Werkstattbericht zu Offshore-Leaks Wie Computer-Forensik das Offshore-System entschlüsselte

260 Gigabyte Daten, mehr als zwei Millionen E-Mails - und irgendwo darin versteckt geheime Geschichten von Steuerflucht und Offshore-Paradiesen. Wie aus einer Festplatte im Briefkasten eine Enthüllungsserie wurde: ein Werkstattbericht.

Von Bastian Brinkmann

Der Anfang war analog. Ausgerechnet per Post kam die Festplatte, auf der die geleakten Geheimdateien über die Offshore-Dienstleister in Steuerparadiesen lagen. Und zwar 260 Gigabyte Geheimdateien - ausgedruckt entspricht das etwa 500.000 Ausgaben der Bibel. Kein Mensch könnte das in seiner Lebenszeit lesen.

Als das Internationale Konsortium investigativer Journalisten (ICIJ) erstmals von jener Festplatte erfuhr, war die Aufgabe gewaltig. Wie kann man ein so gigantisches Datenleck auswerten? Und, vor allem: Wie kann man die vielen verschiedenen Dokumenttypen auf der Festplatte überhaupt auswertbar machen - die Bilder, verschlüsselten Dateien, mehr als zwei Millionen E-Mails? Computer-Forensiker mussten sich der Sache annehmen, bevor die journalistische Recherche beginnen konnte.

Die Datenmenge ist enorm: etwa 150-mal so groß wie beim bisher größten veröffentlichten Leak, den Botschaftsdepeschen von Wikileaks. Die Depeschen lagen damals außerdem in einem einheitlichem Format vor und konnten darum standardisiert ausgewertet werden. Die Offshore-Festplatte enthält dagegen alle möglichen Formate durcheinander: Firmendatenbanken, E-Mails, Vorlagen in Word, Scans, Briefe als PDF. Und viele Dateien tauchen doppelt auf, weil sie etwa als E-Mail-Anhang mehrfach intern weitergeleitet wurden.

Die Dopplungen zu identifizieren, war nur eines der Probleme für die Auswerter. Ein anderes: Viele Dokumente waren als Bilder gespeichert, darunter Pässe von Briefkastenfirmen-Gründern, die als Kopien in die Steueroasen gemailt wurden. Oder Briefe, in denen der wahre Firmeneigentümer dem falschen Geschäftsführer Anweisungen erteilt - erst ausgedruckt, unterschrieben und dann wieder eingescannt. Diese Bilddateien wurden massenhaft durch OCR-Technik digitalisiert und technisch lesbar gemacht; die Abkürzung steht für "optical character recognition", optische Zeichenerkennung. Sie macht aus Fotos Text.

Schließlich wurden alle Daten indiziert, also systematisch erfasst, damit sich Suchmaschinen in dem Wust zurechtfinden können. Mit Erfolg: Das Programm dtSearch kann nun zum Beispiel mit einer Namensliste gefüttert werden, damit es die 260 Gigabyte Daten nach Treffern durchsucht. Das Programm Nuix erkennt anhand von Schlüsselworten, wenn deutsche Sprache in Dokumenten benutzt wird. Das Analyse-Tool kann außerdem Beziehungen zwischen Daten herstellen - etwa zwischen angehängten PDF-Dateien und der Mail-Korrespondenz mehrerer Personen in einem bestimmten Zeitraum. Die US-Börsenaufsicht SEC nutzt Nuix ebenfalls, wenn sie in Verdachtsfällen Millionen E-Mails von Aktiengesellschaften beschlagnahmt hat.

Programmierer haben inzwischen auch die Software der Offshore-Finanzdienstleister nachgebaut. So ist es möglich geworden, sich durch das Firmenregister zu klicken, wie es die Angestellten in den Steueroasen gemacht haben, und viele essentielle Fragen zu beantworten: Wer ist eigentlich der Gründer dieses oder jenes Trusts? Wer ist Ansprechpartner? Ist eine Rechnung schon rausgegangen? An welche Adresse? Nur so war es überhaupt möglich, die komplexen Offshore-Konstrukte zu enträtseln. Monatelang recherchierte die SZ etwa der Finanzkonstellation von Gunter Sachs hinterher, sowohl in der Datenbank als auch in der Realität - bis am Ende eine vergleichsweise simple Darstellung des Geflechts stand, brauchte es einigen Aufwand.

Den größten Teil der technischen Arbeit übernahmen die Datenspezialisten Sebastian Mondial aus Deutschland, Duncan Campbell und Matthew Fowler aus Großbritannien sowie Rigoberto Carvajal aus Costa Rica und Matthew Caruana Galizia aus Malta. Das ICIJ entschloss sich nach dieser Basisarbeit, die Recherche auf viele Medienorganisationen in aller Welt zu verteilen - weil die schiere Menge der Daten sonst nicht zu bewältigen gewesen wäre. In Deutschland wurden die SZ und der NDR aktiv, in den USA die Washington Post, in Frankreich Le Monde, in Großbritannien der Guardian - 86 Kollegen in 46 Ländern waren beteiligt. Das ICIJ hat die Datenrecherche von Washington aus koordiniert. Der Verein ist ein Projekt des Center for Public Integrity in Washington und finanziert sich über Spenden vor allem großer Stiftungen in den USA, die investigativen Journalismus fördern wollen.

Eine systematische Analyse der Daten hat inzwischen ergeben, dass Unterlagen zu mehr als 122.000 Briefkastenfirmen und Trusts auf den Britischen Jungferninseln, den Cook-Inseln, Samoa, Hongkong, Singapur, den Cayman-Inseln, Mauritius, der Insel Labuan vor Malaysia und den Seychellen in ihnen stecken. 12.000 Vermittler solcher Konstrukte erscheinen in den Unterlagen. Die Daten von rund 130.000 Menschen sind dort gespeichert, mit Adressen aus 170 Ländern. Hinter jeder dieser Zahlen kann sich eine Geschichte verbergen - die Arbeit an dem Datensatz ist längst nicht abgeschlossen.