Kollaboriert 'Der Spiegel' mit russischen Hackern? Nein, 'Bild' schießt sich nur mal selbst ins Bein

"Bescheid wissen statt nachplappern", will die Bild seit diesem September. Die von der Werbeagentur Jung von Matt geschmiedete Imagekampagne mit einem Papagei als Leittier soll Deutschlands größtes Boulevardblatt als verlässliche Nachrichtenquelle in stürmischen Zeiten aufbauen.

"Unsere Welt wird immer komplizierter, das Bedürfnis nach sicheren, relevanten Quellen steigt", begründete die damalige Verlagsgeschäftsführerin Donata Hopfen die Kampagne beim Launch.

Vergangenen Sonntag, wenige Wochen später, hat die Bild ihr neues Selbstwunschbild mit einem tendenziösen Text über russische Hacker bereits wieder selbst unterlaufen. Der Fall zeigt eindrücklich die politischen Fallstricke, die lauern, wenn Medien über Hackerangriffe berichten – und wie wichtig es für ein Medium ist, seinem Publikum die Quellen der Berichterstattung transparent zu machen.

Ausgangspunkt ist eine Enthüllung des Spiegel über eine E-Mail vom 21. Dezember 2016, die den deutschen Vertreter bei den Vereinten Nationen, Christoph Heusgen, belastet. Der Inhalt der E-Mail ist zwar politisch unanständig, aber nicht übermäßig skandalös: Heusgen, damals noch außenpolitischer Berater Angela Merkels, weiß bereits von seiner Berufung als neuer Botschafter der Bundesrepublik im New Yorker UN-Hauptquartier. Um nicht alleine an die amerikanische Ostküste zu ziehen, lässt er seine diplomatischen Muskeln spielen, damit seine Frau Ina ebenfalls eine Stelle bei der Weltorganisation bekommt.

Laut der vom Spiegel zitierten E-Mail dankt Heusgen einer hochrangigen UN-Mitarbeiterin schon mal im Voraus für deren Hilfe, "dass mei­ne Frau Ina eine Stel­le in dei­nem Büro / im Büro des Ge­ne­ral­se­kre­tärs bekommt." Und, falls ein präemptives Danke nicht den nötigen Druck erzeugen sollte, erinnert Heusgen sie zugleich an den hohen Bei­trag, den "Deutsch­land zur UN leis­tet" sowie an die Tatsache, dass die Weltorganisation mit Ina einen direkten Draht ins deutsche Kanzleramt hätte – nämlich ihn. Als Gehaltsstufe für seine Frau schwebe ihm im Übrigen P5 vor, "die, wie ich höre, zu Ina passen würde." P5 entspricht einem Jahresgehalt von 107.459 US-Dol­lar brut­to, dazu käme ein New-York-Zu­schlag von 56.000 US-Dollar netto. Soweit die fragwürdige E-Mail vom 21. Dezember 2016. Wenig später: Ina bekommt den Job, die Heusgens reisen zusammen nach New York, alle sind glücklich.

Bis der Spiegel vor wenigen Tagen Heusgens E-Mail veröffentlicht. Der Text ist gut aufgeschrieben, sauber aufbereitet, im Subtext das Spiegel-typische Enthüllungsgeraune. Nur eines wurmt den Leser: Man erfährt nicht, woher die Autoren das belastende Material haben – oder warum die Quelle unbekannt bleibt. Es ist lediglich von einer E-Mail die Rede, die Heusgen aus dem Kanzleramt geschickt hat und die – wie durch Geisterhand – ihren Weg in die Redaktionsräume des Spiegel gefunden hat. Die Wege des "bedeutendsten Nachrichtenmagazins Deutschlands", so der Spiegel über sich selbst, sind offenbar unergründlich.

Auch die Bild hat offenbar die Frage gewurmt, wie die Spiegel-Journalisten an dieses private und höchst sensible Schriftstück gekommen sind. Und die Bild wäre nicht die Bild, wenn sie auf solche kniffligen Fragen nicht schon einen Tag später eine Antwort hätte. Also: irgendeine Antwort.

Sie lautet, in nuce: Russland war’s. Denn "laut BILD-Informationen" sollen vor sechs Monaten die Mail-Server der UN gehackt worden sein. Allein das ist eine brisante, nicht zuvor berichtete Information, die man eigentlich nicht in einem nonchalanten Halbsatz abfrühstücken sollte – und für die es unbedingt eine Quelle braucht.

Die liefert Bild aber nicht. Stattdessen wird ein "deutscher Top-Beamter" mit den recht allgemeinen Worten zitiert, die Server seien "anfälliger als die Server des Kanzleramts". Hat der Top-Beamte der Bild nun gesteckt, dass die UN-Systeme gehackt wurden oder nur dass sie anfälliger sind? Es bleibt unklar.

Verantwortlich für den Hack soll laut Bild – oder laut dem Beamten? – die Gruppe Fancy Bear sein, die dem russischen Militärgeheimdienst GRU zugerechnet wird und die hinter dem Cyberangriff auf den Bundestag 2015 stecken soll. Außerdem, so schickt der anonyme Beamte laut Bild nach, habe einer der Spiegel-Autoren bereits in der Vergangenheit "offen mit den russischen Geheimdienst-Hackern" zusammengearbeitet.

Die "brisante Herkunft der Mail" ist, so lernen wir von der Bild, also geklärt: Die Hackergruppe Fancy Bear muss sie dem Spiegel zugeschanzt haben. Das empört unter anderem bekannte Sicherheitsforscher wie Thomas Rid auf Twitter, für die die Sache klar ist: Der Spiegel hat sich als Sprachrohr für die russische Agenda benutzen lassen.

Doch so einfach ist die Sache nicht. Einer der Autoren des Spiegel-Artikels, Rafael Buschmann, widerspricht dem Vorwurf auf Anfrage. Laut Buschmann hätten die Autoren bei allen Texten, in denen Fancy-Bear-Material verwendet wurde, dies auch mitgeteilt. "Von dieser Linie sind wir auch im vorliegenden Fall nicht abgewichen", so der Spiegel-Redakteur gegenüber Motherboard.

Tatsächlich ist die Bild an den entscheidenden Stellen alles andere als klar in ihren Ausführungen über die Herkunft der kompromittierenden E-Mail. So schreibt Bild zunächst, die "Herkunft der Mail" sei brisant und zitiert dann im folgenden Satz einen deutschen Beamten, der die Sicherheit der UN-Server bemängelt, aber nichts zum Ursprung besagter E-Mail erklärt – wie sollte er oder die Bild das auch, wenn die Hacker das Material angeblich nur dem Spiegel gesteckt haben?

Wie man als Journalist über einen Hack berichtet, ohne Hackern auf den Leim zu gehen:

Auch im nachfolgenden Satz, in dem die Fancy-Bear-Gruppe, zu deren Haupttätigkeit das Sammeln kompromittierenden Materials gegen westliche Politiker gehöre, als Architekt des Hacks ausgemacht wird, suggeriert Bild nur, belegt aber nicht. Man erfährt letztlich nicht eindeutig, ob der Beamte nun wirklich behauptet, der Spiegel verwende Material von "russischen Geheimdienst-Hackern", ohne es zu deklarieren, oder ob die Bild das einfach gerne so hätte.

Im ersten Fall wäre die Aussage der Quelle einfach mangelhaft aufgeschrieben, was nur noch mehr Fragen aufwerfen würde. Etwa, warum man sprachlich so herumeiern würde, wenn eine Behörden-Quelle eine derart brisante Information preisgibt.

Es spricht daher viel für den zweiten Fall: Der zitierte "Beamte aus Sicherheitskreisen" hat es der Bild nicht gesagt. Er hat nur von den Sicherheitslücken des UN-Servers erzählt und möglicherweise davon, dass er stinkig ist, dass erbeutetes Material eines fremden Geheimdienstes ab und an im Spiegel erscheint. So geschehen im Fall der Enthüllung über den Doping-Missbrauch von US-Athleten vom Dezember 2016. Die Spiegel-Autoren weisen in dem Artikel allerdings klar darauf hin, dass sie das belastende Material über die Sportler von Fancy Bear haben, die wiederum die Welt-Anti-Doping-Agentur Wada gehackt haben, um an das Material zu gelangen. Die Quelle wird genannt und das Problem von durch Hacks erbeutete Dokumente zumindest angeschnitten. Allerdings fehlt hier ein klarer Hinweis, dass Fancy Bear mutmaßlich zum russischen Geheimdienst gehört.

Dass die Bild aufgrund irgendwelcher halbgarer Äußerungen eines Sicherheitsbeamten das Schreckgespenst des Hacker-Iwans an die Wand malt, ist übrigens auch keine Neuigkeit. Im Juni 2016 bot Reichelts Portal BND-Chef Gerhard Schindler in einem Interview eine prominente Bühne, um NSA-Whistleblower Edward Snowden als "Verräter" zu brandmarken. Snowden sei in der "Hand der Russen" und beteilige sich an deren hybrider Kriegsführung, so Schindler. Snowden als neue Geheimwaffe der russischen Hackerarmee? Belege musste der Chef des Auslandsgeheimdienstes für die steile These keine vorlegen.

Einer der Autoren des Bild-Artikels, Bild.de-Chefredakteur Julian Reichelt, hat bis zum Veröffentlichungszeitpunkt auf mehrfache Nachfrage von Motherboard nicht reagiert.

Erst wenn der genaue Umfang des angeblichen UN-Hacks bestätigt ist, wird klarer, ob Heusgens Mauschel-Mail tatsächlich auch in diesem Zuge erbeutet wurde.

Dass ein Mailserver gehackt wird und ein halbes Jahr später eine Mail vermutlich aus diesem Server irgendwo auftaucht, ist eine Korrelation, keine Kausalität: So kann der Server zwar angegriffen, aber noch lange nicht sämtliches Material abgegriffen worden sein. Oder die E-Mail wurde zwar abgezogen, aber sie lag verschlüsselt auf dem Server und die Hacker können sie nicht lesen. Oder die entsprechende E-Mail befand sich 'physisch' auf einem anderen Mail-Server, der nicht gehackt wurde und von dessen Existenz weder die Hacker noch der Journalist nichts wissen. Oder es war noch einfacher, und die Mail stammt aus einer anderen Quelle – wie einem entrüsteten UN-Mitarbeiter, dem die Vetternwirtschaft des deutschen Diplomaten sauer aufstößt.

Für den Leser wäre es trotzdem gut zu wissen, warum der Spiegel die Quelle nicht nennt – das hätte möglicherweise dem ein oder anderen halbgaren Bild-Artikel den Wind aus den Segeln genommen.

Quellen zu schützen, ist ein hohes Gebot im Journalismus, doch ebenso wichtig für die öffentliche Wahrnehmung und die eigene Glaubwürdigkeit sind zwei andere Dinge: Einerseits, die Quelle einigermaßen zu verorten und andererseits zu verhindern, sich von seinen Informanten zur Marionette machen zu lassen. Das gilt vor allem dann, wenn es nicht Whistleblower sind, die kompromittierendes Material aus ethischen Überlegungen an Journalisten leaken, sondern Hacker mit politischen oder finanziellen Interessen.

Das zeigte zuletzt der Fall des Hackers Guccifer 2.0, der die E-Mails der Democratic National Convention (DNC) in den USA gehackt hat und der laut führenden Cyberexperten nur ein Cover russischer Spione war. Über Wochen konnte Guccifer 2.0 amerikanische Medien narren und sie häppchenweise mit speziell auf sie zugeschnittene Leaks versorgen – Medienvertreter nahmen allzu gerne die geleakten Dokumente entgegen statt sich zu fragen, wem sie eigentlich gerade auf den Leim gehen.

Es wird nicht das letzte Leak sein, und wir sollten hoffen, dass Medien langsam, aber sicher daraus lernen.