band namens „Sex Stains“ auf. Und der Eigentümer hat Verbindungen zu Leuten, die in der Politik arbeiten. Und, und, und…

Trivialitäten werden zum Skandal umgedeutet

Diese Trivialitäten listet Ben Swann in routinierter Journalisten-Pose auf und präsentiert sie als Hinweise auf ein Verbrechen, auf eine gewaltige Verschwörung. Für seine Recherche hat er offensichtlich mit niemandem gesprochen, sondern nur in Verschwörungs-Foren durchforstet. Würde er vor Ort mal nachfragen wüsste er, dass jeder Restauranteigner in dem Umkreis Beziehungen zu Politikern hat, da das Veranstalten von politischen Events eine Haupt-Einnahmequelle von Restaurants in D.C ist. Er würde Hunderte von Logos finden, die an Geheimsymbole erinnern, er würde von Polizisten hören, was ein Tatverdacht ist und was nicht.

Swann interessiert nichts davon. Kurioserweise fehlt bei den „Reality checks“ eben das: Der Abgleich mit der Realität. Seine Schlussfolgerung ist daher: Die Polizei müsste diesen Hinweisen nachgehen. Gleichzeitig sagt er sagt mehrfach, dass es keine Beweis gebe. Würde die Polizei den vagen Verdächtigungen nachgehen, wäre Swann allerdings auch nicht zufrieden. Seine Fans schreiben unter den Videos Dutzende weiterer angeblicher Hinweise auf immer neue Beteiligte der Verschwörung. Wenn man einmal die Prämisse akzeptiert, dass Pizza ein Geheimsymbol für Vergewaltigung von Kindern ist, sieht man überall Hinweise für absolut Böses. Und wenn der eine Pizzaladen keine Kinder vergewaltigt, dann ganz gewiss der nächste. Oder der übernächste. Man müsste also wohl jedes Haus in Washington durchsuchen, um Pizzagate zu widerlegen. Und in der Zwischenzeit hat er Swann 15 neue Verschwörungstheorien publiziert.

Wer einmal eine gewisse Grenze überschritten hat, sieht man sogar satanische Botschaften auf Energydrinks.

Hier klicken, um den Inhalt von YouTube anzuzeigen.

Für Trump gelten andere Maßstäbe

Übrigens sieht Swann die Sache ganz anders, wenn Trump auf der Empfängerseite der Gerüchte ist. Auch ich habe die Veröffentlichung des Russland-Dossiers durch Buzzfeed verurteilt. Swann tut das in einem Video auch. Dabei behauptet er aber, kein einziger Satz in den Dossiers sei belegt – das ist falsch. Es sind viele Sätze unbelegt, nicht alle. Sonst sagt Swann viel, was auch die Kritiker in dem von ihm verhassten Mainstream schrieben: Dass die Veröffentlichung von unbelegten Gerüchten kein Journalismus sei und vieles weitere mehr.

Um das Dossier von unbelegten Behauptungen zur Fake-News zu befördern, flicht Swann ein, dass im berüchtigten Forum 4Chan jemand behauptet hat, der Urheber der Behauptungen in dem Dossiers zu sein, die er an dann an die Medien gegeben habe, um sie als Lügner zu entlarven. Was Swann nicht erwähnt: 4Chan hat immer wieder behauptet Gerüchte in die Welt gesetzt zu haben, mit denen sie nichts zu tun hatten. (Man erinnere sich an Böhmermanns Mittelfinger-Video. Diesen Effekt versucht 4Chan immer wieder zu produzieren.) Was der selbst ernannte „Truth lover“ zudem verschweigt: Der Mann, dem der anonyme 4chan-Nutzer die Story geleakt haben will, hat dies längst dementiert. Was Swann Buzzfeed völlig zu Recht vorwirft, macht er gleich darauf selbst.

Hier klicken, um den Inhalt von YouTube anzuzeigen.

Das Beunruhigende: Der Mann hat einen Job als Journalist, er kann seine Arbeit zusammen mit der anerkannten Marke CBS präsentieren. Im CBS Hauptprogramm laufen Trump-kritische Programme wie Full Frontal with Samatha Bee oder die Late Show mit Stephen Colbert, zudem hat die CBS Newshour einen guten als unparteiische Nachrichtensendung. Swann imitiert die Äußerlichkeiten dieser Sendungen. Mit Erfolg: Seine Zuschauer verwechseln das bloße Wiederholen von Gerüchten mit Recherche, mit Journalismus, mit der Wahrheit.

Das Problem ist nicht Swann

Das wirklich Beunruhigende ist: Niemand scheint daran Anstoß zu nehmen. In seiner eigenen Blase wird Swann hochgelobt, außerhalb wird er ignoriert. Beunruhigend auch: Seine Methoden werden hoffähiger. Man kann keinen klaren Trennstrich ziehen, wo Fake-News anfangen. Der aufs Astronomische beschleunigte Veröffentlichungszyklus haben auch dem etablierten Journalismus das Endgültige entzogen. Wichtige Fakten werden per Updates nachgeliefert, Überschriften laufend angepasst. Unnötige Falschmeldungen werden in Windeseile verbreitet.

Gleichzeitig stehen Journalisten unter riesigem Druck, die Publikumserwartungen zu erfüllen. Auch die Buzzfeed-Veröffentlichung wurde mit Journalismus und Recherche verwechselt – aber wohl vorrangig von Leuten, die Trump nicht gut finden. Auch wenn Buzzfeed von vielen Journalisten beschimpft wurde, hat das Medium von dem gewaltigen Klickerfolg profitiert. Die Versuchung ist groß, diesem Sog zu erliegen. Und der ökonomische Druck ist es ebenso. Meine Hoffnung ist, dass die Trump-Ära hervorragenden Journalismus zu Tage fördert. Meine Gewissheit ist, dass furchtbarer Journalismus auch proftieren wird.

PS: The Daily Beast hat sich auch mit dem Video auseinandergesetzt – und fand bei den Sendeverantwortlichen nur demonstratives Desinteresse:

The Daily Beast repeatedly tried to reach executives at CBS 46 and CBS News for comment on Wednesday. After several emails, CBS 46 News Director Frank Volpicella answered a phone call at 6 p.m., saying he didn’t have time to comment because his newscast was about to go on the air.
“I will say Ben was meticulous with his fact-finding and sourcing on his Reality Check segment,” Volpicella said.
When pressed about the lack of any reporting in the piece, Volpicella doubled down.
“Ben was meticulous,” he said. “I have to go,” telling The Daily Beast to call back immediately after the show ended. But Volpicella and station staffers then ignored or turned away a half-dozen phone calls requesting further comment.

Von der Website des Senders ist das Video verschwunden, auf YouTube und Facebook kann Swann ungestört weiter senden.

Über Backdoors

Grade ist ein erbitterter Streit zur Frage ausgebrochen: Gibt es in WhatsApp eine Sicherheitslücke, die es dem Facebook-Tochterunternehmen ermöglicht, Nachrichten mitzulesen?

Ausgelöst hat den Streit ein Artikel des Guardian, der in einem Artikel sehr alarmistisch auf diese vermeintliche „Backdoor“ aufmerksam macht.

Jeder Leser wird bei dieser Überschrift denken, es gehe um einen der Vorfälle, wie wir sie in der jüngsten Vergangenheit immer wieder gesehen haben: Geheimdienste und/oder Verbrecher haben eine Sicherheitslücke entdeckt und können massenhaft auf Botschaften zugreifen. WhatsApp hatte da bekanntermaßen eine unrühmliche Vergangenheit.

Doch im Artikel selbst sind die Vorwürfe deutlich schwächer.

However, WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered. The recipient is not made aware of this change in encryption, while the sender is only notified if they have opted-in to encryption warnings in settings, and only after the messages have been re-sent. This re-encryption and rebroadcasting effectively allows WhatsApp to intercept and read users’ messages.

Versandte Nachrichten nicht betroffen

Sprich: Es geht erstens um eine theoretische Lücke, die nach bisherigen Informationen nicht in der Praxis ausgenutzt wurde. Es geht zweitens nur um das Abfangen nicht-versandter Nachrichten — sind die Nachrichten einmal beim Empfänger eingetroffen, würde WhatsApp auch weiterhin in die Röhre schauen. Und drittens: Der skizzierte Angriff verläuft nicht unbemerkt.

Die vermeintliche Lücke ist auch alles andere als neu. Es handelt sich um ein Verhalten der App, das seit Beginn der End-zu-End-Verschlüsselung bei WhatsApp besteht und seit damals auch öffentlich dokumentiert ist. Ich hatte mich im vergangenen Jahr für die Website mobilsicher.de mit der WhatsApp-Verschlüsselung auseinandergesetzt und wusste daher von dem vermeintlichen Problem. Ich wäre jedoch nie auf die Idee gekommen, dies eine „Backdoor“ zu nennen.

Es gibt nämlich zwei ungleich größere Probleme mit dem Sicherheitsversprechen von WhatsApp. Das erste und wichtigste: Die Software ist closed-source und daher nicht unabhängig überprüfbar. Das zweite: Bei der Ende-zu-Ende-Verschlüsselung hat WhatsApp eine wichtige Warnmeldung in der Voreinstellung deaktiviert. Wenn ein Nutzer seinen privaten Schlüssel ändert, wird der Nutzer nur informiert, wenn er diese Warnmeldung einschaltet.

Verschlüsselung ist unbequem, closed source ist unsicher

Um etwas Kontext zur Bewertung der vermeintlichen Lücke zu geben, muss man sich in Erinnerung rufen, was Ende-zu-Ende-Verschlüsselung überhaupt bedeutet: Beide Seiten der Kommunikation haben private und öffentliche Schlüssel. Die privaten Schlüssel werden auf dem Smartphone erzeugt und bleiben auch dort. Die öffentlichen Schlüssel werden von WhatsApp an die Kommunikationspartner verteilt. Diese Konstruktion ist an sich ziemlich sicher, hat aber auch viele praktische Nachteile. So kann man sich nicht einfach mit einem neuen Handy einloggen und auf alle seine bisherigen Nachrichten zugreifen — dazu muss man schon das alte Nachrichtenarchiv auf dem alten Gerät exportieren und auf dem neuen Gerät importieren. Man kann auch nicht mal eben den gleichen Messenger auf Tablet und Smartphone gleichzeitig benutzen. Um WhatsApp auf dem Desktop zu nutzen, wird der Browser mit dem Handy verbunden, das die Ver- und Entschlüsselung der Nachrichten übernimmt.

Die WhatsApp-Entwickler musste sich auch einem speziellen Problem widmen: Was passiert, wenn ein Kommunikationspartner sein Handy verliert oder es plötzlich defekt ist? Typischerweise dauert die Beschaffung eines Ersatzgeräts einige Zeit. Es gibt nun zwei Alternativen: Entweder werden alle Nachrichten, die an das alte Gerät geschickt werden, für immer unlesbar gemacht. Die zweite Alternative: WhatsApp speichert Nachrichten auf dem Handy des Senders, bis sie tatsächlich vom Empfänger auf seinem neuen Gerät empfangen werden können. Signal entschied sich für die erste Variante, das mehr auf Usability getrimmte WhatsApp jedoch für die zweite Alternative.

Dutzende Angriffs-Möglichkeiten

Nun könnte WhatsApp tatsächlich auf die Idee kommen, den Key eines Gesprächspartners heimlich auszutauschen und so die unversandte Nachrichten an ihn abzufangen. Für jede Nachricht müsste WhatsApp einen neuen Schlüssel ausstellen und damit rechnen, dass dies auf dem Smartphone des Senders angezeigt wird. Wahrscheinlich würde die Kommunikation nach kurzer Zeit zusammenbrechen, da die Kommunikation bei WhatsApp durch eine ganze Reihe Keys abgesichert ist und das resultierende Chaos durch ständigen Austausch das Protokoll überfordern würde. Wenn sich WhatsApp zu einem solchen Schritt entschlösse, wäre diese Methode unnötig kompliziert und bemerkenswert ineffektiv. WhatsApp verwaltet schließlich das Adressbuch seiner Nutzer. So könnte das Gespräch auf einen alten Blackberry umgeleitet werden, dessen WhatsApp-Client noch keine Ende-zu-Ende-Verschlüsselung unterstützt. Natürlich würde auch hier der Alarm ausgelöst, aber das würde die vom Guardian beschriebene Attacke ja auch.

WhatsApp könnte in seine Clients auch eine echte Backdoor einbauen — es ist schließlich Closed Source. Die Facebook-Tochter könnte überhaupt das ganze Adressbuch eines Nutzers durch NSA-Kontakte ersetzen, worauf sich die NSA-Agenten als die echten Gesprächspartner ausgeben. Für staatliche Angreifer gar bieten sich noch mehr Optionen. Von der simplen Malware, die Screenshots von jeder Kommunikation macht, bis zur gefälschten SIM-Karte, die dem Attackierten seine Telefonnummer entzieht.

Kurzum: Man mag das Verhalten von WhatsApp eine „Sicherheitslücke“ nennen, wenn man möchte. Es ist aber die geringste Stufe von Sicherheitslücke, die man sich in der Praxis vorstellen kann. Eine Backdoor ist es nicht.