Leaks Das Geheimnis der unsichtbaren gelben Punkte

  • Die Mitarbeiterin eines Dienstleisters der NSA wurde verhaftet. Sie soll der Webseite The Intercept eine interne Analyse aus dem Geheimdienst zugespielt haben.
  • In der Analyse ging es um den angeblichen Hackerangriff des russischen Geheimdienstes auf Unternehmen, die Software für Wahlen in den USA vertreiben.
  • Enttarnt worden sein könnte die Whistleblowerin wegen verräterischer Wasserzeichen in dem geleakten Dokument.
Von Jannis Brühl

Reality Winner soll Geheimnisse der National Security Agency (NSA) weitergegeben haben. Die 25-Jährige arbeitete in Georgia für einen NSA-Dienstleister und verfügte über eine Sicherheitsfreigabe für vertrauliche Informationen. Weil sie Journalisten ein internes Dokument des Geheimdienstes zuspielte, weiß die Welt nun, dass die NSA den russischen Geheimdienst für einen versuchten Hackerangriff auf den Hersteller von Software verantwortlich macht, die bei Wahlen zum Einsatz kommt. Das FBI nahm Winner am Wochenende fest. Die linke Webseite Mother Jones erklärte sie schon zur "ersten Gefallenen im Krieg der Trump-Regierung gegen Whistleblower."

Dass Winner aufflog, könnte an einem wenig bekannten Deal zwischen Regierungen und Herstellern von Farbdruckern liegen: Es geht um eine umstrittene Technik, den so genannten MIC (Machine Identification Code), auch Farbdruckermarkierung oder Tracking Dots genannt. Auf praktisch jeder in Farbe gedruckten Seite finden sich nämlich kaum sichtbare gelbe Punkte, deren Anordnung verschlüsselte Informationen enthält. Sie dienen als eine Art Wasserzeichen und erinnern an die Sicherheitsmechanismen von Banknoten. Mit ihrer Hilfe lässt sich nachvollziehen, von welchem Gerät und wann genau die Seite gedruckt wurde.

Die gelben Punkte treten erst bei starker Vergrößerung oder unter UV-Licht zutage. Fast alle großen Hersteller machen Recherchen der US-amerikanischen Bürgerrechtsorganisation Electronic Frontier Foundation zufolge mit, darunter Toshiba, Xerox und Canon.

Die Bundesregierung erklärte 2014 die Farbdruckermarkierung auf eine Kleine Anfrage der Linken hin folgendermaßen: "Dabei handelt es sich meist um auf der Kopie für den Nutzer nicht sichtbar angeordnete gelbe Punkte. Aus diesen Punkten können durch den Hersteller ggf. Angaben über die Seriennummer des Druckers sowie Datum und Uhrzeit des Drucks ausgelesen werden. Dies ermöglicht die Identifizierung des Drucksystems und damit eine Rückverfolgung". Es geht also um Metadaten, die Nutzer unabhängig vom Inhalt eines Dokumentes oder einer Nachricht verraten können, wie so oft bei Überwachung.

Gedacht für den Kampf gegen Geld- und Ticketfälscher

Die Nutzung der Technik durch Polizisten beruht auf Vereinbarungen zwischen mehreren Regierungen und Druckerherstellern, die vermutlich bis in die neunziger Jahre zurückreichen. Die Hersteller reden nur ungern über Details. Ursprünglich wollte man mit den gelben Punkten Geldfälschern beikommen. Farbdrucker waren so gut geworden, dass Staaten befürchteten, dass bald Jedermann falsche Banknoten mit ihnen ausdrucken könnte. Niederländische Behörden setzten die Technik auch ein, um Menschen auf die Schliche zu kommen, die in großem Stil Zugtickets fälschten. Abschalten können Nutzer die Funktion nach allem, was bekannt ist, nicht.

So sahen die gelben Punkte versteckt im Dokument aus.

(Foto: http://blog.erratasec.com)

Wie konnten NSA und FBI also herausfinden, wer den Journalisten der Webseite The Intercept den internen NSA-Bericht zugespielt hatte? Der IT-Fachmann Rob Graham hat in seinem Blog den wahrscheinlichsten Weg rekonstruiert. Er konnte aus dem Scan des Dokumentes, das The Intercept veröffentlicht hatte, herauslesen, wann es gedruckt wurde. Graham zoomte an einen vermeintlich komplett weißen Bereich und arbeitete die Punkte mit einem Bildbearbeitungsprogramm besser heraus. Dann ließ er das Muster durch einen frei im Netz verfügbaren Entschlüsselungsmechanismus laufen und bekam das Ergebnis: Das Dokument wurde am 9. Mai 2017 um 6.20 Uhr gedruckt. Wenn Graham dies konnte, dann konnten auch die Ermittler die Markierung finden, nachdem sie das Dokument zur Verifizierung von den Journalisten erhalten hatten.

Dieses Muster ergaben die Punkte nach dem Filtern. (farblich verstärkt von Blogger Rob Graham)

(Foto: http://blog.erratasec.com)

Da sich so auch die Seriennummer des Druckers aus den Punkten herauslesen lässt, dürfte es den Ermittlern ein Leichtes gewesen sein, Winner zu identifizieren. Deren Prüfung hat laut dem Antrag auf Haftbefehl ergeben, dass nur sechs Mitarbeiter das Dokument gedruckt haben konnten. Als Winner mit dem Verdacht konfrontiert wurde, gestand sie dem FBI zufolge, die Quelle zu sein. An den Reportern von The Intercept wurde auch Kritik laut, weil sie das Dokument der NSA zur Verifizierung vorlegten, ohne die verräterischen Spuren unkenntlich gemacht zu haben.

Negativpreis für schlechten Datenschutz

Dass die Öffentlichkeit überhaupt vom MIC weiß, ist der Zeitschrift PC World zu verdanken, die 2004 einen Artikel zu dem Thema veröffentlichte, in dem Hersteller die Existenz der Technik bestätigten. In Deutschland nutzen sie laut Regierung Bundeskriminalamt und Bundespolizei. Canon Deutschland erhielt 2004 den "Big Brother Award", einen Negativpreis für schlechten Datenschutz weil auch dieses Unternehmen jede Kopie nachverfolgbar gemacht hatte, und zwar ohne es den Kunden zu sagen.

Der Drucker-Hersteller Xerox war eines der wenigen Unternehmen, das sich in einer deutschen Gebrauchsanleitung dazu bekannte: Sein System sei "entsprechend der Forderung zahlreicher Regierungen mit einem fälschungssicheren Kennzeichnungs- und Banknotenerkennungssystem ausgerüstet".

Die Bürgerrechtler von der Electronic Frontier Foundation sehen die Gefahr, dass die Technik missbraucht wird: Kein Gesetz hindere Behörden daran, sie auch jenseits des Kampfes gegen Falschgeld einzusetzen. Wer politische Handzettel drucke oder Informationen über eigene Krankheiten oder Medikamente ausdrucke, sei so einfach zu identifizieren.

Zehntausende Bürger haben sich im Rahmen der Kampagne "Seeing Yellow" bei Druckerherstellern beschwert und sie aufgefordert, diese Form des Trackings einzustellen. Aber offensichtlich würde schon mehr Aufklärung helfen: Hätte Reality Winner von den gelben Punkten gewusst, hätte sie einen Schwarz-Weiß-Drucker verwenden können, um das Dokument auszudrucken. Dann wäre ihre Spur schwieriger zu verfolgen gewesen.

Rasender Wurm

Von dem Hackerangriff sind weltweit Hunderttausende Computer befallen. Die Attacke wurde erst einmal gestoppt, ist aber noch nicht überstanden. Von Markus Balser, Cerstin Gammelin, Helmut Martin-Jung und Hakan Tanriverdi mehr...